¿Error al introducir la contraseña? No: es una comprobación. Por qué los estafadores te hacen escribirla dos veces
Nueva campaña de ciberdelincuentes deja a más de 400 personas sin sus ahorros.
Los especialistas de Group-IB describieron una nueva campaña, en la que los atacantes apuntan a clientes de bancos en Filipinas y actúan con tanta cautela que sus correos y sitios casi no se distinguen de los reales. El ataque en curso se inició a principios de 2024 y para 2026 no solo no ha disminuido, sino que se ha vuelto notablemente más sofisticado. Resultaron afectados usuarios de al menos tres grandes bancos, y no los propios bancos.
El esquema comienza con correos enviados desde cuentas comprometidas. En el mensaje aparecen avisos alarmantes sobre una operación sospechosa o un acceso a la cuenta desde un dispositivo nuevo. Antes los atacantes ofrecían «anular el pago», ahora con más frecuencia piden confirmar datos o «mejorar la seguridad» de la cuenta. La apelación a la urgencia sigue funcionando: la persona hace clic en el enlace y llega a una página falsa.
Para el envío no usan direcciones aleatorias, sino cuentas reales robadas anteriormente. Esos inicios de sesión y contraseñas se recopilan en las llamadas bases combolist, que se difunden activamente en foros clandestinos. Gracias a ello los correos parecen más verosímiles y con mayor frecuencia superan los filtros de los servicios de correo.
Desde mediados de 2025 los atacantes cambiaron su enfoque respecto a los enlaces. En lugar de direcciones directas comenzaron a ocultar las páginas maliciosas tras servicios de buena reputación. Se usan páginas de perfiles empresariales de Google, la red de entrega de contenido AMP, servicios para acortar enlaces y herramientas en la nube para desarrolladores. Los enlaces parecen seguros y los filtros dejan pasar esos correos.
Además, los atacantes emplean activamente la infraestructura de Cloudflare, donde se pueden desplegar páginas falsas con rapidez y cambiar la dirección con la misma velocidad si la anterior se bloquea. Un aspecto aún más preocupante es el compromiso de un dominio de una institución educativa en Filipinas. Sobre esa base desplegaron una infraestructura de phishing con certificados de seguridad válidos, lo que incrementa aún más la confianza de las víctimas.
Tras hacer clic, el usuario llega a una página que copia casi por completo la banca por Internet. El sitio carga elementos directamente desde los servidores reales del banco, por lo que resulta muy convincente. Primero piden el usuario y la contraseña, luego el número de teléfono y parte de los datos de la tarjeta, y al final el código de un solo uso enviado por SMS.
El punto clave es que todo ocurre en tiempo real. En cuanto la víctima introduce el código, los atacantes lo usan de inmediato para eludir la autenticación de dos factores y transferir el dinero. Para recopilar los datos emplean bots en Telegram, que obtienen la información automáticamente y la vinculan con la víctima concreta.
En el código de las páginas hay otra trampa adicional. Tras la primera introducción del usuario y la contraseña el sistema intencionalmente muestra un error y pide repetir los datos. Esta táctica permite descartar errores tipográficos y obtener credenciales exactas. Según estiman los especialistas, desde inicios de 2024 más de 400 personas resultaron perjudicadas. Durante ese tiempo los atacantes difundieron más de 900 enlaces maliciosos. Según las quejas de los usuarios, el dinero se retiraba de las cuentas literalmente pocos minutos después de introducir el código.
La campaña muestra hasta qué punto ha cambiado el phishing. Los atacantes ya no se basan en falsificaciones toscas. En lugar de eso usan servicios legítimos, comprometen dominios reales y diseñan ataques para sortear las protecciones sin despertar sospechas.