Ciberataques 2025: cómo protegen los hackers rusos sus ‘negocios’ usando Teams y Microsoft 365

Un ataque cibernético masivo está sacudiendo a las empresas en Colombia y el mundo. Dos
grupos de ciberdelincuentes rusos, vinculados a las amenazas Storm-1811 y FIN7, están
utilizando herramientas comunes como Microsoft Teams y Office 365 para infiltrarse en
sistemas corporativos. En solo tres meses, más de 15 incidentes fueron detectados globalmente,
con un impacto alarmante en Colombia, donde las empresas han reportado ser blanco recurrente.
La nueva táctica de estos grupos comienza con una avalancha de correos electrónicos. Incluso,
enviaron más de 3.000 correos en menos de una hora a un grupo reducido de empleados,
saturando sus bandejas de entrada y generando confusión. Posteriormente, los atacantes realizan
llamadas y videollamadas por Teams, haciéndose pasar por personal de soporte técnico, para
convencer a sus víctimas de otorgar acceso remoto a sus dispositivos.
Colombia en la mira de los ciberdelincuentes
Colombia, al igual que otras economías, es un objetivo atractivo debido al aumento en la adopción
de soluciones tecnológicas y plataformas de colaboración en las empresas. Según el reporte de
Sophos X-OPS, aunque los ataques reportados en las últimas dos semanas no han ocurrido en
América Latina, el panorama global destaca la vulnerabilidad de la región, incluida Colombia, frente
a estas amenazas.
El modus operandi incluye el uso de herramientas legítimas como Microsoft Quick Assist y la
función de compartir pantalla en Teams. Con estas herramientas, los atacantes despliegan
ransomware, bloquean sistemas y roban información sensible. En varios casos, se identificó el uso
del temido ransomware Black Basta, conocido por extorsionar a las empresas a cambio de
recuperar sus datos.
¿Por qué esta estrategia funciona tan bien?
El éxito de estas campañas radica en el abuso de configuraciones predeterminadas en plataformas
populares. Por ejemplo, Microsoft Teams permite que usuarios externos contacten
directamente a empleados internos, una característica que muchos no consideran un riesgo.
Además, la combinación de bombardeo de correos y llamadas de ‘soporte técnico’ crea una
sensación de urgencia y confusión que juega a favor de los atacantes.
“El problema no es solo tecnológico, sino humano. Los empleados suelen confiar en mensajes y
llamadas que parecen venir de fuentes legítimas,” señala Sean Gallagher, investigador de
amenazas en Sophos.
Claves para protegerte
Ante este panorama, Sophos recomienda a las empresas tomar medidas inmediatas como:
1. Revisar las configuraciones de Teams y bloquear contactos de dominios externos.
2. Limitar el uso de herramientas de acceso remoto como Quick Assist.
3. Capacitar al personal en ciberseguridad para identificar tácticas de ingeniería social.

En un mundo donde las plataformas tecnológicas se han convertido en herramientas
indispensables para las empresas, estas mismas están siendo explotadas por ciberdelincuentes.
Colombia no puede bajar la guardia, especialmente cuando los ataques se vuelven más
sofisticados y difíciles de detectar.
Es crucial que empresas de todos los tamaños tomen medidas preventivas, porque un simple
descuido puede convertirse en el próximo titular de un ataque masivo.

Encuentra un resumen de la investigación en español en este enlace:
https://news.sophos.com/es-es/2025/01/23/sophos-mdr-rastrea-dos-campanas-de-
ransomware-que-utilizan-el-email-bombing-y-el-vishing-de-microsoft-teams/
O consulta la investigación completa disponible en inglés en el siguiente
enlace: https://news.sophos.com/en-us/2025/01/21/sophos-mdr-tracks-two-
ransomware-campaigns-using-email-bombing-microsoft-teams-vishing/