Una campaña de phishing documentada por investigadores de seguridad en junio de 2026 ha llamado la atención no porque rompa la autenticación de correo electrónico, sino porque no necesita hacerlo. El kit de phishing CodeStorm – una plataforma de ataque de nivel comercial con superposiciones técnicas al grupo de actores de amenaza Storm-1167 – construye su cadena de ataque sobre cuentas comprometidas de Microsoft 365. Los correos que envía no suplantan un dominio. Provienen de una identidad M365 real y activa. SPF pasa. DKIM pasa. DMARC pasa. Cada puerta de autenticación queda libre, y el correo sigue siendo un arma.
Esta es la clase de ataque que las organizaciones menos comprenden cuando despliegan DMARC y creen que el trabajo está hecho.
Qué Hace CodeStorm
El kit CodeStorm opera en dos fases distintas. En la primera, el kit recolecta credenciales de Microsoft 365 a través de una página de phishing clásica de adversario en el medio. La víctima ve lo que parece una conocida pantalla de inicio de sesión de Microsoft. Introduce sus credenciales y completa cualquier desafío de autenticación multifactor. El kit captura tanto las credenciales como el token de sesión emitido tras la autenticación exitosa.
Con una cuenta M365 real bajo control del atacante, comienza la segunda fase. El atacante usa esa cuenta comprometida como identidad remitente para campañas de phishing posteriores. Dado que la cuenta remitente es una identidad genuina y activa de Microsoft 365 alojada en la propia infraestructura de correo de Microsoft, cada señal de autenticación que verifica un servidor de correo receptor devuelve un resultado limpio.
Los investigadores señalaron la capacidad específica del kit para la repetición de credenciales con conciencia del inquilino: la infraestructura sondea el inquilino específico de Microsoft de la víctima, repite las credenciales contra los sistemas de identidad en vivo de Microsoft en tiempo real, y monitorea las señales de éxito incluidos los códigos de error de inicio de sesión de Entra. El objetivo no es solo el robo de credenciales sino el acceso funcional a la cuenta que pueda sostener una operación de envío continua.
Por Qué DMARC No Puede Ver Esto
DMARC responde a una pregunta: ¿el dominio en el encabezado From está alineado con el dominio que autenticó el mensaje mediante SPF o DKIM?
Cuando un atacante envía desde una cuenta M365 comprometida en empresa-victima.com, la respuesta es sí. El correo se origina en los servidores de correo de Microsoft. Los registros SPF de Microsoft autorizan esos servidores. La infraestructura de firma DKIM de Microsoft firma el mensaje. La dirección From coincide con el dominio autenticado. DMARC evalúa todo esto y emite un pase.
No hay ninguna mala configuración, ninguna suplantación, ningún fallo de alineación. La autenticación es correcta porque la cuenta subyacente es real. DMARC fue diseñado para evitar que partes no autenticadas afirmen falsamente tu dominio. No tiene ningún mecanismo para detectar que la parte autenticada que envía desde tu dominio ha sido tomada por alguien más.
Esto no es un defecto en el diseño de DMARC. Es el límite de lo que la autenticación a nivel de dominio es estructuralmente capaz de determinar.
El Señuelo de Correo de Voz y la Pila de Evasión
El kit CodeStorm entrega su carga útil de phishing a través de un señuelo de notificación de correo de voz: un correo formateado que imita una comunicación genuina de Microsoft, incluyendo una duración de llamada, un ID de referencia y un botón etiquetado para abrir un portal de correo de voz. El diseño visual es indistinguible de una notificación empresarial legítima.
Debajo del contenido visible, el kit agrega un largo bloque de contenido ficticio de hilos de correo históricos, una técnica llamada relleno de conversación. Los escáneres automáticos de contenido que clasifican los mensajes basándose en el contexto del hilo ven lo que parece una conversación de negocios en curso, lo que reduce la probabilidad de una clasificación de spam o phishing.
Cuando el destinatario hace clic para recuperar el correo de voz, se encuentra con una página de destino protegida por un desafío de Cloudflare Turnstile que bloquea las herramientas de análisis automatizado. La página verifica activamente las herramientas de desarrollo del navegador y las señales de automatización, y termina la sesión si las detecta. La página que ve un humano y la página que ve un escáner son entornos diferentes.
El controlador de envío de credenciales no almacena las credenciales de forma pasiva. Las repite contra la infraestructura de autenticación de Microsoft en tiempo real, produciendo eventos de inicio de sesión genuinos en el registro de auditoría de Entra de la víctima. Desde la perspectiva de los sistemas de Microsoft, un usuario legítimo se autenticó desde una ubicación desconocida.
Lo Que el Phishing por Toma de Control de Cuentas Significa para la Entregabilidad y la Confianza
Las implicaciones van más allá de la seguridad. CodeStorm y campañas similares basadas en toma de control de cuentas degradan la reputación de los dominios de envío legítimos.
Cuando una cuenta M365 comprometida envía phishing a escala, los proveedores de destinatarios observan un cambio repentino en el patrón de envío de ese dominio: destinatarios diferentes, volúmenes inusuales, contenido que genera quejas de spam. Esas señales alimentan los sistemas de reputación del remitente. Un dominio que ha sido utilizado como vehículo de phishing – incluso a través de una cuenta comprometida en lugar de una suplantada – puede ver su entregabilidad a los principales proveedores dañada incluso después de que la cuenta se recupera y la amenaza se elimina.
