Explotaciones en Microsoft Teams: el nuevo terreno de juego para los ciberdelincuentes

Los ataques dirigidos a Microsoft Teams están en pleno auge, y actualmente el phishing a través de chats se ha convertido en uno de los mayores desafíos de ciberseguridad para las empresas. Echemos la vista atrás, es viernes por la noche, enciendes tu ordenador Gateway y abres MSN Messenger. 

Te llega un mensaje de alguien que no está en tu lista de contactos: «¿qué tal?, edad/sexo/lugar?». En aquel momento, aceptar mensajes de desconocidos no parecía peligroso. Hoy, un simple «¿tienes un segundo para una charla rápida?» podría costarte mucho más que un mal rato. 

Microsoft Teams se ha transformado en la nueva frontera de guerra del phishing. Solamente en la primera mitad de 2025, los ataques basados en la identidad aumentaron un 32%, lo que convierte a Teams en un vector de ataque tan crítico como el correo electrónico. 

Los ciberdelincuentes se centran cada vez más en credenciales e identidades que no son humanas, como por ejemplo bots de IA y aplicaciones. Una cuenta o aplicación comprometida puede saltarse un montón de controles de seguridad, actuando como si fuera un usuario o bot de confianza. 

Teams, como plataforma de colaboración de alto valor, ofrece a los atacantes un acceso privilegiado, una vez dentro, pueden moverse lateralmente por la empresa, extraer datos confidenciales y recopilar información sensible para lanzar campañas de spear phishing o whaling más atractivas. 

En este artículo analizamos cómo prosperan los ataques basados en la identidad (que ya representan el 30% de las intrusiones cibernéticas) en Microsoft Teams y por qué las típicas defensas clásicas centradas en el correo electrónico no bastan. 

Veremos cómo la solución Teams Protection de Hornetsecurity, impulsada por el AI Cyber Assistant, detecta y bloquea amenazas en tiempo real, analiza cada URL, examina más de 47 características de los enlaces y es capaz incluso de interpretar imágenes para detectar señales de phishing ocultas. 

El factor humano detrás del phishing en Microsoft Teams 

En un mundo cada vez más conectado, vivimos con agendas más saturadas que nunca. ¿Con qué frecuencia recibimos un mensaje rápido de un compañero en plena reunión de Teams con un simple «¿tienes un segundo?»? Aparentemente es inofensivo, pero ese tipo de interacción cotidiana es justo lo que puede convertirnos en la próxima víctima de un ataque en Microsoft Teams. 

Este enfoque de phishing combinado con ingeniería social ya no se limita solo al correo electrónico. Los atacantes son cada vez más específicos y convincentes en su forma de actuar. Se aprovechan de la inmediatez y la dinámica acelerada de las herramientas de colaboración para ganar ventaja. 

El mundo acelerado de Teams y sus peligros ocultos 

Las amenazas más comunes en Microsoft Teams incluyen enlaces de phishing, cuentas comprometidas y el uso malicioso de aplicaciones. El Threat Intelligence Index de IBM refleja claramente cómo está evolucionando el panorama, el coste medio global de una brecha de seguridad alcanzó un récord de 4,88 millones de dólares en 2024. 

Los efectos de este tipo de ataques ya han quedado patentes en el mundo real, con incidentes que evidencian el alcance y el impacto que pueden tener sobre organizaciones de todos los tamaños. 

Varios ejemplos recientes demuestran la gravedad que pueden tener las vulnerabilidades de Microsoft Teams: 

Midnight Blizzard  

Midnight Blizzard, también conocido como APT29, Nobelium o Cozy Bear, es un grupo de hackers vinculado al gobierno ruso. Es conocido por sus campañas de espionaje dirigidas a gobiernos y grandes empresas tecnológicas. Microsoft ha informado de que este grupo explota vulnerabilidades en Microsoft Teams para llevar a cabo ataques de ingeniería social, haciéndose pasar por personal de soporte técnico y evitando así las notificaciones de autenticación multifactor. 

