{"id":38,"date":"2026-02-26T22:35:22","date_gmt":"2026-02-26T22:35:22","guid":{"rendered":"https:\/\/cybertica.cr\/?p=38"},"modified":"2026-02-26T22:35:22","modified_gmt":"2026-02-26T22:35:22","slug":"campana-de-phishing-imita-zoom-meet-y-teams","status":"publish","type":"post","link":"https:\/\/cybertica.cr\/?p=38","title":{"rendered":"Campa\u00f1a de phishing imita Zoom, Meet y Teams"},"content":{"rendered":"
\n

Los investigadores de Threat Labs de Netskope<\/a>, empresa de seguridad y redes modernas para la era de la nube y la IA, est\u00e1n al tanto de varias campa\u00f1as que se basan en un principio sencillo: reproducir fielmente la vida digital normal. Detr\u00e1s de una simple invitaci\u00f3n a una reuni\u00f3n se esconde en realidad un acceso permanente de administrador que se obtiene mediante herramientas perfectamente leg\u00edtimas y firmadas.<\/p>\n

El usuario recibe una invitaci\u00f3n a una reuni\u00f3n de Zoom, Microsoft Teams o Google Meet. Todo parece normal, hasta el momento de unirse a la llamada.<\/p>\n

\"\"<\/figure>\n

La p\u00e1gina de entrada que se abre es una copia casi perfecta del servicio al que se dirige, a veces acompa\u00f1ada de una lista de participantes ya conectados. Todo est\u00e1 dise\u00f1ado para provocar una reacci\u00f3n inmediata. El usuario quiere evitar perderse la reuni\u00f3n. Eso es precisamente lo que buscan los atacantes.<\/p>\n

Al conectar, aparece un mensaje en el que se nos avisa que la app est\u00e1 desactualizada o ya no es compatible. Para participar, hay que instalar una \u00abactualizaci\u00f3n de software obligatoria\u00bb. A continuaci\u00f3n, la v\u00edctima es redirigida a un dominio typosquatted<\/em>, como zoom-meet.us<\/em>, y descarga el programa solicitado.<\/p>\n

Al presentar la amenaza como una correcci\u00f3n t\u00e9cnica cr\u00edtica para una tarea leg\u00edtima, los atacantes aumentan la probabilidad de que el usuario ignore las alertas de seguridad. Sin embargo, el archivo descargado no es un malware cl\u00e1sico. Se trata de una herramienta de supervisi\u00f3n y gesti\u00f3n remota perfectamente leg\u00edtima, firmada digitalmente: Datto RMM, LogMeIn o ScreenConnect.<\/p>\n

Una vez ejecutado, el software ofrece a los ciberdelincuentes acceso administrativo completo al equipo comprometido. El m\u00e9todo es tremendamente eficaz, ya que se basa en software autorizado en muchos entornos. No se necesita ning\u00fan c\u00f3digo malicioso personalizado.<\/p>\n

Al utilizar estos agentes RMM, los atacantes se mezclan con el tr\u00e1fico normal y eluden los controles basados en firmas. Pueden transferir archivos, abrir un shell remoto, observar la pantalla o moverse lateralmente por la red.<\/p>\n

El objetivo va mucho m\u00e1s all\u00e1 de una intrusi\u00f3n puntual. Una vez establecido el acceso, los atacantes disponen de una plataforma persistente para la post explotaci\u00f3n. La recopilaci\u00f3n de informaci\u00f3n confidencial es solo el primer paso.<\/p>\n

Dado que estas herramientas est\u00e1n dise\u00f1adas para desplegar software de forma masiva, pueden utilizarse para difundir otras cargas a todo el entorno comprometido. Una sola m\u00e1quina es suficiente para provocar un compromiso global, hasta el despliegue masivo de ransomware.<\/p>\n

\u00abAl obtener acceso administrativo, los piratas inform\u00e1ticos eluden los filtros de seguridad tradicionales y se instalan de forma permanente para llevar a cabo acciones graves, que van desde la recopilaci\u00f3n de datos hasta la difusi\u00f3n masiva de ransomware\u00bb<\/em>, dice Jan Michael Alcantara, Threat Research Engineer de Netskope Threat Labs.<\/strong><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de Threat Labs de Netskope, empresa de seguridad y redes modernas para la era de la nube y la IA, est\u00e1n al tanto de varias campa\u00f1as que se basan en un principio sencillo: reproducir fielmente la vida digital normal. Detr\u00e1s de una simple invitaci\u00f3n a una reuni\u00f3n se esconde en realidad un acceso […]<\/p>\n","protected":false},"author":1,"featured_media":39,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-38","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/posts\/38","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybertica.cr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=38"}],"version-history":[{"count":0,"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/posts\/38\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/media\/39"}],"wp:attachment":[{"href":"https:\/\/cybertica.cr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=38"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybertica.cr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=38"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybertica.cr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=38"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}