El phishing ha recorrido un largo camino desde los obvios correos electrónicos de «ha ganado un premio» que solían atascar las bandejas de entrada. La mayoría de los empleados son ahora mucho más conscientes de los correos sospechosos y las organizaciones han invertido mucho en filtrado, formación y simulaciones para descubrirlos.
Así que los atacantes se han adaptado.
En lugar de centrarse exclusivamente en el correo electrónico, se están desplazando cada vez más hacia las herramientas que su personal utiliza a diario para realizar su trabajo. Plataformas como Microsoft Teams y Slack se han convertido en fundamentales para la forma en que las organizaciones se comunican, colaboran y comparten información, y ese cambio ha abierto una nueva superficie de ataque muy eficaz.
No se trata de sustituir el phishing por correo electrónico, sino de ampliarlo a espacios en los que la gente se sienta más cómoda, más confiada y mucho menos en guardia.
Por qué las plataformas internas se sienten más seguras que el correo electrónico
Hay una sencilla razón por la que los atacantes tienen como objetivo las herramientas de mensajería interna: la gente confía en ellas.
El correo electrónico nos ha enseñado a ser precavidos. Comprobamos las direcciones de los remitentes, cuestionamos los archivos adjuntos inesperados y nos lo pensamos dos veces antes de hacer clic en los enlaces. Las aplicaciones de mensajería, en cambio, nos resultan rápidas, informales y familiares. En ellas se plantean preguntas rápidas, se comparten archivos y se toman decisiones en tiempo real.
Ese cambio de mentalidad es importante.
El Informe sobre el coste de una filtración de datos demuestra sistemáticamente que las credenciales robadas son una de las formas más comunes que tienen los atacantes de acceder a nuestros sistemas. Una vez dentro, esas cuentas pueden utilizarse para enviar mensajes internos convincentes que son mucho más difíciles de detectar.
Cuando aparece un mensaje en Teams o Slack, no se siente como una amenaza externa. Se siente como un colega pidiendo ayuda, compartiendo un documento o solicitando algo urgente. Esa suposición baja la guardia de la gente sin que se den cuenta.
Cómo están explotando los atacantes las aplicaciones de mensajería
La mecánica de estos ataques no es especialmente compleja. Lo que los hace eficaces es el contexto.
Con la adopción generalizada del trabajo a distancia e híbrido, las plataformas de colaboración se han convertido en un elemento central de las operaciones diarias. Los datos de Oficina Nacional de Estadística muestra lo integradas que están estas herramientas en los lugares de trabajo modernos, lo que naturalmente las convierte en un objetivo atractivo para los atacantes.
Uno de los escenarios más comunes comienza con una cuenta comprometida. Un atacante obtiene acceso a un usuario legítimo, a menudo a través de credenciales robadas de una brecha anterior o de un correo electrónico de phishing exitoso. A partir de ahí, comienzan a enviar mensajes internamente.
Como la cuenta es real, todo cuadra. El nombre es familiar, la foto del perfil es correcta y el tono coincide con la forma en que esa persona suele comunicarse.
Un mensaje típico puede parecer una solicitud rápida para revisar un documento, aprobar una factura o comprobar un enlace compartido. Puede hacer referencia a un proyecto en curso o utilizar un lenguaje que resulte completamente normal dentro de la organización.
La naturaleza informal de las plataformas de mensajería desempeña aquí un papel importante. Los mensajes son más cortos, menos estructurados y a menudo se envían con prisas. Hay menos escrutinio, menos comprobaciones y una mayor presunción de que lo que se ve es legítimo.
Los archivos y enlaces también se comparten con mucha más libertad. En el correo electrónico, un archivo adjunto inesperado puede levantar sospechas. En Teams o Slack, a menudo forma parte de los flujos de trabajo cotidianos.
El riesgo de la velocidad y la informalidad
Las plataformas de mensajería interna están diseñadas para la velocidad. Eso es exactamente lo que las hace valiosas, y exactamente lo que las hace arriesgadas.