El grupo ha utilizado tenants comprometidos de Microsoft 365 pertenecientes a pymes para suplantar a entidades legítimas y engañar a sus objetivos, con el fin de robar tokens de sesión de forma eficaz. Alrededor de 40 negocios se han visto afectados por este tipo de ataque. Este caso demuestra cómo incluso herramientas de colaboración tan fiables como Microsoft Teams pueden convertirse en vectores de ataque. 

BlackBasta 

BlackBasta es una operación de ransomware activa que ha evolucionado del phishing a campañas de ingeniería social específicas. Hace poco han empezado a explotar vulnerabilidades en Microsoft Teams para suplantar al servicio de soporte técnico interno y obtener acceso remoto a los sistemas. 

Según BleepingComputer, una vez obtienen acceso, desplegan malware y lo propagan por toda la red de forma rápida. Esta táctica ha resultado ser eficaz para sortear las defensas tradicionales, como la seguridad del correo electrónico, atacando directamente al eslabón más débil, el factor humano. 

En ambos casos, las cuentas comprometidas suponen una amenaza para los equipos internos y los clientes. Tanto CISA como Microsoft han alertado del aumento de incidentes de ingeniería social a través de Teams. Una brecha en una cuenta interna es mucho más peligrosa que una externa. 

Por qué la seguridad tradicional no cubre Microsoft Teams 

Microsoft ofrece herramientas para proteger tu entorno frente a amenazas externas. Defender for Office 365 protege el correo electrónico, filtra el spam e incluso analiza los archivos adjuntos en entornos aislados (sandboxing). Sin embargo, este tipo de medidas no cubren las vulnerabilidades de seguridad específicas de Microsoft Teams. Y si bien es posible reforzar la configuración para reducir las posibilidades de que personas externas contacten con tu equipo (consulta el blog sobre cómo restringir los contactos externos), estas medidas no son suficientes a día de hoy. 

El problema es que, una vez que una cuenta ha sido comprometida, ninguno de estos controles tradicionales te protegerá. Entonces, ¿cómo puedes detectar y frenar una amenaza si no dispones de una forma de inspeccionar el contenido de los mensajes dentro de plataformas colaborativas como Microsoft Teams? La pregunta clave es: «¿Es Microsoft Teams lo bastante seguro por sí solo?». 

Conclusiones clave sobre la suplantación de cuentas 

Según el Cybersecurity Report 2025 de Hornetsecurity, las cuentas comprometidas son una de las principales causas de exposición de datos internos en entornos de Microsoft 365. 

Esto pone de manifiesto por qué es fundamental proteger canales de comunicación internos como Microsoft Teams con soluciones específicas, más allá de las herramientas tradicionales de seguridad perimetral o centradas en el correo electrónico. 

Cómo cierra la brecha la protección de Teams de Hornetsecurity 

Ante el auge de nuevas ciberamenazas y la evolución constante del panorama de seguridad, el AI Cyber Assistant de Hornetsecurity entra en acción a través de su solución Teams Protection, incluido dentro del 365 Total Protection Plan 4. 

Esta solución está diseñada para negocios que usan Microsoft 365 como plataforma de colaboración. Cierra la brecha de seguridad en Microsoft Teams con funciones avanzadas basadas en IA y una automatización profunda. Microsoft Teams Protection es la respuesta a este nuevo tipo de amenazas. 

Escanea todos los mensajes de Teams en busca de URLs o archivos maliciosos 

Teams Protection se basa en la misma tecnología de IA que impulsa la función Secure Links de Hornetsecurity. Sus algoritmos analizan características clave de URLs y páginas web (redirecciones, rutas de archivos, scripts y otros elementos) para detectar contenido malicioso y actores peligrosos, incluso si tu entorno de Microsoft Teams ha sido comprometido. Identifica enlaces maliciosos y amenazas emergentes alojadas en dominios recién creados o que cambian rápidamente. 

