Alerta urgente de Microsoft: la estafa del "Código de Conducta" que roba tu cuenta de Outlook incluso con el doble factor
¿Has recibido un correo sobre el "Código de Conducta" de tu empresa? Cuidado: Microsoft advierte de un ataque masivo que ya ha robado datos a 35.000 usuarios.
Los expertos en seguridad de Microsoft Defender han activado todas las alarmas ante una de las campañas de phishing más sofisticadas de este 2026. Los atacantes están enviando correos electrónicos masivos suplantando departamentos internos de Recursos Humanos y Cumplimiento Regulatorio, utilizando cebos sobre "revisiones del código de conducta" para engañar a los empleados.
La peligrosidad de este ataque, que ya ha afectado a 35.000 usuarios en 26 países, reside en su capacidad para interceptar tokens de autenticación en tiempo real.
Esto permite a los ciberdelincuentes saltarse la protección de autenticación multifactor (MFA) y tomar el control total de las cuentas corporativas y personales sin que la víctima reciba ninguna alerta de inicio de sesión sospechoso.
Microsoft ha alertado de una campaña masiva de phishing que destaca por lo sofisticada que resulta, y por estar formada por distintas fases. La advertencia de la compañía revela que no se trata de una estafa como las muchas que circulan por Internet, sino de una amenaza mucho más preocupante a gran escala.
Básicamente, está diseñada para robar credenciales de cuentas, en especial de las de Microsoft, claro. Para ello, los ataques suelen partir de correos electrónicos muy creíbles. Muchos de ellos simulan temas internos de empresa, en plan "código de conducta", "incumplimiento" o "caso disciplinario". Así obtienen el interés de la gente.
La campaña fraudulenta de la que avisa Microsoft sí compórtate algo con otros casos de phishing: la sensación de urgencia. Aquí se emplea lenguaje corporativo precisamente para eso: que la gente se piense que se trata de un mensaje que no puede esperar. Quizá directo de tu jefe.
También se incluyen archivos y enlaces maliciosos. La propia Microsoft ha advertido en su blog que muchos correos van acompañados de PDFs o enlaces para que las víctimas potenciales tengan ocasión de "revisar el caso". Como suele ser habitual, estas trampas te llevan a páginas falsas que tienen todo el aspecto de ser auténticas.
Microsoft sobre el phishing: cuidado con los falsos filtros de seguridad
Microsoft también ha advertido sobre filtros de confianza falsos. ¿Qué quiere decir esto? Pues que las páginas intermedias incluyen verificaciones CAPTCHA o pantallas de carga diseñadas para reforzar la sensación de legitimidad. Así se evitan las sospechas tanto del usuario como de herramientas automáticas de seguridad. Todo parece cierto al cien por cien y legítimo.
Así, el usuario introduce sus credenciales creyendo que se encuentra en un entorno seguro. Sin embargo, esta información no va a un servidor de verdad, sino a una infraestructura controlada por los atacantes. El objetivo no es únicamente obtener la contraseña, sino capturar algo mucho más valioso: los tokens de autenticación.
Estos tokens son los elementos que permiten mantener una sesión activa sin necesidad de volver a introducir la contraseña constantemente. En la práctica, funcionan como algo parecido a una "llave digital" que da acceso continuo a la cuenta. No hace falta insistir en la importancia que tienen precisamente por eso para los ciberdelincuentes.
Uno de los aspectos más peligrosos de esta campaña, como dice Microsoft, es el uso de técnicas conocidas como Adversary-in-the-Middle, o "atacante en el medio". En este tipo de ataque, el hacker se sitúa entre el usuario y el servicio legítimo, interceptando la comunicación en tiempo real.
Esto permite que, incluso si la víctima utiliza autenticación multifactor (lo que cada vez es más común), el atacante pueda capturar la sesión ya verificada. Vamos, que no necesita confirmar la identidad del usuario otra vez. El atacante reutiliza el token robado para acceder directamente a la cuenta.
Esa es la principal diferencia con el phishing más corriente. Esta vez no se busca únicamente del robo de contraseñas, sino más bien el secuestro de sesiones activas. Microsoft lo ha advertido, pero no parece que esto haya tenido un gran impacto, a juzgar por la gran cantidad de gente que ya ha sido manipulada.
Un ataque a nivel global
Según los datos compartidos por Microsoft, la campaña ha alcanzado más de 35.000 usuarios en 26 países distintos. Aunque no se han revelado todas las organizaciones afectadas, se sabe que el ataque impacta en múltiples sectores, incluyendo empresas tecnológicas, instituciones financieras y organizaciones del ámbito sanitario.
Microsoft ha insistido igualmente en la necesidad de adoptar medidas de seguridad más resistentes frente a este tipo de amenazas. Por ejemplo, usar una autenticación multifactor resistente al phishing, como llaves físicas de seguridad o passkeys, o implementar sistemas avanzados de detección de comportamiento anómalo en sesiones.
La compañía también subraya la importancia de reducir la dependencia de métodos de autenticación basados únicamente en contraseñas o códigos temporales, ya que estos pueden ser interceptados en ataques AiTM.
Más que nada porque estas campañas de phishing no tienen pinta de ir a detenerse, sino más bien todo lo contrario: volverse cada vez más habituales. De ahí que estar preparados, como aconseja Microsoft, vaya a convertirse en algo sumamente importante.