Ciencia y Tecnología

Alerta de phishing: atacantes explotan la función "Chatear con cualquiera" de Microsoft Teams

Investigadores advierten que usuarios externos envían mensajes falsos de soporte para robar credenciales y acceder a sistemas empresariales.

Por: El Mexicano

01/20/2026

Investigadores de CyberProof advierten que actores maliciosos están lanzando ataques de phishing a través de la función "Chatear con cualquiera" de Microsoft Teams, que permite a usuarios externos enviar mensajes directos mediante direcciones de correo electrónico.

"Microsoft Teams ahora permite a los usuarios enviar invitaciones de chat directo a cualquier dirección de correo electrónico, incluso si los destinatarios no forman parte de un tenant de Teams", explican los investigadores. "Los usuarios pueden iniciar chats con participantes externos que se unen como invitados y que están regidos por las políticas de Entra B2B Guest".

En este caso, un atacante envió mensajes directos a usuarios de Teams haciéndose pasar por personal de soporte de TI. Varios empleados recibieron estos mensajes y fueron engañados para unirse a sesiones de soporte remoto mediante Windows Quick Assist.

"Al día siguiente (5 de noviembre de 2025), el atacante volvió a contactar al usuario haciéndose pasar por Soporte de TI, inició una llamada en Teams y lo engañó para que activara Quick Assist enviándole una URL de phishing en la que el usuario debía proporcionar sus credenciales de inicio de sesión para descargar Quick Assist", señala CyberProof. Después de que el usuario introdujo sus credenciales de Microsoft, el atacante instaló un infostealer en su computadora.

Los investigadores advierten que las organizaciones deben prepararse para un aumento de este tipo de ataques, ya que la función "Chatear con cualquiera" se lanzará completamente en las próximas semanas. Los usuarios deben desconfiar de mensajes no solicitados, incluso si parecen provenir de colegas conocidos.

"Desde su lanzamiento, la función de MS Teams (programada para una versión preliminar a inicios de noviembre de 2025 y con un despliegue global completo previsto para enero de 2026) ha generado preocupación por la exposición de datos y los riesgos de cumplimiento", escriben los investigadores. "Creemos que esto podría abrir la puerta a una posible escalada de ataques de malware y phishing".

La capacitación en concientización de seguridad impulsada por IA puede brindar a tu organización una capa esencial de defensa contra el phishing y otros ataques de ingeniería social. KnowBe4 ayuda a tu fuerza laboral a tomar decisiones de seguridad más inteligentes todos los días. Más de 70,000 organizaciones en todo el mundo confían en la plataforma KnowBe4 HRM+ para fortalecer su cultura de seguridad y reducir el riesgo humano.

CyberProof tiene la historia.