Robo de cuentas Microsoft: apps que parecen legítimas

Si recibes un enlace a una web con dominio .bubble.io y parece una página de inicio de sesión de Microsoft, no introduzcas nada. Los investigadores de Kaspersky han descubierto que ciberdelincuentes están utilizando esta plataforma —completamente legítima— para crear trampas de phishing que los sistemas de seguridad habituales no son capaces de detectar.

El problema no es Bubble en sí. El problema es que los atacantes están usando herramientas diseñadas para crear aplicaciones web sin código para construir páginas señuelo que esquivan todos los filtros. Y esto es solo el principio de una tendencia que va a ir a más.

Qué es Bubble y por qué lo usan los atacantes

Bubble es una plataforma que permite crear aplicaciones web sin saber programar. Describes lo que quieres, la plataforma genera el código y lo aloja en sus servidores bajo dominios del tipo tunegocio.bubble.io.

Es usada por miles de empresas y emprendedores para crear prototipos, herramientas internas o pequeñas aplicaciones. Es legítima, conocida y de confianza. Ese es exactamente el motivo por el que los atacantes la han elegido.

Cuando un correo malicioso incluye un enlace a un dominio *.bubble.io, los filtros antispam y las soluciones de seguridad del correo electrónico no lo marcan como sospechoso. El dominio tiene buena reputación. El enlace pasa sin problemas.

Qué hacer: No confíes en un enlace solo porque el dominio te resulte conocido o parezca legítimo. Un dominio .bubble.io no garantiza que lo que hay detrás sea seguro.

Cómo funciona el engaño

El proceso que han detectado los investigadores funciona así:

1. La víctima recibe un correo que incluye un enlace a una app creada en Bubble.
2. Al hacer clic, llega a una página de aspecto normal, a veces protegida por una verificación de Cloudflare (ese paso “soy humano” que da sensación de seguridad).
3. Tras pasar esa verificación, aparece una pantalla que imita el inicio de sesión de Microsoft.
4. La víctima introduce su usuario y contraseña creyendo que accede a su cuenta corporativa.
5. Esas credenciales van directamente al atacante.

Con esas credenciales, el atacante puede acceder al correo electrónico, al calendario, a los archivos de OneDrive y a cualquier otro servicio vinculado a esa cuenta de Microsoft 365.

Por qué los sistemas automáticos no lo detectan

Aquí está la clave técnica del asunto, explicada sin tecnicismos: cuando una herramienta de seguridad analiza una página web para decidir si es maliciosa, busca patrones conocidos —código de robo de contraseñas, redirecciones sospechosas, estructuras típicas de phishing—.

Las aplicaciones generadas por Bubble producen un código enormemente complejo, con capas de JavaScript y una estructura interna muy difícil de analizar de forma automática. Como explicó Kaspersky, incluso para un experto humano hace falta tiempo para entender qué hace realmente esa página. Para un sistema automático, parece simplemente una aplicación funcional.

Qué hacer: La tecnología sola no puede protegerte de este tipo de ataque. La formación y el criterio humano son la primera línea de defensa.

El problema más amplio: el phishing se está profesionalizando

Lo que ha descubierto Kaspersky no es un caso aislado. Es la evidencia de una tendencia clara: los ciberdelincuentes están adoptando herramientas de inteligencia artificial y plataformas legítimas para hacer sus ataques más difíciles de detectar.

Las plataformas de phishing que se venden como servicio —y que ya incluyen robo de cookies de sesión, técnicas para saltarse el doble factor de autenticación, y contenido generado por IA— están incorporando ahora el abuso de plataformas legítimas como un elemento más del kit.

Esto significa que los próximos meses vamos a ver más ataques de este tipo, usando no solo Bubble sino otras plataformas similares. El objetivo siempre es el mismo: que el enlace parezca tan normal que ni la tecnología ni la persona que lo recibe sospechen nada.

Qué hacer: Si en tu empresa usáis Microsoft 365, revisad si tenéis activadas las alertas de inicio de sesión desde ubicaciones o dispositivos desconocidos. Es una configuración sencilla que puede avisarte de un acceso no autorizado antes de que cause daño real.

Señales de alerta que debes conocer

No siempre es posible detectar este tipo de phishing a simple vista, pero hay señales que deben ponerte en guardia:

• Un correo que te pide iniciar sesión en Microsoft desde un enlace, aunque el dominio parezca legítimo.
• Una página de login de Microsoft a la que has llegado haciendo clic en un enlace de un correo, en lugar de escribir la dirección tú mismo.
• La presencia de una verificación de Cloudflare antes de mostrarte una pantalla de inicio de sesión —en contextos legítimos esto no suele ocurrir así.
• Correos con urgencia o que te informan de que tienes un documento pendiente, una factura, o un mensaje sin leer.

Si tienes dudas sobre si una página de inicio de sesión es legítima, cierra el navegador y accede directamente a microsoft.com o office.com escribiendo la dirección tú mismo.

Qué hacer si crees que has introducido tus credenciales en una página falsa

El tiempo es crítico. Cuanto antes actúes, menor será el daño:

1. Cambia la contraseña de tu cuenta de Microsoft inmediatamente.
2. Revoca las sesiones activas desde la configuración de seguridad de tu cuenta.
3. Activa el doble factor de autenticación si aún no lo tienes.
4. Revisa el historial de inicio de sesión en busca de accesos desde ubicaciones desconocidas.
5. Informa a tu responsable o a quien gestione la seguridad de tu empresa.

Qué hacer: Si gestionas varias cuentas o tienes empleados, establece un protocolo claro de qué hacer si alguien sospecha que ha caído en un phishing. Tener ese protocolo por escrito ahorra tiempo y limita el daño.

Siguiente paso

Este tipo de ataque demuestra que los filtros de seguridad del correo y el antivirus ya no son suficientes para proteger las cuentas de tu empresa. La superficie de ataque se amplía constantemente y las técnicas de los ciberdelincuentes evolucionan más rápido que las herramientas de defensa estándar.

En SeguridadWeb ayudamos a autónomos y pequeñas empresas a revisar su configuración de seguridad y a establecer medidas reales de protección adaptadas a su tamaño y presupuesto. Pídenos una consulta gratuita y te contamos qué riesgos tiene tu negocio ahora mismo.