Ni siquiera la verificación en dos pasos (2FA) es suficiente para detener la nueva ofensiva contra los usuarios de Microsoft. Ha surgido una campaña de phishing extremadamente convincente que utiliza falsas notificaciones sobre infracciones al Código de conducta de Microsoft para asustar a las víctimas y tomar el control total de sus correos electrónicos.
Lo más alarmante es su capacidad técnica para neutralizar las capas de seguridad tradicionales, dejando a los usuarios de Outlook en una posición de vulnerabilidad crítica.
Lee también: El dilema de Demon Slayer: Infinity Castle anuncia su llegada al Blu-ray con una “trampa” para los coleccionistas
El método del ataque: Cómo burlan el 2FA
Esta estafa no busca tu contraseña de forma tradicional, sino que utiliza una técnica de “secuestro de sesión”. El usuario recibe un correo alertando que su cuenta será suspendida por violar supuestamente los términos de servicio o el código de conducta.
Al hacer clic en el enlace para “apelar”, se redirige a una página de inicio de sesión idéntica a la de Microsoft. No es solo el engaño, sino que también hay robo de Cookies: En lugar de solo capturar la clave, el sitio malicioso intercepta el token de sesión o la cookie de autenticación.
¿Salto del Doble Factor? Al obtener este token, el atacante puede entrar directamente a la cuenta porque el sistema cree que el usuario ya se identificó exitosamente con su segundo factor de forma previa.
Anatomía de la estafa vs. Seguridad Real
| Elemento de la Estafa | Táctica Utilizada | Nivel de Peligro |
|---|---|---|
| Asunto del correo | Urgente: Infracción del Código de conducta de Microsoft. | Alto (Usa el miedo) |
| Enlace de “Apelación” | Redirección a servidor proxy malicioso. | Crítico |
| Autenticación | Captura de tokens en tiempo real. | Extremo (Bypassea el 2FA) |
| Objetivo Final | Acceso total a Outlook, OneDrive y datos financieros. | Total |
La ingeniería social es el parche que falta
El eslabón más débil no es el código, es el usuario. En 2026, los ciberkriminales ya no rompen cerraduras digitales; te convencen de que les entregues la llave maestra bajo la amenaza de una sanción administrativa.
Que una estafa pueda saltarse el doble factor de Microsoft es un recordatorio de que la desconfianza es, hoy más que nunca, nuestra mejor herramienta de seguridad. Si el correo suena urgente y amenazante, probablemente sea mentira.
Preguntas Clave (FAQ)
- ¿Por qué falló mi verificación en dos pasos? Porque el atacante no está intentando iniciar sesión desde cero; está robando la “llave” (token) que tu navegador genera justo después de que tú mismo autorizas el acceso.
- ¿Cómo puedo identificar el correo falso? Revisa siempre la dirección del remitente y, sobre todo, la URL en la barra de direcciones antes de escribir nada. Si no es un dominio oficial de
microsoft.com, cierra la pestaña inmediatamente. - ¿Qué hago si ya hice clic? Cierra todas las sesiones activas desde el panel de seguridad de tu cuenta de Microsoft, cambia tu contraseña y borra las cookies y caché de tu navegador.