Si los atacantes tuvieran merchandising corporativo, en él seguramente pondría «Support Team». La máscara de «servicio de soporte» es un pasaporte universal a nuestras emociones: el miedo a perder dinero, el deseo de «confirmar la identidad con urgencia» y la simple costumbre de confiar en un logotipo conocido. Hoy cuento cómo casi caigo en ese esquema, qué aprendí y cómo me protejo de verdad ahora.
La historia comenzó de forma banal: recibí un mensaje supuestamente del soporte de una casa de cambio sobre «actividad sospechosa». Nada fuera de lo común: un día laboral normal, un montón de tareas, y ese correo pidiendo «confirmar datos con urgencia». Si no fuera por un detalle que me hizo detenerme...
Anatomía del engaño: cómo funciona la leyenda de «somos el soporte»
Los guiones del phishing se parecen como gemelos. Primero los atacantes te localizan donde ya has hablado sobre la casa de cambio: en el correo, Telegram, redes sociales, foros. Luego empieza el teatro de un solo actor: «Se detectó actividad sospechosa», «su cuenta está restringida», «necesita repetir la verificación KYC» o mi favorito personal — «devolución de fondos, solo confirme sus datos».
Todo es extremadamente urgente, el «especialista» ya está en el chat y te acompaña con tono amable. El truco principal es mover la conversación a un sitio «oficial» mediante un enlace. Ahí es donde muchas estafas triunfan: basta un clic en un enlace equivocado.
Los detonantes por los que yo casi caigo: la promesa de devolución de dinero, el miedo al bloqueo de la cuenta, la «ayuda exclusiva» y, por supuesto, el «canal de soporte prioritario». Los canales pueden ser cualquiera: email, Telegram, WhatsApp, mensajes privados en redes sociales o incluso un formulario falso en un sitio clon.
Cadena técnica: del clic a la pérdida de la cuenta
La romanticidad del «factor humano» termina donde empieza la frialdad de la técnica. Los kits de phishing modernos aprendieron a robar no solo usuario y contraseña, sino también a eludir la autenticación en dos factores. Esto se conoce como AiTM — «adversario en el medio», cuando el atacante se convierte en un intermediario invisible entre usted y el sitio real.
El esquema funciona de forma simple y eficaz. Usted recibe un enlace a un dominio doble (a veces con sustitución sofisticada de caracteres) o un acortador. Entra en una página proxy que es idéntica al original, pero todo el tráfico pasa por el servidor del atacante. Introduce usuario y contraseña: el proxy los reenvía al sitio real de la casa de cambio. Luego solicitan el código 2FA, y aquí pasa lo más importante: el proxy inserta instantáneamente su código en el sitio original. Tras el acceso exitoso, los atacantes se llevan todas las cookies de sesión y continúan operando sin usted.
Por eso la frase «pero yo tenía código de dos factores» ya no salva. Si introduce el token en una página falsa, lo usarán en fracciones de segundo, más rápido de lo que puede pestañear.
Cómo roban el 2FA: mapa de amenazas reales
El segundo factor de autenticación puede ser distinto y cada tipo se ataca de manera diferente. Explico los vectores principales sin misticismo: solo hechos que conviene conocer.
El phishing AiTM mediante un proxy se parece a una página de acceso normal, pero pasa por el servidor del atacante. Su objetivo es interceptar el código 2FA y las cookies de sesión. Salvan las claves FIDO2/WebAuthn, la navegación aislada y la comprobación atenta del dominio.
«Traslado del autenticador» — cuando piden «escanear el código QR para restaurar el acceso». La intención es extraer la clave secreta TOTP para generar sus códigos. La regla es sencilla: nunca comparta el seed o códigos QR; pase a FIDO2.
Fatiga de confirmaciones por push (MFA fatigue) — le envían múltiples solicitudes push de «confirmar inicio de sesión» esperando que usted pulse «OK» por reflejo. La solución: desactivar push-2FA y usar claves de seguridad.
Bots de OTP y llamadas — clásico del género: «Somos del banco/casa de cambio, dicte el código para cancelar una operación sospechosa». Regla de hierro: nunca dicte códigos a nadie, jamás.
SIM-swap — el traspaso del número en la operadora para interceptar códigos SMS. Protección: prohibir eSIM o duplicados sin visita presencial, y abandonar SMS-2FA por completo.
Sitios falsos: aprender a distinguir el original
Los dominios de phishing se vuelven más sutiles cada año. Lo principal es no fiarse del «candado verde» en la barra de direcciones: los certificados TLS son ahora accesibles a todos, incluidos los estafadores. Hay que mirar más a fondo.
La suplantación IDN consiste en reemplazar la «c» latina por una similar en otro juego de caracteres, añadir un punto encima o una letra extra. Yo compruebo dominios sospechosos con Confusables de Unicode — un servicio muy útil.
La trampa del subdominio: support.exchange.example.com — no es lo mismo que exchange.com. Fíjese siempre en la dirección completa.
Los sitios falsos suelen colarse en el bloque de anuncios de los buscadores. Mi consejo: siempre entre manualmente — escriba la dirección, agrégela a favoritos y use solo esos enlaces.
Acortadores de URL y «servicios de intercambio de archivos con formularios» — intermediarios indeseables. Antes de hacer clic, reviso el enlace con urlscan.io o VirusTotal.
