Microsoft ha divulgado detalles de una campaña a gran escala de robo de credenciales que ha aprovechado una combinación de señuelos temáticos de código de conducta y servicios de correo electrónico legítimos para dirigir a los usuarios a dominios controlados por atacantes y robar tokens de autenticación. La campaña de múltiples etapas, observada entre el 14 y el 16 de abril de 2026, se dirigió a más de 35,000 usuarios en más de 13,000 organizaciones en 26 países, con el 92% de los objetivos ubicados en EE. UU. La mayoría de los correos electrónicos de phishing se dirigieron a los sectores de atención médica y ciencias de la vida (19%), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%). "Los señuelos en esta campaña utilizaron plantillas HTML pulidas de estilo empresarial con diseños estructurados y declaraciones de autenticidad preventivas, lo que las hizo parecer más creíbles que los correos electrónicos de phishing típicos y aumentó su plausibilidad como comunicaciones internas legítimas", dijeron el **Microsoft Defender** Security Research Team y Microsoft Threat Intelligence [aquí](https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/). "Debido a que los mensajes contenían acusaciones y repetidas indicaciones de acción con plazos definidos, la campaña creó un sentido de urgencia y presión para actuar." Los mensajes de correo electrónico utilizados en la campaña emplean señuelos relacionados con revisiones del código de conducta, utilizando nombres de visualización como "Internal Regulatory COC", "Workforce Communications" y "Team Conduct Report". Las líneas de asunto asociadas con estos correos electrónicos incluyen "Internal case log issued under conduct policy" y "Reminder: employer opened a non-compliance case log." "En la parte superior de cada mensaje, un aviso indicaba que el mensaje había sido 'emitido a través de un canal interno autorizado' y que los enlaces y archivos adjuntos habían sido 'revisados y aprobados para acceso seguro', reforzando la supuesta legitimidad del correo electrónico", explicó Microsoft. Se estima que los correos electrónicos se envían desde un servicio de entrega de correo electrónico legítimo. Los mensajes también vienen con un archivo adjunto PDF que supuestamente proporciona información adicional sobre la revisión de conducta, atrayendo a las víctimas a hacer clic en un enlace dentro del documento para iniciar el flujo de recolección de credenciales. Se ha descubierto que la cadena de ataque dirige a las víctimas a través de múltiples rondas de CAPTCHA y páginas intermedias diseñadas para dar al esquema una apariencia de legitimidad, al mismo tiempo que mantiene alejadas las defensas automatizadas.  Finalmente, termina con una experiencia de inicio de sesión que aprovecha las tácticas de phishing de adversario en el medio (AiTM) para recolectar credenciales y tokens de Microsoft en tiempo real, permitiendo efectivamente a los actores de amenazas eludir la autenticación multifactor (MFA). El destino final, según Microsoft, depende de si el flujo malicioso se activó desde un dispositivo móvil o un sistema de escritorio. ### Tendencias de Phishing en 2026 La divulgación se produce cuando el análisis de Microsoft del panorama de amenazas de correo electrónico entre enero y marzo de 2026 reveló que el phishing con códigos QR emergió como el vector de ataque de más rápido crecimiento, mientras que el phishing con CAPTCHA evolucionó "rápidamente" en todos los tipos de carga útil. En total, la gigante tecnológica dijo que detectó aproximadamente 8.3 mil millones de amenazas de phishing basadas en correo electrónico. De estas, casi el 80% se basaron en enlaces, donde los archivos HTML y ZIP grandes representaron una gran parte de las cargas útiles maliciosas distribuidas a través de correos electrónicos de phishing. El objetivo final de la gran mayoría de estos ataques fue la recolección de credenciales, con la entrega de malware disminuyendo a solo un 5-6% para el final del trimestre. Microsoft también dijo que los operadores de la plataforma de phishing como servicio (PhaaS) **Tycoon 2FA** han intentado cambiar de proveedores de alojamiento y patrones de registro de dominios tras una [operación de interrupción coordinada](https://thehackernews.com/2026/03/europol-led-operation-takes-down-tycoon.html) en marzo de 2026. "Hacia finales de marzo, vimos que Tycoon 2FA se alejaba de **Cloudflare** como servicio de alojamiento y ahora aloja la mayoría de sus dominios en una variedad de plataformas alternativas, lo que sugiere que el grupo está intentando encontrar servicios de reemplazo que ofrezcan protecciones comparables contra el análisis", agregó [aquí](https://www.microsoft.com/en-us/security/blog/2026/04/30/email-threat-landscape-q1-2026-trends-and-insights/).  