2,8 millones de ataques desde principios de 2026: descubren nueva estafa que se hace pasar por el soporte de Microsof
Sin un solo virus, pero con la sensación de un hackeo.
Los especialistas de Barracuda advirtieron sobre un nuevo esquema de estafa llamado CypherLoc, que simula una avería repentina o la infección del dispositivo. El usuario ve ventanas alarmantes, no puede controlar el navegador con normalidad y oye sonidos de advertencia. En la pantalla se muestra constantemente un número del "servicio de soporte" al que supuestamente debe llamarse de inmediato.
Según Barracuda, desde principios de 2026 CypherLoc se ha utilizado en aproximadamente 2,8 millones de ataques. El esquema suele comenzar con un correo de phishing. En el mensaje o en un adjunto hay un enlace que lleva a la víctima a una página maliciosa.
La página no siempre muestra inmediatamente los mensajes alarmantes. Primero se abre un sitio que parece inocuo y el script malicioso se activa solo en condiciones apropiadas, por ejemplo, si no hay un escáner de protección en el navegador o en el sistema. Esta táctica ayuda a ocultar el ataque frente a las soluciones de seguridad.
Cuando CypherLoc se activa, el navegador pasa a modo de pantalla completa, desactiva los menús contextuales, oculta el cursor y cubre la pantalla con capas de advertencias. Al usuario se le hace creer que el dispositivo ya está infectado o bloqueado, y que la única forma de resolver el problema es llamar al número indicado.
Los estafadores también usan sonido para aumentar la presión. Al intentar hacer clic en la página o recuperar el control del navegador, la víctima oye una señal de alarma. Debido a la carga adicional, el navegador puede ralentizarse, funcionar con errores o quedarse colgado, lo que hace que lo sucedido resulte más convincente.
Otra táctica de CypherLoc es mostrar la dirección IP del usuario. Según los especialistas de Barracuda, esta medida no sirve para una verificación técnica sino para presionar a la persona. Cuando aparece la dirección de red personal en la pantalla, la advertencia parece más "personal" y se intensifica el pánico.
En la etapa siguiente aparece una ventana de inicio de sesión que no funciona y solo añade la sensación de que el problema se agrava. Todo el escenario empuja a la víctima a llamar al soporte falso. Tras la llamada, operadores que se hacen pasar por empleados de Microsoft comienzan a comunicarse con la persona.
Barracuda no especifica los objetivos finales de los atacantes, pero este esquema es adecuado para robar datos valiosos. Durante la conversación, los estafadores pueden extraer contraseñas, datos bancarios, información de pago o solicitar la instalación de programas de acceso remoto.
En Barracuda consideran que CypherLoc representa una nueva fase en la evolución de este tipo de esquemas. En lugar de recurrir a software malicioso agresivo, los atacantes utilizan cada vez más scripts en el navegador y presión psicológica, obligando al usuario a realizar por sí mismo las acciones que desean.
Los especialistas recuerdan que las advertencias de seguridad auténticas no muestran números de teléfono, no bloquean el navegador ni exigen llamar inmediatamente al soporte mediante una ventana emergente. Si una página se comporta de ese modo, es mejor cerrar el navegador desde el administrador de tareas o reiniciar el dispositivo, y luego analizar el sistema con la solución de protección habitual.