Ciberdelincuentes usan PDFs para suplantar marcas en campañas de phishing

Investigadores en ciberseguridad advierten sobre campañas de phishing que suplantan marcas reconocidas para engañar a las víctimas y hacerlas llamar a números telefónicos controlados por ciberdelincuentes.

Aumento de campañas de phishing con archivos PDF y técnica TOAD

Una parte considerable de las amenazas por correo electrónico que incluyen archivos PDF busca inducir a las víctimas a llamar a números telefónicos controlados por atacantes. Esta táctica representa una forma avanzada de ingeniería social conocida como Entrega de Ataques Orientados a Teléfonos (TOAD), o también phishing por devolución de llamada.

Un análisis reveló que las marcas más comúnmente suplantadas fueron Microsoft y DocuSign, seguidas por NortonLifeLock, PayPal y Geek Squad, especialmente en campañas TOAD.

Evolución de la técnica: PDF interactivos y códigos QR maliciosos

Los atacantes han mejorado el uso de archivos PDF para campañas de phishing. Ahora incluyen elementos interactivos y códigos QR dañinos. Esto hace que sus engaños sean más efectivos. 

En lugar de poner enlaces visibles, los delincuentes cibernéticos usan funciones avanzadas del formato PDF. Usan anotaciones, comentarios o formularios para ocultar URLs maliciosas. Así, evitan los filtros de seguridad tradicionales.

Una táctica muy usada consiste en insertar códigos QR dentro del archivo. Estos redirigen a sitios de phishing, que simulan portales legítimos como Microsoft 365 o Dropbox. Para aumentar la credibilidad, algunos QR apuntan inicialmente a páginas legítimas que luego redireccionan al contenido malicioso, una técnica conocida como “redirect chain”.

Este enfoque no solo aprovecha la interacción natural del usuario con documentos PDF, sino que también explota la confianza depositada en formatos aparentemente seguros y ampliamente utilizados.

Instalación de malware y persistencia en el sistema

Estas campañas han sido empleadas para distribuir troyanos bancarios en dispositivos Android y herramientas de acceso remoto (RATs) en equipos de escritorio. Esto permite a los atacantes mantener el control a largo plazo. En mayo de 2025, el FBI alertó sobre una serie de ataques de este tipo llevados a cabo por el grupo de amenazas Luna Moth. Estos se hacían pasar por personal de departamentos de TI para infiltrarse en redes corporativas.

Cisco Talos también advirtió que los atacantes suelen emplear números VoIP para ocultar su identidad. Estos números pueden ser reutilizados durante varios días, facilitando ataques de múltiples etapas sin ser detectados fácilmente.

Suplantación de marca y nuevas técnicas

La suplantación de marca sigue siendo una de las técnicas de ingeniería social más comunes y efectivas. Por ello, Cisco Talos recomienda contar con motores de detección especializados como parte fundamental de la estrategia de ciberdefensa.

Otra tendencia reciente involucra el abuso de una funcionalidad legítima de Microsoft 365, conocida como Envío Directo (Direct Send). Esto permite a los atacantes enviar correos falsificados que simulan provenir de usuarios internos, sin necesidad de comprometer sus cuentas.

Los correos enviados mediante esta técnica aprovechan la previsibilidad de los nombres de host en Microsoft ("<tenant_name>.mail.protection.outlook.com") para evitar mecanismos tradicionales de autenticación y detección.

El riesgo emergente de los modelos de lenguaje

Un estudio reciente de Netcraft reveló que incluso los modelos de lenguaje grandes (LLM) pueden sugerir URLs incorrectas al preguntar dónde iniciar sesión en servicios legítimos. En un tercio de los casos, los modelos generaron dominios no registrados o inactivos, vulnerables a ser adquiridos por actores maliciosos.

Esto crea una nueva forma de ataque. Los delincuentes pueden registrar dominios que la IA sugiere incorrectamente. Luego, dirigen a los usuarios a sitios de phishing. 

Además, se detectaron intentos de envenenar asistentes de programación basados en IA, como Cursor, mediante la publicación de APIs falsas en GitHub. Estos repositorios incluían tutoriales y perfiles ficticios diseñados para ser indexados y utilizados como fuente de entrenamiento por modelos de IA.

Manipulación de buscadores y mercados ilícitos

Paralelamente, ciberdelincuentes han estado inyectando JavaScript o HTML malicioso en sitios web legítimos (incluyendo dominios .gov y .edu) mediante un mercado clandestino llamado Hacklink, con el objetivo de manipular los algoritmos de los motores de búsqueda.

Este servicio permite insertar enlaces a sitios de phishing en el código fuente de páginas web comprometidas, lo que incrementa su visibilidad en búsquedas relacionadas. Incluso es posible modificar el texto que aparece en los resultados, afectando la reputación de la marca y la confianza del usuario.