Condimento secreto en el desayuno, hackeo al mediodía: quién, cómo y por qué "sazonan" tus correos.

Los especialistas de Cisco Talos presentaron los resultados de un análisis de año y medio sobre el abuso de las hojas de estilo en cascada (CSS) en correos electrónicos. Se descubrió que los atacantes recurren cada vez más a la técnica de «salado» oculto del texto: la inserción de contenido invisible que se usa para eludir los filtros antispam y los sistemas de aprendizaje automático. Los correos maliciosos, a primera vista, no difieren de los envíos legítimos, pero contienen bloques enteros de símbolos, palabras y frases ocultas que confunden a los detectores y a los modelos de lenguaje.

Talos explica que las propiedades CSS destinadas al formato de los mensajes se aplican activamente por los ciberdelincuentes para incrustar fragmentos de texto ocultos en distintas partes del correo. Durante las observaciones entre marzo de 2024 y julio de 2025, los especialistas registraron que los atacantes añaden «sal» en cuatro partes del mensaje: la preámbulo, el encabezado, el cuerpo y los adjuntos. Exteriormente, esos mensajes imitan marcas conocidas, incluidos PayPal, Wells Fargo, Norton LifeLock y CapitalOne. En muchos casos la falsificación resulta convincente: fondo, logotipos y estructura coinciden con los originales, pero en el código del mensaje aparecen cientos de símbolos y frases invisibles.

Uno de los objetivos frecuentes del salado oculto es confundir los módulos lingüísticos de los filtros antispam. Así, en correos en inglés no es raro encontrar palabras en francés o alemán, apenas perceptibles, insertadas mediante propiedades como «display:none», «opacity:0» o «visibility:hidden». Esto dificulta que el sistema determine correctamente el idioma del mensaje y reduce la probabilidad de bloqueo. En otros casos los atacantes reducen el tamaño de la fuente a 1 píxel o eligen un color de texto que coincide con el fondo, haciendo el contenido totalmente invisible. A veces la «sal» se coloca en los adjuntos, donde símbolos aleatorios o comentarios se insertan entre fragmentos de código, complicando el análisis estático.

Cisco Talos clasificó tres tipos principales de contenido usados como «sal»: símbolos aleatorios (incluidos Zero-Width Space y Zero-Width Non-Joiner), párrafos incoherentes en distintos idiomas y comentarios en HTML o JavaScript. Todos estos elementos no se muestran en pantalla, pero influyen en cómo los filtros y los algoritmos perciben el mensaje. Es especialmente peligroso que incluso una cantidad mínima de texto oculto pueda modificar la puntuación final del modelo: por ejemplo, convertir un correo de phishing en «neutral» o «positivo» en tono emocional, con lo que la protección no se activaría.

Según las observaciones de Talos, el abuso de propiedades CSS se observa con mucha más frecuencia en el spam y en campañas de phishing que en la correspondencia legítima. Esto lo confirman las estadísticas: la mayoría de los mensajes que contenían propiedades como «font-size:0» o «max-width:0» resultaron ser maliciosos. Al mismo tiempo, una pequeña proporción de estas técnicas aparece en envíos legítimos, por ejemplo al diseñar un formato adaptable o al ocultar elementos de la interfaz en dispositivos móviles.

El peligro del método radica en que es igualmente eficaz contra filtros sencillos y contra sistemas modernos que usan inteligencia artificial. Los atacantes experimentan activamente con la forma en que esos elementos ocultos pueden cambiar el comportamiento de los modelos de lenguaje, influyendo en el análisis de intenciones y en la detección del tono del mensaje. La mera adición de un fragmento invisible puede «reescribir» el sentido del mensaje ante el detector de IA y permitir que la amenaza llegue a la bandeja de entrada de la víctima.

Para contrarrestarlo, Talos recomienda dos vías de protección. La primera: la detección de texto oculto mediante filtros avanzados que analicen todas las partes del mensaje y sus características visuales. La segunda: la filtración y limpieza del código HTML antes de la fase de análisis, incluida la eliminación o el escape de los fragmentos invisibles. También se propone usar en pasarelas y servidores proxy módulos especiales que ignoren el contenido oculto mediante CSS. Según los investigadores, solo una protección integral que combine aprendizaje automático y análisis visual permitirá minimizar los riesgos y evitar eludir los sistemas antispam modernos.

Cisco subraya que el salado oculto del texto ya se ha convertido en una de las herramientas más habituales en las campañas de phishing. Su simplicidad, versatilidad e invisibilidad hacen que la técnica sea especialmente peligrosa, ya que socava la fiabilidad incluso de soluciones avanzadas basadas en inteligencia artificial.