

Los ataques de Fraude del CEO (CEO Fraud) no son nuevos en el panorama de la seguridad, pero la forma en que se han estado ejecutando desde la segunda mitad de 2025 muestra una operación cada vez más paciente, mejor informada y que busca ser más difícil de detectar. La esencia del esquema sigue siendo la misma: un delincuente se hace pasar por un alto ejecutivo, generalmente el CEO, un presidente o un director, para convencer a un empleado de que ejecute una transferencia, compre tarjetas de regalo, proporcione datos confidenciales de la empresa o, en casos menos comunes, ejecute un archivo malicioso. Lo que ha cambiado es el nivel de preparación detrás de cada enfoque y, principalmente, la elección de los canales utilizados para llegar a la víctima. Entre ellos, Microsoft Teams ha surgido como el vector más preocupante.
El equipo de Resonant ha observado casos recientes dirigidos a grandes empresas nacionales que revelan una tendencia activa y en evolución en 2026, con un aumento significativo en la incidencia de los intentos y un refinamiento continuo de las tácticas. A continuación, se presenta un panorama de cómo se monta la estafa, desde la recopilación inicial de información hasta la ejecución, pasando por las fallas que hacen de Teams un terreno tan fértil para los estafadores.
Ningún enfoque exitoso de Fraude del CEO comienza con la improvisación. Antes de cualquier contacto, el atacante invierte en la fase de reconocimiento y es en ella donde reside gran parte de la eficacia de la estafa. El objetivo es doble: identificar de quién se falsificará la identidad y qué empleado será abordado.
La recopilación se basa en gran medida en fuentes abiertas, como redes sociales y sitios web corporativos. Plataformas como LinkedIn y servicios de información corporativa como ZoomInfo permiten al delincuente mapear con precisión la estructura de la empresa objetivo, localizando los nombres que ocupan altos cargos y que servirán de fachada para el fraude.
Dado que los ejecutivos suelen ser figuras públicas, recopilar un nombre y una fotografía para crear un perfil falso convincente es una tarea trivial. A menudo, la propia foto de perfil de LinkedIn o las imágenes que aparecen en artículos periodísticos se reutilizan para darle un barniz de legitimidad al perfil fraudulento.
Una vez definidos los ejecutivos a imitar, el atacante centra su atención en las víctimas. Aquí hay una clara preferencia por los empleados del sector financiero y, en especial, de las áreas de cuentas por pagar. La lógica detrás de esto es que estas son las personas que tienen acceso a los sistemas de pago y cuentas corporativas, es decir, capacidad real para mover dinero en nombre de la empresa. Para llegar a ellos, el delincuente recurre a filtraciones de datos y técnicas de OSINT, buscando números de teléfono de contacto, direcciones de correo electrónico corporativo y cualquier otro dato que permita un enfoque directo.
El resultado de esta etapa es un perfil falso construido sobre información real, dirigido a una víctima cuidadosamente seleccionada por su posición en la cadena financiera de la organización. Es esta combinación de apariencia legítima y objetivo correcto la que da inicio a la estafa.
La elección de Microsoft Teams como canal de abordaje no se debe a una vulnerabilidad técnica crítica en la plataforma, sino a la explotación de fallas de configuración y puntos ciegos en la percepción de los usuarios. La investigación de casos recientes por parte de Resonant identificó dos escenarios distintos de abuso.
El primero es el abuso del acceso externo a través de federaciones. De forma predeterminada, Teams permite que usuarios de diferentes organizaciones o con cuentas no corporativas (ej: [email protected]) intercambien mensajes directamente. Cada empresa opera dentro de un entorno aislado, llamado “tenant”, y la federación actúa como un puente entre diferentes tenants. El criminal explota esta función legítima creando su propio tenant con un dominio fraudulento y configurando una cuenta cuyo nombre para mostrar es idéntico al del ejecutivo objetivo. A partir de ahí, basta con usar la configuración permisiva de la federación para contactar directamente a los empleados de la empresa a través de Teams, aparentando ser un usuario legítimo.
Teams inserta, por defecto, la etiqueta “Externo” en este tipo de comunicación, lo que debería servir como advertencia. Sin embargo, el estafador apuesta a que la víctima terminará centrándose en el nombre visible, la foto falsificada y el discurso de autoridad presente en los mensajes, ignorando simplemente el indicador de seguridad. La falla de configuración que viabiliza el escenario es mantener la federación abierta a cualquier dominio, en lugar de restringirla a una lista de socios aprobados previamente.
El segundo escenario es más grave e implica comprometer cuentas de servicio (service accounts). Se trata de cuentas de Microsoft 365 creadas para fines operativos específicos, como buzones de correo compartidos, cuentas vinculadas a salas de reuniones y equipos, o cuentas utilizadas por sistemas e integraciones automatizadas.