Utiliza el AI Cyber Assistant para alertar a los usuarios en tiempo real 

AI Cyber Assistant es un sistema de defensa basado en aprendizaje automático que protege los mensajes de Microsoft Teams en tiempo real. Está siempre activo y se apoya en los sólidos modelos de protección del correo electrónico desarrollados por Hornetsecurity. 

Cada chat de Teams se analiza al instante en busca de enlaces maliciosos. El motor de IA evalúa el comportamiento de los enlaces, la reputación del remitente y los patrones del mensaje para detectar ataques de phishing de Zero Day, incluso los generados por IA, que podrían eludir los filtros. La protección se adapta y evoluciona, ofreciendo una defensa inmediata y eficaz a tu equipo. 

Detecta amenazas ocultas mediante machine learning (más de 47 características de enlaces, análisis basado en imágenes) 

Algoritmos de machine learning supervisado y no supervisado analizan +47 características de URLs y páginas web, detectando comportamientos maliciosos, técnicas de ofuscación y redirecciones sospechosas. Además, los modelos de visión por ordenador examinan imágenes para identificar elementos típicos de phishing, como logotipos, códigos QR o texto incrustado en imágenes. 

Permite a los administradores eliminar chats maliciosos y bloquear usuarios comprometidos 

Los administradores pueden eliminar de forma inmediata aquellos mensajes identificados como maliciosos en Microsoft Teams e incluso borrar hilos completos de conversación. Y si el sistema detecta que una cuenta ha sido comprometida, puede llegar a cerrar la sesión de manera automática y bloquear la cuenta para evitar movimientos laterales dentro de la empresa. 

Ofrece remediación automática para conversaciones maliciosas recién creadas 

Si un atacante intenta iniciar una nueva conversación tras comprometer una cuenta, Teams Protection lo detecta y la elimina automáticamente, bloqueando su propagación antes de que otros usuarios lleguen a interactuar con ella. Gracias a la remediación automática y a las alertas en tiempo real, el equipo de IT puede actuar de forma rápida y eficaz ante cualquier amenaza. 

AI Cyber Assistant: tu compañero de defensa siempre activo 

AI Cyber Assistant de Hornetsecurity es tu aliado digital en ciberseguridad, supervisando las comunicaciones en tiempo real para detectar y frenar amenazas. A continuación, te mostramos algunas de las funciones clave que hacen de este sistema una solución diferencial. 

Advierte a los usuarios directamente en el chat 

AI Cyber Assistant analiza de forma continua todos los mensajes de chat, archivos adjuntos y enlaces. Cuando detecta cualquier actividad sospechosa, alerta de inmediato al usuario directamente dentro del chat. Esto reduce de forma significativa la superficie de ataque de la empresa y cubre una de las mayores brechas de seguridad: las cuentas internas comprometidas. 

Aprende de manera continua sobre las amenazas en evolución 

El motor de AI Cyber Assistant se nutre de la red global de inteligencia sobre amenazas de Hornetsecurity, que analiza millones de correos electrónicos, mensajes y enlaces cada día. Esto le permite aprender y adaptarse a nuevas amenazas con una rapidez sin precedentes. 

A diferencia de los sistemas de seguridad tradicionales, que dependen de reglas estáticas, AI Cyber Assistant identifica patrones en el tono del mensaje, la estructura de los enlaces, el comportamiento del remitente y el contexto de entrega. Esta capacidad de análisis contextual mantiene el sistema preparado frente a amenazas polimórficas y ataques generados por inteligencia artificial. 

