«Slash‑traidor» y otras tres maneras de perder tus datos: los estafadores engañan a los antivirus con trucos visuales
Por qué confiar en lo que ves en Internet se está convirtiendo en un lujo cada vez más peligroso
En el último mes, los analistas de Barracuda registraron varias nuevas campañas de correo dirigidas a empresas y a empleados de organizaciones. La tendencia general es evidente: los atacantes recurren cada vez más a métodos técnicos poco convencionales y a presiones psicológicas para eludir los filtros de protección y ganarse la confianza de los destinatarios.
Una de las metodologías más destacadas fue el uso del conjunto Tycoon, en el que los códigos QR maliciosos se generan no como imágenes, sino mediante tablas HTML. El código se compone de numerosas celdas pequeñas, pintadas de negro y blanco, que visualmente parecen un código QR normal en los clientes de correo. Además, en el mensaje no hay imagen, enlace ni archivo gráfico, por lo que los sistemas automáticos a menudo no reconocen la amenaza. Tras escanear ese código, el usuario llega a una página de phishing creada a través de la plataforma Tycoon PhaaS.
Paralelamente, se ha desarrollado una campaña que usa Microsoft Teams, en la que los destinatarios son añadidos a grupos con nombres alarmantes y se les muestran facturas falsas, avisos de renovación automática de servicios y supuestos cargos no autorizados. Para «anular el pago» se les sugiere llamar al número indicado, que está completamente controlado por los atacantes. La confianza en la plataforma popular y la retórica de urgencia aumentan considerablemente la eficacia del fraude, y el esquema en sí no depende de la infraestructura postal clásica y con frecuencia elude los mecanismos de protección.
Una vía adicional está relacionada con correos que se hacen pasar por notificaciones legales de Facebook sobre infracción de derechos de autor. En esos mensajes se incluye un enlace a un formulario con «detalles de la infracción», que se abre en una ventana del navegador falsificada. Visualmente la página parece un sitio habitual, pero en realidad es una falsificación estática destinada a robar credenciales.
Otra técnica se basa en la sustitución de caracteres en los enlaces. En lugar de la barra estándar "/", se usa un símbolo Unicode similar "∕", empleado en matemáticas. La diferencia es casi imperceptible para la persona, pero permite a las direcciones maliciosas evadir los filtros automáticos y los sistemas de detección, redirigiendo a la víctima a páginas aleatorias o preparadas.
Según Barracuda, todas estas campañas comparten la apuesta por la verosimilitud visual, la ingeniería social y los caminos técnicos de evasión, que complican la detección automática de amenazas y exigen a las organizaciones un enfoque más integral para proteger el correo y los servicios corporativos.