El propio correo electrónico de Microsoft se une a la lucha contra sí mismo y envía spam durante meses

Durante meses, los estafadores han estado explotando una laguna que les permite enviar correos spam desde una dirección de correo electrónico interna de Microsoft, la misma que Microsoft usa para alertas legítimas de cuentas, porque aparentemente a nadie se le ocurrió cerrar esa puerta.

No está claro exactamente cómo los estafadores están abusando del sistema, pero han logrado crear nuevas cuentas de Microsoft haciéndose pasar por nuevos clientes y usar ese acceso para enviar correos que parecen provenir del propio gigante tecnológico. Porque nada dice "confía en nosotros" como un correo falso de una empresa real.

Microsoft aún no parece tener controlada la situación. La semana pasada, TechCrunch recibió varios correos con estructuras similares, líneas de asunto spam y enlaces, todos enviados desde msonlineservicesteam@microsoftonline.com, la misma dirección que Microsoft usa para códigos de autenticación de dos factores y otras alertas críticas. Algunas líneas de asunto imitaban alertas oficiales de fraude; otras afirmaban que un mensaje privado esperaba al destinatario en un enlace sospechoso.

El martes, la organización sin fines de lucro anti-spam The Spamhaus Project publicó que había detectado este abuso desde hace "varios meses". "Los sistemas de notificación automatizada no deberían permitir este nivel de personalización", escribió Spamhaus con sequedad, después de haber notificado a Microsoft del problema.

TechCrunch contactó a Microsoft a principios de semana; un portavoz reconoció la consulta pero aún no ha comentado ni confirmado si el abuso ha cesado. Este es el último de una serie de incidentes en los que hackers o estafadores han abusado de sistemas empresariales para engañar a clientes. A principios de año, hackers irrumpieron en una plataforma utilizada por la empresa fintech Betterment para enviar notificaciones fraudulentas prometiendo triplicar los fondos de criptomonedas de los usuarios, una estafa clásica. Y en 2023, hackers abusaron de manera similar de una cuenta de correo electrónico gestionada por Namecheap para enviar correos de phishing.

Otros usuarios en redes sociales informan que las direcciones de correo electrónico de otras empresas también se están utilizando para spam, lo que sugiere que Microsoft no está solo en su encantadora falta de seguridad.