- Proyecto : Detección Phishing OneDrive
- Empresa : Merabytes
- Sector : Industrial
- Fecha : 07 August, 2025
- Duración : Detección en tiempo real
info@merabytes.com
Caso real: Empresa del sector industrial víctima de phishing OneDrive B2B (nombre del cliente omitido por confidencialidad)
🔑 Puntos clave
| Fecha/Fase | Evento |
|---|---|
| Día 1 - Primer contacto | Atacante (“Čižmešija” desde Croacia) envía correo bien redactado solicitando catálogo y precios. Genera confianza usando lenguaje profesional del sector. |
| Día 1 - Respuesta legítima | Equipo comercial responde interesado, proporcionando información y solicitando detalles adicionales para personalizar oferta. |
| Día 2 - Entrega del gancho | Atacante responde con enlace aparentemente de OneDrive: texto visible muestra “onedrive.live.com” pero enlace real apunta a “onedrive-rusty-craves.surge.sh”. |
| Página falsa | Dominio fraudulento redirige a interfaz que simula OneDrive con documentos falsos (Purchase.pdf, Specification.xlsx, Drawings_sketches.png, Presentation.mov). |
| Captura de credenciales | Al hacer clic en cualquier documento, aparece modal solicitando credenciales corporativas con email autocompletado (parámetro “e” de URL). |
| Compromiso potencial | Si la víctima introduce credenciales, atacante obtiene acceso a cuentas corporativas (email, OneDrive real, SharePoint, Teams, etc.). |
En las últimas semanas hemos detectado un aumento de campañas de phishing (ataques B2B), utilizando falsos enlaces de OneDrive como vector inicial. En este artículo documentamos un caso real que afectó a una empresa del sector industrial, con el fin de ayudar a otras organizaciones a identificar y bloquear este tipo de amenazas.
🛠 Flujo del ataque
1️⃣ Primer contacto: correo de interés comercial
El atacante se presenta como Čižmešija, supuestamente desde Croacia, solicitando un catálogo y precios para productos. El mensaje está bien redactado y adaptado al sector, lo que genera confianza:
Hello,
This is Čižmešija from Croatia,
We kindly request your best pricing and Catalogue for your products.
We also want to know if you can deliver to Croatia Rijeka, for this information is crucial for us before we send our PO.
Thank you for considering our inquiries. We eagerly await your prompt response.
Kind regards
Ž. Čižmešija
Mac Globals Inc
+385 91 224 7000
Svilarska 20; Emera d.o.o.,
48000 Koprivnica, Croatia.
Email= info@macglobals.com
Email= Info.macglobals@gmail.com
Objetivo: Ganarse la confianza del equipo comercial para que continúe la conversación.
2️⃣ Respuesta legítima de la víctima
El equipo comercial de la empresa industrial, interesado en la posible venta, responde con una propuesta y preguntas adicionales para personalizar la oferta.
3️⃣ Entrega del enlace malicioso
El atacante responde rápidamente, esta vez incluyendo un enlace aparentemente legítimo a OneDrive:
https://onedrive.live.com/PO/en-us/cloudstoragefiles/fileaccess/Macglobal/
Sin embargo, este texto enmascara el enlace real:
https://onedrive-rusty-craves.surge.sh/index.html?e=email@victima.xx
Este dominio redirige a una página fraudulenta que simula la interfaz de OneDrive y solicita credenciales corporativas.
4️⃣ Elementos que delatan el fraude
- Diferencia entre enlace visible y el real: el texto parece de OneDrive, pero el enlace apunta a un dominio externo (surge.sh). Al pasar el cursor por encima del enlace, se revela el destino real.
- Urgencia comercial: se solicita una cotización rápida para forzar la apertura del enlace sin verificación.
- Encadenamiento de confianza: el atacante primero genera una conversación para que el envío del enlace parezca parte de un proceso comercial legítimo.
📸 Ejemplo del recurso malicioso compartido
En la campaña detectada, el enlace simulaba una carpeta compartida en OneDrive con documentos como:
- Purchase.pdf
- Specification.xlsx
- Drawings_sketches.png
- Presentation.mov
Al hacer clic en cualquiera de estos elementos, se mostraba un modal emergente solicitando las credenciales de usuario, con el campo del correo autocompletado (parámetro “e” de la URL).