Qué activar en la protección hoy mismo
Algunas configuraciones son gratuitas y toman cinco minutos; otras requieren una pequeña inversión en hardware. Todas ellas atacan los puntos débiles del phishing moderno.
Pasar a claves de seguridad (FIDO2/WebAuthn) — mi consejo principal. Las claves físicas como YubiKey no se ven afectadas por intercepciones AiTM, porque vinculan el inicio de sesión a un dominio concreto. Información detallada en la Guía WebAuthn.
Desactivar SMS-2FA — conservar solo TOTP y claves físicas. Los SMS se interceptan con demasiada facilidad mediante SIM-swap.
Gestor de contraseñas — que reconozca el dominio y reemplace usuario/contraseña solo en el sitio legítimo. Yo uso Bitwarden, aunque 1Password también es una excelente opción.
Código anti-phishing — muchas casas de cambio permiten definir una frase especial que aparece en cada correo del soporte. Si no hay ese código, el correo es falso.
Lista blanca de direcciones para retiros — activo retrasos y confirmaciones por whitelist. Incluso con una sesión comprometida, un retiro rápido será problemático.
Aislamiento de sesiones — iniciar sesión en la casa de cambio solo en un perfil de navegador separado, sin extensiones ni pestañas ajenas.
Lista de comprobación por si «soporte» ya le escribe
No discuta en el chat — ellos son expertos en manipular discusiones. Mejor frene y aplique un procedimiento de verificación frío.
Nunca siga un enlace de un chat o correo. Abra el sitio desde su favorito. No dicte códigos ni escanee «códigos QR de restauración» a petición del «especialista».
Verifique el dominio: despliegue acortadores, examine el Punycode y los confusables. Pida al «especialista» el número de ticket oficial que debe verse en su panel de soporte. Si es «chat privado» — seguro no es soporte.
Guarde pruebas: capturas, encabezados de correos, enlaces. Analice enlaces sospechosos con urlscan.io y PhishTank.
Si ya introdujo datos o un código
Entrar en pánico no ayuda, pero el tiempo juega en su contra. Actúe con el objetivo de «minimizar el daño».
Entre de inmediato en el sitio oficial desde su favorito y cierre todas las sesiones. Cambie la contraseña por una única y larga, desactive y vuelva a activar el 2FA, y regenere el secreto TOTP.
Conecte FIDO2/WebAuthn y cree una clave de respaldo. Desactive o regenere claves API, revise permisos y filtros por IP. Consulte el registro de accesos y retiradas, y active o endurezca la whitelist de direcciones.
Abra un ticket oficial desde el panel de soporte y adjunte todas las pruebas. Revise su correo por indicios de compromiso, active allí el 2FA y, si es posible, use programas de protección reforzada como Protección avanzada de Google.
Si se usó su número de teléfono, contacte a la operadora y prohíba la sustitución remota de SIM/eSIM. Compruebe filtraciones de sus direcciones y contraseñas en Have I Been Pwned y deje de reutilizar contraseñas.
Herramientas para la protección diaria
Mi arsenal de navegador cubre el 90% de las amenazas cotidianas. Todos los enlaces están verificados y vigentes.
urlscan.io — revisa enlaces sospechosos de forma aislada. VirusTotal — agregador de motores antivirus y reputación de dominios. PhishTank — base de datos de dominios de phishing conocidos.
Búsqueda ICANN — información básica sobre el dominio (ahora mediante RDAP en lugar del antiguo WHOIS). Confusables de Unicode — comprobación de caracteres similares en nombres de dominio.
Caso real: un día en la vida de la «soporte»
Relato de cómo ocurre en la práctica — sin efectos especiales, pero con réplicas reconocibles.
Primero el gancho: dejó un comentario sobre un problema con retiradas. A la hora llega un mensaje: «Hola, somos del equipo de escalación, resolveremos su problema de inmediato».
Luego la creación de confianza: avatar con el logotipo de la casa de cambio, «número de empleado», lenguaje correcto. Ofrecen «abrir un ticket prioritario para acelerar» el trámite.
Proporcionan un enlace como support-exchange.help o exchange.com.verify-center.net. El formulario pide usuario y contraseña, luego «para acelerar el proceso» — el código 2FA.
En su cuenta real se abre una nueva sesión «legítima». Empiezan operaciones de prueba, creación de claves API. Al final agradecen cortésmente la «confirmación», para que no empiece a revisar su panel antes de tiempo.
Mi conclusión principal: el hábito vale más que la paranoia
El phishing «del soporte» funciona no porque seamos tontos, sino porque estamos ocupados. Con los años desarrollé tres automatismos simples: entro solo desde favoritos, no doy códigos ni QR a nadie y migré el 2FA a claves físicas.
Todo lo demás son complementos agradables a esos hábitos básicos. La protección moderna no es paranoia, es higiene. Como lavarse los dientes o abrochar el cinturón.
Una pequeña chuleta que tengo en el escritorio: el soporte no escribe en privado ni pide códigos; los enlaces solo desde favoritos; WebAuthn/FIDO2 — imprescindible, SMS-2FA — del pasado; cualquier «urgencia» es artificial, detente y verifica; si ves «soporte» en un chat, pide el número de ticket de tu panel.
Cuídense y cuiden sus cuentas. En una época en que los atacantes se vuelven más ingeniosos, nuestra protección también debe evolucionar.
