Investigadores en ciberseguridad han revelado una nueva campaña de phishing que utiliza tácticas de redirección por capas para evadir las defensas tradicionales y robar credenciales de inicio de sesión de Microsoft 365. La estrategia se basa en el uso malicioso de servicios legítimos de redirección de enlaces, como los de Proofpoint e Intermedia.

El abuso de los enlaces protegidos

Normalmente, servicios como Proofpoint URL Defense reescriben y escanean todos los enlaces incluidos en los correos electrónicos para bloquear amenazas conocidas. Sin embargo, los atacantes han encontrado formas de aprovechar esta protección: si el enlace aún no ha sido marcado como malicioso en el momento del clic, puede pasar desapercibido.

En estos ataques, los actores maliciosos obtienen acceso no autorizado a cuentas de correo corporativas que ya utilizan estos servicios. Así, cualquier mensaje enviado desde esas cuentas con una URL maliciosa se reescribe automáticamente con el formato de enlace protegido (por ejemplo: urldefense.proofpoint[.]com/v2/url?...), lo que incrementa la credibilidad del enlace.

Redirección en múltiples niveles

Cloudflare identificó una táctica más sofisticada conocida como “abuso de redirección en múltiples niveles”, en la cual los atacantes primero acortan un enlace malicioso con un servicio como Bitly. Luego, lo envían a través de una cuenta protegida por Proofpoint, haciendo que el sistema vuelva a envolver el enlace.

El resultado: una cadena de redirecciones que pasa por dos capas de ocultamiento antes de llegar a la página de phishing:

Bitly → URL Defense de Proofpoint → Página falsa de inicio de sesión

Esta doble capa de enmascaramiento dificulta que los filtros de seguridad o los usuarios detecten el fraude, aumentando la tasa de éxito de la estafa.

Correos de phishing disfrazados de mensajes de voz, archivos o notificaciones de Teams

Los ataques observados adoptan distintas formas para engañar a los usuarios, como:

• Notificaciones de buzón de voz: Invitan a hacer clic para escuchar un mensaje.
• Alertas de documentos compartidos: Simulan provenir de Microsoft Teams.
• Mensajes sin leer: Piden al usuario hacer clic en un botón de “Responder en Teams”.

Todos estos mensajes dirigen a una página falsa de inicio de sesión de Microsoft 365, diseñada para capturar las credenciales del usuario.

Uso malicioso de archivos SVG

De forma paralela, se ha detectado un aumento de campañas que utilizan archivos SVG (Scalable Vector Graphics) para evadir los filtros tradicionales. A diferencia de imágenes JPEG o PNG, los SVG están escritos en XML y pueden contener JavaScript, HTML y enlaces interactivos, lo cual los convierte en una vía ideal para ocultar código malicioso dentro de un archivo aparentemente inofensivo.

Invitaciones falsas de Zoom: otra vía de ataque

También se han reportado campañas de phishing que incluyen falsas invitaciones de Zoom. Cuando la víctima hace clic en el enlace, es dirigida a una página que simula la interfaz de Zoom, muestra un mensaje de error (“conexión a la reunión expirada”) y redirige a otra página falsa que solicita las credenciales para “reconectarse”.

Según Cofense, al ingresar los datos, las credenciales, dirección IP, país y región del usuario son extraídos y enviados al atacante a través de Telegram, una aplicación de mensajería conocida por su cifrado y anonimato.

Cómo protegerse ante estas amenazas

Este tipo de ataques aprovecha herramientas legítimas y la confianza del usuario para pasar desapercibidos. En [Nombre de tu empresa], ayudamos a organizaciones a detectar, prevenir y mitigar amenazas como estas con soluciones avanzadas en ciberseguridad y observabilidad.

¿Quieres fortalecer la protección de tus comunicaciones y credenciales?
Contáctanos y conoce cómo podemos ayudarte a blindar tu infraestructura digital.

Fuente: https://thehackernews.com/2025/07/experts-detect-multi-layer-redirect.html