Una campaña de phishing recientemente detectada está poniendo en jaque la seguridad de empresas de múltiples sectores al explotar la función Direct Send de Microsoft 365. Investigadores de Varonis advierten que ciberdelincuentes han estado utilizando esta herramienta interna para enviar correos electrónicos falsificados sin necesidad de credenciales ni acceso a las cuentas de las víctimas.
¿Qué es Direct Send y por qué representa un riesgo?
Direct Send es una funcionalidad de Exchange Online que permite a dispositivos y aplicaciones enviar correos electrónicos dentro de un entorno Microsoft 365. Esta herramienta está diseñada para uso interno, y lo más preocupante: no requiere autenticación. Es justamente esta característica la que ha sido aprovechada por los atacantes para hacerse pasar por usuarios legítimos dentro de las empresas.
Cómo operan los atacantes
Los correos fraudulentos, enviados mediante PowerShell, aparentan proceder de direcciones internas y utilizan la infraestructura de Microsoft. Este factor les permite evadir filtros de seguridad convencionales, tanto de Microsoft como de soluciones de terceros que dependen de la reputación del remitente, autenticaciones o rutas externas.
En uno de los casos documentados, los ciberdelincuentes enviaron correos que simulaban notificaciones de buzón de voz, con un archivo PDF adjunto que contenía un código QR. Al escanearlo, el usuario era redirigido a una página web falsa diseñada para robar sus credenciales de Microsoft 365.
Recomendaciones para protegerse
Varonis recomienda a las organizaciones aplicar las siguientes medidas preventivas:
- Habilitar la opción “Reject Direct Send” en el Centro de administración de Exchange.
- Implementar una política estricta de DMARC (por ejemplo, p=reject).
- Configurar políticas antisuplantación y forzar el “SPF hardfail” en Exchange Online Protection (EOP).
- Educar a los usuarios sobre este tipo de amenazas.
- Establecer políticas de acceso condicional y autenticación multifactor (MFA).
- Limitar el envío a IPs estáticas registradas en el SPF.
Una amenaza silenciosa y difícil de detectar
Lo más inquietante de esta técnica de phishing es su capacidad para pasar desapercibida: al no requerir inicios de sesión en Microsoft 365 ni mostrar patrones externos de tráfico, muchas veces los sistemas no detectan nada anómalo. En algunos casos, los usuarios afectados se enviaban correos a sí mismos, utilizando PowerShell como agente de usuario.
Direct Send es una herramienta poderosa, pero en manos equivocadas se convierte en una amenaza grave. No asumas que lo interno siempre es seguro”, advirtió Tom Barnea, especialista forense de Varonis.
Esta campaña de phishing es un claro recordatorio de que las amenazas no siempre vienen del exterior. Al explotar herramientas legítimas como Direct Send, los atacantes demuestran un conocimiento profundo de las configuraciones empresariales que muchas veces pasan desapercibidas.
Las organizaciones deben adoptar una postura proactiva, no solo confiando en los controles por defecto de las plataformas, sino adaptando sus políticas de seguridad a las tácticas en evolución. En un ecosistema digital en constante cambio, la educación de los usuarios, combinada con configuraciones robustas y monitoreo activo, puede marcar la diferencia entre ser una víctima más o una historia de éxito en ciberseguridad.