Desde el 18 de enero, miles de personas en todo el mundo han empezado a recibir oleadas de correos electrónicos extraños y repetitivos que, a primera vista, parecen provenir de empresas legítimas. No se trata de un fallo aislado ni de un virus tradicional, sino de un abuso masivo de sistemas de atención al cliente que usan Zendesk: atacantes crean tickets falsos introduciendo direcciones de correo ajenas, y el propio mecanismo de respuesta automática de esas plataformas dispara confirmaciones constantemente.
La información pública sobre este fenómeno empezó a circular en redes sociales, con usuarios mostrando bandejas de entrada atestadas de mensajes con asuntos desconcertantes. Expertos y periodistas del sector recogieron esos testimonios y publicaron investigaciones que explican el mecanismo detrás del problema. Un resumen técnico y de seguimiento apareció en BleepingComputer, y profesionales de seguridad como Troy Hunt y otros miembros de la comunidad compartieron evidencias en sus cuentas de X y en redes.
Lo que distingue a esta campaña de un spam convencional es que los mensajes parecen llegar desde dominios corporativos y sistemas de soporte reales, lo que facilita que sorteen los filtros de correo basura. Aun así, en la inmensa mayoría de los casos no hay enlaces ni archivos maliciosos destinados a estafar o instalar software: la intención aparente es generar ruido y confusión más que robar credenciales. Los asuntos de los correos son deliberadamente provocadores, imitan notificaciones legales o de retirada de contenido, o prometen supuestas promociones como “Discord Nitro gratis”, y a menudo usan caracteres Unicode para adornar o distorsionar el texto.
Entre las organizaciones cuyas instancias de Zendesk se detectaron como emisoras de estas respuestas automáticas figuran nombres reconocidos del mundo digital y del entretenimiento: plataformas de mensajería y juegos, servicios de almacenamiento en la nube, empresas de seguridad y organismos públicos. Algunas compañías afectadas han respondido públicamente a los usuarios explicando que se trata de respuestas automáticas a tickets que no fueron generados por los acreedores de las cuentas y pidiendo que se ignoren esos mensajes.
Zendesk ya había advertido en diciembre sobre un tipo de abuso similar, al que denominó “relay spam”, y publicó recomendaciones para mitigar el riesgo. En su documentación técnica explica que permitir la creación de tickets desde usuarios no verificados facilita este vector de ataque y sugiere medidas como restringir quién puede enviar solicitudes y eliminar campos o plantillas que acepten direcciones o asuntos sin validación. Puede consultarse la nota de Zendesk en su centro de ayuda en support.zendesk.com, así como guías prácticas para endurecer la configuración en Permitting only added users to submit tickets y consejos para combatir el spam.
Desde la plataforma, Zendesk declaró que ha desplegado salvaguardas adicionales para detectar y frenar este tipo de actividad inusual, implementando límites y monitorización más estricta para detener los picos de envío. Aun así, la responsabilidad práctica recae en las empresas que integran estos sistemas: muchas optan por políticas abiertas que facilitan el contacto, pero esa apertura también puede ser explotada por quienes disponen de listas de correos a gran escala.
Para las personas que han recibido estas oleadas la recomendación principal es mantener la calma: no hay evidencias de que los mensajes contengan enlaces de phishing o archivos comprometidos en esta campaña concreta, y las empresas afectadas insisten en que no se ha producido acceso a cuentas usuario ni cambios en servicios sin autorización. Aun así, conviene extremar la precaución habitual con cualquier correo inesperado —no clicar enlaces sospechosos, comprobar el remitente con detenimiento y eliminar mensajes redundantes— y, si se tiene cualquier duda, contactar directamente con la empresa a través de sus canales oficiales en vez de responder al mensaje recibido.
En el plano organizativo, la lección es clara: “comodidad” no debe significar exposición. Los equipos responsables de soporte y seguridad deben revisar sus flujos de tickets, limitar la creación automática desde direcciones no verificadas y auditar plantillas y placeholders que permitan la emisión de notificaciones sin control. Ese cambio en las políticas de configuración, unido a la mejora de detección en la plataforma por parte de Zendesk, reduce significativamente la capacidad de convertir un servicio legítimo en una máquina de spam.
Este episodio recuerda que las infraestructuras que usamos a diario pueden convertirse en vectores inesperados cuando se combinan configuraciones permisivas y actores que buscan causar molestias a gran escala. Mantenerse informado, aplicar las recomendaciones de seguridad de los proveedores y validar cambios en la forma en que los sistemas de atención automática responden son pasos esenciales para evitar que el ruido digital termine por contaminar la comunicación legítima entre empresas y usuarios. Para seguir la cobertura técnica y actualizaciones sobre este incidente, BleepingComputer ha publicado seguimiento del caso en su sitio: BleepingComputer - Security, y las propias páginas de soporte de Zendesk contienen las instrucciones oficiales citadas arriba.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...