ciberataque, Ciberseguridad, Malware, Mantenimiento informático, servicios informáticos, Soluciones informáticas, Vulnerabilidad

Phishing Microsoft: cómo funciona la nueva estafa

Posted on by Juan Pedro Perea
08
Feb

El phishing Microsoft ha evolucionado y ya no depende de dominios falsos ni direcciones mal escritas. En esta nueva campaña, los atacantes utilizan correos legítimos enviados desde infraestructura real de Microsoft para distribuir facturas falsas y engañar a las víctimas.

El mensaje suele llegar desde direcciones auténticas como no-reply-powerbi@microsoft.com, lo que genera confianza inmediata y hace que muchos filtros de seguridad no lo bloqueen.

Cómo se aprovecha Power BI en el phishing Microsoft

Los atacantes crean paneles de Power BI y añaden a las víctimas como suscriptores. Al hacerlo, el propio sistema de Microsoft envía una notificación automática al correo del usuario.

Ese aviso incluye una supuesta factura, pago aprobado o cargo pendiente, acompañado de un número de teléfono que invita a contactar con “soporte”.

Aquí comienza la estafa.

El objetivo real del phishing Microsoft

Cuando la víctima llama al número indicado, entra en contacto con un falso técnico que:

  • Solicita datos personales o bancarios
  • Pide credenciales corporativas
  • Intenta que el usuario instale software de acceso remoto
  • Facilita instrucciones para tomar control del equipo

Este enfoque hace que el phishing Microsoft sea especialmente peligroso en entornos empresariales.

Señales claras para detectar phishing Microsoft

Aunque el correo sea real, hay indicadores que permiten identificar el fraude:

  • Mensajes que meten prisa o amenazan con cargos inmediatos
  • Correos que incluyen números de teléfono como canal principal
  • Solicitudes para actuar fuera del portal oficial de Microsoft
  • Enlaces que no dirigen directamente a cuentas verificadas

Microsoft no gestiona incidencias críticas mediante llamadas telefónicas iniciadas por el usuario.

Por qué el phishing Microsoft es más difícil de detectar

Este tipo de phishing rompe una regla básica de seguridad:
el remitente sí es legítimo.

Por eso, ya no basta con revisar el dominio del correo. La verificación debe centrarse en el contenido, el contexto y la acción solicitada.

Recomendaciones frente al phishing Microsoft

  • No llamar nunca a números incluidos en correos inesperados
  • Acceder siempre a los servicios desde la web oficial
  • Revisar suscripciones activas en Power BI y Microsoft 365
  • Formar a usuarios y empleados en detección de phishing avanzado

👉 Más información sobre nuestros servicios profesionales de ciberseguridad:
https://ghmsolucionesinformaticas.es/ciberseguridad/

Para alertas oficiales y avisos de seguridad:
https://www.incibe.es

Juan Pedro Perea

Error: Formulario de contacto no encontrado.