Hoy en día nunca se sabe qué plataforma o sitio web están intentando penetrar los atacantes. Afortunadamente, existen excelentes empresas de ciberseguridad que vigilan todas estas fallas. Ahora, un nuevo informe de uno de ellos, investigación de puntos de controlMicrosoft Teams tiene múltiples fallos de seguridad detallados
En un informe Publicado ayer, Check Point Research detalla múltiples formas en que los atacantes pueden cambiar el contenido del chat, cometer fraude de identidad y robar nombres para mostrar. Esto eventualmente permite a los atacantes acceder a sus chats y cambiar conversaciones sin que los usuarios se den cuenta. Pensando en esto con el número activo de usuarios (320 millones), este es un hallazgo bastante revelador.
El informe señala que “editar mensajes invisibles” es una de las principales preocupaciones en el contexto de Microsoft Teams. Esto es lo que dice el informe sobre este error:
Al reutilizar identificadores únicos en los sistemas de mensajería del equipo, los atacantes pueden modificar el contenido de los mensajes enviados previamente, sin activar la etiqueta estándar “editado”. El resultado: una reescritura silenciosa de la historia. Las conversaciones delicadas pueden redactarse después del hecho, lo que erosiona la confianza en los registros y las decisiones.
El informe advierte a los usuarios sobre otra laguna que involucra notificaciones fraudulentas, donde las alertas parecen provenir de funcionarios conocidos. Puede consultar el ejemplo a continuación y leer lo que dice el informe sobre este problema:
Las notificaciones, ya sea en dispositivos móviles o de escritorio, están diseñadas para captar la atención inmediata. Check Point Research descubrió que los atacantes pueden manipular los campos de notificación para hacer que una alerta parezca provenir de un ejecutivo o colega de confianza.
La empresa de ciberseguridad también identificó una vulnerabilidad que “permite a un atacante cambiar el nombre que se muestra en una conversación de chat privada cambiando el tema de la conversación. Ambos participantes ven el tema cambiado como el nombre de la conversación, lo que potencialmente los confunde con el contexto de la conversación”.
Por último, pero no menos importante, el informe habla de cómo los atacantes falsifican la identidad de las personas que llaman durante las llamadas de voz y vídeo. Al explicar cómo los atacantes hacen esto, Count Point Research señala que “el nombre para mostrar utilizado en la notificación de llamada (y más tarde durante la llamada misma) se puede cambiar a voluntad mediante la manipulación específica de la solicitud de inicio de llamada”.
Afortunadamente, desde entonces Microsoft ha abordado estas vulnerabilidades, como se ha rastreado. CVE-2024-38197. Según se informa, la compañía impulsó las actualizaciones entre 2024 y octubre de 2025.
Sin embargo, Check Point Research advierte que los efectos van más allá de los equipos e insta a las organizaciones a adoptar estrategias de seguridad por capas. Pueden hacerlo mediante protección contra malware, DLP y detección de anomalías en todas las plataformas de comunicación.
Rishaj Upadhyay
Rishazh es un escritor de tecnología que ha escrito profesionalmente durante más de cuatro años y le apasiona Android, Windows y todo lo relacionado con la tecnología. Inicialmente se unió a Windows Report como periodista tecnológico y ahora asume el cargo de editor de noticias. Cuando ella no está rompiendo el teclado, tú le estás cocinando o escuchando música o podcasts.
Los lectores ayudan a respaldar los informes de Windows. Es posible que recibamos una comisión si compra a través de nuestros enlaces.
Lea nuestra página de publicaciones para saber cómo puede ayudar a mantener el equipo editorial de Windows Report. Leer más
