Si deseas recibir nuestros Óberon Análisis, por favor déjanos tu correo aquí:
El phishing perfecto: cuando el engaño ya no se nota
Durante años enseñamos a reconocer el phishing como un correo mal escrito, con enlaces sospechosos y remitentes extraños. Hoy, esa imagen está obsoleta. El mayor riesgo digital ya no se presenta como una amenaza evidente, sino como un mensaje perfectamente integrado a la rutina diaria de trabajo.
La reciente campaña identificada por Microsoft Threat Intelligence en 2025, que imitó plataformas como Booking.com, confirma una evolución preocupante: el phishing dejó de parecer phishing. No hubo errores evidentes, ni archivos adjuntos sospechosos, ni dominios extraños. Hubo algo mucho más peligroso: credibilidad.
El ataque no explotó una falla técnica, sino una humana. Correos bien redactados, enviados desde cuentas legítimas previamente comprometidas, activaron un reflejo automático en empleados del sector hotelero: responder, verificar, continuar con la operación. Nadie “cayó” en una trampa; simplemente siguió una instrucción razonable dentro de su flujo de trabajo.
Ahí radica el verdadero problema.
La técnica conocida como ClickFix marca un punto de quiebre en la forma en que entendemos el riesgo digital. No roba contraseñas, no descarga archivos visibles, no activa alertas tradicionales. Solo pide copiar y pegar un comando. El usuario, sin saberlo, se convierte en el ejecutor del ataque. La confianza reemplaza al engaño burdo.
Como expertos en ciberseguridad, este escenario plantea una pregunta incómoda:
¿Estamos protegiendo sistemas o estamos entendiendo cómo interactúan las personas con la tecnología?
Porque una vez instalado el malware —en este caso, un troyano de acceso remoto como PureRAT—, el daño ya no es teórico. Hay control del sistema, robo de información, persistencia en el tiempo y, lo más grave, una capacidad real de escalar el ataque hacia los clientes. La brecha interna deja de ser un asunto corporativo para convertirse en un problema de confianza pública.
Los casos documentados muestran cómo, tras comprometer a un empleado, los atacantes utilizaron datos reales de reservas para defraudar a clientes finales. Correos con nombres auténticos, fechas correctas y referencias específicas. El fraude perfecto no necesita mentir demasiado; solo necesita información legítima mal utilizada.
Este tipo de ataques obliga a replantear una idea clave: la ciberseguridad ya no es solo un tema tecnológico, es un asunto de comportamiento, cultura y toma de decisiones bajo presión.
Las organizaciones que siguen confiando únicamente en antivirus, firewalls y capacitaciones genéricas están quedándose atrás. Hoy es indispensable entrenar a las personas para reconocer situaciones ambiguas, instrucciones atípicas y solicitudes que “no encajan”, aunque parezcan legítimas. La pregunta ya no es si el correo parece real, sino si la acción solicitada tiene sentido.
Para las empresas, esto implica asumir que una brecha interna también es una brecha al cliente. Para los usuarios finales, entender que la urgencia es una de las herramientas favoritas del fraude moderno. Y para todos, aceptar que el mayor riesgo digital ya no grita, no amenaza y no se ve extraño.
Algunas claves para reducir el riesgo
Frente a este nuevo escenario, la prevención ya no puede centrarse solo en la tecnología. Es necesario cambiar el enfoque.
Primero, dejar de evaluar el correo y empezar a evaluar la acción solicitada. Cualquier instrucción que implique ejecutar comandos, instalar software o realizar “verificaciones técnicas” debe considerarse una alerta crítica, aunque el mensaje parezca legítimo.
Segundo, entrenar a las personas con escenarios reales. El phishing moderno no se reconoce por errores evidentes, sino por solicitudes que no encajan del todo con los procesos habituales.
Tercero, reducir privilegios y validar por canales alternos. La urgencia nunca debe reemplazar la verificación, y ningún proceso crítico debería depender de una sola acción impulsiva.
Finalmente, entender que una brecha interna también impacta al cliente. Proteger los sistemas es proteger la confianza, y esa responsabilidad ya no es solo del área de TI.
Porque hoy, el mayor riesgo digital no es un ataque visible,
sino uno que parece completamente normal.
