{"id":334,"date":"2026-03-23T17:47:40","date_gmt":"2026-03-23T17:47:40","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/23\/una-campana-de-phishing-impulsada-por-ia-ha-comprometido-a-cientos-de-organizaciones\/"},"modified":"2026-03-23T17:47:40","modified_gmt":"2026-03-23T17:47:40","slug":"una-campana-de-phishing-impulsada-por-ia-ha-comprometido-a-cientos-de-organizaciones","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/23\/una-campana-de-phishing-impulsada-por-ia-ha-comprometido-a-cientos-de-organizaciones\/","title":{"rendered":"Una campa\u00f1a de phishing impulsada por IA ha comprometido a cientos de organizaciones"},"content":{"rendered":"
\n

A campa\u00f1a de phishing<\/a> vinculado al servicio de alojamiento en la nube de IA Railway ha dado a los piratas inform\u00e1ticos acceso a las cuentas en la nube de Microsoft para cientos de empresas, seg\u00fan investigadores de Huntress.<\/p>\n

Rich Mozeleski, gerente de producto del equipo de identidad de Huntress, dijo a CyberScoop que la campa\u00f1a est\u00e1 actualmente vinculada a un actor m\u00e1s peque\u00f1o y aproximadamente una docena de direcciones IP, pero ha logrado comprometer cientos de objetivos en las \u00faltimas semanas.<\/p>\n

A principios de marzo compromet\u00eda unas pocas docenas de objetivos por d\u00eda, pero a partir del 3 de marzo hubo un \u201caumento masivo\u201d en ese ritmo. Mozeleski dijo que, adem\u00e1s de ser m\u00e1s sofisticado de lo habitual, no se utilizaron correos electr\u00f3nicos ni dominios id\u00e9nticos, lo que llev\u00f3 a los investigadores a sospechar que pudieron haber sido generados a trav\u00e9s de herramientas de inteligencia artificial. Las plantillas iban desde se\u00f1uelos de correo electr\u00f3nico tradicionales hasta c\u00f3digos QR y sitios cooptados para compartir archivos.<\/p>\n

\u201cSolo la cantidad fue como si se hubiera abierto la Caja de Pandora, y la eficacia estaba por las nubes\u201d, dijo Mozeleski.<\/p>\n

\"Un<\/figure>\n

Un se\u00f1uelo de phishing de descarga de archivos personalizado utilizado en la campa\u00f1a. Los investigadores creen que los atacantes utilizaron IA para generar se\u00f1uelos \u00fanicos a escala. (Fuente: Cazadora)<\/em><\/p>\n

La campa\u00f1a de phishing explota el flujo de autenticaci\u00f3n de Microsoft para dispositivos como televisores inteligentes, impresoras y terminales, lo que le otorga al atacante tokens OAuth v\u00e1lidos para esa cuenta por hasta 90 d\u00edas sin necesidad de contrase\u00f1a o autenticaci\u00f3n multifactor.<\/p>\n

En \u00faltima instancia, Huntress ha visto a cientos de sus clientes caer en estafas de phishing, aunque afirman haber evitado la actividad posterior al compromiso en todos los casos. Pero tambi\u00e9n creen que sus clientes representan s\u00f3lo una peque\u00f1a fracci\u00f3n del probable conjunto total de v\u00edctimas, que podr\u00eda ascender a miles.<\/p>\n

Las entidades afectadas abarcan una variedad de sectores: empresas de construcci\u00f3n y comercio, bufetes de abogados, organizaciones sin fines de lucro, bienes ra\u00edces, manufactura, finanzas y seguros, atenci\u00f3n m\u00e9dica, gobierno y organizaciones de seguridad p\u00fablica se encontraban entre las 344 v\u00edctimas detalladas en el blog de Huntress.<\/p>\n

Para proteger a los clientes, Mozeleski dijo que Huntress emiti\u00f3 el mi\u00e9rcoles una actualizaci\u00f3n de la pol\u00edtica de acceso condicional a 60.000 inquilinos de la nube de Microsoft en correos electr\u00f3nicos provenientes de dominios Railway, un acto que describi\u00f3 como \u00abnada que hayamos hecho antes\u00bb.<\/p>\n

Armando la infraestructura codificada por vibraciones<\/h2>\n

Los investigadores creen que los atacantes estaban utilizando la plataforma como servicio de Railway, creada para ayudar a los no codificadores a crear sitios web y herramientas, para activar la infraestructura de recolecci\u00f3n de credenciales para la campa\u00f1a.<\/p>\n

