Este ransomware se hace pasar por Microsoft Teams e infecta la computadora en segundos

Un grupo de ciberdelincuentes está utilizando anuncios falsos que simulan ser enlaces oficiales de descarga de Microsoft Teams para infectar computadoras con un ransomware que bloquea archivos y facilita el robo de información.

La campaña ha sido detectada por firmas especializadas en ciberseguridad, que advierten que la técnica se basa en la compra de espacios publicitarios en buscadores para posicionar enlaces fraudulentos sobre el software corporativo de Microsoft y aprovechar la confianza que genera la marca entre usuarios y empresas.

El método consiste en mostrar como “recomendado” o “descarga directa” un supuesto instalador de Teams, que en realidad ejecuta un malware identificado como OysterLoader. Esta pieza de código malicioso funciona como un puente para permitir la instalación posterior de ransomware operativo, lo que puede derivar en cifrado de documentos y exigencias de pago para liberar los archivos comprometidos.

Los expertos precisan que esta modalidad resulta riesgosa para cualquier persona que busque instalar el software desde cero, especialmente si se confía en la publicidad de motores de búsqueda sin revisar las direcciones web de destino.

Reportes técnicos señalan que este esquema es operado por un grupo de ransomware identificado como Rhysida. La campaña ha tenido mayor visibilidad en Bing, dado que la adquisición de anuncios facilita el posicionamiento de enlaces engañosos sobre resultados legítimos.

Los investigadores sostienen que los ciberatacantes han emitido certificados digitales asociados a los instaladores falsos para que estos parezcan válidos ante controles automáticos y antivirus, lo que complica la detección inmediata del contenido malicioso. Esa manipulación crea la sensación de autenticidad que lleva al usuario a descargar sin sospechas.

Microsoft Teams se mantiene como una plataforma de comunicación y colaboración corporativa ampliamente extendida en sectores empresariales, educativos y administrativos. La herramienta integra mensajería instantánea, videoconferencias y administración de documentos en un solo entorno.

Microsoft afirma contar con mecanismos para filtrar enlaces dañinos o archivos peligrosos, sin embargo, la modalidad de ataque actual no vulnera Teams de forma directa, sino que se apoya en el ecosistema publicitario de buscadores para engañar al usuario antes del proceso de instalación. Por ello, especialistas manifiestan que el vector principal no es la aplicación en sí, sino la cadena previa de obtención del instalador.

Las firmas de seguridad consultadas coinciden en que esta operación criminal apunta tanto a individuos como a organizaciones que se apoyan en la descarga autónoma del software, lo que incluye equipos domésticos, pymes y entidades educativas. En caso de que un usuario haya instalado la aplicación utilizando un enlace patrocinado que conducía a una web no oficial, existe la posibilidad de que su equipo haya sido infectado y que los archivos se encuentren bajo riesgo de encriptación por ransomware.

Aunque Microsoft y especialistas del sector están trabajando en medidas para detener este tipo de campañas, se recomienda evitar la descarga de Teams a través de enlaces de publicidad comercial. La ruta aconsejada es ingresar directamente a la página oficial de Microsoft o al apartado de descarga mediante las tiendas de aplicaciones verificadas.

Además, se recomienda revisar cuidadosamente la URL antes de iniciar cualquier descarga, mantener el navegador actualizado y activar herramientas que permitan bloquear anuncios. Es una medida temporal mientras se implementan acciones definitivas contra este patrón de ataque.

La alerta se mantiene vigente debido a que este esquema de infección utiliza un producto ampliamente reconocido como gancho principal y se apoya en confianza de marca para ejecutar el engaño. Cualquier usuario que requiera instalar Teams debe hacerlo a través de fuentes directas y verificadas. La verificación manual de las direcciones web antes de presionar descargar sigue siendo un paso clave para evitar caer en este tipo de fraude digital.