El phishing ha evolucionado, y los atacantes ya no necesitan enlaces sospechosos ni sitios falsos mal diseñados. Hoy, una nueva campaña está utilizando archivos HTML adjuntos en correos electrónicos para hacerse pasar por marcas reconocidas como Microsoft 365, Adobe, WeTransfer, FedEx y DHL. Su objetivo: engañarte para que reveles tus credenciales corporativas o personales.
Este tipo de ataques, que están afectando a organizaciones en Europa Central y del Este, destaca por su nivel de sofisticación. Según un análisis de la firma de ciberseguridad Cyble, los atacantes entienden bien cómo funcionan los procesos empresariales y utilizan técnicas avanzadas de ingeniería social para infiltrarse en sectores como la agricultura, la automoción, la construcción y la educación.
En lugar de redirigirte a una página web fraudulenta, los atacantes adjuntan un archivo HTML dentro del correo electrónico. Al abrirlo, se despliega una página de inicio de sesión aparentemente auténtica, con logotipos, colores y diseño idénticos a los de la marca suplantada.
Este enfoque tiene una gran ventaja para los ciberdelincuentes: no necesitan servidores externos ni URLs sospechosas que puedan ser detectadas por los filtros tradicionales de seguridad de correo electrónico. Todo el contenido malicioso está dentro del propio archivo.
Los mensajes suelen tener asuntos y nombres de archivo creíbles, como RFQ_4460-INQUIRY.HTML (siglas de “Request for Quotation”), lo que refuerza la idea de que se trata de una comunicación legítima. En el caso de empresas con flujos de trabajo de compras o cotizaciones frecuentes, el engaño resulta casi indetectable.
A diferencia de los ataques tradicionales, esta técnica no utiliza servidores centralizados. En su lugar, los datos robados viajan directamente a bots de Telegram, una estrategia que complica el rastreo y análisis por parte de los equipos de ciberseguridad.
Resumen de la campaña (Fuente: Cyble)
El análisis de Cyble reveló que los atacantes utilizan JavaScript incrustado en los archivos HTML para ejecutar funciones que recogen nombres de usuario, contraseñas, direcciones IP y detalles del navegador.
Este nivel de complejidad muestra cómo los ciberdelincuentes han adoptado métodos más refinados para ocultar su actividad dentro del tráfico normal de red, evitando alertas en sistemas como EDR (detección y respuesta en endpoints) o DLP (prevención de pérdida de datos).
La eficacia del ataque radica en su conocimiento del entorno corporativo. Los correos no son genéricos: están dirigidos a industrias donde los intercambios de cotizaciones, facturas o solicitudes de precios son comunes.
Por eso, los ciberdelincuentes personalizan los mensajes, adoptan el lenguaje comercial correcto e incluso imitan a proveedores o socios reales. De este modo, los empleados bajan la guardia y abren los adjuntos sin sospechar.
Además, al usar HTML en lugar de enlaces externos, los atacantes evitan ser bloqueados por las soluciones de seguridad más comunes. Muchos filtros de correo aún no analizan a fondo este tipo de archivos, lo que deja un hueco crítico en la protección empresarial.
Tradicionalmente, las credenciales robadas se enviaban a un servidor remoto o se almacenaban en repositorios ocultos. Pero esta campaña ha demostrado una tendencia preocupante: la migración de los atacantes hacia plataformas legítimas de mensajería como Telegram.
Telegram ofrece anonimato, cifrado y una infraestructura descentralizada que facilita la comunicación entre grupos delictivos. Al enviar los datos directamente a través del Telegram Bot API, los atacantes:
Desde TecnetOne, recomendamos adoptar una estrategia integral para prevenir ataques de este tipo, combinando educación, tecnología y monitoreo constante.
1. Bloquea archivos HTML adjuntos.
Configura políticas de correo que bloqueen o analicen de forma automática cualquier archivo con extensión .html o .htm, especialmente si proviene de remitentes desconocidos.
2. Implementa análisis de contenido.
Utiliza herramientas de sandboxing que permitan abrir y revisar los archivos adjuntos en entornos controlados antes de que lleguen a los empleados.
3. Monitorea el tráfico hacia Telegram.
Los equipos de seguridad deben buscar actividad inusual relacionada con el dominio api.telegram.org, ya que podría indicar comunicación con bots maliciosos.
4. Refuerza la autenticación.
Activa el doble factor de autenticación (MFA) en todos los accesos corporativos. Aunque un atacante robe la contraseña, sin el segundo factor no podrá entrar.
5. Capacita a los empleados.
El factor humano sigue siendo la línea de defensa más débil. Realiza simulacros de phishing y enseña a tu equipo a detectar correos sospechosos o con adjuntos inusuales.
6. Realiza auditorías regulares.
Revisa los registros de acceso y ejecuta búsquedas retroactivas para identificar posibles credenciales comprometidas.
Títulos similares: Phishing Intelligence: Escudo Defensivo contra Ciberataques
El auge de estas campañas demuestra que la ciberseguridad tradicional ya no es suficiente. Las organizaciones necesitan visibilidad en todos los niveles: desde el tráfico web y el correo electrónico, hasta los adjuntos y la navegación dentro del navegador.
El uso de archivos HTML como vector de ataque representa un cambio de paradigma. En lugar de atacar sistemas, los delincuentes atacan la confianza y los procesos rutinarios de los usuarios.
En TecnetOne, insistimos en que la educación digital y la adopción de políticas proactivas son la clave para frenar este tipo de amenazas. Prevenir un clic equivocado puede significar la diferencia entre una operación segura y una filtración masiva de datos.
El phishing ya no se limita a correos torpemente redactados o enlaces falsos. Hoy, los atacantes emulan a las grandes marcas, usan tecnología avanzada y explotan la falta de atención de los usuarios.
Cada vez que recibas un archivo adjunto inesperado, recuerda: la ingeniería social es la herramienta más poderosa del cibercrimen. No abras lo que no esperas, valida siempre la fuente y, sobre todo, mantén actualizadas tus defensas.