Al utilizar dominios comprometidos y lanzar se\u00f1uelos personalizados, los correos electr\u00f3nicos de phishing evitan la mayor\u00eda de las soluciones comerciales de filtrado de correo electr\u00f3nico. No est\u00e1 claro si utilizaron la herramienta de inteligencia artificial de Railway o una separada para generar los se\u00f1uelos. De cualquier manera, todos los ataques que Huntress ha observado provienen de la infraestructura IP de Railway.com.<\/p>\n

En respuesta a las preguntas de CyberScoop el viernes, el ingeniero de soluciones ferroviarias Angelo Saraceno dijo que la compa\u00f1\u00eda est\u00e1 al tanto del incidente y Huntress se puso en contacto por primera vez el 6 de marzo con respecto al tr\u00e1fico de phishing que se origina desde una direcci\u00f3n IP espec\u00edfica y tres dominios. \u201cLas cuentas asociadas fueron prohibidas y los dominios bloqueados\u201d, dijo Saraceno.<\/p>\n

\u00abNuestras heur\u00edsticas est\u00e1n dise\u00f1adas para detectar correlaciones: tarjetas de cr\u00e9dito repetidas, fuentes de c\u00f3digo compartidas, infraestructura superpuesta\u00bb, escribi\u00f3 en un correo electr\u00f3nico. \u00abCuando una campa\u00f1a evita esas se\u00f1ales, llega m\u00e1s lejos de lo que nos gustar\u00eda\u00bb.<\/p>\n

Saraceno calific\u00f3 la detecci\u00f3n de fraudes de Railway como \u00abun equilibrio\u00bb entre atrapar a los malos actores y verse inundado de falsos positivos, se\u00f1alando un incidente<\/a> en febrero, cuando un ajuste en el sistema automatizado de control de abusos de la empresa provoc\u00f3 una interrupci\u00f3n del servicio del cliente.<\/p>\n

El viernes temprano, Mozeleski le dijo a CyberScoop que Huntress segu\u00eda viendo m\u00e1s de 50 compromisos por d\u00eda vinculados a dominios de phishing de Railway. Cuando se le pregunt\u00f3 qu\u00e9 m\u00e1s podr\u00eda haber hecho Railway para evitar el abuso de su plataforma, dijo que se podr\u00eda mejorar la investigaci\u00f3n y validaci\u00f3n del uso gratuito de su producto. Se\u00f1al\u00f3 productos con pruebas similares, como MailChimp y HubSpot, que cuentan con controles y supervisi\u00f3n para que los usuarios no puedan \u00abentrar en un mill\u00f3n de contactos y comenzar a enviar spam\u00bb.<\/p>\n

\u00abNo permitan que nadie entre, inicie una prueba, active recursos y comience a utilizar su infraestructura\u00bb para ataques cibern\u00e9ticos, dijo.<\/p>\n

Uno de los contrastes m\u00e1s sorprendentes de la campa\u00f1a fue el uso de la IA para crear una infraestructura de phishing similar a la de un actor de amenazas patrocinado por el estado o un grupo cibercriminal avanzado al servicio de una estafa de phishing com\u00fan y corriente.<\/p>\n

Esto refuerza las advertencias de los expertos en ciberseguridad de que los ciberdelincuentes de bajo nivel, a menudo llamados \u201cscript kiddies\u201d por su dependencia de herramientas de pirater\u00eda automatizadas, est\u00e1n preparados para convertirse en uno de los mayores beneficiarios de la era de la IA generativa. El mes pasado, John Hultquist, analista jefe del Threat Intelligence Group de Google, dijo que espera que las herramientas de inteligencia artificial ayuden a \u00ablos grupos cibercriminales m\u00e1s peque\u00f1os m\u00e1s que a los piratas inform\u00e1ticos patrocinados por el estado\u00bb. <\/p>\n

Los testimonios en el sitio web de Railway promocionan la capacidad del servicio para ofrecer \u00abescala autom\u00e1tica vertical lista para usar\u00bb, mientras que otro dijo que \u00abhace que la creaci\u00f3n de herramientas de terceros autohospedadas sea casi sin esfuerzo\u00bb.<\/p>\n

Tambi\u00e9n puede darles una ventaja sobre las organizaciones v\u00edctimas que tienen pol\u00edticas internas m\u00e1s restrictivas en torno al uso de la IA para la ciberdefensa.<\/p>\n

\u00abEstamos viendo a los delincuentes como los primeros impulsores de la IA\u00bb, dijo Prakash Ramamurthy, director de productos de Huntress. \u00abNo tienen ning\u00fan reparo en la PII, no tienen ning\u00fan reparo en el entrenamiento de modelos… y este incidente, simplemente por el ritmo al que ha evolucionado, es una especie de testimonio de ello\u00bb.<\/p>\n