Cuando alguien recibe un mensaje pidiendo algo urgente, a menudo existe la presión de responder rápidamente. Ya se trate de un directivo que pide información, de un colega que solicita acceso o de una tarea relacionada con las finanzas que requiere atención inmediata, el instinto es actuar en lugar de preguntar.
Aquí es donde los atacantes obtienen ventaja.
No necesitan crear mensajes muy sofisticados. Sólo necesitan crear otros creíbles que se ajusten al entorno. Un simple «¿puede echarle un vistazo a esto?» con un enlace suele ser suficiente.
Cuanto más informal sea el estilo de comunicación, más fácil será integrarse. No se espera una gramática perfecta ni una estructura formal. De hecho, los mensajes demasiado pulidos pueden parecer a veces más sospechosos que los informales.
Este cambio desafía gran parte de la formación tradicional de concienciación sobre el phishing, que tiende a centrarse en gran medida en la detección de señales rojas evidentes en los correos electrónicos. Esas señales son mucho menos relevantes en un entorno de mensajería.
Indicadores del mundo real de que esto está creciendo
Cada vez hay más pruebas de que los atacantes van más allá del correo electrónico y atacan activamente las herramientas en las que los empleados confían a diario.
El Centro Nacional de Ciberseguridad del Reino Unido sigue advirtiendo de que el phishing sigue siendo uno de los métodos de ataque más comunes y eficaces, pero la forma en que se lleva a cabo está evolucionando a la par que los hábitos en el lugar de trabajo. A medida que la comunicación se desplaza hacia las plataformas de colaboración, el comportamiento de los atacantes está cambiando con ella.
Al mismo tiempo, una investigación de Verizon muestra que el 74% de las brechas implican un elemento humano, incluyendo el phishing y el uso de credenciales robadas. Una vez que los atacantes obtienen acceso, las herramientas internas como las plataformas de mensajería se convierten en el siguiente paso natural, permitiéndoles moverse lateralmente y dirigirse a otros empleados de una forma mucho más convincente.
Datos del Departamento de Ciencia, Innovación y Tecnología del Reino Unido también refuerza la magnitud del problema, ya que el phishing se señala sistemáticamente como el tipo de ciberataque más común experimentado por las organizaciones británicas. Aunque gran parte de este fenómeno sigue estando asociado al correo electrónico, pone de relieve lo eficaz que sigue siendo el phishing, independientemente del canal utilizado.
Lo que importa aquí no es sólo que estos ataques estén ocurriendo, sino cómo se están adaptando. A medida que las organizaciones siguen confiando en herramientas como Microsoft Teams y Slack para la comunicación diaria, los atacantes están siguiendo ese cambio, incrustándose en entornos que les resultan familiares, de confianza y mucho menos susceptibles de ser cuestionados.
Por qué la formación tradicional sobre concienciación en materia de seguridad se queda corta
La mayoría de los programas de concienciación sobre seguridad siguen estando muy centrados en el correo electrónico.
A los empleados se les enseña a pasar el ratón por encima de los enlaces, comprobar las direcciones del remitente y buscar señales de suplantación de identidad. Ésas siguen siendo habilidades importantes, pero no se trasladan totalmente a las plataformas de mensajería.
En Teams o Slack, no hay una dirección de remitente obvia que verificar del mismo modo. A menudo, el mensaje procede de alguien a quien el empleado ya conoce. El contexto parece interno, no externo.
Esto crea una brecha entre lo que las personas están formadas para buscar y lo que realmente experimentan día a día.
Si los empleados sólo reciben formación para detectar el phishing en el correo electrónico, es mucho más probable que no lo detecten en otros canales.
Qué deben hacer las organizaciones a continuación
Abordar este riesgo no requiere una revisión completa, pero sí un cambio de enfoque.
