Cloud Ciberseguridad Inteligencia Artificial Big Data IoT Agrotech Entrevistas PAÍSES

análisis

Cómo funciona el phishing en SharePoint que imita documentos y pedidos de firma

Home Ciberseguridad
Dirección copiada

Se apoya en correos que simulan documentos financieros y pedidos de firma alojados en servicios legítimos, una táctica que explota la confianza en plataformas corporativas. Investigadores de Check Point detectaron una campaña que envió más de 40.000 correos maliciosos contra 6.100 empresas en solo dos semanas.

Publicado el 9 de feb de 2026
Tomás Modini

Periodista experto en tecnología B2B

El phishing en SharePoint apuntó sobre todo a organizaciones ubicadas en Estados Unidos, Europa, Canadá, Asia-Pacífico y Oriente Medio
El phishing en SharePoint se apoya en una situación habitual para organizaciones y usuario

El phishing en SharePoint se apoya en una situación habitual para organizaciones y usuarios: te llegan documentos financieros, contratos o pedidos de firma a través de plataformas digitales conocidas. En un escenario en el que el intercambio de archivos y la aprobación de transacciones pasó a formar parte de la operatoria diaria, los ciberdelincuentes encuentran una oportunidad clara para ocultar ataques detrás de notificaciones que parecen legítimas

En ese marco, investigadores de seguridad de correo electrónico de Check Point detectaron una campaña que aprovechó esa lógica y usó servicios confiables como señuelo para distribuir enlaces maliciosos.

Infografía que detalla cómo los ciberdelincuentes aprovechan el intercambio habitual de archivos y firmas en plataformas digitales para ocultar ataques de phishing tras notificaciones de contratos y documentos financieros aparentemente legítimos.
Los atacantes explotan la normalización de los procesos digitales para insertar amenazas que se mimetizan con la actividad operativa cotidiana de las organizaciones.

¿Cómo funciona el phishing en SharePoint que imita servicios de firma electrónica?

El esquema que identificó Check Point se basa en la suplantación de servicios de intercambio de archivos y firma electrónica que se usan de manera habitual en banca, bienes raíces, seguros y operaciones comerciales. Los atacantes envían correos electrónicos con temática financiera que simulan notificaciones legítimas, como pedidos de revisión o de firma de documentos.

Durante esta campaña, circularon más de 40.000 correos electrónicos de phishing dirigidos a alrededor de 6.100 empresas en un período de dos semanas. Los mensajes incluyen enlaces que aparentan llevar a documentos alojados en plataformas confiables. Para reforzar esa percepción, los atacantes canalizan los enlaces a través de dominios conocidos, lo que reduce la sospecha inicial de quienes los reciben.

Los correos replican elementos visuales oficiales, como logotipos de Microsoft y productos de Office, además de encabezados, pies de página y botones de “revisar documento” similares a los originales. También falsifican los nombres que figuran como remitentes, con formatos que imitan notificaciones reales, lo que refuerza la apariencia de legitimidad del mensaje.

¿Por qué el phishing en SharePoint logra evadir filtros y generar confianza?

Una de las claves del phishing en SharePoint que detectó Check Point radica en el uso indebido de la función de reescritura de enlaces seguros de Mimecast. Los atacantes aprovechan esta herramienta como una cortina de humo para que las URL parezcan seguras y autenticadas. Al tratarse de un dominio de confianza, los enlaces tienen más posibilidades de superar los filtros automáticos de seguridad.

En esta campaña, todos los enlaces maliciosos se redirigen a través de una infraestructura legítima, lo que imita flujos de redireccionamiento habituales dentro de las empresas. Esta técnica reduce las alertas automáticas y también la desconfianza de los usuarios, que muchas veces asocian esos dominios con mecanismos de protección.

El resultado es un correo que, a simple vista, mantiene coherencia visual y técnica con comunicaciones reales. La combinación de dominios confiables, un diseño cuidado y un lenguaje alineado con notificaciones auténticas aumenta la efectividad del ataque y dificulta su detección temprana.

¿Qué diferencias presenta la variante de phishing en SharePoint al estilo DocuSign?

Además de la campaña principal vinculada a SharePoint y a servicios de firma electrónica, los investigadores detectaron una operación asociada que imita notificaciones de DocuSign. Aunque el objetivo es el mismo, el mecanismo de redireccionamiento presenta diferencias relevantes.

En la campaña principal, la redirección secundaria funciona como una redirección abierta. La URL final de phishing queda visible dentro de la cadena de consulta, incluso cuando aparece protegida por servicios de confianza. La variante que simula a DocuSign, por su parte, utiliza una secuencia distinta: el enlace pasa primero por una URL de Bitdefender GravityZone y luego por el servicio de seguimiento de clics de Intercom.

