MENU
  1. Inicio
  2. MS Office
  3. Teams
  4. Cómo detectar y bloquear la estafa “Teams Survey” que promete un iPhone 15 Pro

Cómo detectar y bloquear la estafa “Teams Survey” que promete un iPhone 15 Pro

Teams

Durante julio de 2025 circula en Microsoft Teams y en correos corporativos una oleada de mensajes titulados “Teams Survey” que prometen un iPhone 15 Pro gratis. A continuación encontrarás una guía completa para reconocer la estafa, protegerte y blindar tu organización contra campañas similares.

Índice

¿Qué es la campaña “Teams Survey” y por qué es peligrosa?

Los atacantes combinan correo electrónico, chats de Teams y notificaciones emergentes que imitan encuestas internas para convencer al usuario de que “ha ganado” un iPhone 15 Pro. El pretexto es un sorteo por haber respondido a una supuesta encuesta de satisfacción. En realidad se trata de phishing + ingeniería social con objetivos muy claros:

  • Robar credenciales de Microsoft 365.
  • Instalar malware en el dispositivo mediante archivos adjuntos o sitios clon.
  • Capturar datos de tarjeta bancaria bajo la excusa de “costes de envío”.

Señales inequívocas de la estafa

  • Premio inesperado y excesivamente atractivo. Nadie regala un teléfono de > 1 000 € sin motivo.
  • Errores ortográficos y mezcla de emojis. Microsoft jamás enviaría comunicaciones con “🎁” o “🔥 ¡Felicidades ganador!” en el asunto.
  • URLs sospechosas. Al pasar el cursor, el dominio real no termina en “microsoft.com” ni en el dominio corporativo interno.
  • Urgencia artificial. “Solo tienes 30 minutos para reclamar el premio”, obligando a actuar sin pensar.
  • Solicitudes de pago. Se piden “2,99 € de gastos de envío” o datos de tarjeta, prueba definitiva de fraude.

Acciones inmediatas para usuarios finales

Si te llega un mensaje o correo con este contenido, actúa de la siguiente manera:

  1. No hagas clic en el enlace ni descargues archivos adjuntos.
  2. Marca el correo como phishing o spam en Outlook para que los filtros aprendan.
  3. Bloquea o elimina el chat en Teams: haz clic en “Más opciones → Bloquear contacto / reportar” y selecciona “phishing”.
  4. Alerta al departamento de TI mediante el procedimiento interno (ticket, correo de seguridad o teléfono dedicado).
  5. Si revelaste datos, cambia la contraseña de Microsoft 365 de inmediato y habilita MFA.

Controles técnicos recomendados para administradores

Refuerzo en Exchange Online / Defender

MedidaDescripciónBeneficio
Política antifalsificación (Anti‑Spoofing)Habilitar modo agresivo y cuarentena automática de remitentes no autenticados.Bloquea dominios que simulan ser Microsoft.
Reglas de transporte (mail flow rules)Filtrar asuntos con emojis y la palabra “Survey” junto a “iPhone” o “ganador”.Reduce la exposición del usuario final.
Bloqueo de IPAgregar intervalos “no válidos” detectados en los logs de puerta de enlace.Previene reconexiones masivas.
Safe Links y Safe AttachmentsObligatorio en todos los planes de Defender.Detona archivos en sandbox y reescribe links nocivos.

Higiene en Microsoft Teams

  • Revisar si realmente se necesitan usuarios externos o invitados. Deshabilítalos en entornos sensibles.
  • Activar la experiencia “Teams Communications Compliance” para auditar palabras clave (iPhone, sorteo, ganador).
  • Configurar políticas de mensajería que limiten la recepción de archivos y enlaces en chats 1:1 con externos.

MFA obligatoria y reforzada

Las estadísticas internas de Microsoft muestran que el 99,9 % de las cuentas comprometidas no usan MFA. Implementa autenticación multifactor para todo el personal, incluyendo:

  • Push en Microsoft Authenticator.
  • FIDO2 o claves de seguridad YubiKey en puestos críticos.
  • Token OATH para entornos sin smartphones.

Supervisión y respuesta

Crea alertas en el Centro de Seguridad de Microsoft 365 para los siguientes eventos:

  • Descargas masivas fuera del horario laboral.
  • Inicios de sesión desde ubicaciones geográficas imposibles (regla de “viaje imposible”).
  • Creación repentina de reglas de reenvío en Outlook.