El primer paso es ampliar la concienciación más allá del correo electrónico. Los empleados tienen que entender que el phishing puede ocurrir en cualquier lugar donde se produzca la comunicación. Eso incluye las plataformas de mensajería, las herramientas de colaboración e incluso los documentos compartidos.
La formación debe incluir ejemplos reales de cómo se ve el phishing en Teams o Slack. Esto ayuda a la gente a reconocer que el formato puede ser diferente, pero la intención es la misma.
También es importante reforzar un mensaje sencillo pero que a menudo se pasa por alto. Interno no siempre significa seguro.
Fomentar la verificación es clave. Si una solicitud le parece inusual, aunque proceda de un colega, los empleados deben sentirse cómodos realizando una doble comprobación a través de otro canal. Puede ser una llamada rápida, un mensaje aparte o hablar directamente con la persona.
Las simulaciones también pueden desempeñar un papel valioso en este sentido. En lugar de centrarse únicamente en escenarios basados en el correo electrónico, las organizaciones pueden realizar ejercicios que imiten las interacciones reales de las aplicaciones de mensajería. Esto ayuda a crear familiaridad y confianza a la hora de detectar comportamientos sospechosos en un contexto más realista.
Por último, las organizaciones deben examinar cómo se gestionan el acceso y las cuentas. Dado que muchos de estos ataques se basan en credenciales comprometidas, reforzar los métodos de autenticación y vigilar los comportamientos inusuales puede reducir significativamente el riesgo.
Refuerce su defensa donde más importa
A medida que el phishing va más allá del correo electrónico y se adentra en plataformas internas como Microsoft Teams y Slack, las organizaciones deben preparar a los empleados para las amenazas a las que tienen más probabilidades de enfrentarse.
Con la simulación avanzada de phishing puede reflejar los ataques del mundo real a través de campañas específicas y automatizadas adaptadas por función y riesgo. Esto ayuda a los empleados a reconocer los mensajes sospechosos, responder con confianza y crear una concienciación duradera, al tiempo que se asegura de que su programa evoluciona junto con las amenazas emergentes.
Combinado con informes claros y perspectivas procesables, puede hacer un seguimiento de cómo cambia el comportamiento a lo largo del tiempo, identificar las áreas de riesgo y demostrar un progreso mensurable a las partes interesadas.
Si el phishing evoluciona, su enfoque de la simulación y la formación debe evolucionar con él. Póngase en contacto con nuestro equipo hoy mismo para obtener más información.
Preguntas frecuentes sobre phishing
¿Puede realmente producirse el phishing a través de las aplicaciones de mensajería interna?
Sí, y es‘s cada vez más comunes. Los atacantes suelen utilizar cuentas comprometidas para enviar mensajes a través de plataformas de confianza como Microsoft Teams o Slack, haciendo que los mensajes parezcan legítimos.
¿Por qué es más probable que los empleados confíen en estos mensajes?
Las herramientas internas resultan familiares y se utilizan a diario para colaborar. Los mensajes suelen ser informales y de ritmo rápido, lo que reduce el nivel de escrutinio que la gente aplica en comparación con el correo electrónico.
¿Qué deben tener en cuenta los empleados en las plataformas de mensajería?
Las solicitudes inesperadas, las acciones urgentes, los enlaces desconocidos o los mensajes que parecen ligeramente fuera de contexto son señales de alarma, incluso si proceden de un colega conocido.
¿Cómo pueden las organizaciones reducir este riesgo?
Ampliando la formación de concienciación más allá del correo electrónico, fomentando la verificación de solicitudes inusuales y realizando simulaciones que reflejen escenarios reales de mensajería.
¿El correo electrónico sigue siendo un riesgo o ha cambiado por completo?
Correo electrónico sigue siendo un importante vector de ataque, pero los atacantes utilizan cada vez más múltiples canales, incluidas las plataformas internas, para mejorar sus posibilidades de éxito.