Tu bandeja de entrada es demasiado ingenua: los correos entrantes ya no son seguros.
El pasado intachable de las plataformas digitales ahora es aprovechado por delincuentes.
Un mensaje habitual de un servicio conocido dejó de ser garantía de seguridad. Los especialistas de Cisco Talos notaron una nueva oleada de ataques en la que los delincuentes aprovechan los mecanismos legítimos de notificación de GitHub y Jira para entregar correos de phishing y spam con pocas interferencias. Desde el exterior, esos mensajes parecen alertas estándar de plataformas conocidas, por eso despiertan menos sospechas y con más frecuencia llegan a los destinatarios.
Según Talos, los atacantes incrustan cebos directamente en el contenido de las notificaciones que los servicios envían automáticamente. En el caso de GitHub, el esquema se basa en los commits. Los atacantes crean repositorios y añaden en la descripción de los cambios textos con facturas falsas, "servicio de soporte" u otros engaños para robar datos. Tras enviar el commit, GitHub envía la notificación desde su propia infraestructura. Ese mensaje supera las comprobaciones de autenticidad estándar, incluidos SPF, DKIM y DMARC, por lo que los filtros de correo lo consideran menos peligroso con menor frecuencia.
Talos indica que, en un periodo de observación de cinco días, el 1,2% de todo el tráfico procedente de noreply@github[.]com contenía en el asunto el cebo con la palabra invoice. El pico se produjo el 17 de febrero de 2026, cuando la proporción de esos mensajes aumentó aproximadamente hasta el 2,89% de la muestra diaria.
Con Jira los atacantes actúan de otra manera. La plataforma en sí no permite cambiar las plantillas de correo, pero sí rellenar los campos del proyecto y de las invitaciones. Los atacantes crean un proyecto en Jira Service Management, ponen un nombre engañoso y un texto de bienvenida, y luego envían invitaciones a las direcciones deseadas. Como resultado, Atlassian envía un correo con la imagen corporativa, donde el cebo malicioso ya está integrado en una plantilla de confianza. Esta táctica es especialmente peligrosa en entornos corporativos, donde las notificaciones de Jira suelen percibirse como mensajes internos de la empresa.
En Cisco Talos consideran que el problema principal no está en una vulnerabilidad de las plataformas, sino en la confianza en su infraestructura. Los delincuentes usan la reputación de los servicios SaaS como cobertura y eluden las protecciones diseñadas para verificar el dominio y la autenticidad técnica del mensaje. Los autores del informe recomiendan a las empresas comprobar no solo el remitente, sino también el contexto de la acción dentro del servicio, analizar los registros de GitHub y Atlassian mediante la API, vigilar invitaciones anómalas y la creación de proyectos sospechosos, y remitir a verificación adicional las notificaciones con contenido atípico.