La semana pasada vimos un caso que refleja muy bien cómo ha evolucionado el phishing corporativo. Ya no hablamos de “correos falsos”, sino de mensajes perfectamente autenticados que pasan todos los controles técnicos… pero que siguen siendo maliciosos.
📌 ¿Qué es un CloudLOL?
Al igual que los LOLBINs, que reutilizan binarios del sistema para ejecutar acciones maliciosas, un CloudLOL aprovecha servicios legítimos de SaaS para realizar ataques:
- Envío masivo de documentos infectados o con PDFs que redireccionan a sitios que piden credenciales
- Obtención de sesiones o tokens con permisos extensos en Microsoft Graph (como la lectura o el envío de emails)
- Todo sin ejecutar software sospechoso localmente
🚨 Por qué SPF, DKIM y DMARC no bastan
En este caso, el correo pasaba todos los controles de autenticación:
✔ SPF: PASS
✔ DKIM: PASS
✔ DMARC: PASS
👉 Esto significa que el correo era legítimo desde el punto de vista técnico. Había sido enviado desde la infraestructura real de un proveedor como Microsoft SharePoint. Y justo ese detalle es lo que lo hacía tan peligroso.
🧩 ¿Qué estaba pasando realmente?
Un acceso no autorizado en la cuenta de este proveedor permitió a los atacantes usar su propio entorno de SharePoint Online para distribuir un archivo malicioso.
El ataque fue sofisticado:
- Se subió un fichero al SharePoint real del proveedor
- Se generó un enlace legítimo de O365
- El atacante lo compartió por email a la empresa del sector de fabricación como si fuese documentación rutinaria
- La autenticación del mensaje era perfecta. No había señales clásicas de suplantación
💡 La lección: en la era del SaaS y la nube, la seguridad ya no depende solo de SPF/DKIM/DMARC. La detección proactiva basada en patrones de comportamiento es la única manera de anticiparse a ataques sofisticados.
📊 ¿Cómo lo detectamos entonces?
La clave fue la correlación de eventos, no la autenticación del correo.
🔍 Observamos un patrón anómalo:
- Un email en cuarentena que menciona la palabra “Microsoft” desde un dominio externo a Microsoft
- Envía mismo fichero de SharePoint, compartido desde la misma cuenta, a más de 10 destinatarios distintos
- Cuando históricamente solo se enviaban 1 o 2 correos máximo
Esa diferencia fue suficiente para disparar la alerta:
- Se menciona un proveedor de confianza (Microsoft) en el contenido del correo y el dominio no cuadra con ningún dominio oficial de Microsoft (SharePoint envía a través de @proveedor.com)
- El email entra en cuarentena
- El SOC, al revisar la cuarentena de emails, se da cuenta de que envía el mismo archivo, desde la misma cuenta, a múltiples cuentas de nuestro proveedor de departamentos completamente distintos
- Volumen completamente atípico
Esto nos permitió aislar rápidamente el incidente y evitar que el equipo interno interactuara con el contenido.
🚨 Lección importante: La IA no es suficiente
Los controles clásicos de autenticación de email e incluso el triaje asistido por IA son necesarios… pero no son suficientes.
Hoy, la detección real proviene de:
✨ Telemetría
✨ Comportamiento
✨ Volumen
✨ Contexto
✨ Correlación
En resumen: no importa si el correo “parece legítimo”. Lo que importa es si se comporta como algo normal para ese usuario.
🛡 Recomendación para cualquier empresa industrial
Si dependes de proveedores que usan O365 o SharePoint para enviarte documentación, considera:
- Monitorizar volúmenes anómalos de compartición
- Correlación entre actividad de SharePoint y actividad de correo
- Alertas de comportamientos atípicos
- Protección de identidad con señales de riesgo
- Registro continuo de eventos en tu SIEM
El futuro de la prevención no está en el encabezado del email. Está en el comportamiento y el contexto.
🛡️ ¿Cómo hubiera protegido Merabytes?
| Área de Defensa Merabytes | Cómo habría actuado | Resultado esperado |
|---|---|---|
| Análisis de comportamiento de email | Detección de volumen atípico: mismo archivo compartido desde la misma cuenta a múltiples destinatarios en departamentos diferentes. | Alerta temprana antes de que usuarios interactúen con el contenido. |
| Correlación en cuarentena de email | Análisis automático de patrones en emails cuarentenados: mención de “Microsoft” desde dominios no oficiales. | Identificación de suplantación sofisticada que evade SPF/DKIM/DMARC. |
| Monitorización de actividad SharePoint | Detección de compartición masiva inusual desde cuentas de proveedores con patrones de acceso irregulares. | Bloqueo proactivo de enlaces maliciosos antes de distribución masiva. |
| Análisis de contexto y telemetría | Cruce de datos: volumen histórico vs. actual, origen de IPs, comportamiento del remitente. | Detección de cuentas comprometidas en tiempo real. |
| Protección de identidad (Cisco Duo 2FA) | Bloqueo de accesos no validados a SharePoint, incluso con credenciales robadas. | Prevención del compromiso inicial de la cuenta del proveedor. |
| SIEM con reglas personalizadas | Alertas automáticas de eventos correlacionados: cuarentena + mención de proveedor + volumen anómalo. | Respuesta rápida del SOC con contexto completo del incidente. |
#ciberseguridad #industria #o365security #phishing #merabytes #identitysecurity #cloudlol #sharepoint
Si te interesa proteger tu infraestructura contra ataques sofisticados de CloudLOL y phishing avanzado, visita merabytes.com y solicita acceso a nuestros servicios de monitorización continua, protección de identidad y análisis de comportamiento.