PDF, llamada, virus: un nuevo tipo de ataque contra el que ni siquiera el software de seguridad puede proteger

Las estafas telefónicas que se hacen pasar por el soporte de marcas populares están ganando rápidamente popularidad entre los ciberdelincuentes. Los especialistas de Cisco Talos informaron que los atacantes están utilizando cada vez más un nuevo enfoque llamado TOAD (Telephone-Oriented Attack Delivery), o la llamada interacción de phishing inversa por teléfono. En estos ataques, las víctimas son obligadas a llamar a los estafadores que se hacen pasar por empleados de empresas conocidas.

Según un análisis de correos electrónicos con archivos PDF maliciosos adjuntos, realizado del 5 de mayo al 5 de junio de 2025, los atacantes más comunes en estas campañas se hicieron pasar por Microsoft y DocuSign. También se utilizaron activamente las marcas NortonLifeLock, PayPal y Geek Squad. Los estafadores confían en el alto nivel de confianza que los usuarios tienen en estas marcas para provocar acciones adicionales de las víctimas.

A menudo, los correos electrónicos de phishing contienen documentos PDF con logotipos de empresas conocidas como Adobe o Microsoft, dentro de los cuales se colocan códigos QR. Al escanearlos, el usuario puede ser dirigido a una página de inicio de sesión falsa de Microsoft u otra plataforma de phishing que imita servicios como Dropbox. En algunos casos, los enlaces a sitios maliciosos se ocultan mediante anotaciones dentro del PDF, por ejemplo, en forma de notas adhesivas o comentarios, lo que permite eludir los mecanismos de protección estándar y aumentar la credibilidad del correo.

Una característica de los ataques TOAD es que los atacantes incitan a la víctima a llamar al número que aparece en el correo electrónico para, supuestamente, confirmar una transacción o resolver un problema. Durante la conversación, el estafador, haciéndose pasar por un empleado de soporte técnico, convence a la persona de proporcionar datos confidenciales o instalar software malicioso en su dispositivo.

La efectividad de estos ataques depende en gran medida de su nivel de preparación: los delincuentes utilizan guiones, imitan el funcionamiento de verdaderos centros de llamadas, incluyen música de espera de fondo e incluso falsifican números de teléfono para que parezcan legítimos. En la mayoría de los casos, se utilizan servicios anónimos de VoIP para las comunicaciones, y los números permanecen activos durante varios días, lo que permite a los delincuentes implementar un elaborado esquema de engaño en varias etapas.

Según los expertos de Cisco Talos, estos esquemas se utilizan activamente para instalar troyanos bancarios en dispositivos Android, así como para obtener acceso remoto a los ordenadores de las víctimas. En particular, los atacantes sugieren instalar programas como AnyDesk o TeamViewer para obtener control total sobre el dispositivo.

En mayo de 2025, el FBI advirtió oficialmente sobre estos ataques organizados por el grupo Luna Moth, especializado en extorsión financiera. Los miembros de este grupo se hacen pasar por empleados de los departamentos de TI de las empresas y así obtienen acceso a sus redes.

Una amenaza adicional son los abusos de la función Direct Send en Microsoft 365. Con su ayuda, los delincuentes envían correos de phishing en nombre de supuestos empleados internos de la empresa, sin necesidad de hackear cuentas reales. Gracias al formato predecible de las direcciones de entrega de mensajes, los atacantes eluden los mecanismos estándar de autenticación y protección. Desde mayo de 2025, más de 70 organizaciones han sido atacadas de esta manera.

Estos ataques son similares a las estafas telefónicas, las suplantaciones de soporte técnico y el compromiso del correo corporativo, pero se diferencian por el uso de otros canales de comunicación y el deseo de mantener una presencia constante en el sistema. Además del robo de credenciales, los atacantes redirigen a las víctimas a portales de pago falsos o se hacen pasar por empleados de los departamentos financieros para obtener datos de tarjetas bancarias.

En uno de los incidentes, el 17 de junio de 2025, las víctimas recibieron un correo electrónico en estilo de notificación de mensaje de voz que contenía un PDF con un código QR. Este código conducía a una página falsa de recopilación de credenciales de Microsoft 365. Según los expertos, estos ataques a través de Direct Send son menos visibles para los sistemas de seguridad estándar, lo que los hace especialmente atractivos para los delincuentes.

La empresa destaca que la detección de suplantación de marcas es una de las áreas clave de protección contra tales amenazas, dada la constante popularidad de esta ingeniería social entre los ciberdelincuentes.