¿Qué está pasando?
Los atacantes están usando la función de inicio de sesión sin contraseña (passwordless sign-in) de Microsoft de forma automatizada. Parten de bases de datos filtradas con millones de correos Gmail, iCloud, Yahoo, entre otros, y sistematizan solicitudes de autenticación para verificar cuáles están asociados a una cuenta de Microsoft activa.
La lógica es simple: si el correo llega, el atacante sabe que esa cuenta existe. A eso se le llama enumeración de cuentas, y es solo la primera fase. Con esa lista depurada, el siguiente paso es cruzarla con contraseñas filtradas previamente e intentar comprometer las cuentas.
Lo que hace peligroso este ataque
El código que recibes es real, generado por los propios sistemas de Microsoft. No hay señales de phishing tradicional: sin enlaces falsos, sin errores de ortografía, sin URLs sospechosas. Eso hace que muchos usuarios lo ignoren sin tomar medidas, que es exactamente lo que los atacantes esperan.
No discrimina perfil: ciudadanos, empleados corporativos y funcionarios gubernamentales están dentro del alcance de este reconocimiento masivo.
Qué hacer si recibes un código que no solicitaste
- 01No ingreses el código. No lo pediste, no es tuyo.
- 02Cambia tu contraseña de Microsoft por una nueva y única.
- 03Activa el 2FA en Microsoft y en todos los servicios donde puedas.
- 04Avisa a tu equipo de TI si estás en un entorno corporativo.
Conclusión
Esta campaña confirma algo que venimos observando: los ataques modernos no comienzan con un intento de intrusión, sino con una fase de inteligencia silenciosa usando infraestructura legítima. Detectar eso con métodos tradicionales es casi imposible. La única defensa real es estructural: 2FA activo y contraseñas únicas por servicio. Si recibes un código que no pediste, alguien ya sabe algo sobre ti.
