El phishing sigue siendo uno de los problemas más persistentes en ciberseguridad. No es que los equipos de defensa se mantengan estáticos, sino que los atacantes están un paso adelante, adaptándose más rápido que nunca.
Hoy, las campañas de phishing ya no se limitan a correos con errores gramaticales o enlaces sospechosos. Ahora usan algo mucho más peligroso: la confianza que tenemos en las herramientas que usamos todos los días. Es lo que se conoce como phishing de hora cero, y está ganando terreno.
Antes, el phishing era más fácil de detectar. Bastaba con ver un correo raro, una URL mal escrita o un adjunto dudoso. Pero los atacantes han evolucionado.
Hoy en día, lanzan ataques encadenados. Todo empieza con un mensaje que parece inocente: por ejemplo, un enlace a Google Drive o Dropbox. El usuario hace clic (porque el dominio es familiar) y comienza una cadena de pasos que parecen legítimos. Todo parece normal… hasta que terminas compartiendo credenciales importantes sin darte cuenta.
A esta técnica se le ha llamado phishing de Chainlink porque usa plataformas legítimas y de buena reputación como punto de partida. Herramientas comunes del trabajo diario que, en teoría, deberían ser seguras. El gran problema es que muchas veces ni los equipos de IT saben que están siendo utilizadas como parte del ataque.
Porque todo pasa en el navegador. Hoy vivimos en pestañas: gestionamos tareas, revisamos código, respondemos correos, vemos reportes de HR… Todo sucede ahí.
Esa concentración de actividad lo convierte en el lugar perfecto para que un atacante se infiltre. Y como la mayoría de nosotros ya estamos acostumbrados a hacer clic en enlaces de plataformas conocidas, no encendemos las alarmas internas cuando algo nos parece “normal”.
Además, los atacantes se las han ingeniado para hacer que estos enlaces pasen todos los filtros clásicos:
Vienen de dominios conocidos
Pasan las validaciones del correo
Incluso incluyen CAPTCHAs o pasos de verificación que parecen legítimos
¿Y por qué hacen eso? Porque sabemos que los CAPTCHAs ya son parte del día a día, así que los aceptamos sin cuestionar. Lo que antes nos hubiera hecho sospechar, ahora lo vemos como rutina.
Phishing en Chainlink que usa dominios válidos, CAPTCHA y correos legítimos para engañar
Conoce más sobre: ¿Por qué siguen funcionando los ataques de phishing en 2025?
Este cambio nos deja una verdad difícil de tragar: lo que conocemos bien ya no es garantía de seguridad. De hecho, eso familiar que nos da confianza es justo lo que están usando los atacantes para engañarnos.
Si queremos hacerle frente a amenazas como el phishing de Chainlink, necesitamos ir más allá de las típicas listas negras o el bloqueo de dominios sospechosos. La clave está en ver qué pasa en tiempo real, analizar cómo interactuamos con las páginas y detectar comportamientos sospechosos en el momento, no después.
Algunas de las plataformas legítimas utilizadas en los ataques de phishing de ChainLink
A veces, el phishing se cuela sin hacer ruido. Si el enlace viene de un servicio conocido, pasa sin problemas por los filtros de correo y red. ¿Por qué? Porque no parece malicioso. El dominio tiene buena reputación, no hay malware descargándose, y como solo se trata de robar credenciales con un formulario, las herramientas de seguridad no lo detectan.
Y eso, a pesar de tener toda una pila de defensa en su lugar:
Filtros de correo (SEG)
Bloqueo de dominios sospechosos (DNS)
Pasarelas web seguras (SWG)
Antivirus o soluciones EDR
Incluso las protecciones del navegador
¿Entonces por qué seguimos siendo vulnerables? Porque estas soluciones están diseñadas para bloquear cosas que ya se sabe que son malas. Pero cuando el ataque viene disfrazado de “normal” y usa páginas legítimas, se vuelve invisible para la mayoría de estas herramientas. Ahí es cuando los ataques de phishing de hora cero hacen su jugada y los usuarios, sin querer, caen en la trampa.
Podría interesarte leer: Diseños de Estafa: Cómo los hackers usan UX/UI para Estafarte
Este tipo de ataque nos recuerda algo importante: el mayor riesgo no siempre es lo desconocido, sino lo que creemos que conocemos.
No basta con tener buenos filtros de spam o firewalls. Los atacantes ya no están solo tratando de engañar a los sistemas; están engañando a las personas, aprovechando nuestra confianza y hábitos digitales.
Y es aquí donde debemos cambiar el enfoque. La educación y la conciencia ya no son opcionales. Todos (desde el usuario ocasional hasta el desarrollador más técnico) necesitamos mirar dos veces cada enlace, incluso si parece venir de una fuente confiable.