Ataques en Microsoft Teams: La nueva amenaza UNC6692

En el dinámico y hostil panorama de la ciberseguridad contemporánea, el año 2026 ha marcado un punto de inflexión en la forma en que los actores de amenazas explotan la confianza institucional. El surgimiento de UNC6692, un clúster de amenazas recientemente identificado por investigadores de élite, ha puesto de manifiesto una vulnerabilidad que no es de software, sino de percepción. Este grupo ha perfeccionado los ataques en Microsoft Teams, transformando una herramienta esencial de colaboración empresarial en un vector de infiltración de alta precisión.

A diferencia de las campañas de phishing masivo del pasado, UNC6692 no busca cantidad, sino calidad y persistencia. Su estrategia, confirmada en reportes técnicos de mayo de 2026, combina el hostigamiento psicológico con una infraestructura técnica que “vive de la nube” (Living off the Cloud), logrando evadir defensas perimetrales tradicionales que aún se centran excesivamente en el tráfico de correo electrónico y el filtrado de IPs conocidas.

La anatomía de la decepción: El auge de los ataques en Microsoft Teams

Los ataques en Microsoft Teams perpetrados por UNC6692 comienzan mucho antes del primer mensaje de chat. Los analistas han observado un patrón de “bombardeo de correo electrónico” (email bombing) como fase preliminar. En esta etapa, el buzón de entrada de la víctima —generalmente un ejecutivo de alto nivel o personal con privilegios de administrador— es inundado con miles de mensajes de spam en cuestión de minutos. El objetivo no es el robo de datos inmediato, sino generar un estado de caos, urgencia y fatiga cognitiva.

Mientras la víctima lucha por gestionar el colapso de su correo, recibe una notificación en Microsoft Teams. Un supuesto miembro del equipo de soporte técnico de IT (identificado fraudulentamente mediante cuentas externas o de invitados) se pone en contacto para “ayudar” a mitigar el ataque de spam. Esta transición del correo electrónico (un entorno donde los empleados están entrenados para ser escépticos) a Teams (un entorno percibido como interno y seguro) es la clave del éxito de UNC6692.

Los elementos críticos de esta fase inicial incluyen:

• Suplantación de identidad de alta fidelidad: Uso de logotipos corporativos, terminología técnica precisa y perfiles que imitan al personal real de Help Desk.
• Explotación del acceso externo: Aprovechamiento de configuraciones permisivas de “External Access” en el tenant de Microsoft 365 para iniciar chats directos con empleados internos.
• Ingeniería social en tiempo real: A diferencia de un correo estático, el atacante interactúa en vivo con la víctima, respondiendo preguntas y reforzando la sensación de legitimidad.

El ecosistema de malware SNOW: Una suite modular multiplataforma

Una vez que el atacante gana la confianza del usuario, el siguiente paso es la entrega del payload. Bajo la premisa de instalar un “parche de seguridad local” o una “utilidad de reparación de buzones”, el usuario es dirigido a una página de phishing alojada en infraestructuras legítimas como AWS S3. Aquí es donde UNC6692 despliega su arsenal técnico más avanzado: el ecosistema de malware SNOW.

Este conjunto de herramientas no es un binario monolítico, sino una suite modular diseñada para operar de forma silenciosa a través de diversas capas del sistema operativo y aplicaciones SaaS:

1. SNOWBELT: El primer punto de apoyo

SNOWBELT funciona como una extensión de navegador maliciosa, instalada frecuentemente en Microsoft Edge mediante scripts de AutoHotKey. Esta extensión opera en “modo headless” (sin interfaz gráfica), lo que la hace virtualmente invisible para el usuario final. Su función principal es actuar como un relé de comandos, permitiendo a los atacantes interactuar con el sistema a través del navegador, un canal que raramente es bloqueado por las políticas de salida de firewall.

2. SNOWGLAZE: El túnel de comunicación

Para asegurar una conexión persistente y cifrada con sus servidores de comando y control (C2), UNC6692 utiliza SNOWGLAZE. Este componente es un tunelizador basado en Python que establece conexiones vía WebSockets hacia infraestructuras de terceros, como Heroku. Al utilizar protocolos estándar de la web y dominios de alta reputación, SNOWGLAZE logra que el tráfico malicioso se mezcle perfectamente con el tráfico legítimo de la empresa hacia servicios en la nube.

3. SNOWBASIN: La puerta trasera de control total

El núcleo del control reside en SNOWBASIN, un backdoor de Python que permite la ejecución de comandos remotos (RCE). Sus capacidades técnicas son extensas e incluyen:

• Captura de pantalla en tiempo real para monitorear la actividad del usuario.
• Gestión completa del sistema de archivos (carga, descarga y eliminación de datos).
• Capacidad para terminar procesos de seguridad y establecer canales de acceso remoto de respaldo (utilizando herramientas legítimas de RMM como Level o Supremo).

