Últimamente, expertos en ciberseguridad han detectado una nueva ola de estafas en línea bastante ingeniosas. Se trata de campañas de phishing que suplantan a marcas conocidas como Microsoft, DocuSign, PayPal, NortonLifeLock y Geek Squad. Pero lo más curioso (y preocupante) es que en lugar de robarte datos directamente desde un formulario, te invitan a llamar por teléfono.
Sí, leíste bien: los ciberdelincuentes están usando archivos PDF para convencer a las personas de que llamen a números que ellos mismos controlan, haciéndose pasar por el servicio al cliente de alguna empresa conocida. Esta técnica se conoce como phishing de devolución de llamada, o TOAD (por sus siglas en inglés: Telephone-Oriented Attack Delivery).
¿Cómo funciona el phishing por devolución de llamada?
Todo empieza con un correo electrónico que, a primera vista, parece legítimo. Puede venir de una marca como Microsoft, por ejemplo, y trae un archivo PDF adjunto. Al abrirlo, encuentras un mensaje que te dice algo como: “Hay un problema con tu cuenta” o “Se ha hecho un cobro que no reconoces”, y te dan un número de teléfono para llamar y resolverlo.
La mayoría de las personas, al ver una marca reconocida y un mensaje urgente, caen en la trampa sin sospechar.
Cuando llamas, alguien atiende como si trabajara en el soporte técnico de la empresa. Tienen guiones preparados, música de espera e incluso identificadores de llamadas que imitan a los reales. Todo parece muy profesional. Pero en realidad, están intentando que reveles datos sensibles (como contraseñas o números de tarjetas) o incluso que instales software malicioso en tu computadora.
¿Por qué usan PDFs?
Los archivos PDF son ideales para este tipo de engaños por varias razones:
- Tienen apariencia profesional, así que generan confianza.
- Se pueden abrir en casi cualquier dispositivo sin levantar sospechas.
- Dentro del PDF, los atacantes pueden insertar enlaces, botones, códigos QR y hasta campos interactivos para redirigirte a sitios falsos o incluir un número de teléfono como punto de contacto.
Entre el 5 de mayo y el 5 de junio de 2025, se analizaron cientos de correos de este tipo, y los datos son claros: Microsoft y DocuSign están entre las marcas más utilizadas por los atacantes. También se ha visto un aumento en correos con logos y mensajes falsos de Adobe, Dropbox y otras plataformas conocidas.
Podría interesarte leer: Sitios Falsos de DocuSign y GitCode Propagan NetSupport RAT
¿Qué papel juegan los códigos QR?
Una de las técnicas más creativas que están usando es incluir códigos QR dentro del PDF. Estos códigos, que parecen inofensivos, están diseñados para que los escanees con tu teléfono. Y ahí es donde empieza el problema: en muchos casos, te redirigen a una página falsa que imita el sitio web de Microsoft, Google o cualquier otro servicio, donde te piden iniciar sesión.
Peor aún, algunos archivos PDF utilizan funciones como anotaciones, notas adhesivas o campos de formulario para esconder enlaces maliciosos que se activan con solo hacer clic en algún lugar del documento. A simple vista todo parece normal, pero están diseñados para engañarte sin que lo notes.
¿Por qué funciona tan bien esta técnica?
Una de las razones por las que estas campañas de phishing son tan efectivas es porque juegan con la urgencia y la confianza. Cuando ves un cobro que no reconoces o una advertencia de que tu cuenta será suspendida, tu reacción natural es actuar rápido. Y si encima el mensaje parece venir de una empresa conocida, es muy fácil caer en la trampa.
Además, al hacer que seas tú quien llama, los atacantes evitan muchos filtros automáticos de seguridad. Los antivirus, los filtros de spam y otras herramientas no detectan nada fuera de lo normal en un PDF que simplemente contiene un número de teléfono.
Y durante la llamada, los estafadores son convincentes. Tienen respuestas listas para todo, manejan muy bien el lenguaje, y hasta te ponen en espera con música corporativa para que sientas que estás hablando con una empresa real.
Cisco Talos explica que la mayoría de los cibercriminales usan números de teléfono por internet (VoIP) para mantenerse en el anonimato y hacer mucho más difícil que los rastreen. Lo curioso es que a veces usan el mismo número durante varios días seguidos, lo que les permite volver a llamar a la misma persona y continuar con el engaño en diferentes fases, como si fuera un proceso real de soporte o atención al cliente. Así logran montar ataques más elaborados, ganarse la confianza de la víctima y avanzar paso a paso sin levantar sospechas.
Campañas de phishing avanzadas que abusan de Microsoft 365 y PDF maliciosos
Según expertos en seguridad, la suplantación de marca sigue siendo una de las estrategias más usadas en correos electrónicos maliciosos, y no es casualidad. Las personas tienden a confiar cuando ven nombres como Microsoft, Adobe o incluso su propio proveedor de correo.
Por eso, muchas soluciones de seguridad están empezando a incluir sistemas inteligentes para detectar este tipo de suplantación, ya que pueden marcar la diferencia a la hora de detener un ataque antes de que cause daño.
Y hablando de Microsoft… en los últimos meses, algunos hackers han encontrado una forma muy ingeniosa de abusar de una función legítima de Microsoft 365 llamada "Direct Send". Con ella, pueden enviar correos de phishing que parecen venir de dentro de la empresa, sin necesidad de robar credenciales ni tomar el control de una cuenta. Este truco ya se ha usado contra más de 70 organizaciones desde mayo de 2025, según datos de Varonis.
Lo más inquietante es que estos correos usan direcciones que parecen legítimas, como las que terminan en *.mail.protection.outlook.com
, lo que hace que muchos sistemas de seguridad no los detecten como sospechosos. Como resultado, los mensajes pasan desapercibidos y llegan directo a la bandeja de entrada.
Ejemplo de correo electrónico de phishing de la campaña (Fuente:Varonis)
Conoce más sobre: Hackers Abusan de Direct Send en Microsoft 365 para Enviar Phishing
Conclusión
Los atacantes siguen perfeccionando sus tácticas, y ahora usan desde archivos PDF hasta funciones legítimas de Microsoft 365 para lanzar campañas de phishing cada vez más creíbles. Estos métodos funcionan porque se aprovechan de la confianza y la urgencia, no solo de la tecnología.
Por eso, además de estar alerta y pensar dos veces antes de hacer clic o llamar a un número desconocido, es clave contar con herramientas que detecten estas amenazas antes de que lleguen al usuario. Soluciones como TecnetProtect, que integra tecnología de Acronis, pueden ayudar a identificar correos de phishing avanzados y suplantación de identidad, protegiendo a usuarios y empresas en tiempo real mediante funciones como:
-
Análisis de comportamiento en tiempo real
-
Detección de suplantación de identidad (brand spoofing)
-
Escaneo inteligente de enlaces y archivos adjuntos
-
Protección contra correos maliciosos sin archivos ni enlaces
-
Prevención de ataques BEC y fraudes por correo
Gracias a este enfoque proactivo, TecnetProtect detiene los ataques antes de que lleguen al buzón del usuario, incluso si se trata de amenazas nunca antes vistas. Porque en ciberseguridad, la mejor respuesta es anticiparse.