Investigadores de ciberseguridad advierten sobre una ola de ataques que evaden los filtros de correo tradicionales alojando sus cargas maliciosas en servicios legítimos en la nube, terminando en páginas de login idénticas a las reales.
Si recibes un correo avisándote de que “alguien ha compartido un documento contigo en Dropbox”, piénsalo dos veces antes de hacer clic. Hoy 3 de febrero de 2026, una campaña de phishing altamente sofisticada que está logrando evadir los escáneres de seguridad corporativos (SEG) al esconderse detrás de servicios de confianza.
A diferencia del spam burdo de antaño, estos correos no contienen enlaces maliciosos directos ni archivos adjuntos infectados con virus. En su lugar, utilizan una técnica de “muñeca rusa” digital para llevar a la víctima paso a paso hacia la trampa.
La Cadena de Ataque: Confianza en la Nube
El ataque se basa en abusar de infraestructuras legítimas que las empresas normalmente no bloquean (como Vercel o Dropbox). El flujo es el siguiente:
- El Cebo (PDF Limpio): La víctima recibe un correo, a menudo con temática de “Recursos Humanos” o “Propuesta Comercial”, que adjunta un archivo PDF.
- El Truco: Este PDF no tiene malware. Es un documento benigno que solo contiene un enlace. Al ser “limpio”, pasa los filtros antivirus del correo.
- El Salto (Vercel Blob): Al hacer clic en el enlace del PDF, el usuario no va a un sitio de hackers, sino a una URL alojada en Vercel Blob (public.blob.vercel-storage.com).
- Vercel es una plataforma legítima para desarrolladores. Al alojar la redirección aquí, los atacantes ganan una capa de legitimidad HTTPS que engaña a los navegadores y firewalls.
- La Estafa (Fake Dropbox): Finalmente, la página de Vercel redirige a una web de phishing diseñada meticulosamente para imitar la pantalla de inicio de sesión de Dropbox o Microsoft 365.
- La página copia logos, tipografías y colores oficiales.
Exfiltración vía Telegram
Un detalle técnico revelado por los investigadores es cómo los criminales recolectan los datos robados.
- Una vez que la víctima introduce su usuario y contraseña, la página falsa no los guarda en una base de datos convencional.
- Utiliza la API de Telegram para enviar las credenciales en tiempo real directamente al chat privado de los atacantes mediante un “Bot” automatizado.
- Además de la contraseña, el script captura la dirección IP, la ubicación geográfica y el tipo de dispositivo de la víctima para facilitar futuros ataques dirigidos.
El Peligro de los SVGs
Informes paralelos señalan que esta campaña también está experimentando con archivos SVG (Gráficos Vectoriales Escalables) en lugar de PDFs.
- Los archivos SVG pueden contener código HTML y JavaScript. Al abrirlos, se ejecutan en el navegador como si fueran una página web, permitiendo redirigir al usuario o mostrar formularios de login falsos directamente desde la imagen, sin necesidad de que el usuario visite una web externa.
¿Cómo protegerse?
- Verifica la URL: Antes de introducir tu contraseña, mira siempre la barra de direcciones. Si la página dice ser Dropbox pero la URL es tovz.life o un subdominio extraño de vercel.app, es una estafa.
- Desconfianza de PDFs con Enlaces: Si un PDF te pide hacer clic en un botón para “Ver el documento seguro” o “Acceder al archivo en la nube”, es casi seguro un ataque. Los servicios reales como Dropbox te envían el enlace directo en el cuerpo del correo, no dentro de un PDF adjunto.
- Habilita MFA: La autenticación multifactor (MFA) sigue siendo tu mejor defensa. Incluso si roban tu contraseña, no podrán entrar sin el segundo código.