Reduce la carga de trabajo del equipo de IT mediante automatización 

AI Cyber Assistant alivia la carga de trabajo de los equipos de IT y los SOCs, automatizando muchas de las tareas que consumen más tiempo dentro del entorno de Microsoft 365. Gracias a su capacidad para analizar, aprender, reaccionar, alertar y responder automáticamente a los incidentes, elimina la mayoría de las tareas manuales de triaje que normalmente realizan los equipos técnicos. Además, sus alertas en tiempo real no solo protegen, sino que también contribuyen a la concienciación y formación continua de toda la empresa. 

La integración de detección, alertas y remediación en una única plataforma optimiza las operaciones y cumple con la necesidad de un único panel de gestión. 

Se integra a la perfección con el 365 Total Protection Plan 4 

365 Total Protection Plan 4 es el nivel más alto de seguridad para tu entorno Microsoft 365. El producto AI Cyber Assistant se integra de forma nativa en este plan, funcionando como una extensión completamente integrada de Microsoft 365, y no como una solución añadida. 

Y como 365 Total Protection Plan 4 está diseñado para el ecosistema de Microsoft 365, su implementación es ágil, sin necesidad de conectores adicionales ni infraestructuras complejas. 

Colaboración más inteligente y segura para el lugar de trabajo moderno 

La colaboración moderna exige fluidez entre equipos internos y externos. Sin embargo, a medida que Microsoft Teams se consolida como eje central de las comunicaciones, también se convierte en un objetivo prioritario para los ataques más sofisticados. 

Como hemos visto, 365 Total Protection Plan 4 de Hornetsecurity, impulsado por AI Cyber Assistant y Teams Protection, permite a las empresas mantener su productividad sin comprometer la seguridad. 

Al aprender de una red global de inteligencia sobre amenazas y analizar cada chat, enlace y archivo, este sistema evita que los ataques emergentes se propaguen. Todo ello se integra dentro del ecosistema de seguridad de Hornetsecurity 365, que protege el email, Microsoft Teams, los endpoints y las identidades como parte de una plataforma de defensa unificada para Microsoft 365. 

El resultado, un entorno de colaboración más inteligente, más seguro y preparado, donde tu equipo puede trabajar con total confianza… y tu departamento de IT, dormir tranquilo. 

---

No dejes que los hackers se unan a tus conversaciones en Teams 

Tus chats en Teams se mueven rápido… no dejes que las amenazas vayan aún más deprisa. Con Teams Protection de Hornetsecurity, puedes: 

• Detectar y neutralizar enlaces maliciosos en tiempo real. 
• Avisar automáticamente a los usuarios cuando se detecta contenido peligroso. 
• Impedir que las cuentas comprometidas propaguen ataques dentro de tu organización. 
• Simplificar la remediación mediante automatización basada en IA. 

Protege tu entorno de colaboración y a tu equipo sin complicaciones. Ofrece confianza a tus usuarios y tranquilidad a tu equipo de IT, todo sin añadir complejidad. Solicita una demo y descubre la nueva generación de protección para Microsoft Teams. 

---

Conclusión 

Microsoft Teams se ha convertido en la base de la colaboración moderna, permitiendo a los equipos comunicarse con rapidez y eficiencia. Pero esa misma agilidad lo convierte en un objetivo prioritario para los atacantes, que buscan aprovechar la confianza que existe en la comunicación interna. 

Teams Protection, impulsado por IA de Hornetsecurity (incluido en el 365 Total Protection Plan 4) cierra esta brecha de seguridad al proteger cada mensaje, archivo y enlace sin interferir en la experiencia del usuario. Es como un guardián silencioso que actúa en segundo plano, alerta a los usuarios, elimina amenazas y mantiene tu empresa segura, operativa y productiva. 

Igual que antiguamente queríamos protegernos en MSN Messenger de contactos sospechosos y avisos no deseados, hoy buscamos esa misma protección para nuestros equipos en Microsoft Teams. Y a medida que esta plataforma evoluciona, Hornetsecurity lidera la vanguardia de la seguridad colaborativa basada en IA, protegiendo ya a más de 125.000 empresas en todo el mundo.