Los investigadores encontraron un complemento malicioso de Microsoft Outlook que fue capaz de robar 4000 credenciales de cuentas de Microsoft, números de tarjetas de crédito y respuestas de seguridad bancaria.
¿Cómo es posible que la tienda de complementos de Microsoft Office haya dejado de incluir un complemento que cargaba silenciosamente un kit de phishing en la barra lateral de Outlook?
Un desarrollador lanzó un complemento llamado AgreeTo, una herramienta de código abierto para programar reuniones con una Chrome . Era una herramienta muy popular, pero en algún momento su desarrollador la abandonó, su URL de backend en Vercel caducó y, posteriormente, un atacante reclamó esa misma URL.
Esto requiere cierta explicación. Los complementos de Office son esencialmente manifiestos XML que indican a Outlook que cargue una URL específica en un iframe. Microsoft revisa y firma el manifiesto una vez, pero no supervisa continuamente lo que esa URL ofrece posteriormente.
Así pues, cuando el subdominio outlook-one.vercel.app quedó libre para su reclamación, un ciberdelincuente aprovechó la oportunidad para hacerse con él y abusar de los potentes permisos ReadWriteItem solicitados y aprobados en 2022. Estos permisos significaban que el complemento podía leer y modificar el correo electrónico de un usuario cuando se cargaba. Los permisos eran adecuados para un programador de reuniones, pero el delincuente los utilizó con un fin diferente.
Aunque Google eliminó la Chrome inactiva en febrero de 2025, el complemento de Outlook siguió apareciendo en la tienda Office Store de Microsoft, aún apuntando a una URL de Vercel que ya no pertenecía al desarrollador original.
Un atacante registró ese subdominio de Vercel e implementó un sencillo kit de phishing de cuatro páginas que consistía en un inicio de sesión falso de Microsoft, recopilación de contraseñas, exfiltración de datos basada en Telegram y un redireccionamiento al sitio real login.microsoftonline.com.
Lo que hizo que esto funcionara fue sencillo y eficaz. Cuando los usuarios abrían el complemento, veían lo que parecía un inicio de sesión normal de Microsoft dentro de Outlook. Introducían sus credenciales, que se enviaban a través de una función JavaScript al bot de Telegram del atacante junto con los datos de IP, y luego se redirigían al inicio de sesión real de Microsoft, por lo que nada parecía sospechoso.
Los investigadores pudieron acceder al canal de exfiltración basado en Telegram del atacante, que estaba mal protegido, y recuperaron más de 4000 conjuntos de credenciales de cuentas de Microsoft robadas, además de datos bancarios y de pago, lo que indica que la campaña estaba activa y formaba parte de una operación de phishing multimarca más amplia.
«El mismo atacante opera al menos 12 kits de phishing distintos, cada uno de los cuales se hace pasar por una marca diferente: proveedores de servicios de Internet, bancos y proveedores de correo web canadienses. Los datos robados incluían no solo credenciales de correo electrónico, sino también números de tarjetas de crédito, CVV, PIN y respuestas de seguridad bancaria utilizadas para interceptar pagos de Interac e-Transfer. Se trata de una operación de phishing profesional y multimarca. El complemento de Outlook era solo uno de sus canales de distribución».
Qué hacer
Si utiliza o ha utilizado alguna vez el complemento AgreeTo después de mayo de 2023:
- Asegúrate de que se haya eliminado. Si no es así, desinstala el complemento.
- Cambia la contraseña de tu cuenta de Microsoft.
- Si esa contraseña (o variantes similares) se reutilizó en otros servicios (correo electrónico, banca, SaaS, redes sociales), cámbielas también y haga que cada una sea única.
- Revisa los inicios de sesión recientes y la actividad de seguridad de tu cuenta de Microsoft, buscando inicios de sesión desde ubicaciones o dispositivos desconocidos, o en horarios inusuales.
- Revise otra información confidencial que pueda haber compartido por correo electrónico.
- Revisa tu buzón de correo en busca de indicios de uso indebido: mensajes que no has enviado, reglas de reenvío automático que no has creado o correos electrónicos de restablecimiento de contraseña para otros servicios que no has solicitado.
- Revise atentamente los extractos de pago durante al menos los próximos meses, especialmente los pequeños cargos «de prueba» y las transferencias electrónicas inesperadas o las transacciones sin presencia física de la tarjeta, y reclame inmediatamente cualquier movimiento sospechoso.
No solo informamos sobre amenazas, sino que ayudamos a proteger toda tu identidad digital.
Los riesgos de ciberseguridad nunca deben ir más allá de los titulares. Proteja su información personal y la de su familia utilizando la protección de identidad.