Integra los eventos con un SIEM (Microsoft Sentinel, Splunk, Elastic) para correlacionar campañas y activar playbooks automáticos de contención.

Formación continua y cultura de ciberseguridad

Mensajes clave para los usuarios

“Microsoft jamás solicitará pagos para entregar premios ni enviará premios de Apple por sorpresa. Cuando la oferta parece demasiado buena para ser real, es porque lo es.”

Conviene reforzar estos puntos en las sesiones de concienciación:

  • Comprobar siempre la dirección real del remitente. En Outlook web, basta con pasar el cursor por encima del nombre para ver el dominio.
  • Verificar enlaces antes de pulsar: el dominio debe acabar en “microsoft.com” o en el dominio de tu empresa, sin letras extra.
  • No compartir información sensible por Teams. Si alguien la solicita, confirmar mediante llamada telefónica o canal oficial.
  • Reportar cualquier mensaje sospechoso, aunque parezca insignificante. Las estadísticas anuales muestran que un 12 % de los incidentes graves fueron reportados por un empleado antes de materializarse.

Simulacros de phishing

Programa campañas internas trimestrales con temáticas realistas (bono navideño, reunión de desempeño, encuesta de clima laboral). Mide:

  • Tasa de clics.
  • Tiempo de reporte.
  • Evolución de comportamiento tras sesiones de feedback.

El objetivo no es castigar, sino crear un reflejo de duda saludable ante cualquier mensaje no solicitado.

Guía paso a paso: bloquear al remitente en Teams

  1. Abre el chat de “Teams Survey”.
  2. Haz clic en Más opciones (tres puntos) junto al nombre.
  3. Selecciona Reportar.
  4. Elige Phishing en el motivo.
  5. Marca la casilla Bloquear futuras comunicaciones.

Con eso, el usuario deja de ver mensajes y los administradores obtienen un registro que ayuda a ajustar reglas antispam.

Estado de la campaña a la fecha

Los grandes proveedores de seguridad ya añadieron firmas de detección para la variante “Teams Survey / iPhone 15 Pro”. Sin embargo, los actores de amenaza rotan dominios cada 48 horas, por lo que:

  • El volumen global ha bajado, pero siguen apareciendo muestras clonadas con el texto en varios idiomas (inglés, español y portugués).
  • Algunos filtros de correo marcan los mensajes como “Promotional” en lugar de “Junk”, permitiendo que lleguen a la bandeja de entrada.
  • Se observan copias que reemplazan “iPhone 15 Pro” por “Samsung Galaxy S25” o “gift card de 500 €” para evadir reglas basadas en palabras clave.

Por eso se requiere vigilancia continua y actualización dinámica de políticas.

Preguntas frecuentes

¿Cómo sé si alguien de la empresa ya hizo clic?

Revisa los logs de Azure AD: busca eventos de inicio de sesión con riesgo alto justo después de la hora en que se envió el correo. También analiza la actividad inusual en SharePoint o OneDrive (p. ej. descarga de todos los documentos de un proyecto).

¿Podemos deshabilitar completamente los enlaces en Teams?

No es práctico a largo plazo, pero puedes aplicar políticas de Safe Links a Teams mediante Microsoft Defender for Office 365 Plan 2. Así, todos los enlaces se reescriben y se analiza el destino en tiempo real.

¿Merece la pena demandar al remitente?

La infraestructura suele estar alojada en servicios de hosting de bajo costo, y el autor suele residir en otra jurisdicción. La vía más efectiva es reportar dominios y direcciones IP a los CERT regionales para su desmantelamiento.

Conclusiones y mejores prácticas duraderas

La campaña “Teams Survey” es solo la última iteración de una táctica clásica: premios falsos para robar datos. Con un enfoque combinado de tecnología, procesos y personas puedes reducir el riesgo de forma drástica:

  • Tecnología: Filtrado avanzado, MFA y análisis de comportamiento.
  • Procesos: Políticas claras de reporte y respuesta a incidentes.
  • Personas: Cultura de alerta y curiosidad crítica.

Mantén tus controles actualizados, revisa estadísticas de compromiso y adapta tu plan de formación. Recuerda: la seguridad no es un proyecto puntual, sino un ciclo de mejora continua.

Teams
seguridad Teams phishing Microsoft 365 iPhone 15 Pro
Índice