Por su naturaleza, este tipo de cuentas suelen sufrir limitaciones que las convierten en blancos fáciles: falta de autenticación multifactor, contraseñas débiles o que rara vez se cambian, y un monitoreo reducido en comparación con las cuentas de usuario convencionales. Estos factores abren el camino para comprometer la cuenta a través de varias técnicas conocidas. Tales como el relleno de credenciales (credential stuffing), phishing dirigido o la explotación de mecanismos de restablecimiento de contraseña.
Una vez en posesión de una de estas cuentas, el atacante ya está infiltrado en el entorno de la empresa. Luego, cambia el nombre visible de la cuenta comprometida por el del ejecutivo objetivo, inserta la foto obtenida vía OSINT y comienza a contactar a los empleados desde el propio tenant. Es precisamente esto lo que hace que el vector sea tan peligroso: en este caso, el mensaje no muestra ningún indicador de origen externo. Para quien lo recibe, la comunicación parece completamente legítima, originada dentro de la propia organización, sin ninguna señal visual de advertencia.
El texto inicial suele adoptar un lenguaje formal, simulando una comunicación corporativa. En muchos casos, el falso ejecutivo abre la conversación preguntando si el empleado está en la oficina y si tiene alguna actividad importante que hacer pronto.
Una vez obtenidas las respuestas, el delincuente solicita capturas de pantalla con información sobre el capital de trabajo disponible en las cuentas de la empresa y luego solicita enviar transacciones a cuentas bajo su control. Toda la secuencia está diseñada para mantener a la víctima dentro de un flujo de aparente normalidad, sin dejar lugar a cuestionamientos.
El motor detrás del Fraude del CEO suele ser financiero, y esto explica tanto la elección de las víctimas como las solicitudes realizadas. En los casos más frecuentes, el delincuente solicita la compra de tarjetas de regalo o la transferencia de fondos de las cuentas corporativas a cuentas que él controla. Para reforzar la presión, es común que afirmen que se trata de un pago pendiente, urgente o confidencial, una combinación que aumenta la posibilidad de que la víctima actúe por impulso e ignore los procedimientos internos.
La sensación de intimidación por tratar con la alta dirección, sumada a la urgencia fabricada, es lo que lleva al empleado a eludir los controles que, en una situación normal, se seguirían.
En otros casos, el objetivo cambia de figura: en lugar de dinero, el estafador induce a la víctima a ejecutar archivos maliciosos capaces de robar credenciales o conceder acceso remoto a los sistemas internos. Esta variante está asociada con grupos cibercriminales más avanzados y ha sido mapeada desde 2020.
El impacto potencial, por lo tanto, va más allá de la pérdida financiera inmediata. Un ataque exitoso puede comprometer la integridad financiera y operativa de la organización, especialmente cuando la puerta de entrada es una cuenta interna legítima.
La buena noticia es que, debido a que se basa en fallas de configuración y conciencia, el Fraude del CEO vía Teams se puede combatir con medidas concretas. En el plano técnico, la recomendación es restringir la federación y cualquier comunicación con dominios externos, reemplazando la configuración abierta por una lista de dominios de socios autorizados, o deshabilitar el acceso externo por completo si no es necesario.
Reforzar la visualización de la etiqueta “Externo” en todas las comunicaciones que provienen de fuera del tenant y capacitar a los usuarios para reconocerla es igualmente importante.
El cuidado de las cuentas de servicio merece especial atención. Es conveniente realizar un inventario completo, identificar a los responsables, eliminar las cuentas obsoletas y revisar los permisos. Donde sea factible, se debe aplicar autenticación multifactor y Acceso Condicional a las cuentas donde el MFA no se pueda implementar sin impacto operativo, además de restringir el acceso a direcciones IP y dispositivos autorizados.
Monitorear los cambios en los nombres para mostrar, especialmente de las cuentas de servicio, ayuda a detectar la preparación para este tipo de ataque, y eliminar las licencias de Teams de las cuentas no humanas ayuda a reducir la superficie de ataque.
En el plano de los procesos y la concientización, la defensa más eficaz es establecer un protocolo de verificación fuera de banda. Toda solicitud de pago, transferencia o acción sensible recibida por Teams, WhatsApp o correo electrónico debe ser confirmada por un segundo canal antes de ser ejecutada, independientemente de la identidad aparente de quien la solicita. A esto se suma una capacitación específica sobre el Fraude del CEO con ejemplos prácticos de abordajes vía Teams, una política clara que comunique que las solicitudes legítimas de la alta dirección nunca eluden los procedimientos internos, y un monitoreo continuo de la exposición de ejecutivos y empleados en fuentes abiertas.
Ante el aumento de la incidencia y la evolución de las tácticas, el Fraude del CEO dejó de ser una amenaza puntual para consolidarse como un vector prioritario. Y, como el punto débil explotado es la confianza depositada en canales y personas, la defensa debe comenzar exactamente donde apunta el ataque: en la capacidad del empleado para reconocer la señal de alerta que el delincuente apuesta a que será ignorada.