Los cibercriminales han convertido una función clave de seguridad de correo electrónico en un arma, según una nueva investigación de Cloudflare. En las campañas observadas hasta junio y julio de 2025, los atacantes están abusando de los servicios de”enlace envolvente”de las empresas de seguridad PruebePoint e Intermedia para disfrazar los ataques de phishing.
El método implica enviar enlaces maliciosos desde cuentas comprometidas, que luego se reescriben automáticamente con una URL confiable por parte del proveedor de seguridad. Esta táctica explota la confianza del usuario en estas marcas, haciendo que los enlaces peligrosos parezcan seguros.
El objetivo final es atraer a las víctimas a fingir páginas de inicio de sesión de Microsoft 365 y cosechar sus credenciales, convirtiendo efectivamente una herramienta defensiva en un instrumento para obtener cuentas. src=”https://winbuzzer.com/wp-content/uploads/2020/07/microsoft-lists-microsoft-365.jpg”>
cómo los atacantes convierten la seguridad de correo electrónico en un arma de phishing
La técnica en el corazón de estas campañas subverts a un mecanismo defensivo de los usuarios. La envoltura de enlaces, ofrecida por proveedores de seguridad como Proofpoint e Intermedia, funciona reescribiendo todas las URL dentro de un correo electrónico entrante. Cuando un usuario hace clic en el enlace, primero se enrutan a través del servicio de escaneo del proveedor, que verifica el destino de las amenazas en tiempo real antes de permitir que el usuario continúe.
Sin embargo, los atacantes han encontrado una manera de convertir este escudo en una espada. The core of the exploit, as analyzed by Cloudflare’s security team, involves first gaining unauthorized access to an email cuenta que ya está protegida por uno de estos servicios. Una vez dentro, los actores de amenaza pueden”lavar”sus URL maliciosas.
simplemente envían un nuevo correo electrónico de phishing desde la cuenta comprometida. A medida que el correo electrónico pasa a través de la propia infraestructura de seguridad de la organización, el servicio de envoltura de enlaces reescribe automáticamente la URL maliciosa, estampándola con su propio dominio de confianza. En algunos casos, los atacantes emplean lo que los investigadores llaman”abuso de redirección de niveles múltiples”, primero ocultando su carga útil detrás de un acortador de URL para agregar otra capa de ofuscación antes de que se envuelva.
Esto crea un escenario peligroso en el que un enlace que conduce a una página de recolección de credenciales está enmascarado por una dirección legítima. Para el usuario final, el enlace parece haber sido examinado y aprobado por su propio proveedor de seguridad, reduciendo drásticamente las sospechas y evitando tanto el escrutinio humano como los filtros de dominio convencionales.
anatomía de la campaña: abusar de la prueba de prueba e intermedia
las campañas de las campañas tanto a prueba como a los usuarios intermedios que revelan los usuarios de la prueba y los usuarios intermedios, y los usuarios de la prueba de metales y el entorno de la prueba, y los usuarios de la prueba, y los usuarios de la prueba, como se detallan, y los usuarios de la prueba, como se detallan. Análisis del equipo de seguridad de correo electrónico de Cloudflare. En los ataques que abusan de la prueba, los actores de amenaza emplearon con frecuencia una estrategia de ofuscación de varias capas. Primero acortarían su enlace malicioso utilizando un acortador de URL pública, luego lo enviarían desde una cuenta comprometida y protegida por prueba. Esto creó una cadena de redirección compleja, desde el acortador hasta la envoltura de punto de prueba hasta la página final de phishing, que es significativamente más difícil para los escáneres de seguridad automatizados desentrañarse.
Los señuelos de ingeniería social eran comunes pero efectivos. Una campaña se hizo pasar por una notificación de correo de voz, lo que llevó al destinatario a”escuchar el correo de voz”. Otro se hizo pasar por un documento compartido de equipos de Microsoft. En ambos casos, el botón se hipervinó a una URL acortada que, cuando se hizo clic, se resolvió a través de un dominio de punto de prueba legítimo antes de aterrizar a la víctima en una página de cosecha de credenciales de Microsoft 365.
El abuso del servicio de intermedia siguió un patrón similar de compromiso de cuenta. Una campaña notable utilizó correos electrónicos que pretenden ser una notificación de mensaje segura de”ZIX”con un botón”Ver documento seguro”. El hipervínculo era una URL envuelta en intermedia que condujo a un destino interesante: una página legítima en la plataforma de marketing de contacto constante, donde los atacantes habían organizado su sitio de phishing real. Otros ataques que involucran documentos de palabras falsas o mensajes de equipos condujeron más directamente a Microsoft Phishing Pages.
En estos casos, los atacantes aprovecharon el hecho de que los correos electrónicos enviados desde una organización comprometida son inherentemente confiables. Los investigadores de Cloudflare señalaron que el abuso dentro de las organizaciones protegidas por intermedia fue particularmente directo, afirmando:”El abuso de envoltura intermedia que observamos también se centró en obtener acceso no autorizado a cuentas de correo electrónico protegidas por envoltura de enlaces”. Este patrón de envío interno hace que los correos electrónicos maliciosos sean mucho más convincentes y probablemente se hagan clic. Los actores de amenaza están cooptando cada vez más herramientas y plataformas legítimas para evitar las defensas de seguridad. Esta estrategia aprovecha la confianza incorporada y la reputación de los servicios establecidos.
Por ejemplo, la firma de seguridad Okta advirtió recientemente que los atacantes estaban utilizando la herramienta V0 AI de Vercel para generar instantáneamente sitios de phishing perfectos de píxeles. CISO, Ty Sbano, reconoció el desafío, afirmando:”Al igual que cualquier herramienta poderosa, V0 puede ser mal utilizada. Este es un desafío en toda la industria, y en Vercel, estamos invirtiendo en sistemas y asociaciones para atrapar abusos rápidamente…”
Esta arma de las herramientas legítimas reduce el barril técnico para el ciberdrímes. Se alinea con las advertencias de Microsoft que”la IA ha comenzado a reducir la barra técnica para los actores de fraude y delitos cibernéticos… haciendo que sea más fácil y más barato generar contenido creíble para los ataques cibernéticos a una velocidad cada vez más rápida”. Flaw que convirtió el copiloto de Microsoft en un ladrón de datos.
por qué la capacitación del usuario ya no es suficiente
El aumento de estos ataques sofisticados señala un punto de inflexión crítico para la seguridad empresarial. Las estrategias tradicionales anti-phishing que dependen de los usuarios de capacitación para detectar enlaces sospechosos se vuelven insuficientes. Cuando una falsa está envuelta en una URL legítima, la carga ya no puede descansar sobre el usuario.
Las consecuencias son significativas. Según la FTC, el correo electrónico fue el método de contacto para el 25% de los informes de fraude en 2024, lo que resultó en pérdidas agregadas de $ 502 millones . Esto subraya el daño financiero causado por un phishing efectivo.
Los expertos en seguridad argumentan que la industria debe pivotar hacia defensas técnicas más resistentes.
La defensa más efectiva es hacer que sea técnicamente imposible que un usuario inicie sesión en un sitio fraudulento. Esto implica adoptar métodos de autenticación resistentes a phishing que vinculen criptográficamente el inicio de sesión de un usuario a un dominio legítimo, lo que hace que las credenciales robadas sean inútiles en un sitio falso.
