Microsoft pone un 'portero' en Teams para dejar fuera a los bots

Microsoft ha empezado a desplegar controles que impiden que bots y cuentas automatizadas no autorizadas se cuelen en reuniones de Teams. El objetivo: cerrar un vector cada vez más usado para grabar, transcribir y exfiltrar conversaciones corporativas sin consentimiento.

El problema

Las plataformas de videoconferencia se han llenado de asistentes de IA (bots de notas, transcriptores, "note-takers") que se unen automáticamente a las reuniones a las que está invitado un usuario. Muchos son legítimos, pero el mecanismo abre la puerta a abusos:

  • Un atacante con un token o invitación válida puede introducir un bot silencioso que capture audio, vídeo y chat.
  • Los "note-takers" de terceros envían el contenido de la reunión a servicios externos, fuera del perímetro de datos de la organización.
  • Al presentarse como participantes automatizados, esquivan la atención de los asistentes humanos.

El nuevo control de Microsoft actúa como un portero (bouncer): los organizadores y administradores pueden exigir aprobación para que agentes automatizados accedan, y bloquear por defecto los que no estén autorizados por la organización.

Recomendaciones inmediatas

  • Revisa la política de aplicaciones y bots permitidos en Teams desde el Centro de administración.
  • Exige aprobación explícita para note-takers y transcriptores de terceros.
  • Forma a los usuarios: un participante "bot" desconocido en una reunión sensible debe expulsarse.
  • Registra y audita qué cuentas automatizadas acceden a reuniones con datos confidenciales.

¿Estás cubierto en DefensOps?

Cuando Teams está integrado como fuente (Microsoft 365), DefensOps aporta visibilidad sobre el abuso de estas identidades automatizadas:

  • T1213 – Datos de repositorios de la organización: se detecta el acceso anómalo de cuentas de servicio/bots a reuniones y espacios colaborativos. Disponible desde Advanced.
  • T1114 – Recolección de información: el motor de correlación eleva el incidente cuando un agente automatizado accede a múltiples reuniones sensibles en poco tiempo.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: The Register