🕵️El robo de sesión tras la autenticación (AiTM)
En lugar de robar una contraseña, esta técnica intercepta la sesión justo después de que la víctima valida su código de doble autenticación — el atacante se coloca como un intermediario invisible entre la víctima y el servicio real. Resultado: la doble autenticación sí ocurrió, pero no sirvió de nada. Solo en octubre de 2025, Microsoft bloqueó más de 13 millones de correos maliciosos vinculados a un solo kit de este tipo ("Tycoon 2FA"), usado contra cuentas de Microsoft 365 en todo el mundo.
Microsoft Defender for Office 365, octubre de 2025☎️El phishing por llamada de retorno (TOAD)
Un correo sin enlace ni archivo adjunto: solo un número para devolver la llamada por una factura dudosa o una suscripción por confirmar. Sin URL que escanear ni archivo que analizar, los filtros automáticos clásicos no detectan nada — la estafa ocurre por completo por teléfono, donde un falso asesor guía a la víctima para que instale un acceso remoto o entregue sus credenciales. La firma de investigación Trustwave midió un aumento del 140% en este tipo de campañas entre julio y septiembre de 2024, con Microsoft, Norton, PayPal y DocuSign entre las marcas más suplantadas.
Trustwave, 2024-2025El punto en común: evadir la automatización, no la atención
Estas dos técnicas no explotan una falla técnica en el sentido clásico — explotan un límite estructural de las herramientas de detección automatizadas, al eliminar el elemento que saben analizar (un enlace, un archivo adjunto). Lo que queda es una interacción humana construida para parecer legítima: una página de acceso idéntica a la original, o una voz tranquilizadora al otro lado de la línea. Es exactamente el tipo de patrón que una protección multicanal debe aprender a reconocer en lugar de solo escanear.
Preguntas frecuentes
¿La autenticación de dos factores sigue protegiendo contra el phishing?
Sigue siendo útil contra el robo de contraseña simple, pero ya no contra un ataque "adversary-in-the-middle": el atacante intercepta la sesión justo después de que se valida el código, así que la doble autenticación ya ocurrió — pero de forma inútil.
¿Qué es el phishing por llamada de retorno (TOAD)?
Un correo sin enlace ni archivo adjunto, solo un número de teléfono para devolver la llamada por un motivo creíble (factura, suscripción). Una vez en la llamada, un falso asesor guía a la víctima para que instale un programa o entregue sus credenciales.
¿Por qué estas técnicas se escapan de los filtros automáticos?
Porque muchas veces no contienen ni enlace sospechoso ni archivo adjunto malicioso que escanear — la estafa ocurre en la interacción humana, por teléfono o en una página que imita perfectamente a la real.