Check Point® Software Technologies Ltd., pionero y líder global en soluciones de ciberseguridad, ha descubierto una sofisticada campaña de phishing que utiliza de forma malintencionada plataformas SaaS (Software-as-a-Service) legítimas para distribuir estafas telefónicas de alta credibilidad.

A diferencia de los ataques tradicionales, los atacantes instrumentalizan las funciones nativas de servicios en la nube para heredar la confianza, reputación y autenticación de proveedores de renombre. Esta campaña ya ha generado aproximadamente 133.260 correos electrónicos de phishing, y ha afectado a 20.049 empresas a nivel mundial. Microsoft, Zoom, Amazon, PayPal, YouTube y Malwarebytes figuran entre las marcas que han sido objeto de abuso o suplantación.

La compañía ha detectado un cambio en las tácticas de los ciberdelincuentes. En lugar de incluir enlaces sospechosos, ahora aprovechan flujos de trabajo legítimos de SaaS en lugar de dominios falsos o enlaces maliciosos. Insertan contenido fraudulento en campos controlados por los usuarios, que luego se muestran en notificaciones del sistema, generando correos desde dominios de alta reputación que pasan todas las verificaciones de autenticación y parecen comunicaciones rutinarias, lo que dificulta su detección automática y reduce la sospecha del usuario.

Además, el uso creciente de llamadas telefónicas dirigidas por los atacantes permite eludir análisis de URL y sistemas de reputación de enlaces, transfiriendo la fase final del ataque a la ingeniería social por voz. La concentración de estos ataques en los últimos tres meses indica que los atacantes consideran el abuso de SaaS como un método escalable, de bajo esfuerzo y alto retorno.

Check Point Software ha identificado tres métodos principales diseñados para que el mensaje fraudulento sea indistinguible de una comunicación rutinaria:

• Manipulación de metadatos: los ciberdelincuentes explotaron campos controlados por el usuario en plataformas SaaS, mediante la inserción de contenido fraudulento en nombres de cuenta o atributos de perfil. La plataforma generó correos legítimos con este contenido, usando su infraestructura y manteniendo la reputación y formato auténticos. Plataformas como Zoom, PayPal, YouTube y Malwarebytes se han utilizado para esto. Los correos se redistribuyeron a gran escala, generalmente con mensajes urgentes sobre facturación o cuentas, e instruyeron a llamar a números de soporte controlados por los atacantes.
• Notificaciones de Microsoft: los atacantes abusaron de los flujos de notificaciones legítimas de Microsoft en varios productos para enviar estafas basadas en llamadas telefónicas. Crearon o controlaron un tenant válido y configuraron servicios para generar correos automáticos. Introdujeron contenido fraudulento en campos controlados por el usuario, que aparece directamente en el asunto o cuerpo del mensaje. Los correos se envían desde la infraestructura oficial de Microsoft, totalmente autenticados y difíciles de distinguir de comunicaciones reales. Así evitan enlaces maliciosos y trasladan el engaño final a la ingeniería social por voz.
• Invitaciones de Amazon Business: los ciberdelincuentes también explotaron flujos de invitación de negocios específicos de plataformas, como Amazon Business. Insertaron texto fraudulento en campos controlados por el usuario, incluyendo cargos falsos y números de soporte. Amazon mostró directamente este contenido en el asunto y cuerpo del correo de invitación. Los mensajes se enviaron a gran escala mediante Amazon SES, pasando todas las verificaciones de autenticación. Así, los correos parecían notificaciones legítimas de Amazon Business sin necesidad de infraestructura de correo propia.

Los sectores más afectados por el abuso de SaaS y phishing han sido principalmente Tecnología, SaaS y TI (26,8%), seguidos de Manufactura, Industria, Ingeniería y Construcción (21,4%) y el ámbito empresarial B2B no específico de un sector (18,9%). También han sufrido Educación (12,1%), Finanzas, Banca y Seguros (7,4%), Gobierno y sector público (6,0%) y Salud y Ciencias de la Vida (4,2%). Los servicios profesionales, minoristas, energía y otros sectores han representado porcentajes menores, evidenciando que los ataques se concentran sobre todo en industrias con alta dependencia de plataformas digitales y SaaS.

A nivel geográfico, aunque el 66,9% de las empresas afectadas tiene su sede en Estados Unidos, Europa representa el 17,8% del impacto total. En la región de LATAM (2,6%), Brasil (41%) y México (29%) encabezan la lista de países afectados.

Esta campaña demuestra que los atacantes están aprovechando cada vez más las plataformas SaaS confiables y los flujos de notificaciones nativos para distribuir estafas telefónicas a gran escala. A medida que los servicios en la nube continúan dominando la comunicación empresarial, los defensores deben reconocer que los correos electrónicos que parecen auténticos de marcas confiables no son inherentemente seguros y deben considerar el uso indebido contextual de servicios legítimos.