Suplantan “microsoft.com” con “rnicrosoft.com” (homoglyph “rn”→“m”)

Una nueva campaña de phishing suplanta a Microsoft utilizando el dominio rnicrosoft.com, en el que la combinación de letras “r+n” imita visualmente la “m”. El engaño busca robar credenciales de acceso a cuentas Microsoft 365 y Outlook mediante páginas falsas casi idénticas a las oficiales.

Se ha detectado una nueva campaña de phishing dirigida a usuarios de Microsoft 365 que utiliza el dominio rnicrosoft.com (con las letras “r” y “n” en lugar de “m”) para suplantar al dominio legítimo microsoft.com.

El objetivo es robar credenciales de acceso mediante páginas que imitan fielmente la interfaz de inicio de sesión de Microsoft.

Los correos falsos, con asuntos del tipo “Problema de seguridad en su cuenta Microsoft” o “Restablezca su contraseña urgentemente”, emplean logotipos y formato corporativo idénticos a los originales. Al hacer clic en los enlaces, la víctima es redirigida a un sitio fraudulento alojado en rnicrosoft[.]com, donde se le solicita usuario y contraseña.

Este ataque explota una técnica conocida como homoglyph o homograph spoofing, en la que los atacantes sustituyen caracteres visualmente parecidos para engañar al usuario. En tipografías comunes, la combinación “rn” puede confundirse fácilmente con la letra “m”.

Impacto

Cualquier usuario que introduzca sus credenciales en la web falsa expone su cuenta de Microsoft 365 o Outlook, lo que permite al atacante:

• Acceder al correo y servicios asociados (OneDrive, Teams, etc.).
• Reutilizar las credenciales en otros servicios si la contraseña es compartida.
• Llevar a cabo ataques de Business Email Compromise (BEC) o movimientos laterales en entornos corporativos.

La campaña está dirigida tanto a usuarios particulares como a empleados de organizaciones españolas y latinoamericanas.

Solución

• Verificar siempre la URL completa antes de introducir credenciales. El dominio legítimo de Microsoft termina en .microsoft.com, .live.com, .office.com o .login.microsoftonline.com.
• No confiar únicamente en la apariencia visual: copiar el enlace y revisarlo en texto plano puede revelar el truco “rn” en lugar de “m”.
• Activar la autenticación multifactor (MFA) en todas las cuentas Microsoft.
• En entornos corporativos, habilitar políticas de anti-phishing e impersonación en Microsoft Defender for Office 365 y bloquear dominios similares.
• Si se ha introducido la contraseña, cambiarla inmediatamente, cerrar sesiones abiertas y reportar el incidente a Microsoft (phish@nulloffice365.microsoft.com).

Referencias

1. El Grupo Informático – Peligrosos correos de “rnicrosoft.com” suplantan a Microsoft
2. The Economic Times (IN) — “User gets a password reset mail from rnicrosoft.com…”
3. India Times

La entrada Suplantan “microsoft.com” con “rnicrosoft.com” (homoglyph “rn”→“m”) se publicó primero en Una Al Día.

Artículo de Fátima Caro publicado en https://unaaldia.hispasec.com/2025/10/suplantan-microsoft-com-con-rnicrosoft-com-homoglyph-rn%E2%86%92m.html?utm_source=rss&utm_medium=rss&utm_campaign=suplantan-microsoft-com-con-rnicrosoft-com-homoglyph-rn%25e2%2586%2592m