Si esta mañana encontraste la bandeja de entrada llena de mensajes extraños con asuntos como "Activate your account" o notificaciones de soporte de empresas que ni siquiera conoces, no estás solo. En las últimas horas han vuelto a multiplicarse los correos automáticos generados por sistemas de atención al cliente mal configurados, y quienes investigan el fenómeno apuntan a instancias de Zendesk que permiten la creación de tickets sin verificación.
La mecánica es sencilla y a la vez peligrosa: muchas plataformas de atención al cliente envían automáticamente un correo de confirmación a la dirección que se introduce en un formulario de soporte. Si ese formulario acepta entradas sin restricciones, un atacante puede enviar miles de solicitudes con direcciones ajenas y provocar que los servidores legítimos de empresas envíen avalanchas de correos a terceras personas. Ese uso perverso de portales legítimos explica por qué los mensajes logran sortear filtros antispam y aterrizan directamente en la bandeja principal.
Investigadores y usuarios en redes sociales han documentado la nueva oleada. El especialista en seguridad Jonathan Leitschuh compartió en su publicación en LinkedIn cómo su correo fue utilizado para inundar sistemas de tickets en todo internet, y varias cuentas en X han mostrado ejemplos del contenido y la rapidez con la que llegan los mensajes. La propia prensa especializada ya conectó este reavivamiento con una campaña previa ocurrida en enero que afectó a múltiples empresas; en aquel episodio se demostró que instancias de Zendesk podían convertirse en "relays" de spam al aceptar solicitudes de ticket sin restricciones, según reportes técnicos publicados en medios como BleepingComputer.
Zendesk reconoció el problema anteriormente y publicó avisos para clientes explicando el abuso que denomina "relay spam". En un comunicado técnico disponible en su centro de ayuda se describen pasos y buenas prácticas para mitigar este tipo de abuso, como restringir quién puede crear tickets y eliminar marcadores de posición que permiten enviar correos a cualquier dirección. Puedes leer sus recomendaciones en la nota oficial de Zendesk sobre el incidente en su artículo de soporte, y en las guías prácticas sobre cómo limitar la creación de tickets y combatir el spam: permisos para crear tickets y consejos para proteger tu negocio.
¿Qué significa esto para los usuarios? Primero, que la presencia del logo o del dominio de una compañía en un correo no garantiza que el mensaje sea legítimo: en este caso concreto, las empresas no están enviando un fraude dirigido, sino que sus propios sistemas de soporte están siendo manipulados para enviar confirmaciones masivas. Aun así, conviene mantener la precaución habitual: evita pulsar enlaces o descargar adjuntos de correos inesperados, verifica los encabezados si sabes cómo hacerlo y marca como spam los envíos repetidos. Si la avalancha proviene de un servicio que reconoces como cliente, una llamada rápida o una búsqueda en la cuenta oficial de la empresa suele confirmar si se trata de un error conocido.
Para administradores y equipos de seguridad que gestionan portales de soporte, la prioridad es revisar la configuración. Limitar la creación de tickets a usuarios verificados, implementar controles de tasa (rate limiting), habilitar captchas y revisar plantillas que acepten cualquier dirección como marcador de posición reduce en gran medida la superficie de abuso. También es recomendable activar alertas de actividad inusual y coordinar con el proveedor para aplicar controles adicionales en picos atípicos de tráfico. Zendesk afirma haber desplegado monitoreo y límites adicionales tras los incidentes anteriores, pero los golpes de rendimiento muestran que la batalla entre operadores de plataformas y abusadores puede requerir ajustes continuos.
Desde la perspectiva de la industria, el episodio recuerda que los servicios que gestionan comunicaciones legítimas —plataformas de ticketing, sistemas de notificación, proveedores de correo— pueden convertirse sin querer en amplificadores de abuso si sus controles son laxos. Es una llamada de atención para que las empresas revisen las integraciones y las políticas por defecto que, muchas veces, priorizan facilidad de uso sobre seguridad. Un refuerzo razonable de autenticación y verificación en los puntos de entrada evita inconvenientes masivos a clientes ajenos y protege la reputación del propio remitente.
Mientras tanto, medios y expertos continúan documentando la actividad y pidiendo transparencia sobre las medidas adoptadas. Si quieres seguir una de las fuentes que recogieron las primeras señales del rebrote puedes consultar el seguimiento de BleepingComputer mencionado arriba, o ver las publicaciones de usuarios que compartieron capturas y ejemplos en redes como X y LinkedIn para entender la magnitud del problema.
En resumen, la repetición de estas oleadas obliga a mantener dos líneas claras: por un lado, la prudencia del usuario final ante correos inesperados; por otro, la responsabilidad técnica de las empresas para cerrar las puertas que permiten convertir portales legítimos en relays de spam. Hasta que las protecciones sean universales y robustas, es probable que veamos más episodios similares, y la colaboración entre proveedores, equipos de seguridad y usuarios seguirá siendo la mejor defensa.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...