Image by Kaur Kristjan, from Unsplash
Los hackers explotan los formularios de “Contáctanos” en campañas de phishing
Tiempo de lectura: 3 min.
Actualizado por última vez: Sep 1, 2025
-
![Kiara Fabbri]()
-
![El equipo de localización y traducción]()
Traducido por El equipo de localización y traducción Servicios de localización y traducción
Check Point Research (CPR) ha identificado una nueva campaña de phishing conocida como ZipLine, que invierte las estafas tradicionales al obligar a la víctima a iniciar la conversación.
¿Con prisa? Aquí están los datos rápidos:
- Los hackers utilizan los formularios de “Contacto” para engañar a las empresas estadounidenses y comenzar conversaciones.
- Los atacantes se hacen pasar por socios comerciales, manteniendo intercambios de correos electrónicos durante semanas antes de atacar.
- La campaña a menudo utiliza pretextos temáticos de IA, como falsas “Evaluaciones de Impacto de IA”.
CPR explica que a diferencia de los ataques de phishing normales, donde los hackers inician el contacto, esta nueva campaña atrae a las víctimas a través de los formularios de “Contáctenos” de las empresas.
“En cada caso, fue la víctima quien inició el intercambio de correos electrónicos que finalmente llevó a la infección”, dijo CPR. Con este método, los atacantes fabrican interacciones que parecen legítimas, ayudándoles a evadir la detección.
Los hackers participan en chats de correo electrónico que a veces se extienden por semanas, fingiendo ser socios de negocios e incluso solicitando a las empresas que firmen Acuerdos de No Divulgación. Finalmente, los atacantes envían un archivo ZIP malicioso a través de Heroku que funciona como una plataforma en la nube genuina. Sin embargo, dentro del archivo se incrusta un falso archivo PDF o Word, junto con un archivo de acceso directo oculto que lanza sigilosamente código malicioso.
Ese código luego instala MixShell, un potente backdoor que permite a los atacantes robar archivos, ejecutar comandos e incluso actuar como un proxy dentro de la red de la víctima. CPR señaló, “MixShell soporta operaciones de archivos, proxy inverso, ejecución de comandos y sesiones interactivas basadas en tuberías (pipe).”
En casos recientes, CPR informa que los hackers usaron un tema de “transformación AI”, fingiendo realizar una “Evaluación de Impacto AI” para el liderazgo de la empresa. El correo electrónico pide a los empleados que llenen un breve cuestionario, lo que CPR destaca es otra táctica para generar confianza.
Los atacantes también utilizan dominios vinculados a antiguas empresas estadounidenses, muchas de las cuales parecen abandonadas pero aún se ven legítimas. Sus objetivos abarcan desde pequeñas empresas hasta compañías Fortune 500, especialmente en manufactura, aeroespacial, electrónica de consumo y energía.
Según CPR, “Esta campaña refleja las tácticas en evolución de las campañas de phishing avanzadas”. Los expertos en seguridad advierten que incluso los formularios de sitios web básicos, si no se revisan, pueden abrir la puerta a ciberataques altamente dañinos.
Artículo anterior
Artículos más recientes 
