Por Mid 
Suplantan “microsoft.com” con “rnicrosoft.com” (homoglyph “rn”→“m”)
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Media
Conclusiones clave
- El dominio rnicrosoft.com utiliza la técnica de homoglyph para suplantar a microsoft.com.
- Este ataque está dirigido a usuarios de Microsoft 365 y Outlook, con el fin de robar credenciales.
- Los correos de phishing son engañosos y replican la apariencia de comunicaciones oficiales.
- Es esencial verificar siempre la URL antes de ingresar credenciales.
- La autenticación multifactor (MFA) es una medida recomendada para proteger cuentas.
Índice
Contenido principal
Usted se encuentra en: Inicio / General / Suplantan “microsoft.com” con “rnicrosoft.com” (homoglyph “rn”→“m”). Recientemente, se ha detectado una nueva campaña de phishing que emplea el dominio rnicrosoft.com, donde la combinación de caracteres “r+n” representa visualmente a la letra “m”. Este engaño tiene como objetivo principal el robo de credenciales para cuentas de Microsoft 365 y Outlook, utilizando páginas fraudulentas que imitan a la perfección las designadas oficialmente.
Dicha campaña está orientada a usuarios de Microsoft 365 y sustituye el dominio legítimo microsoft.com por rnicrosoft.com, alterando solo las letras “m” por “r” y “n”. Así, se intenta capturar las credenciales de acceso mediante sitios que replican de manera casi idéntica la interfaz de inicio de sesión de Microsoft. Los correos electrónicos engañosos que se utilizan en este ataque presentan asuntos como “Problema de seguridad en su cuenta Microsoft” o “Restablezca su contraseña urgentemente”, empleando logotipos y un formato corporativo que son indistinguibles de los auténticos.
Al hacer clic en los enlaces que aparecen en estos correos, las víctimas son redirigidas a un sitio fraudulento ubicado en rnicrosoft[.]com, donde se les solicita que ingresen su usuario y contraseña. Este ataque se basa en una técnica conocida como homoglyph o homograph spoofing, en la que los atacantes utilizan caracteres que se asemejan entre sí para confundir al usuario. En fuentes de texto comunes, es fácil que “rn” se confunda con “m”.
Impacto
Cualquier usuario que ingrese sus credenciales en el sitio web fraudulento pone en riesgo su cuenta de Microsoft 365 o Outlook, lo que le brinda al atacante la capacidad de:
- Acceder a correos y a servicios relacionados como OneDrive, Teams, etc.
- Reutilizar las credenciales en otras plataformas si la contraseña es utilizada en más de un lugar.
- Ejecutar ataques de Business Email Compromise (BEC) o moverse lateralmente en entornos corporativos.
Esta campaña está dirigida tanto a usuarios individuales como a empleados de organizaciones en España y América Latina.
Solución
Es fundamental siempre verificar la URL completa antes de introducir cualquier credencial. El dominio verdadero de Microsoft finaliza en .microsoft.com, .live.com, .office.com o .login.microsoftonline.com. No se debe confiar solo en la apariencia visual; copiar el enlace y examinarlo en texto plano puede revelar el truco de “rn” en lugar de “m”.
Se sugiere también activar la autenticación multifactor (MFA) en todas las cuentas Microsoft.
Para entornos corporativos, es esencial implementar políticas de defensa contra phishing e impersonación en Microsoft Defender for Office 365 y bloquear dominios similares al sospechoso. Si en alguna ocasión se ha introducido la contraseña en un sitio fraudulento, es crucial cambiarla de inmediato, cerrar todas las sesiones abiertas y reportar el incidente a Microsoft a través de [email protected].