En los últimos años, el fraude ha dejado de ser solo una cuestión de virus, phishing o intrusiones en redes: se está moviendo al mundo real. Los actores maliciosos han aprendido a explotar servicios legítimos y elementos de la infraestructura física para construir cadenas de estafa que son baratas de operar, escalables y difíciles de detectar si se analizan desde una sola lente. Ya no basta con proteger servidores y contraseñas: la superficie de ataque incluye casas, buzones y procesos diseñados para la comodidad ciudadana.
Un ejemplo revelador que han identificado investigadores y empresas de inteligencia en ciberamenazas es la estrategia basada en direcciones residenciales vacías —los llamados “drop addresses”— que los defraudadores usan para interceptar correspondencia valiosa. A grandes rasgos, la metodología aprovecha información pública (listados inmobiliarios, anuncios, fechas de mudanza), servicios postales digitales que permiten ver o redirigir envíos, y documentación falsa o datos comprados para completar verificaciones. El resultado es un flujo de trabajo que mezcla inteligencia de fuentes abiertas con manipulación del mundo físico para obtener acceso persistente a cartas, tarjetas o notificaciones que contienen credenciales o códigos útiles para fraudes posteriores.
Los actores buscan direcciones que ofrezcan baja rotación de ocupantes o que estén temporalmente desocupadas: propiedades anunciadas recientemente en portales inmobiliarios o viviendas que llevan tiempo en el mercado pueden convertirse en objetivos. Esa fase de “reconocimiento” aprovecha la abundancia de datos disponibles en línea más que herramientas sofisticadas de intrusión digital. La sofisticación aquí no está en el malware, sino en la coordinación entre canales digitales y operaciones físicas.
Una vez identificada la dirección, los abusadores recurren a servicios postales digitalizados que ofrecen vistas previas del correo o facilitan el reenvío de envíos. Servicios como Informed Delivery permiten que el titular vea, desde su cuenta, imágenes digitales de las cartas entrantes y el seguimiento de paquetes; esto convierte al correo en una fuente de inteligencia: si el atacante logra activar esos servicios sobre la dirección objetivo, puede saber de antemano cuándo llega correspondencia sensible y planificar la recolección o el reenvío. Puede consultarse cómo funciona ese servicio en la web oficial del servicio postal de Estados Unidos: USPS Informed Delivery.
La escalada hacia acceso continuado implica, en muchos casos, solicitar cambios de dirección o activar servicios de reenvío permanente. Estos mecanismos están pensados para personas que se mudan y, por lo general, incluyen controles (un pequeño pago en línea, verificación vinculada a la dirección o la presentación de identificación física). Sin embargo, cuando la verificación se basa en información que puede ser fabricada o comprada, o en procesos que son aplicados de forma inconsistente, surgen vectores de abuso. Un reenvío mal autorizado convierte una intervención ocasional en una puerta abierta permanente al flujo de correspondencia.
La transición hacia la persistencia se completa cuando se usan servicios de casilleros o buzones controlados por identidades falsas, documentos impresos fraudulentos o datos personales adquiridos en mercados ilícitos. Esto reduce la necesidad de volver al domicilio físico y permite al actor mantener acceso continuo a facturas, extractos o notificaciones de seguridad que sirven para secuestrar cuentas bancarias, abrir líneas de crédito a nombre de la víctima o completar verificaciones que exigen recibir un código por correo. En definitiva, el control de una dirección física puede ser la pieza que conecta un fraude digital con su culminación en el mundo real.
Las operaciones descritas suelen incorporar una capa humana adicional: terceros que, a cambio de una suma pequeña, recogen correspondencia o mantienen la apariencia de ocupación de un inmueble para no llamar la atención en el vecindario. Este uso de “mulas postales” no solo dispersa la responsabilidad, sino que hace más difícil rastrear a los organizadores, que pueden permanecer ocultos tras redes y pagos anónimos.
Estos métodos no son meras hipótesis: datos oficiales y reportes muestran un aumento en el robo de correo y en las estafas vinculadas a redirecciones. La U.S. Postal Inspection Service ha documentado incrementos notables en robos de correspondencia en los últimos años y ha relacionado estos hechos con montos significativos de fraude financiero asociado a cheques y documentos interceptados; su informe sobre tendencias y estrategias analiza estas dinámicas en detalle: U.S. Postal Inspection Service — Mail Theft Strategy. Además, la Comisión Federal de Comercio (FTC) ofrece recursos prácticos sobre cómo ocurre el robo de identidad y qué medidas pueden tomar las víctimas: FTC — Información sobre robo de identidad.
La circulación de guías y “tutoriales” en foros clandestinos y canales de mensajería ha facilitado la replicación de estas tácticas. Plataformas donde se intercambian playbooks, credenciales robadas y servicios de documentación falsa permiten que tacticistas menos expertos ejecuten campañas de mayor escala. Para las organizaciones de seguridad esto implica un reto distinto: las señales de riesgo relevantes aparecen en dominios heterogéneos —listados inmobiliarios, solicitudes postales, proveedores de buzones, foros de mercado ilícito— y deben correlacionarse para detectar patrones sospechosos.
¿Qué pueden hacer ciudadanos y empresas para reducir la exposición? En el plano individual, la opción más segura es minimizar la dependencia del correo físico para comunicaciones sensibles: optar por estados y notificaciones electrónicas cuando sea posible, y utilizar buzones con cerradura o servicios de entrega seguros. Registrar servicios como Informed Delivery bajo control propio y revisar notificaciones de cambios de dirección o reenvío puede ayudar a detectar manipulaciones tempranas. Es igualmente importante reportar inmediatamente cualquier indicio de robo o reenvío no autorizado a las autoridades postales competentes; en Estados Unidos, la U.S. Postal Inspection Service ofrece vías para denunciar robos de correspondencia: Reportar robo de correo — USPS Inspection Service.
Para las empresas y entidades financieras, la respuesta requiere ampliar la mirada tradicional de ciberseguridad. Ya no es suficiente monitorear accesos a cuentas online: es necesario incorporar señales externas como cambios de dirección recientes, uso inusual de redirecciones postales, patrones de creación de buzones virtuales o recurrencia de direcciones que aparecen en solicitudes vinculadas a fraudes. Correlacionar eventos entre dominios—infraestructura financiera, registros de correo, datos de vivienda pública y fuentes de inteligencia sobre mercados ilícitos—es clave para detectar ataques híbridos.
También conviene mejorar los controles de verificación de identidad asociados a servicios postales y de casilleros, introducir verificaciones adicionales para cambios de dirección que afecten a cuentas financieras, y facilitar canales de alerta rápida entre proveedores postales y entidades susceptibles a fraude. La cooperación entre sectores —correos, bancos, plataformas inmobiliarias y empresas de seguridad— aumentaría significativamente la capacidad de detección y mitigación de este tipo de operaciones.
La lección principal es que el riesgo ya no se circunscribe a exploits técnicos: las redes criminales están construyendo flujos de fraude combinando datos abiertos, procedimientos diseñados para la comodidad y actores del mundo físico. Protegernos exige repensar la defensa como un esfuerzo transversal que incluya lo digital y lo material, y compartir señales entre organizaciones para que un cambio de dirección o una casilla sospechosa no pase desapercibida.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...