Investigadores alertaron sobre una nueva plataforma de comando y control, denominada Matrix Push C2, que está siendo utilizada por actores criminales para distribuir ataques de phishing y malware a través de notificaciones push del navegador.
La técnica aprovecha la capacidad de los navegadores para mostrar alertas incluso cuando el usuario no está activo en la página, lo que aumenta drásticamente el alcance de los ataques.
Cómo funciona el abuso de notificaciones push
A través del abuso de la API de notificaciones, los atacantes persuaden a los usuarios para hacer clic en “Permitir” en ventanas de solicitud disfrazadas, incluyendo:
reproductores de video falsos
mensajes de “haz clic para continuar”
botones imitadores de sitios legítimos
Una vez concedido el permiso, la página obtiene autorización para enviar alertas recurrentes que pueden mostrarse como si provinieran del sistema operativo o de aplicaciones confiables.
Según los investigadores, los atacantes ya utilizan plantillas que imitan marcas como:
MetaMask
Netflix
Cloudflare
PayPal
TikTok
Panel con control total del atacante
La plataforma Matrix Push C2 ofrece un panel táctico que permite a los operadores:
monitorear víctimas en tiempo real
ver qué mensajes se han mostrado
medir qué notificaciones generan más interacción
ajustar el diseño y tono de los mensajes
Además, integra un servicio propio de acortamiento de URL para ocultar destinos maliciosos dentro de enlaces compactos y aparentemente inofensivos.
Objetivos principales del ataque
Los ataques tienen como metas más comunes:
robar información personal y financiera
drenar wallets de criptomonedas
dirigir a víctimas a sitios de phishing
descargar malware de forma progresiva
Los investigadores advierten que el modelo se adapta a cualquier campaña, desde fraudes simples hasta operaciones complejas de monetización criminal.
Por qué es difícil para el usuario detectar el engaño
El abuso es efectivo porque:
las notificaciones vienen del navegador, no de un sitio
aparecen fuera de la página
se parecen a alertas del sistema
pueden mostrarse repetidamente, incluso en segundo plano
Esto genera confianza o urgencia artificial, y reduce la capacidad de los usuarios de identificar el origen real.
Cómo desactivar permisos de notificaciones maliciosas
Si un usuario nota notificaciones sospechosas, la recomendación principal es revocar permisos a nivel navegador.
En líneas generales:
Ubicar el icono de engranaje dentro de una notificación.
Abrir configuración de notificaciones del navegador.
Bloquear o eliminar el sitio de la lista de permitidos.
Cada navegador permite controles específicos, por ejemplo:
Chrome / Edge / Opera: Configuración > Privacidad y seguridad > Ajustes de sitio > Notificaciones
Firefox: Configuración > Privacidad & Seguridad > Permisos > Notificaciones
Safari (Mac): Safari > Configuración > Sitios web > Notificaciones
iOS: Ajustes > Notificaciones > Safari
Un recordatorio clave para organizaciones
Este nuevo enfoque vuelve evidente un patrón reciente:
los atacantes están explotando funcionalidades legítimas del navegador como canales de distribución maliciosa.
Las empresas deben:
Educar a usuarios sobre los riesgos
Revisar políticas de notificaciones en endpoints corporativos
Reforzar monitoreo y bloqueo de dominios sospechosos
Priorizar soluciones de protección contra abuso de navegación