Las organizaciones que no monitorean su comportamiento de correo saliente no tienen forma de saber si una cuenta comprometida ha comenzado a enviar desde su dominio hasta que los proveedores de destinatarios empiezan a diferir o rechazar su correo legítimo. Para entonces, el daño a la reputación ya se está acumulando.
Las Señales Que Pueden Detectar Esto
Dado que DMARC no puede distinguir el envío legítimo del envío por toma de control de cuenta, otras clases de señales deben hacer ese trabajo.
Anomalías de inicio de sesión en Entra. Cuando CodeStorm repite las credenciales contra el inquilino de una víctima, genera eventos de auditoría de Entra. Geografías de inicio de sesión inusuales, horarios de inicio de sesión que no coinciden con los patrones del titular de la cuenta, y huellas digitales de dispositivos diferentes de los dispositivos inscritos son todos visibles en los registros de Entra. Las organizaciones que monitorean estas señales pueden detectar el compromiso de la cuenta antes de que comience la fase de envío.
Líneas de base de comportamiento de envío. Aumentos repentinos en el volumen de salida de una cuenta específica, envíos a destinatarios fuera del gráfico de contactos normal de la organización, y picos en tasas de rebote o quejas de spam son señales de comportamiento que se sitúan por encima de la capa de autenticación. Los informes agregados de DMARC te muestran qué fuentes están enviando en nombre de tu dominio. Una fuente que no estaba la semana pasada – o una fuente existente que ha cambiado dramáticamente su comportamiento – es una señal que vale la pena investigar.
Informes forenses de DMARC. Mientras que los informes agregados RUA muestran el volumen de envíos y las tasas de acierto/fallo por fuente, los informes forenses RUF pueden incluir muestras de mensajes de eventos fallidos. Incluso cuando una campaña de toma de control de cuenta pasa la autenticación, la aparición repentina de envíos desde infraestructura en la nube que no está en tu conjunto esperado de fuentes aparece en los datos del informe agregado.
Reglas de bandeja de entrada posteriores al compromiso. Después de obtener acceso a la cuenta, los atacantes frecuentemente crean reglas de bandeja de entrada para reenviar el correo entrante o suprimir las notificaciones de entrega. Estas reglas son visibles en los registros de auditoría de M365 y sirven como indicador secundario de compromiso de cuenta.
Los Cimientos de DMARC Siguen Importando
Nada de esto es un argumento en contra de la aplicación de DMARC. Es un argumento para entender qué compra la aplicación de DMARC.
Un dominio en p=reject evita que atacantes externos – aquellos sin acceso a tu infraestructura o una cuenta comprometida – envíen correo que afirme ser de tu dominio. Esa protección elimina la mayoría de los ataques de suplantación de dominio. El Informe de Adopción de DMARC 2026 de EasyDMARC encontró que el 52,1% de los 1,8 millones de dominios principales ahora tienen un registro DMARC, frente al 47,7% el año anterior. Pero más de la mitad de esos registros permanecen en p=none, la política solo de monitoreo que no detiene nada. Llegar a p=reject sigue siendo el primer paso más impactante que la mayoría de las organizaciones pueden dar.
Lo que CodeStorm demuestra es que p=reject es un piso, no un techo. Una organización que ejecuta DMARC a nivel de aplicación elimina la suplantación de partes externas. No elimina el riesgo de que una cuenta interna se comprometa y se weaponize. Ambas protecciones son necesarias. Ninguna sustituye a la otra.
Las organizaciones que equiparan “tenemos DMARC” con “nuestro correo está seguro” se están preparando para una sorpresa específica: phishing autenticado desde su propio dominio, que pasa cada verificación y no enfrenta ninguna fricción de entrega.
Qué Hacer Ahora
Si tu dominio envía correo electrónico, hay tres cosas que vale la pena verificar esta semana.
Primero, verifica que tu política DMARC esté en p=quarantine o p=reject. Si todavía estás en p=none, cualquier actor externo que quiera suplantar tu dominio puede hacerlo libremente.
Segundo, revisa tus informes agregados DMARC en busca de fuentes de envío inesperadas. Cualquier rango de IP o servicio de correo que no esté en tu infraestructura de envío conocida enviando en tu nombre es un problema, ya sea que indique un servicio mal configurado que olvidaste autorizar o un atacante que usa acceso comprometido.
Tercero, establece una línea base para el comportamiento de envío saliente de tus cuentas M365. Sabe cómo se ve el volumen normal, los destinatarios normales y la geografía normal para cada cuenta. Cuando CodeStorm o un kit similar se apodera de una cuenta, la desviación conductual de esa línea base es la señal que tienes.
Excello Mail te da visibilidad continua de los informes DMARC de tu dominio, las fuentes de envío y la configuración de autenticación en todos tus flujos de correo electrónico. Regístrate gratis en Excello Mail y sabe exactamente qué está enviando desde tu dominio, antes de que una cuenta comprometida te lo diga primero.