Estrategias de “Living off the Cloud” y exfiltración de datos

Una característica definitoria de UNC6692 es su maestría en la estrategia de “Living off the Cloud”. El grupo minimiza el uso de malware tradicional que podría ser detectado por firmas de antivirus, optando en su lugar por abusar de las capacidades nativas de los servicios SaaS y herramientas de administración del sistema.

Durante la fase de post-explotación en el sector de servicios de IT, los atacantes han demostrado una rapidez alarmante para pivotar desde una cuenta de usuario comprometida hacia activos críticos en la nube, como entornos de AWS y Azure. Utilizan técnicas de Pass-the-Hash y la extracción de memoria del proceso LSASS para obtener credenciales de administrador de dominio sin necesidad de conocer las contraseñas originales.

El proceso de exfiltración de datos se divide típicamente en tres etapas:

1. Recolección: Uso de scripts personalizados para buscar bases de datos de Active Directory y archivos de configuración que contengan secretos de la nube.
2. Compresión y Cifrado: Los datos se empaquetan localmente utilizando herramientas como 7-Zip o Rclone para preparar el envío masivo.
3. Egresión a través de servicios legítimos: Para evitar disparar alarmas de pérdida de datos (DLP), el tráfico de salida se dirige hacia buckets de AWS S3 controlados por el atacante o se utiliza el protocolo P2P a través de herramientas como LimeWire para fragmentar el envío de datos sensibles.

Impacto en el sector de servicios de IT y riesgos operativos

Los recientes ataques en Microsoft Teams atribuidos a UNC6692 han tenido un impacto desproporcionado en el sector de servicios tecnológicos. Debido a que estas empresas a menudo gestionan infraestructuras para múltiples clientes, un solo compromiso exitoso puede escalar rápidamente a un ataque de cadena de suministro. La pérdida de datos propietaria no es el único riesgo; la interrupción operativa causada por la necesidad de reconstruir identidades digitales y rotar miles de secretos de infraestructura ha costado a las organizaciones afectadas millones de dólares en tiempo de inactividad.

Además, el éxito de UNC6692 subraya una realidad incómoda: los empleados, incluso aquellos con formación técnica, son más propensos a confiar en una comunicación directa por chat que en un correo electrónico. Esta “fatiga de alerta” y la presión por resolver problemas técnicos rápidamente los convierten en el eslabón más débil de la cadena de defensa.

Recomendaciones estratégicas para la defensa empresarial

Para mitigar la amenaza planteada por UNC6692 y otros actores que perfeccionan los ataques en Microsoft Teams, los equipos de seguridad deben adoptar un enfoque proactivo que combine controles técnicos con procesos de verificación rigurosos.

Las medidas prioritarias incluyen:

• Restricción del acceso externo en Teams: Configurar las políticas de comunicación externa para permitir interacciones únicamente con dominios verificados y conocidos. Se recomienda deshabilitar la capacidad de que usuarios externos inicien chats con personal interno por defecto.
• Monitoreo de procesos de navegador: Implementar reglas de detección (EDR) para identificar instancias de navegadores (msedge.exe o chrome.exe) ejecutándose con parámetros sospechosos, como --headless o cargando extensiones desde directorios no estándar (ej. AppData).
• Verificación fuera de banda: Establecer protocolos obligatorios donde cualquier solicitud de soporte técnico recibida por Teams debe ser confirmada a través de un segundo canal (teléfono institucional o portal interno de tickets) antes de ejecutar cualquier acción o descargar software.
• Control de aplicaciones SaaS: Implementar controles estrictos sobre la instalación de aplicaciones de terceros y extensiones de navegador dentro del ecosistema de Microsoft 365, utilizando políticas de “lista blanca”.
• Análisis de comportamiento de identidades: Utilizar soluciones de Identity Threat Detection and Response (ITDR) para detectar patrones anormales, como el acceso repentino de un usuario de Teams a recursos críticos de AWS que no forman parte de su flujo de trabajo habitual.

Conclusión: El futuro de la seguridad en el espacio de trabajo colaborativo

El clúster de amenazas UNC6692 representa la vanguardia de una nueva generación de ciberadversarios. Al combinar una ingeniería social psicológica profunda con una arquitectura de malware que se oculta a plena vista dentro de la infraestructura de la nube, han demostrado que las fronteras defensivas tradicionales son insuficientes. Los ataques en Microsoft Teams no son una tendencia pasajera, sino la evolución natural de la explotación de la confianza en el entorno de trabajo híbrido.

La seguridad en 2026 y más allá requiere que las organizaciones dejen de ver a las herramientas de colaboración como “islas seguras”. Solo mediante una visibilidad total sobre las interacciones en el chat, una monitorización rigurosa de los endpoints y una cultura de verificación constante, las empresas podrán proteger sus activos más valiosos frente a grupos tan sofisticados como UNC6692. La misión de los defensores hoy no es solo parchear el software, sino blindar el juicio humano ante el engaño digital.