🧩 Cómo nuestro Adversary-Aware SOC habría prevenido este ataque
Nuestro Adversary-Aware SOC está diseñado para identificar y neutralizar campañas de phishing B2B sofisticadas como esta:
| Área de Defensa Merabytes | Cómo actuó nuestro SOC | Resultado obtenido |
|---|---|---|
| Análisis de enlaces en emails (URL rewriting y sandboxing) | Detección de discrepancia entre texto visible del enlace y URL real. El enlace apunta a “surge.sh” en lugar de dominio oficial de OneDrive. | Bloqueo automático del email antes de llegar a la bandeja de entrada. |
| Protección de identidades (Cisco Duo 2FA) | Incluso si las credenciales son robadas, el acceso a servicios corporativos requiere segundo factor de autenticación. | Las credenciales robadas son inútiles sin 2FA. |
| Monitorización de comportamiento de email | Detección de patrón sospechoso: contacto comercial inicial seguido rápidamente de enlace externo para descarga. | Alerta temprana al equipo de seguridad antes de compromiso. |
| Filtrado de dominios sospechosos | Bloqueo automático de dominios de hosting genéricos (surge.sh, netlify.app, etc.) usados en campañas de phishing. | Prevención de acceso a páginas de captura de credenciales. |
| Análisis de patrones de phishing B2B | Detección de técnicas de ingeniería social: generación de confianza + urgencia comercial + enlace externo. | Identificación de campaña antes de múltiples víctimas. |
| Formación continua y simulaciones | Entrenamientos regulares sobre phishing B2B con ejemplos reales de ataques dirigidos al sector. | Usuarios alertas que verifican enlaces antes de hacer clic. |
Gracias a la mentalidad centrada en el adversario, nuestro SOC comprende las tácticas de ingeniería social B2B y no solo confía en indicadores técnicos, sino que analiza el contexto completo de la comunicación para identificar intentos de phishing sofisticados.
📚 Lecciones aprendidas
- Los ataques B2B son cada vez más sofisticados. Los atacantes investigan el sector y adaptan sus mensajes para generar confianza.
- La verificación visual del enlace no es suficiente. Los usuarios deben pasar el cursor sobre los enlaces para ver el destino real.
- La urgencia comercial es una táctica común. Solicitudes de cotizaciones rápidas buscan forzar decisiones sin verificación.
- El 2FA es crítico. Incluso si las credenciales son robadas, el segundo factor previene el acceso.
Conclusión
Este ataque fue exitoso en múltiples empresas porque no existía análisis de comportamiento de emails ni protección de identidades con 2FA. Con Merabytes, la historia habría terminado diferente:
- El enlace fraudulento habría sido detectado por la discrepancia entre texto visible y URL real.
- El dominio surge.sh habría sido bloqueado automáticamente.
- Incluso si las credenciales hubieran sido robadas, el 2FA habría impedido el acceso.
- El equipo comercial habría recibido formación sobre tácticas de phishing B2B.
💡 Medidas recomendadas adicionales
Este ataque es un ejemplo de phishing dirigido (spearphishing) que aprovecha la ingeniería social B2B para superar las defensas habituales.
- Verificar siempre el dominio real antes de abrir enlaces, incluso si parecen de servicios conocidos como OneDrive.
- Implementar filtros anti-phishing (como N-Able Mail Assure) que inspeccionen enlaces y detecten discrepancias entre el texto y la URL real.
- Formar a los equipos comerciales para reconocer tácticas de urgencia y confianza empleadas por los atacantes.
- Activar MFA (Multi-Factor Authentication) en todas las cuentas corporativas para reducir el impacto en caso de robo de credenciales.
Si quieres proteger a tu empresa de este tipo de amenazas antes de que lleguen a la bandeja de entrada, visita merabytes.com y solicita acceso a nuestro servicio avanzado de filtrado y análisis de correo electrónico + protección de identidades con 2FA. Bloqueamos campañas de phishing, malware y suplantación de identidad incluso antes de que sean visibles para los usuarios, reduciendo drásticamente el riesgo de compromiso.
Cómo un Adversary-Aware SOC previene estos escenarios
Descubre cómo nuestro Adversary-Aware Security Operations Center identifica y neutraliza amenazas de forma proactiva antes de que impacten tu negocio.
Un Adversary-Aware SOC va más allá del monitoreo de seguridad tradicional al comprender las tácticas, técnicas y procedimientos (TTPs) de los atacantes. Cazamos amenazas de forma proactiva usando el framework MITRE ATT&CK, análisis de comportamiento e inteligencia de amenazas para detectar ataques que evaden los controles de seguridad convencionales.
Las herramientas de seguridad tradicionales se enfocan en firmas e indicadores conocidos. Nuestra detección por comportamiento analiza anomalías en la actividad de usuarios, patrones de correo, tráfico de red y comportamiento del sistema para identificar ataques sofisticados que usan herramientas legítimas o evaden controles de autenticación. Esto detectó los ataques en estos casos de estudio antes de que ocurriera un daño significativo.
Nuestro SOC opera 24/7 con monitoreo en tiempo real y capacidades de respuesta automatizada. Las alertas críticas activan investigación inmediata y acciones de contención en minutos. Proporcionamos caza de amenazas continua, análisis forense y respuesta coordinada a incidentes para minimizar el impacto y prevenir el movimiento lateral.
Combinamos feeds de inteligencia de amenazas globales con nuestra propia investigación de incidentes reales. Cada ataque que analizamos contribuye a nuestras reglas de detección y base de datos de IOCs, que se comparte inmediatamente en todos los entornos protegidos. Esto significa que si vemos un nuevo patrón de ataque contra un cliente, todos los clientes están automáticamente protegidos en horas.
Absolutamente. Nuestro SOC se integra con sus herramientas existentes de EDR, XDR, SIEM, firewalls, seguridad de correo y protección de identidad. Mejoramos su efectividad correlacionando eventos de todas las fuentes, aplicando lógica de detección consciente de adversarios y proporcionando análisis humano experto que las herramientas automatizadas por sí solas no pueden lograr.