Hackers usan falsa inscripción de passkey para robar acceso Microsoft 365

Ciberdelincuentes suplantan el proceso de registro de passkey de Microsoft Entra mediante llamadas de voz falsas. Conoce cómo evitar el robo de acceso a M365.

11 jul 2026 • 5 min de lectura • Equipo Q2BSTUDIO

Suplantación de inscripción de passkey mediante llamadas falsas

Una nueva campaña de ciberataques está sacudiendo la seguridad empresarial: un actor de amenazas conocido como O-UNC-066 ha puesto en marcha un sofisticado phishing que utiliza llamadas de voz falsas para engañar a usuarios de Microsoft 365 y robar su acceso mediante una inscripción fraudulenta de passkeys. Este método, que combina ingeniería social con un kit de phishing controlado por panel, representa una evolución peligrosa en las tácticas de extorsión de datos. Las organizaciones de múltiples sectores ya han sido blanco de esta amenaza, lo que subraya la necesidad de reforzar las estrategias de ciberseguridad y adoptar soluciones técnicas avanzadas.

El ataque comienza cuando un usuario recibe una llamada telefónica aparentemente legítima de soporte técnico, solicitando que verifique su identidad mediante la inscripción de un nuevo passkey en Entra, el servicio de identidad de Microsoft 365. La víctima es dirigida a un sitio web fraudulento que imita la interfaz de registro de passkeys, donde ingresa sus credenciales y el código de verificación generado por su aplicación autenticadora. En realidad, el kit de phishing captura toda la información y permite al atacante hacerse con el control total de la cuenta, incluso superar la autenticación multifactor (MFA). Una vez dentro, el actor amenaza con filtrar datos sensibles a menos que se pague un rescate.

Lo inquietante de este esquema es que explota la confianza que los empleados tienen en los métodos de seguridad modernos. Los passkeys, diseñados para reemplazar las contraseñas tradicionales con claves criptográficas más seguras, se convierten en un vector de ataque cuando el proceso de inscripción es manipulado. Los atacantes no necesitan vulnerar la infraestructura técnica; simplemente engañan a las personas. Por eso, la ciberseguridad no puede basarse únicamente en herramientas tecnológicas; debe incluir una cultura de concienciación y formación continua.

Desde una perspectiva empresarial, las consecuencias de un ataque exitoso van más allá de la pérdida de datos. La extorsión puede paralizar operaciones, dañar la reputación y generar costos legales y regulatorios. Las compañías que dependen de Microsoft 365 para su comunicación y colaboración interna deben evaluar sus riesgos. Una estrategia de defensa en profundidad incluye la segmentación de redes, la implementación de políticas de acceso condicional, el monitoreo continuo de sesiones sospechosas y, sobre todo, la adopción de soluciones de ciberseguridad personalizadas que se adapten a las necesidades específicas de cada organización.

Aquí es donde empresas como Q2BSTUDIO ofrecen un valor diferencial. Como especialistas en desarrollo de software a medida y consultoría tecnológica, entienden que la seguridad no es un producto estándar, sino un proceso dinámico. Sus servicios de ciberseguridad y pentesting permiten identificar vulnerabilidades antes de que los atacantes las exploten, simulando ataques reales como el phishing de passkeys para evaluar la postura defensiva de la empresa. Además, integran inteligencia artificial para analizar patrones de comportamiento y detectar anomalías en tiempo real, anticipándose a amenazas emergentes.

La amenaza de O-UNC-066 también pone de relieve la importancia de los servicios cloud AWS y Azure en la estrategia de seguridad. Las organizaciones que migran a la nube deben configurar correctamente sus entornos, aplicar parches de seguridad y usar herramientas nativas como Microsoft Entra ID Protection. Q2BSTUDIO ofrece servicios cloud AWS y Azure que incluyen arquitecturas seguras, automatización de políticas y monitoreo continuo, reduciendo la superficie de ataque. Combinado con sus soluciones de inteligencia de negocio, como Power BI, las empresas pueden visualizar métricas de seguridad y tomar decisiones informadas basadas en datos.

La inteligencia artificial para empresas está revolucionando la ciberseguridad. Los agentes IA pueden analizar grandes volúmenes de registros, identificar comportamientos inusuales y responder automáticamente a incidentes, como bloquear una sesión sospechosa o forzar un cambio de contraseña. Q2BSTUDIO desarrolla aplicaciones a medida que integran estos agentes en los flujos de trabajo de TI, permitiendo una defensa proactiva sin depender exclusivamente de recursos humanos. Por ejemplo, un agente IA podría detectar que un usuario está siendo redirigido a una URL falsa de passkey y alertar al equipo de seguridad en milisegundos.

Para las empresas que aún no han adoptado una estrategia de ciberseguridad integral, este es el momento de actuar. La formación de los empleados debe incluir simulacros de phishing avanzados, como los que utilizan llamadas de voz (vishing). También es recomendable implementar políticas de acceso condicional que exijan verificación adicional para tareas sensibles, como la inscripción de passkeys. Asimismo, el uso de aplicaciones a medida para gestionar identidades y accesos puede cerrar brechas que los sistemas genéricos no cubren.

Desde el punto de vista técnico, la autenticación sin contraseñas es el futuro, pero su adopción debe hacerse con cuidado. Los administradores de TI deben auditar periódicamente los métodos de inscripción de passkeys, revisar los registros de actividad de Entra y configurar alertas ante intentos de registro desde ubicaciones o dispositivos no habituales. Las herramientas de seguridad basadas en inteligencia artificial, como las que ofrece Q2BSTUDIO, pueden automatizar estas revisiones y reducir la carga del equipo de TI.

En conclusión, la campaña de O-UNC-066 es un recordatorio de que los ciberdelincuentes evolucionan constantemente, aprovechando las nuevas tecnologías para engañar a los usuarios. Las empresas deben invertir en una ciberseguridad multicapa que combine tecnología, procesos y personas. Colaborar con socios tecnológicos como Q2BSTUDIO, que ofrecen desde servicios de inteligencia de negocio hasta agentes IA y desarrollo de software a medida, permite construir defensas robustas y adaptables. No se trata solo de protegerse contra la amenaza actual, sino de anticiparse a las que vendrán. La seguridad es un viaje, no un destino, y cada paso cuenta.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.