Microsoft refuerza la seguridad en Teams
Resumen rápido
Microsoft ha desarrollado una herramienta para evitar el acceso no autorizado de bots a reuniones en Teams. Esta medida busca mejorar la seguridad y la privacidad en la plataforma.
Microsoft pone un 'portero' en Teams para dejar fuera a los bots
Microsoft ha empezado a desplegar controles que impiden que bots y cuentas automatizadas no autorizadas se cuelen en reuniones de Teams. El objetivo: cerrar un vector cada vez más usado para grabar, transcribir y exfiltrar conversaciones corporativas sin consentimiento.
El problema
Las plataformas de videoconferencia se han llenado de asistentes de IA (bots de notas, transcriptores, "note-takers") que se unen automáticamente a las reuniones a las que está invitado un usuario. Muchos son legítimos, pero el mecanismo abre la puerta a abusos:
- Un atacante con un token o invitación válida puede introducir un bot silencioso que capture audio, vídeo y chat.
- Los "note-takers" de terceros envían el contenido de la reunión a servicios externos, fuera del perímetro de datos de la organización.
- Al presentarse como participantes automatizados, esquivan la atención de los asistentes humanos.
El nuevo control de Microsoft actúa como un portero (bouncer): los organizadores y administradores pueden exigir aprobación para que agentes automatizados accedan, y bloquear por defecto los que no estén autorizados por la organización.
Recomendaciones inmediatas
- Revisa la política de aplicaciones y bots permitidos en Teams desde el Centro de administración.
- Exige aprobación explícita para note-takers y transcriptores de terceros.
- Forma a los usuarios: un participante "bot" desconocido en una reunión sensible debe expulsarse.
- Registra y audita qué cuentas automatizadas acceden a reuniones con datos confidenciales.
¿Estás cubierto en DefensOps?
Cuando Teams está integrado como fuente (Microsoft 365), DefensOps aporta visibilidad sobre el abuso de estas identidades automatizadas:
- T1213 – Datos de repositorios de la organización: se detecta el acceso anómalo de cuentas de servicio/bots a reuniones y espacios colaborativos. Disponible desde Advanced.
- T1114 – Recolección de información: el motor de correlación eleva el incidente cuando un agente automatizado accede a múltiples reuniones sensibles en poco tiempo.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes: The Register
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Advanced.
Técnicas MITRE ATT&CK: T1213, T1114
- Acceso anómalo de cuenta automatizada/bot a reuniones · T1213 · plan Advanced
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.