(https://i.postimg.cc/Zq2XCyR7/Phishing.png) (https://postimages.org/)
Los atacantes aprovechan las configuraciones incorrectas del enrutamiento de correo electrónico y las protecciones contra la suplantación de identidad para enviar correos electrónicos de phishing que parecen internos, utilizando plataformas PhaaS como Tycoon2FA para robar credenciales.
"Los ciberdelincuentes están explotando escenarios de enrutamiento complejos y configuraciones incorrectas de las protecciones contra la suplantación de identidad para suplantar eficazmente los dominios de las organizaciones y enviar correos electrónicos de phishing que, superficialmente, parecen haber sido enviados internamente. Los atacantes han utilizado este vector para enviar una amplia variedad de mensajes de phishing relacionados con diversas plataformas de phishing como servicio (PhaaS), como Tycoon2FA", indica el informe publicado por Microsoft. "Estos mensajes incluyen señuelos con temas como mensajes de voz, documentos compartidos, comunicaciones de departamentos de recursos humanos, restablecimiento o caducidad de contraseñas, entre otros, lo que conduce al robo de credenciales".
Desde mayo de 2025, los ataques de phishing que explotan las configuraciones incorrectas del enrutamiento de correo electrónico y las protecciones contra la suplantación de identidad han aumentado. Microsoft informó de campañas oportunistas dirigidas a múltiples sectores, a veces con fines de estafa financiera. Los mensajes parecen internos, lo que aumenta su efectividad. Los inquilinos de Office 365 con registros MX configurados correctamente están protegidos, pero otros corren el riesgo de robo de credenciales, fraude BEC o pérdida de fondos. Microsoft recomienda una protección adecuada contra la suplantación de identidad y la configuración correcta de los conectores para bloquear estos ataques.
Los ataques de phishing que explotan las configuraciones incorrectas del enrutamiento de correo electrónico y las protecciones contra la suplantación de identidad permiten a los ciberdelincuentes enviar correos electrónicos que parecen provenir del propio dominio de la organización. Los inquilinos con enrutamiento complejo y registros MX que no apuntan a Office 365, o que carecen de políticas DMARC/SPF estrictas, son vulnerables.
"Establecer políticas estrictas de autenticación, informes y conformidad de mensajes basados en dominio (DMARC) con rechazo y políticas SPF de fallo estricto (en lugar de fallo suave) y configurar correctamente cualquier conector de terceros evitará los ataques de phishing que suplantan los dominios de las organizaciones", continúa el informe.
Los atacantes suelen utilizar plataformas PhaaS como Tycoon2FA, lo que permite el robo de credenciales, la elusión de la autenticación multifactor (MFA) mediante ataques AiTM y las estafas financieras. Los inquilinos de Office 365 con registros MX configurados correctamente están protegidos.
Los atacantes explotan el enrutamiento de correo electrónico complejo y las protecciones débiles contra la suplantación de identidad para enviar correos electrónicos de phishing que parecen mensajes internos. Estos correos electrónicos suelen utilizar temas comunes como avisos de recursos humanos, restablecimiento de contraseñas, mensajes de voz o documentos compartidos. Un truco común es utilizar la misma dirección de correo electrónico en los campos "Para" y "De" para que parezca legítimo.
(https://i0.wp.com/securityaffairs.com/wp-content/uploads/2026/01/image-17.png?w=1050&ssl=1)
Aunque los correos electrónicos parecen internos, los encabezados muestran que provienen de servidores externos. Entre las señales de alerta se incluyen fallos de SPF o DMARC, firmas DKIM ausentes y encabezados que indican una entrega externa anónima. En entornos mal configurados, estos fallos pueden no impedir la entrega, especialmente cuando los conectores de correo de terceros están mal configurados.
Muchas campañas redirigen a los usuarios a través de enlaces que parecen legítimos, como URL de Google Maps, a sitios web controlados por los atacantes. Las víctimas ven páginas CAPTCHA falsas que las dirigen a páginas de phishing de Tycoon2FA diseñadas para robar credenciales, a veces eludiendo la autenticación multifactor (MFA). Una configuración adecuada de DMARC, SPF con rechazo estricto, DKIM y una configuración correcta del conector pueden prevenir estos ataques.
Microsoft Threat Intelligence también ha observado estafas financieras enviadas a través de correos electrónicos falsificados que parecen provenir del interior de una organización. Estos mensajes están diseñados para simular conversaciones de correo electrónico reales entre personal de alto nivel, a menudo suplantando la identidad del director ejecutivo, el departamento de contabilidad o un proveedor que solicita un pago.
(https://i0.wp.com/securityaffairs.com/wp-content/uploads/2026/01/image-18.png?w=769&ssl=1)
En los casos observados, las configuraciones débiles de autenticación de correo electrónico permitieron que las estafas tuvieran éxito. DMARC estaba configurado en "ninguno", lo que significa que no se aplicaban las fallas de autenticación. Como resultado, los correos electrónicos falsificados enviados desde direcciones IP externas llegaban a las bandejas de entrada, especialmente en entornos donde los registros MX no apuntan a Office 365.
Los correos electrónicos fraudulentos suelen utilizar la urgencia para presionar a las víctimas, por ejemplo, solicitando un pago rápido para obtener un descuento. Normalmente utilizan la misma dirección de correo electrónico tanto en los campos "Para" como "De", mostrando el nombre del director ejecutivo como nombre de remitente para parecer legítimos.
Los archivos adjuntos suelen incluir una factura falsa que solicita el pago a una cuenta bancaria fraudulenta, un formulario W-9 del IRS con datos personales robados y una carta bancaria falsa para dar mayor credibilidad. Las víctimas que pagan pueden sufrir pérdidas financieras importantes e irrecuperables, ya que los atacantes transfieren los fondos rápidamente.
Las organizaciones deben implementar políticas estrictas de rechazo de DMARC y de fallo definitivo de SPF, y configurar correctamente los conectores de correo de terceros. Microsoft señaló que los clientes con registros MX que apuntan directamente a Office 365 están protegidos.
Fuente:
SecurityAffairs
https://securityaffairs.com/186638/hacking/misconfigured-email-routing-enables-internal-spoofed-phishing.html