🕵️El robo de sesión tras la autenticación (AiTM)
En lugar de robar una contraseña, esta técnica intercepta la sesión justo después de que la víctima haya validado su código de doble autenticación — el atacante se coloca como intermediario invisible entre la víctima y el servicio real. Resultado: la doble autenticación ha tenido lugar, pero no ha servido de nada. Solo en octubre de 2025, Microsoft bloqueó más de 13 millones de correos maliciosos vinculados a uno solo de estos kits («Tycoon 2FA»), utilizado contra cuentas de Microsoft 365 en todo el mundo.
Microsoft Defender for Office 365, octubre de 2025☎️El phishing por llamada de retorno (TOAD)
Un correo sin enlace ni archivo adjunto: solo un número al que llamar por una factura dudosa o una suscripción que confirmar. Sin URL que escanear ni archivo que analizar, los filtros automáticos clásicos no detectan nada — la estafa se juega enteramente por teléfono, donde un falso asesor guía a la víctima para que instale un acceso remoto o facilite sus credenciales. La consultora de investigación Trustwave midió un aumento del 140 % de estas campañas entre julio y septiembre de 2024, con Microsoft, Norton, PayPal y DocuSign entre las marcas más suplantadas.
Trustwave, 2024-2025El punto en común: sortear el automatismo, no la atención
Estas dos técnicas no explotan una vulnerabilidad técnica en el sentido clásico — explotan un límite estructural de las herramientas de detección automatizadas, suprimiendo el elemento que saben analizar (un enlace, un archivo adjunto). Lo que queda es una interacción humana construida para parecer legítima: una página de acceso idéntica a la original, o una voz tranquilizadora al otro lado del teléfono. Es exactamente el tipo de patrón que una protección multicanal debe aprender a reconocer en lugar de escanear.
Preguntas frecuentes
¿La autenticación de dos factores protege todavía contra el phishing?
Sigue siendo útil contra el robo de contraseña simple, pero ya no contra un ataque «adversary-in-the-middle»: el atacante intercepta la sesión justo después de que se valide el código, así que la doble autenticación ya ha tenido lugar — inútilmente.
¿Qué es el phishing por llamada de retorno (TOAD)?
Un correo sin enlace ni archivo adjunto, solo un número de teléfono al que llamar por un motivo creíble (factura, suscripción). Una vez al teléfono, un falso asesor guía a la víctima para que instale un software o facilite sus credenciales.
¿Por qué estas técnicas escapan a los filtros automáticos?
Porque a menudo no contienen ni enlace sospechoso ni archivo adjunto malicioso que escanear — la estafa se juega en la interacción humana, por teléfono o en una página que imita perfectamente la real.