Phishing por Microsoft Teams: una amenaza que exige revisar la seguridad de Microsoft 365

El phishing por Microsoft Teams se está consolidando como una modalidad de ataque que las organizaciones no deberían subestimar. Durante años, el correo electrónico fue el canal más utilizado por los ciberdelincuentes para robar credenciales, distribuir enlaces maliciosos o suplantar identidades.

Hoy, ese escenario se amplió.

Las plataformas de colaboración también forman parte de la superficie de ataque. Y Microsoft Teams, por su uso cotidiano en entornos corporativos, se convirtió en un canal atractivo para campañas de ingeniería social, suplantación de identidad y acceso no autorizado.

El riesgo no está en Teams como herramienta. El riesgo aparece cuando una organización utiliza canales colaborativos sin una adecuada gobernanza de accesos externos, controles de identidad, monitoreo y concientización de usuarios.

Por eso, este tipo de amenaza no debe abordarse sólo como un problema de “usuarios que hacen clic”. Debe entenderse como una señal clara: la seguridad de Microsoft 365 necesita una mirada integral.

Por qué el phishing se está moviendo hacia Microsoft Teams

Los atacantes buscan canales donde el usuario baja la guardia.

En el correo electrónico, muchas personas ya reconocen ciertas señales de alerta: dominios extraños, asuntos urgentes, archivos adjuntos sospechosos o enlaces poco confiables. En cambio, un mensaje recibido dentro de Microsoft Teams puede parecer más legítimo, porque llega a través de una plataforma que la organización usa todos los días para trabajar.

Ese contexto genera confianza.

Un chat externo puede presentarse como:

• una consulta de un proveedor,
• un mensaje de soporte técnico,
• una solicitud de un cliente o
• una supuesta comunicación del área de IT.

Este punto es clave: la amenaza no depende únicamente de un enlace malicioso. Muchas veces, el objetivo es lograr que el usuario acepte una conversación, confíe en el remitente y realice una acción posterior: aprobar una solicitud, compartir un código, instalar una herramienta o habilitar una sesión remota.

Cómo funciona un ataque de phishing por Microsoft Teams

El esquema puede variar, pero suele seguir una lógica clara.

Primero, el atacante inicia contacto a través de un chat externo, una invitación, una llamada o una interacción que aparenta ser legítima. En campañas recientes, Microsoft identificó abusos de colaboración externa en Teams donde los atacantes se hicieron pasar por personal de soporte o helpdesk para inducir a usuarios a otorgar acceso remoto.

También puede presentarse como un proveedor tecnológico, un ejecutivo de cuenta, un cliente o una persona conocida dentro del ecosistema de la empresa.

Luego, intenta generar confianza o urgencia.

Algunos mensajes frecuentes pueden ser:

• “Necesitamos validar tu cuenta”.
• “Hay un problema con tu acceso”.
• “Tienes documentos pendientes”.
• “Instala esta herramienta para poder asistirte”.
• “Ingresa a este enlace para continuar”.

El objetivo puede ser que el usuario haga clic en un enlace fraudulento, descargue un archivo, entregue sus credenciales, comparta un código de verificación, apruebe una solicitud MFA no iniciada por él o permita acceso remoto a su equipo.

En ataques más elaborados, el engaño puede continuar por otro canal menos controlado, como una llamada telefónica, WhatsApp o una herramienta de soporte remoto. De esa forma, el atacante combina ingeniería social con el abuso de herramientas legítimas.

El riesgo real: del chat externo al compromiso de Microsoft 365

El problema no termina en el mensaje.

Una interacción aparentemente menor puede derivar en un incidente mucho más amplio. Si el usuario realiza la acción solicitada, el atacante puede intentar avanzar sobre otros activos del entorno Microsoft 365.

