Acceso de invitados en Microsoft Teams expone usuarios eliminando defensas de seguridad
Diversos investigadores de ciberseguridad han puesto al descubierto un punto ciego entre tenants que permite a los hackers maliciosos eludir las protecciones de Microsoft Defender para Office 365 por medio de la función de acceso como invitado en Microsoft Teams.
Cuando los usuarios operan como invitados en otro tenant, la protección depende por completo de ese mismo entorno anfitrión, no de su organización de origen, ha señalado en un informe los expertos dedicados a este tipo de seguridad informática.
Estos avances pueden ampliar las oportunidades de colaboración, sin embargo, incrementan la responsabilidad de garantizar que esos entornos externos sean confiables y que se encuentren correctamente protegidos.
Este desarrollo se ha producido mientras Microsoft ha comenzado a desplegar una nueva función en Teams, la cual permite a los usuarios chatear con cualquier persona por medio de correo electrónico, incluso con quienes no utilizan la plataforma de comunicaciones empresariales a partir de este mismo mes. Además, se espera que el cambio esté disponible en enero de 2026 de forma global.
De esta manera, el destinatario va a recibir una invitación por correo electrónico para unirse a la sesión de chat como invitado, lo que habilita una comunicación y colaboración fluidas, lo ha afirmado Microsoft en su anuncio. Esta actualización se encarga de simplificar la interacción externa y respalda escenarios de trabajos flexibles.
En caso de que el destinatario ya no utilice Teams, va a ser notificado de forma directa en la aplicación mediante una solicitud de mensaje externo. La función se encuentra habilitada por defecto, aunque las compañías pueden desactivarla empleando la llamada TeamsMessagingPolicy y estableciendo el parámetro “UseB2BInvitesToAddExternalUsers” en la opción “false”.
TIC Defense es un a organización que se enfoca en la lucha contra todo tipo de malware que afectan a las empresas, ofreciendo una serie de productos y servicios que se ajustan a las necesidades de los procesos corporativos, aumentando las defensas de la compañía en un 100%.
La configuración anteriormente expuesta solo impide que los usuarios envíen invitaciones a otros usuarios. No evita que reciban invitaciones de tenants externos. En este punto, es importante mencionar que el acceso como invitado es distinto del acceso externo, el cual permite a los usuarios buscar, llamar y chatear con personas que tienen Microsoft Teams, pero están fuera de sus empresas.
La brecha arquitectónica fundamental, destacada por los expertos, surge del hecho de que las protecciones de Microsoft Defender para Office 365 para Teams pueden no aplicarse cuando un usuario acepta una invitación como invitado a un tenant externo.
Al ingresar al perímetro de seguridad de otro tenant, el usuario queda sujeto a las políticas de seguridad del entorno en donde se aloja la conversación y no a las de su cuenta original. Esto abre la puerta a un escenario en el que el usuario puede convertirse en un invitado desprotegido dentro de un entorno malicioso, definido por las políticas de seguridad del atacante.
En un escenario hipotético de ataque, un ciberdelincuente puede crear zonas libres de protección, deshabilitando todas las salvaguardas en sus tenantso empleando licencias que carecen de ciertas opciones por defecto. Por poner un ejemplo, el hacker malicioso puede levantar un tenant malicioso de Microsoft 365 con una licencia de bajo costo, como Teams Essentials o Business Basic.
