Ciberdelincuentes están utilizando archivos PDF para suplantar a marcas reconocidas como Microsoft, PayPal, DocuSign y Adobe. Esta nueva modalidad —denominada TOAD (Telephone-Oriented Attack Delivery)— busca manipular a las víctimas para que llamen a números falsos y así obtener datos confidenciales o instalar software malicioso.
Cómo funciona esta amenaza
- Los correos maliciosos adjuntan un PDF con mensajes atractivos como “Incremento de sueldo”, incitando al receptor a llamar a un número para verificar información.
- Al realizar la llamada, el atacante simula ser un representante de la empresa suplantada.
- No hay enlaces ni sitios falsos: se apela a la voz y a la confianza en la comunicación telefónica.
- Muchos documentos emplean QR codes que dirigen a páginas protegidas por CAPTCHAs, dificultando el análisis automatizado.
¿Por qué es tan peligroso?
Cisco Talos destaca que este método elude los filtros tradicionales de seguridad que buscan enlaces sospechosos en el cuerpo del correo. En cambio, el contenido está embebido en el PDF, lo que requiere análisis con reconocimiento óptico de caracteres (OCR) para detectarlo.
Además, los atacantes emplean tácticas de ingeniería social en tiempo real, manipulando emociones y respuestas durante la llamada. Esto eleva el riesgo especialmente en entornos corporativos.
Principales marcas suplantadas
Según el análisis de Cisco Secure Email Threat Defense, las marcas más afectadas por esta técnica incluyen:
| Marca | Modalidad usada |
|---|---|
| Microsoft | PDF con número de teléfono |
| DocuSign | PDF + VoIP |
| Dropbox | PDF + QR code |
| PayPal | PDF directo sin enlace |
| Adobe | PDF con CAPTCHAs |
| Geek Squad | PDF con diseño corporativo falso |
Importancia de la formación en seguridad
Expertos como Javvad Malik, de KnowBe4, recalcan que el éxito de esta campaña se basa en la tendencia humana a obedecer figuras de autoridad. Por eso, la capacitación continua en ciberseguridad para el personal es crucial. Las organizaciones deben enseñar a sus empleados a identificar señales de engaño, incluso cuando provienen de documentos aparentemente legítimos.
El desafío en dispositivos móviles
La limitada visibilidad de pantalla en smartphones complica aún más la detección del fraude. Según el Phishing Threat Trends Report 2025, el 62.6% de los ataques usa suplantación visual de marca y un 76.4% aplica “funciones polimórficas” para esquivar la detección automática.
Recomendaciones para empresas
- Implementar filtros avanzados con OCR para correos con adjuntos PDF.
- Fomentar una política de “zero trust” en llamadas inesperadas.
- Aumentar la frecuencia de simulacros de phishing.
- Supervisar el uso de VoIP y QR codes internos.
La seguridad, una asignatura pendiente
Las empresas que deseen protegerse no solo deben invertir en tecnología, sino también en cultura organizacional. La formación proactiva, el análisis conductual y una infraestructura de seguridad actualizada son pilares esenciales para sobrevivir a esta nueva oleada de ataques invisibles pero devastadores.
Como siempre se ha dicho, el usuario informado es la primera línea de defensa. Y cada PDF que llega sin contexto podría ser el caballo de Troya del próximo incidente cibernético.