Coges el teléfono y marcas el número que aparece en un PDF que te llegó por correo: “cargo no autorizado de 49,99 €”. Una voz te pide tu DNI y datos de la tarjeta para “cancelarlo”. No hay enlace ni web: el gancho es llamar a ese número y dar la información. Es phishing por devolución de llamada (TOAD), a veces enviado desde servicios de firma, que imitan avisos de bancos o plataformas de pago.
Talos, la división de inteligencia de Cisco, ha observado un repunte sostenido en los últimos meses. Los atacantes emplean VoIP por su anonimato y, en muchos casos, reutilizan números durante varios días para mantener la coherencia de la campaña y abaratar costes. El pdf funciona como cebo: aparenta ser un aviso y pide llamar para resolver un supuesto cargo o incidencia. La actualización de Cisco busca detectar mejor estos patrones en el correo antes de que lleguen al usuario final.
Talos ha detectado mayor abuso de la plataforma de firma electrónica de Adobe para distribuir pdf maliciosos que suplantan marcas como PayPal. El documento viaja dentro de un flujo de firma habitual, lo que aporta apariencia de legitimidad y dificulta el análisis del contenido embebido. Esta táctica incrementa el riesgo porque combina correo, documentos y teléfono en una misma cadena de ataque.
Recomendaciones operativas
Talos aconseja implantar detección avanzada en el correo, como Cisco Secure Email Threat Defense, y extremar la vigilancia con pdf que incluyan instrucciones inusuales, sobre todo si instan a contactar por teléfono. Las organizaciones deben revisar flujos de firma y procedimientos de verificación para cortar la cadena en el primer paso, y reportar números sospechosos usados de forma repetida.
