Una nueva herramienta de phishing está ayudando a los delincuentes a robar contraseñas de Microsoft 365 de usuarios de todo el mundo. La empresa de seguridad KnowBe4 expuso el servicio, denominado”Quantum Route Redirect”.
Supera los filtros de correo electrónico mostrándoles páginas web seguras. Sin embargo, los usuarios humanos son enviados a sitios de inicio de sesión falsos que capturan sus datos. Activo en 90 países, este método tiene la mayoría de sus objetivos en los EE. UU. Los expertos dicen que la herramienta proporciona armas potentes a atacantes menos capacitados, lo que facilita que cualquiera cometa delitos cibernéticos graves.
Laboratorios de amenazas de KnowBe4 identificó por primera vez la campaña a principios de agosto, observando una operación sofisticada dirigida a las credenciales de Microsoft 365 con diversos señuelos.
Los atacantes se hacen pasar por servicios como DocuSign, envíe avisos de nómina falsos o utilice códigos QR en ataques de”quishing”para canalizar a las víctimas hacia sus páginas de recolección de credenciales. El hilo conductor es un potente motor que funciona entre bastidores.
Conozca Quantum Route Redirect: phishing simplificado
Al automatizar la compleja mecánica de la evasión, la nueva herramienta agiliza lo que antes era un proceso técnicamente exigente. Su función principal es un sistema de filtrado inteligente que distingue entre escáneres de seguridad automatizados y posibles víctimas humanas.
Cuando una herramienta de seguridad escanea un enlace en un correo electrónico de phishing, Quantum Route Redirect presenta una página web legítima e inofensiva. Esta técnica permite que el correo electrónico malicioso pase a través de capas de seguridad como puertas de enlace de correo electrónico seguras (SEG).
Sin embargo, una persona real que hace clic en el mismo enlace es enviada silenciosamente a una página de recolección de credenciales que imita un portal de inicio de sesión de Microsoft 365. Este encubrimiento avanzado protege la infraestructura del atacante para que no sea descubierta y incluida en la lista negra.
Su escala ya es significativa: KnowBe4 identificó aproximadamente 1000 dominios que alojan el kit de phishing. Su impacto es global, con víctimas comprometidas en 90 países, aunque Estados Unidos es el más afectado por los ataques, representando el 76% de los usuarios afectados.
La plataforma también proporciona a sus usuarios criminales una elegante interfaz de administración. Un panel de administración permite una fácil configuración de reglas de redireccionamiento, mientras que un panel ofrece análisis en tiempo real sobre el tráfico de las víctimas, incluida la ubicación, el tipo de dispositivo y la información del navegador.
Características como la toma de huellas digitales automatizada del navegador y la detección de VPN/proxy están integradas, eliminando casi todos los obstáculos técnicos para el operador.
La democratización del cibercrimen
Esta evolución en la metodología de ataque señala un desafío crítico para la seguridad empresarial. Quantum Route Redirect es un excelente ejemplo de la”democratización del cibercrimen”, una tendencia en la que herramientas sofisticadas se empaquetan en plataformas de phishing como servicio (PhaaS) fáciles de usar.
Estos servicios reducen la barrera de entrada, lo que permite a los actores de amenazas con experiencia técnica mínima lanzar campañas que pueden eludir las defensas tradicionales.
Dichas plataformas son parte de una creciente cadena de suministro criminal donde los atacantes pueden comprar kits listos para usar que se encargan de todo, desde la evasión hasta recogida de credenciales. Esta tendencia no es nueva; una campaña anterior dirigida a Microsoft 365 utilizó un conjunto de herramientas PhaaS conocido como “Rockstar 2FA”para evitar la autenticación multifactor.
Al igual que Quantum Route Redirect, se vendió como una suscripción, lo que hizo que las capacidades avanzadas fueran accesibles por una tarifa modesta.
La mayor disponibilidad de estas herramientas acelera el ritmo de los ataques y se alinea con las advertencias de Microsoft, que señaló que “la IA ha comenzado a bajar el listón técnico para los actores del fraude y el cibercrimen… haciéndolo más fácil y más barato generar contenido creíble para ataques cibernéticos a un ritmo cada vez más rápido”.
Una tendencia más amplia de convertir la confianza en armas
La estrategia detrás de Quantum Route Redirect es parte de una tendencia más amplia e insidiosa: la militarización de servicios legítimos y confiables.
Los ciberdelincuentes están cooptando cada vez más la infraestructura de empresas establecidas para hacer que sus ataques parezcan auténticos y eludir los filtros de seguridad. Un informe reciente destacó un aumento del 67 % en el abuso de plataformas empresariales confiables como QuickBooks y Zoom para ataques de phishing.
Los atacantes entienden que es menos probable que las herramientas de seguridad y los usuarios sospechen del tráfico que se origina. de un dominio conocido y de buena reputación. A principios de este año, una campaña similar abusó de la función”envoltura de enlaces”ofrecida por los proveedores de seguridad Proofpoint e Intermedia.
Al comprometer una cuenta ya protegida por estos servicios, los atacantes podían enviar enlaces maliciosos que se reescribían automáticamente con una URL de seguridad confiable, blanqueándolos de manera efectiva.
El enlace malicioso final suele estar a varios pasos de distancia del clic inicial, engañando tanto al software de seguridad como a los usuarios cautelosos.
Defenderse contra esta nueva realidad requiere una estrategia de múltiples capas. Si bien la capacitación en concientización del usuario sigue siendo importante, ya no es suficiente cuando los enlaces maliciosos están enmascarados por dominios confiables.
Las empresas necesitan soluciones avanzadas de seguridad de correo electrónico capaces de realizar un análisis de contenido profundo utilizando procesamiento de lenguaje natural, junto con un filtrado URL sólido en el momento del clic.
Microsoft ya ha tomado medidas a nivel de plataforma contra amenazas similares, como su decisión de 2025 de bloquear imágenes SVG en línea en Outlook para combatir el phishing transmitido por SVG.
En última instancia, prepararse para herramientas como Quantum Route Redirect exige una combinación de controles técnicos resistentes y procedimientos de respuesta rápida para cuando las credenciales se vean inevitablemente comprometidas.
