Esta semana el problema no se disfrazó de amenaza: se disfrazó de Claude, de login de Microsoft 365 y de operación normal en Cisco.

📰 Lo último de la semana

Microsoft 365: el phishing ya no roba contraseñas, roba autorización

Recibes un correo que parece rutinario. Haces clic, copias un código en microsoft > devicelogin, completas tu MFA y sigues con tu día. Minutos después, alguien ya está leyendo tu correo, tus archivos y tu calendario sin haber adivinado una sola contraseña. Eso mostró la reaparición de Tycoon2FA. El kit está abusando del flujo legítimo de código de dispositivo de OAuth para secuestrar cuentas de Microsoft 365 con tokens válidos. 

Si tu defensa sigue mirando solo password y MFA, llegas tarde al punto donde realmente se pierde el control. Restringe el flujo de device code donde no sea necesario. Revisa consentimientos OAuth y dispositivos autorizados. Monitorea emisión de tokens y accesos anómalos a correo, drive y calendario. Entrena a tu equipo para desconfiar incluso de páginas legítimas cuando la secuencia de acceso no fue iniciada por ellos.

Matferline expuso el costo real de confiar la operación crítica a un solo proveedor

Abres una plataforma que parece de bajo riesgo: test online, gestión operativa, material de apoyo. Nadie la ve como infraestructura crítica. Hasta que un fallo en ese proveedor termina exponiendo datos personales, teléfonos, correos, DNI y contraseñas de cientos de miles de personas de una sola vez. Matferline, proveedor clave del ecosistema de autoescuelas en España. Según el reporte, el acceso habría ocurrido mediante una inyección SQL y el volumen expuesto superaría los 700 mil registros, incluyendo contraseñas en texto plano. 

Si un tercero centraliza identidad, datos o experiencia digital para miles de usuarios, ya no es un “soporte”, es parte de tu superficie de riesgo reputacional, legal y operativo. Reclasifica proveedores por criticidad real. Exige controles sobre almacenamiento de credenciales y desarrollo seguro. Revisa exposición de datos, segmentación y monitoreo.

Una falsa página de Claude convirtió confianza en acceso

Alguien de tu equipo busca Claude para probar una tarea rápida, entra por Google, ve un anuncio patrocinado, descarga lo que parece ser la app correcta y sigue trabajando. No hubo exploit visible, ni un archivo con nombre absurdo, ni una alerta que gritara problema. Según la investigación de Sophos, declaró que una página falsa de Claude AI, claude-pro[.]com, está distribuyendo malware mediante anuncios patrocinados y SEO poisoning. El sitio imitaba la estética legítima de Claude para empujar descargas maliciosas que terminaban instalando. Uso de componentes firmados, carga en memoria e infraestructura disfrazada de proveedores de seguridad.

El hallazgo de un backdoor no documentado, bautizado “Beagle”, confirma que ya no estamos frente a phishing torpe, sino frente a campañas que entienden perfectamente cómo se construye confianza digital hoy. Bloquea descargas de software desde anuncios patrocinados, obliga validación de dominios antes de instalar herramientas de IA, limita privilegios locales para instalaciones no autorizadas y monitorea conexiones a dominios sospechosos y comportamientos de carga en memoria.