Un nuevo servicio clandestino bautizado como ATHR está cambiando el paisaje del fraude telefónico: combina automatización, inteligencia artificial y, cuando hace falta, operadores humanos para ejecutar estafas por voz que extraen credenciales y códigos de verificación con una eficiencia que preocupa a los investigadores. Según el análisis de la empresa de seguridad en correo electrónico Abnormal, esta plataforma pone a disposición de los delincuentes una cadena de ataque completa orientada al teléfono —desde el señuelo inicial por e‑mail hasta la interacción por voz con la víctima— y lo hace con herramientas que han sido tradicionalmente fragmentadas y manuales.
La novedad no es solo la sofisticación técnica, sino la “productización” del fraude: por unos 4.000 dólares más una comisión sobre lo robado, un comprador en los foros subterráneos puede acceder a plantillas de e‑mail específicas por marca, mecanismos de suplantación para que el mensaje parezca legítimo y un panel de control que orquesta la campaña y entrega los datos sustraídos en tiempo real. Abnormal documenta que, en el momento de su investigación, ATHR ofrecía plantillas para servicios muy usados como Google, Microsoft y varias plataformas de criptomonedas, entre ellas Coinbase y Binance; también aparecían Yahoo y AOL.
El vector inicial suele ser un correo que aparenta ser una alerta de seguridad o una notificación de cuenta: algo con suficiente urgencia para empujar al usuario a llamar, pero lo bastante genérico para burlar filtros basados en contenido. Cuando la víctima marca el número incluido, la llamada se enruta mediante sistemas como Asterisk y WebRTC hacia agentes de voz. Aquí es donde la plataforma destaca: esos agentes pueden ser modelos de IA ejecutados con prompts cuidadosamente elaborados para adoptar el tono, el comportamiento y el guion de un equipo de soporte legítimo, con la opción de transferir la comunicación a un operador humano si la conversación lo demanda.
En la práctica, el guion trata de reproducir procesos legítimos, por ejemplo la verificación o la recuperación de una cuenta. En el caso de cuentas Google, los atacantes buscan que la víctima revele un código de seis dígitos que, fuera de contexto, es precisamente la llave que permite resetear accesos o completar procesos de verificación. ATHR incorpora además herramientas para personalizar el mensaje a cada objetivo y falsificar cabeceras de correo, lo que dificulta la detección por indicadores convencionales.
El tablero de control de la plataforma da visibilidad y control en tiempo real: desde ahí se gestiona el envío masivo de correos, el manejo de llamadas y el registro de resultados por víctima. Ese nivel de integración reduce enormemente la cantidad de experiencia técnica necesaria para montar una operación de «vishing» (phishing por voz), lo que, advierten los investigadores, puede multiplicar la frecuencia y el alcance de estos ataques al ponerlos al alcance de actores menos sofisticados.
La investigación de Abnormal, que puede consultarse en su informe técnico, detalla cómo la automatización abarca las diferentes fases de lo que la industria denomina TOAD (telephone‑oriented attack delivery), y por qué eso representa un salto: cuando los componentes ya no necesitan montarse uno a uno, la barrera de entrada baja y la escala se vuelve un riesgo real para organizaciones y particulares. Puede leerse su reporte aquí: abnormal.ai — informe sobre ATHR.
Medios de seguridad generalistas ya han recogido estos hallazgos y han alertado sobre la proliferación de plataformas similares que venden servicios de fraude como si fuesen software legítimo; un ejemplo de cobertura periodística puede consultarse en BleepingComputer, que amplía cómo se comercializan y operan estas herramientas.
Frente a este tipo de amenazas, las señales tradicionales de phishing —errores ortográficos, dominios extraños o mensajes masivos fáciles de detectar— pueden no ser suficientes, porque los correos están diseñados para pasar verificaciones básicas y emular cabeceras legítimas. Por eso, los especialistas proponen un enfoque distinto: monitorizar y modelar el comportamiento comunicativo habitual dentro de una organización para detectar anomalías, por ejemplo varios mensajes con el mismo patrón y un número de teléfono en un corto intervalo, o interacciones atípicas entre remitente y destinatario. Las capacidades de detección con ayuda de IA centradas en patrones comportamentales pueden avisar antes de que un empleado llegue a realizar la llamada.
También conviene recordar medidas prácticas que reducen el riesgo: cuestionar la urgencia de mensajes inesperados, evitar facilitar códigos o contraseñas por teléfono, y verificar cualquier solicitud de soporte a través de canales oficiales —no los que aparecen en el propio correo sospechoso—. Las autoridades y organismos de protección al consumidor ofrecen recursos y consejos sobre estafas por teléfono que son útiles para el público general; por ejemplo la Comisión Federal de Comercio de Estados Unidos mantiene guías sobre cómo reconocer y actuar ante fraudes telefónicos: FTC — Phone scams, y la Agencia de Seguridad Cibernética (CISA) publica recomendaciones sobre ingeniería social y cómo protegerse: CISA — Social engineering tips.
El avance que representa ATHR obliga a replantear la defensa: ya no basta con herramientas que analicen el contenido del correo; es necesario entender el contexto de las comunicaciones y desplegar controles que dificulten que un código temporal o un dato de verificación sirvan de pasaporte para acceder a recursos críticos. Para las empresas esto significa reforzar procedimientos de verificación en múltiples canales, educar a los empleados sobre técnicas de vishing y considerar tecnologías que puedan correlacionar eventos y detectar patrones anómalos antes de que una llamada se produzca.
La aparición de plataformas como ATHR no es el final de la historia, pero sí una llamada de atención: la automatización y la IA están siendo incorporadas al crimen con la misma lógica de economía de escala que impulsa desarrollos legítimos. Entender cómo funcionan estas herramientas, compartir inteligencia entre proveedores y fortalecer la higiene digital individual y organizacional son pasos necesarios para contener una amenaza que, por su propia naturaleza, se alimenta de confianza mal dirigida y de la prisa del día a día.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
Extensiones maliciosas de VS Code: el ataque que expuso 3.800 repositorios internos
GitHub ha confirmado que un dispositivo de un empleado comprometido mediante una extensión maliciosa de Visual Studio Code permitió la exfiltración de cientos o miles de reposit...