La sofisticación de las campañas de phishing ha alcanzado nuevos niveles mediante la combinación de tácticas que involucran correos apócrifos de firmas reconocidas, como Apple y DocuSign, junto con notificaciones falsas relacionadas con cobros realizados a través de Apple Pay.
Estos mensajes falsificados buscan crear una sensación de urgencia en los usuarios para forzarlos a llamar a números telefónicos manejados por los propios estafadores, todo amparado bajo una apariencia legítima y profesional.
Mecanismos de la nueva estafa
Circulan actualmente correos electrónicos diseñados para suplantar comprobantes de compra generados supuestamente por sistemas de pago como Apple Pay. En estos mensajes, los usuarios reciben información sobre un pago presuntamente aplicado a su cuenta, incluyendo datos como un número de factura y una cantidad concreta, junto a un número de teléfono para resolver cualquier inconveniente.
El principal propósito de estos correos es llevar a la víctima a comunicarse con un supuesto agente de soporte, que en realidad es un estafador.
Para reforzar la credibilidad del engaño, los delincuentes adoptan la imagen y el lenguaje corporativo de empresas reconocidas: Apple, Netflix y Expedia, entre otras. De ese modo, suman legitimidad al mensaje, dificultando la detección de la estafa.
Otra maniobra frecuente consiste en incorporar enlaces a plataformas de confianza, como DocuSign, acompañados de códigos de seguridad que aparentan servir como protección adicional, pero que únicamente buscan persuadir al usuario de la autenticidad de la comunicación.
Uno de los signos reveladores de este esquema consiste en el canal de contacto. Los mensajes instan al destinatario a realizar una llamada telefónica ante cualquier duda o cuando el cobro no resulta reconocible.
Esta invitación traslada la conversación a un entorno controlado por el estafador, quien se presenta como trabajador de soporte, solicitando desde credenciales de Apple ID hasta información financiera confidencial, o incluso proponiendo la instalación de aplicaciones para controlar el dispositivo a distancia.
También pueden exigir pagos extra bajo el pretexto de brindar servicios de protección o revertir cargos indebidos.
Esta táctica se combina con otros elementos visuales y discursivos que refuerzan la puesta en escena. El uso de recibos digitalmente elaborados, logotipos oficiales y la incorporación de enlaces externos aparentan brindar seriedad y rapidez en la resolución del supuesto inconveniente.
En consecuencia, la presión psicológica crece y las víctimas, en busca de una solución rápida, se exponen a entregar información sensible o realizar pagos innecesarios.
Estrategias de suplantación y uso de caracteres engañosos
Aunque la sofisticación de estos fraudes puede dificultar su detección, existen detalles puntuales que permiten identificarlos. Una característica clave radica en la dirección de correo del remitente.
Es común que en estas campañas se utilicen caracteres poco familiares o sustituciones mínimas, como reemplazar una letra con su equivalente cirílico, una táctica que esquiva los filtros automáticos de spam y engaña incluso a usuarios atentos. Así, una simple variación en una letra puede transformar la apariencia de la palabra “Billing” y pasar desapercibida.
Otra incongruencia relevante se observa en la elección de las plataformas para enviar notificaciones. Empresas como Apple no remiten recibos de facturación a través de servicios como DocuSign. Esto constituye una señal de alerta que pone en entredicho la legitimidad del mensaje recibido. Identificar este tipo de discrepancias contribuye a evitar caer en el engaño.
Asimismo, llama la atención el tono de urgencia que acompaña la mayoría de estos mensajes. La insistencia en resolver de inmediato un problema inexistente busca que la víctima actúe impulsivamente, sin detenerse a verificar la autenticidad de la información.
Otras formas de phishing
Además de la modalidad que involucra falsas notificaciones de cobros, existen variantes de phishing que se valen de correos simulando comunicaciones de bancos o entidades financieras. Estos mensajes suelen advertir sobre problemas de seguridad en la cuenta del usuario y solicitan que se ingresen datos personales o credenciales en enlaces que conducen a sitios web falsificados, diseñados para capturar la información privada.
Otra táctica frecuente es el envío de correos que anuncian premios inexistentes o sorteos con incentivos atractivos. Al hacer clic en los enlaces, la víctima puede ser dirigida a formularios que piden datos sensibles o a descargas de archivos que instalan software malicioso, como troyanos o programas espía, comprometiendo la seguridad del dispositivo y de la información del usuario.
Últimas Noticias
Por qué Meta desactiva el cifrado en los chats de Instagram y desde cuándo ya no estará disponible
A diferencia de WhatsApp, donde el cifrado de extremo a extremo está activado por defecto, en la red social los usuarios debían habilitar manualmente esta protección
Cómo es el sistema de computación que Nvidia quiere usar para construir centros de datos en el espacio
Con Vera Rubin Space-1, su nuevo módulo informático, la empresa busca llevar la computación de IA más allá de la Tierra
¿Mitad humano, mitad máquina? El nuevo robot que te convierte en centauro para cargar objetos pesados
A diferencia de los exoesqueletos convencionales, este sistema añade dos patas robóticas independientes que se conectan a la espalda de la persona
Construyen la primera batería cuántica del mundo: se carga más rápido cuanto más grande es
Los investigadores buscan combinar la velocidad de carga cuántica con la capacidad de almacenamiento de las baterías convencionales
Empresa de Jeff Bezos y la NASA unen fuerzas para detectar y desviar asteroides peligrosos
Blue Ring ha sido diseñado para otros usos, como órbitas de telecomunicaciones en Marte o el transporte de sensores avanzados
