El phishing ha evolucionado, y los atacantes ya no necesitan enlaces sospechosos ni sitios falsos mal diseñados. Hoy, una nueva campaña está utilizando archivos HTML adjuntos en correos electrónicos para hacerse pasar por marcas reconocidas como Microsoft 365, Adobe, WeTransfer, FedEx y DHL. Su objetivo: engañarte para que reveles tus credenciales corporativas o personales.
Este tipo de ataques, que están afectando a organizaciones en Europa Central y del Este, destaca por su nivel de sofisticación. Según un análisis de la firma de ciberseguridad Cyble, los atacantes entienden bien cómo funcionan los procesos empresariales y utilizan técnicas avanzadas de ingeniería social para infiltrarse en sectores como la agricultura, la automoción, la construcción y la educación.
El truco: archivos HTML que parecen legítimos
En lugar de redirigirte a una página web fraudulenta, los atacantes adjuntan un archivo HTML dentro del correo electrónico. Al abrirlo, se despliega una página de inicio de sesión aparentemente auténtica, con logotipos, colores y diseño idénticos a los de la marca suplantada.
Este enfoque tiene una gran ventaja para los ciberdelincuentes: no necesitan servidores externos ni URLs sospechosas que puedan ser detectadas por los filtros tradicionales de seguridad de correo electrónico. Todo el contenido malicioso está dentro del propio archivo.
Los mensajes suelen tener asuntos y nombres de archivo creíbles, como RFQ_4460-INQUIRY.HTML (siglas de “Request for Quotation”), lo que refuerza la idea de que se trata de una comunicación legítima. En el caso de empresas con flujos de trabajo de compras o cotizaciones frecuentes, el engaño resulta casi indetectable.
Cómo funciona el ataque paso a paso
- El correo llega con un archivo adjunto HTML. El remitente aparenta ser un cliente o socio comercial.
- El usuario abre el archivo. La página imita el portal de acceso de Microsoft, Adobe o cualquier otra marca reconocida.
- La víctima introduce sus credenciales.
- El código JavaScript incrustado dentro del archivo captura los datos y los envía automáticamente a un bot de Telegram controlado por los atacantes.
A diferencia de los ataques tradicionales, esta técnica no utiliza servidores centralizados. En su lugar, los datos robados viajan directamente a bots de Telegram, una estrategia que complica el rastreo y análisis por parte de los equipos de ciberseguridad.
.webp?width=1140&height=700&name=Campaign%20Overview%20(Source%20-%20Cyble).webp)
Resumen de la campaña (Fuente: Cyble)
Detalles técnicos: una campaña diseñada para evadir defensas
El análisis de Cyble reveló que los atacantes utilizan JavaScript incrustado en los archivos HTML para ejecutar funciones que recogen nombres de usuario, contraseñas, direcciones IP y detalles del navegador.
- En algunas variantes, el código usa encriptación AES con CryptoJS para ocultar la información antes de enviarla.
- En otras, se aplican mecanismos anti-forenses que impiden inspeccionar el código, bloqueando combinaciones de teclado como F12, Ctrl+U o clic derecho.
- La información robada se transmite mediante solicitudes HTTPS al API de Telegram, usando tokens de bots y chats codificados dentro del propio archivo.
Este nivel de complejidad muestra cómo los ciberdelincuentes han adoptado métodos más refinados para ocultar su actividad dentro del tráfico normal de red, evitando alertas en sistemas como EDR (detección y respuesta en endpoints) o DLP (prevención de pérdida de datos).
¿Por qué esta campaña es tan efectiva?
La eficacia del ataque radica en su conocimiento del entorno corporativo. Los correos no son genéricos: están dirigidos a industrias donde los intercambios de cotizaciones, facturas o solicitudes de precios son comunes.
Por eso, los ciberdelincuentes personalizan los mensajes, adoptan el lenguaje comercial correcto e incluso imitan a proveedores o socios reales. De este modo, los empleados bajan la guardia y abren los adjuntos sin sospechar.
Además, al usar HTML en lugar de enlaces externos, los atacantes evitan ser bloqueados por las soluciones de seguridad más comunes. Muchos filtros de correo aún no analizan a fondo este tipo de archivos, lo que deja un hueco crítico en la protección empresarial.
Telegram: el nuevo aliado del cibercrimen
Tradicionalmente, las credenciales robadas se enviaban a un servidor remoto o se almacenaban en repositorios ocultos. Pero esta campaña ha demostrado una tendencia preocupante: la migración de los atacantes hacia plataformas legítimas de mensajería como Telegram.
Telegram ofrece anonimato, cifrado y una infraestructura descentralizada que facilita la comunicación entre grupos delictivos. Al enviar los datos directamente a través del Telegram Bot API, los atacantes:
- Evitan levantar sospechas en los firewalls corporativos.
- Reducen la dependencia de dominios o servidores fácilmente rastreables.
- Aumentan la rapidez del robo y la destrucción de evidencias.
Qué pueden hacer las empresas para protegerse
Desde TecnetOne, recomendamos adoptar una estrategia integral para prevenir ataques de este tipo, combinando educación, tecnología y monitoreo constante.
1. Bloquea archivos HTML adjuntos.
Configura políticas de correo que bloqueen o analicen de forma automática cualquier archivo con extensión .html o .htm, especialmente si proviene de remitentes desconocidos.
2. Implementa análisis de contenido.
Utiliza herramientas de sandboxing que permitan abrir y revisar los archivos adjuntos en entornos controlados antes de que lleguen a los empleados.
3. Monitorea el tráfico hacia Telegram.
Los equipos de seguridad deben buscar actividad inusual relacionada con el dominio api.telegram.org, ya que podría indicar comunicación con bots maliciosos.
4. Refuerza la autenticación.
Activa el doble factor de autenticación (MFA) en todos los accesos corporativos. Aunque un atacante robe la contraseña, sin el segundo factor no podrá entrar.
5. Capacita a los empleados.
El factor humano sigue siendo la línea de defensa más débil. Realiza simulacros de phishing y enseña a tu equipo a detectar correos sospechosos o con adjuntos inusuales.
6. Realiza auditorías regulares.
Revisa los registros de acceso y ejecuta búsquedas retroactivas para identificar posibles credenciales comprometidas.
Títulos similares: Phishing Intelligence: Escudo Defensivo contra Ciberataques
Lo que esto significa para la ciberseguridad empresarial
El auge de estas campañas demuestra que la ciberseguridad tradicional ya no es suficiente. Las organizaciones necesitan visibilidad en todos los niveles: desde el tráfico web y el correo electrónico, hasta los adjuntos y la navegación dentro del navegador.
El uso de archivos HTML como vector de ataque representa un cambio de paradigma. En lugar de atacar sistemas, los delincuentes atacan la confianza y los procesos rutinarios de los usuarios.
En TecnetOne, insistimos en que la educación digital y la adopción de políticas proactivas son la clave para frenar este tipo de amenazas. Prevenir un clic equivocado puede significar la diferencia entre una operación segura y una filtración masiva de datos.
Conclusión
El phishing ya no se limita a correos torpemente redactados o enlaces falsos. Hoy, los atacantes emulan a las grandes marcas, usan tecnología avanzada y explotan la falta de atención de los usuarios.
Cada vez que recibas un archivo adjunto inesperado, recuerda: la ingeniería social es la herramienta más poderosa del cibercrimen. No abras lo que no esperas, valida siempre la fuente y, sobre todo, mantén actualizadas tus defensas.