📚 Cómo usar SHAREPOINT para gestionar tu Equipo y tu Negocio 💻 Productividad en Microsoft 365 🟧

En este caso, la página de destino real queda completamente oculta detrás de una redirección tokenizada. Esta técnica impide que veas la URL final y vuelve a esta variante más difícil de detectar. Según el análisis de Check Point, este método eleva el nivel de sigilo del ataque y complica la identificación manual del destino malicioso.

¿A qué sectores apunta el phishing en SharePoint y qué medidas recomienda Check Point?

El phishing en SharePoint apuntó sobre todo a organizaciones ubicadas en Estados Unidos, Europa, Canadá, Asia-Pacífico y Oriente Medio. Los datos de telemetría de correo electrónico Harmony de Check Point muestran una mayor concentración en Estados Unidos, seguido por Europa y Canadá, con casos también en Asia, Australia y Oriente Medio.

Por sector, los ataques impactaron con más fuerza en empresas de consultoría, tecnología y construcción e inmobiliario. También se registraron víctimas en salud, finanzas, manufactura, medios de comunicación y marketing, transporte y logística, energía, educación, comercio minorista, hotelería, viajes y administración pública.

Se trata de rubros que intercambian contratos, facturas y documentación financiera de manera habitual, lo que hace más creíbles los señuelos basados en el envío de archivos y en pedidos de firma electrónica.

Sectores y regiones a las que apunta el phishing

RegiónPaísSector afectadoNivel de impactoFuente
América del NorteEstados UnidosConsultoríaAltoSharePoint
América del NorteCanadáTecnologíaAltoSharePoint
EuropaVarios (Región)Construcción e InmobiliarioAltoSharePoint
América del NorteEstados UnidosMedios de comunicación y MarketingMedioSharePoint
Asia-PacíficoAustraliaSaludMedioSharePoint
Asia-PacíficoVarios (Región)FinanzasMedioSharePoint
Oriente MedioVarios (Región)ManufacturaMedioSharePoint
EuropaVarios (Región)Transporte y LogísticaMedioSharePoint
AsiaVarios (Región)EnergíaBajoSharePoint
GlobalVariosEducaciónBajoSharePoint
GlobalVariosComercio minoristaBajoSharePoint
GlobalVariosHotelería y ViajesBajoSharePoint
GlobalVariosAdministración públicaBajoSharePoint

Frente a este escenario, Check Point recomienda adoptar medidas preventivas tanto a nivel organizacional como individual. Entre ellas, prestar atención a los enlaces que llegan en correos electrónicos inesperados, revisar si existen discrepancias entre el nombre visible del remitente y la dirección real, y detectar inconsistencias en el formato o en la calidad visual del mensaje.

También sugiere que inspecciones los enlaces antes de hacer clic, que ingreses a los servicios directamente desde el navegador en lugar de usar vínculos incluidos en correos y que participes de capacitaciones periódicas sobre nuevas técnicas de phishing. A esto se suma la importancia de contar con soluciones de seguridad que incluyan detección de amenazas en correo electrónico, motores antiphishing, filtrado de URL y herramientas de reporte para los usuarios.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Tomás Modini
Periodista experto en tecnología B2B
Tomás Modini es un periodista y redactor que se especializa en la creación de contenido B2B sobre innovación tecnológica. Actualmente, se desempeña como Redactor SEO en Innovación Digital 360 y como Redactor para Nextwork360 Latam. Su trabajo se centra en el análisis de las grandes tendencias de transformación digital para audiencias empresariales en Argentina y LATAM. Modini cubre temas complejos como IA Agéntica y AIOps, basándose en investigación, cobertura de conferencias y entrevistas con líderes del sector.
Sígame en

Leer también:

Temas

Canales

Artículos relacionados

  • Herramientas de Google.

  • Análisis en profundidad

    Herramientas de Google: Impulsa tu negocio con IA

    22 Sep 2025

    Compartir
  • Fernando Arrieta y la auditoría del futuro

  • columna de opinión

    La auditoría del futuro: Del cumplimiento documental al control en tiempo real

    23 Dic 2025

    Compartir
  • mSpy es la solución ideal para los desafíos de la paternidad en el siglo XXI.

  • Especiales

    mSpy: cómo lograr un monitoreo de dispositivos fácil y seguro

    14 Nov 2025

    Compartir
  • Los robots son máquinas programables capaces de realizar una serie de acciones/actividades complejas a la par de (o más bien con) un ser humano.

  • Especial

    Robots en la industria: cómo transforman la productividad

    17 Oct 2025

    Compartir
  • Placa electrónica con microchips y circuitos que ilustran la importancia del firmware en el equipamiento de red.

  • Análisis

    Firmware: ¿Es seguro en tu equipamiento de red?

    25 Sep 2025

    Compartir
  • Dron volando sobre campo agrícola en Argentina para monitoreo y aplicación precisa de insumos, destacando la adopción de drones en el agro.

  • ESPECIALES

    Drones en el agro: cómo la tecnología cambia la forma de producir en Argentina

    20 Nov 2025

    Compartir