En solo 48 horas, una campaña de phishing de cumplimiento regulatorio comprometió a más de 35.000 usuarios en más de 13.000 organizaciones de 26 países. Según documentó el Microsoft Defender Security Research Team, la operación —activa entre el 14 y 16 de abril de 2026— no robó contraseñas: capturó tokens de autenticación en tiempo real mediante una técnica AiTM (adversary-in-the-middle) que elude el MFA convencional sin que la víctima lo detecte.
El phishing cumplimiento regulatorio llegó disfrazado de comunicaciones internas de conducta corporativa. Los correos usaban nombres como “Internal Regulatory COC” y “Workforce Communications”, con asuntos como “Internal case log issued under conduct policy”. Para reforzar credibilidad, los mensajes incluían avisos de que el contenido había sido “revisado y aprobado por un canal interno autorizado” y usaban el logo de Paubox —un servicio legítimo de comunicaciones conformes con HIPAA— creando la apariencia de un proceso oficial de cumplimiento de salud.
Cómo opera el ataque AiTM
La cadena de ataque tenía cinco etapas diseñadas para filtrar defensas automatizadas y presionar al usuario. El correo incluía un PDF con el “expediente del caso de conducta” y un enlace de “Revisar materiales del caso”. Ese enlace llevaba a una página con un CAPTCHA de Cloudflare, seguido de una página intermedia que solicitaba autenticación, un segundo CAPTCHA de imágenes, y finalmente la pantalla de inicio de sesión real de Microsoft.
Esa pantalla era legítima —y ese es el punto crítico. Los atacantes no montaron una página falsa de login: instalaron un proxy entre el usuario y Microsoft. Cuando la víctima completaba su autenticación con MFA incluido, el atacante capturaba el token de sesión resultante en tiempo real, obteniendo acceso directo a la cuenta sin necesitar la contraseña ni el segundo factor. El MFA por SMS, TOTP o notificación push no protege contra esta clase de ataque.
Phishing cumplimiento regulatorio en Chile
Los sectores más afectados por la campaña son de alta relevancia en Chile: salud y ciencias de la vida (19% de los objetivos), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%). Las clínicas, isapres, bancos y consultoras chilenas con infraestructura Microsoft 365 son exactamente el perfil que esta campaña apuntó.
La dimensión local tiene un agravante específico. La implementación de la Ley Marco de Ciberseguridad (Ley 21.663) y la Ley 21.719 de Datos Personales está generando un volumen inusual de comunicaciones de cumplimiento hacia ejecutivos, equipos legales y responsables de seguridad. Ese contexto crea condiciones ideales para que un correo que simule una “revisión interna de conducta regulatoria” no active alarmas inmediatas, incluso en personas entrenadas.
El dato técnico más importante de esta campaña es que el MFA estándar no es suficiente frente a ataques AiTM. La única defensa efectiva es el MFA resistente a phishing: llaves de seguridad FIDO2, Windows Hello o passkeys, que vinculan criptográficamente la autenticación al dominio legítimo y no pueden ser interceptadas por un proxy. Las organizaciones que aún usan SMS u OTP deben asumir que ese control no las protege de esta clase de ataque.
La segunda medida urgente es incluir el escenario de “revisión de conducta corporativa” en los programas de simulación de phishing internos. Si los colaboradores no han visto un correo que llegue de “Workforce Communications” con un PDF adjunto y múltiples etapas de verificación, no están calibrados para detectarlo. Esta campaña —multicapa, con infraestructura legítima y urgencia emocional— no es una excepción: es el nuevo estándar de sofisticación.
Fuente: Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/