Check Point Software ha detectado una sofisticada campaña de phishing que utiliza servicios SaaS legítimos para lanzar estafas telefónicas altamente creíbles. La ofensiva ha generado más de 130.000 correos fraudulentos y ha afectado a más de 20.000 empresas en todo el mundo. Grandes marcas tecnológicas han sido suplantadas aprovechando sus propios sistemas de notificación.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha descubierto una campaña de phishing a gran escala que supone un cambio relevante en las tácticas de los ciberdelincuentes. El ataque se apoya en el uso malicioso de plataformas SaaS (Software as a Service), es decir, servicios digitales en la nube que las empresas utilizan a diario para comunicarse, gestionar cuentas, realizar pagos o colaborar en línea, como el correo corporativo, las videollamadas o las herramientas de gestión empresarial.
A diferencia de los ataques tradicionales, los delincuentes no crean páginas falsas ni incluyen enlaces sospechosos. En su lugar, aprovechan las funciones legítimas de estos servicios SaaS, que están diseñados para enviar notificaciones automáticas y correos de confianza desde dominios oficiales. De este modo, los mensajes heredan la reputación, autenticación y credibilidad de proveedores ampliamente conocidos.
La campaña ha generado aproximadamente 133.260 correos electrónicos de phishing y ha afectado a 20.049 empresas a nivel mundial. Entre las marcas utilizadas o suplantadas figuran Microsoft, Zoom, Amazon, PayPal, YouTube y Malwarebytes, todas ellas plataformas SaaS habituales en el entorno corporativo.
Según Check Point Software, los atacantes insertan contenido fraudulento en campos controlados por el usuario dentro de estas plataformas, como nombres de cuenta, atributos de perfil o mensajes de invitación. Ese contenido aparece después en correos automáticos enviados desde infraestructuras oficiales, totalmente autenticados y prácticamente indistinguibles de comunicaciones reales.
Uno de los elementos más preocupantes de esta ofensiva es el uso de estafas telefónicas como fase final del engaño. Al eliminar enlaces maliciosos, los atacantes consiguen esquivar los filtros de seguridad tradicionales y trasladan el fraude a la ingeniería social por voz, instando a las víctimas a llamar a falsos números de soporte técnico.
Check Point ha identificado tres métodos principales en esta campaña: la manipulación de metadatos en plataformas como Zoom, PayPal, YouTube y Malwarebytes; el abuso de los sistemas de notificaciones legítimas de Microsoft mediante tenants válidos; y la explotación de flujos de invitación de Amazon Business, enviados masivamente a través de Amazon SES.
Por sectores, los más afectados han sido Tecnología, SaaS y TI, seguidos de Manufactura, Industria, Ingeniería y Construcción, además de empresas B2B. A nivel geográfico, Estados Unidos concentra cerca del 67% de los casos, mientras que Europa representa el 17,8% del impacto total. En LATAM, destacan Brasil y México como los países más afectados.
Esta campaña pone de relieve que los correos procedentes de servicios SaaS y marcas reconocidas no son necesariamente seguros. Check Point Software advierte de que, en un contexto donde las plataformas en la nube dominan la comunicación empresarial, es clave reforzar la vigilancia y la concienciación frente al uso indebido de servicios legítimos por parte de los ciberdelincuentes.