En un informe publicado en febrero, **Palo Alto Networks** Unit 42 [destacó](https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/) cómo los actores de amenazas abusan de los códigos QR como acortadores de URL para disfrazar destinos maliciosos, enlaces directos dentro de la aplicación para robar credenciales de cuenta y eludir la seguridad de las tiendas de aplicaciones al vincularse a descargas directas de aplicaciones maliciosas. Los datos de Microsoft muestran un aumento masivo en el phishing con códigos QR durante el período de tres meses, ya que los volúmenes de ataques saltaron de 7.6 millones en enero a 18.7 millones en marzo, lo que representa un aumento del 146%. Un desarrollo notable observado a fines de marzo fue el uso de códigos QR incrustados directamente en los cuerpos de los correos electrónicos. Las estafas de compromiso de correo electrónico empresarial (BEC), por otro lado, exhibieron más fluctuaciones, superando los 4 millones en volumen de ataques en marzo de 2026, frente a más de 3.5 millones en enero y más de 3 millones en febrero. En conjunto, se registraron 10.7 millones de ataques BEC. Dos campañas notables observadas durante el primer trimestre de 2026 se detallan a continuación: * Una campaña grande y sostenida entre el 23 y el 25 de febrero de 2026, que envió más de 1.2 millones de mensajes a usuarios en más de 53,000 organizaciones en 23 países, utilizando señuelos temáticos de 401(k), pagos y facturas para entregar un archivo adjunto SVG. Abrir el archivo dirigía a las víctimas a una verificación CAPTCHA, y al completarla con éxito, se les mostraba una página de inicio de sesión falsa para comprometer sus cuentas. * Una campaña masiva el 17 de marzo de 2026, que involucró más de 1.5 millones de mensajes maliciosos confirmados enviados a más de 179,000 organizaciones en 43 países. La actividad representó el 7% de todos los archivos adjuntos HTML maliciosos observados en el mes. Al abrirse, el archivo HTML redirigía a las víctimas a una página de phishing inicial que filtraba al visitante antes de dirigirlo al destino final: una página de phishing que presentaba un desafío CAPTCHA antes de mostrar una página de inicio de sesión fraudulenta. "Curiosamente, aunque los mensajes de esta campaña compartían herramientas, estructura y características de entrega comunes, la infraestructura que alojaba la carga útil final de phishing estaba vinculada a múltiples proveedores de PhaaS diferentes", dijo Microsoft. "La mayoría de los puntos finales de phishing observados estaban asociados con Tycoon 2FA, mientras que la actividad adicional estaba vinculada a la infraestructura de **Kratos** (anteriormente Sneaky 2FA) y **EvilTokens**." Los hallazgos coinciden con la aparición de campañas de phishing y BEC que abusan de **Amazon Simple Email Service (SES)** como vector de entrega para eludir las verificaciones SPF, DKIM y DMARC, y facilitar el robo de credenciales a través de páginas de inicio de sesión falsas. Estos ataques a menudo funcionan obteniendo acceso a Amazon SES a través de [claves de acceso de AWS filtradas](https://www.repost.aws/articles/ARoBXj63rWSt2Ww7XKlVV72g/how-aws-responds-to-exposed-credentials-and-how-you-can-protect-your-account). "La naturaleza insidiosa de los ataques de Amazon SES radica en el hecho de que los atacantes no están utilizando dominios sospechosos o peligrosos; en cambio, están aprovechando infraestructura que tanto los usuarios como los sistemas de seguridad han llegado a confiar", dijo **Kaspersky** [aquí](https://securelist.com/amazon-ses-phishing-and-bec-attacks/119623/). "Al armar este servicio, los atacantes evitan el esfuerzo de construir dominios e infraestructura de correo dudosos desde cero. En cambio, secuestran claves de acceso existentes para obtener la capacidad de enviar miles de correos electrónicos de phishing. Estos mensajes pasan la autenticación de correo electrónico, se originan en direcciones IP que es poco probable que estén en listas negras,