Entre los posibles impactos se encuentran:

• Acceso no autorizado a Outlook, Teams, OneDrive o SharePoint.
• Exposición de correos, archivos y conversaciones internas.
• Robo o abuso de tokens de autenticación.
• Creación de reglas maliciosas en el correo.
• Instalación de software no autorizado.
• Movimiento lateral dentro del entorno.
• Exfiltración de información sensible.
• Compromiso de cuentas con permisos elevados.
• Interrupciones operativas o pérdida de control sobre datos críticos.

Por eso, el phishing por Teams debe analizarse como una amenaza de identidad, colaboración y operación. No alcanza con revisar el mensaje puntual. Es necesario entender qué permisos tenía el usuario, qué datos podía consultar, qué sesiones quedaron activas y qué actividad posterior se produjo.

En entornos modernos, una cuenta comprometida puede ser tan crítica como un endpoint infectado.

Señales de alerta que los usuarios deben reconocer

La prevención técnica es fundamental, pero el usuario sigue siendo una línea de defensa clave.

Algunas señales deberían activar alerta inmediata:

• El remitente figura como externo y no se reconoce claramente.
• El nombre se parece al de una persona, proveedor o empresa real, pero no coincide por completo.
• El mensaje transmite urgencia, presión o amenaza de bloqueo.
• Solicita hacer clic en un enlace no esperado.
• Envían archivos sin contexto.
• Pide usuario, contraseña, código MFA o código de verificación.
• Solicita aprobar un inicio de sesión que el usuario no inició.
• Pide instalar herramientas como AnyDesk, TeamViewer, Quick Assist u otras soluciones de acceso remoto.
• Invita a continuar la conversación por un canal externo.
• Mensaje con un tono inusual para la persona o área que supuestamente lo envía.

La recomendación para el usuario debe ser simple: si el mensaje parece extraño, inesperado o demasiado urgente, lo correcto es detenerse, no interactuar y reportarlo.

Controles técnicos que conviene revisar en Teams y Microsoft 365

La defensa contra este tipo de ataque requiere combinar configuración, monitoreo e identidad.

En principio, es necesario revisar la configuración de acceso externo en Microsoft Teams, limitar la comunicación con dominios externos no autorizados, bloquear dominios o remitentes sospechosos mediante Tenant Allow/Block List y controlar la colaboración con cuentas no administradas.

Además, otras medidas recomendadas son:

• Reforzar políticas de acceso condicional, evaluar métodos de autenticación resistentes a phishing y monitorear inicios de sesión anómalos.
• Revisar alertas y telemetría de Microsoft Defender, así como activar controles sobre enlaces y archivos compartidos en Teams.
• Habilitar mecanismos para que los usuarios reporten mensajes sospechosos y aplicar el principio de menor privilegio.
• Definir playbooks de respuesta ante incidentes.

El punto clave es evitar configuraciones demasiado abiertas por defecto. Cada organización debe encontrar un equilibrio entre colaboración y control, según su operación, sus proveedores, su exposición y su nivel de riesgo.

En algunos casos, puede ser conveniente trabajar con dominios externos permitidos. En otros, limitar determinados Tenants, bloquear remitentes sospechosos o reforzar alertas sobre anomalías de dominio externo. La decisión no debería ser genérica: debe responder al modelo operativo de la empresa.

Qué hacer si un usuario interactuó con un mensaje sospechoso

Si un usuario aceptó una conversación externa, hizo clic en un enlace, descargó un archivo, entregó información o permitió acceso remoto, la velocidad de respuesta es determinante.

Las primeras acciones deberían incluir:

• Reportar el incidente al área de IT o seguridad.
• Conservar evidencia del mensaje, remitente, enlace o archivo.
• Cambiar credenciales cuando aplique.
• Revisar registros de inicio de sesión y revocar sesiones activas si corresponde.
• Analizar actividad en Outlook, Teams, SharePoint y OneDrive.
• Verificar si se crearon reglas sospechosas en el correo.
• Revisar el endpoint si hubo descarga o acceso remoto.
• Identificar accesos a información sensible.
• Documentar el incidente para ajustar controles preventivos.

Una respuesta rápida puede evitar que un engaño puntual se transforme en un compromiso mayor.

