Durante meses, los estafadores se han aprovechado de una laguna jurídica que les permite enviar correos electrónicos no deseados desde una dirección de correo electrónico interna de Microsoft que normalmente se utiliza para enviar alertas de cuentas legítimas.
No está claro cómo los estafadores están abusando del sistema, pero han podido configurar nuevas cuentas de Microsoft como si fueran nuevos clientes y usar ese acceso para enviar correos electrónicos supuestamente del propio gigante tecnológico, lo que podría engañar a las personas haciéndoles pensar que estos correos electrónicos pueden ser genuinos.
Microsoft todavía no parece haber solucionado el problema.
La semana pasada, recibí varios correos electrónicos estructurados de manera similar que contenían líneas de asunto y enlaces web a sitios fraudulentos de Microsoft en diferentes cuentas de correo electrónico. Estos correos electrónicos toscamente elaborados fueron enviados desde msonlineservicesteam@microsoftonline.comuna cuenta de correo electrónico que Microsoft utiliza para enviar notificaciones importantes a los usuarios, como códigos de autenticación de dos factores y otras alertas críticas sobre su cuenta en línea.
Algunas de las líneas de asunto de estos correos electrónicos se parecían a correos electrónicos oficiales que alertarían a los usuarios sobre transacciones fraudulentas, mientras que otros correos electrónicos afirmaban tener un mensaje privado esperando al destinatario en una dirección web mencionada en el cuerpo del correo electrónico.
En una publicación social el martes, la organización antispam sin fines de lucro, The Spamhaus Project, dijo que también había visto cómo se abusaba de la dirección de correo electrónico de notificación de la cuenta de Microsoft para enviar spam, y que la actividad se remontaba a «varios meses».
«Los sistemas de notificación automatizados no deberían permitir este nivel de personalización», escribió Spamhaus. La organización sin fines de lucro agregó que notificó a Microsoft sobre el problema.
Cuando TechCrunch lo contactó a principios de esta semana, un portavoz de Microsoft reconoció nuestra consulta, pero aún no ha comentado ni dicho si la compañía ha detenido el abuso de su correo electrónico de notificación de cuenta.
Este es el último de una serie de incidentes en los que piratas informáticos o estafadores han abusado de los sistemas de la empresa para engañar a clientes desprevenidos en los últimos meses. A principios de este año, los piratas informáticos irrumpieron en una plataforma utilizada por la empresa de tecnología financiera Betterment para enviar notificaciones fraudulentas que pretendían triplicar el valor de cualquier criptografía que enviaran los usuarios, una estafa ampliamente conocida utilizada para robar las criptomonedas de las personas.
En 2023, los piratas informáticos abusaron de manera similar del acceso a una cuenta de correo electrónico administrada por Namecheap para enviar correos electrónicos de phishing destinados a robar las credenciales de las personas.
Otros usuarios que comentan en las redes sociales dicen que las direcciones de correo electrónico de otras empresas también se utilizan para enviar spam, lo que sugiere que el problema no se limita a Microsoft.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