Cómo puede ayudar Wezen a reducir este riesgo

Para protegerse del phishing por Microsoft Teams no solo se necesita ajustar una configuración. Es revisar cómo la organización gestiona la colaboración, la identidad, los accesos externos, el monitoreo y la respuesta ante incidentes.

Desde una mirada integral, Wezen ayuda a las empresas a evaluar y fortalecer su postura de seguridad en entornos Microsoft 365. Esto incluye revisar configuraciones críticas de Teams, analizar políticas de acceso externo, identificar puntos de exposición, fortalecer controles de identidad, acompañar el uso de Microsoft Defender y definir buenas prácticas de operación.

El objetivo no es bloquear la colaboración. Es construir un entorno más seguro, controlado y preparado para trabajar con usuarios externos sin aumentar innecesariamente el riesgo.

La seguridad efectiva no depende de una sola herramienta. Depende de una arquitectura bien configurada, usuarios entrenados, monitoreo continuo y criterios claros de gobernanza tecnológica.

Preguntas frecuentes sobre phishing por Microsoft Teams

¿El phishing por Microsoft Teams reemplaza al phishing por correo?

No. Lo complementa. Los atacantes utilizan múltiples canales para aumentar sus posibilidades de éxito. El correo sigue siendo relevante, pero las plataformas colaborativas también forman parte del riesgo.

¿Un mensaje externo en Teams siempre es peligroso?

No necesariamente. Muchas organizaciones trabajan con usuarios externos legítimos. Sin embargo, todo contacto inesperado debe validarse, especialmente si incluye enlaces, archivos, urgencia o solicitudes de acceso.

¿La autenticación multifactor alcanza para prevenir estos ataques?

Ayuda, pero no siempre es suficiente. Algunas técnicas buscan que el propio usuario apruebe accesos, entregue códigos o autorice sesiones legítimas iniciadas por el atacante.

¿Conviene bloquear toda comunicación externa en Teams?

Depende del modelo de negocio. En algunas organizaciones puede ser viable. En otras, es necesario permitir colaboración externa, pero con dominios autorizados, monitoreo, políticas claras y capacitación.

Phishing por Microsoft Teams, un nuevo desafío para la ciberseguridad

El phishing por Microsoft Teams demuestra que la seguridad ya no puede pensarse solo desde el correo electrónico. Los atacantes están aprovechando plataformas confiables, flujos legítimos y hábitos cotidianos de trabajo para generar engaños más creíbles.

Por eso, las organizaciones necesitan revisar cómo colaboran, con quién se comunican, qué accesos permiten y cómo detectan comportamientos anómalos dentro de Microsoft 365.

La recomendación principal es clara: si un mensaje por Teams parece extraño, inesperado o demasiado urgente, es mejor detenerse, no interactuar y reportarlo.

Y desde la gestión tecnológica, el desafío es más amplio: construir una arquitectura de colaboración segura, con control operativo, protección continua y capacidad real de respuesta.

Evalúa la seguridad de tu entorno Microsoft 365 y revisa si tu organización está preparada para prevenir, detectar y responder ante ataques de phishing por Microsoft Teams. Escríbenos.

Fuentes consultadas

• Check Point Harmony Email Security Researchers. (2026, enero 22). Attackers continue to target trusted collaboration platforms: 12,000+ emails target Teams users. Check Point Blog. URL
• Microsoft Security. (2026, abril 6). Inside an AI-enabled device code phishing campaign. Microsoft Security Blog. URL
• Microsoft Security. (2026, abril 18). Cross-tenant helpdesk impersonation to data exfiltration: A human-operated intrusion playbook. Microsoft Security Blog. URL
• Microsoft. (2026, marzo 12). Block domains and addresses in Microsoft Teams using the Tenant Allow/Block List. Microsoft Learn. URL
• Microsoft. (2026, abril 20). Microsoft Defender for Office 365 support for Microsoft Teams. Microsoft Learn. URL