La campaña de llamadas de recuperación de contraseña de Amazon se aprovecha de la infraestructura legítima de notificaciones
7 de abril de 2026
Por Ankit Gutpa, Andrew Gosney, Hiwot Mendahun, Samantha Clarke y el equipo de investigación de amenazas de Mimecast
- Los autores de las amenazas enviaron aproximadamente 67 000 mensajes de respuesta durante las tres primeras semanas de marzo utilizando notificaciones auténticas de Amazon para la recuperación de contraseñas.
- La campaña aprovecha la infraestructura legítima de Amazon SES con autenticación DKIM válida
- La cadena de reenvío a través de Proton y Microsoft 365 SRS amplificó un único mensaje a miles de destinatarios
Resumen de la campaña
En marzo de 2026, el equipo de investigación de amenazas de Mimecast identificó una campaña de phishing de «callback» que utilizaba como arma el propio sistema de notificaciones de recuperación de contraseñas de Amazon. A diferencia del phishing tradicional, que se basa en dominios falsos o en ataques mediante enlaces, esta campaña aprovechó la infraestructura legítima de Amazon para enviar a gran velocidad mensajes de ingeniería social que inspiraban una gran confianza. Los autores de las amenazas se hicieron con el control de una cuenta de Amazon utilizada para activar notificaciones de recuperación de contraseña e introdujeron contenido malicioso —incluidas instrucciones para llamar a un número de teléfono— en los campos de nombre de usuario que aparecen en la plantilla de la notificación. El resultado: los mensajes superan todos los controles de autenticación y se muestran como comunicaciones auténticas de Amazon.
El señuelo: la urgencia provocada
Los destinatarios recibieron lo que parecía ser una alerta legítima en la que se indicaba que alguien había solicitado un restablecimiento de contraseña en su cuenta de Amazon. En lugar de incluir un enlace malicioso, el mensaje creaba una sensación de urgencia en torno a un número de teléfono, indicando a los destinatarios que llamaran si no habían solicitado el restablecimiento.
Este patrón de devolución de llamada desvía deliberadamente el ataque de los controles de seguridad del correo electrónico y los sistemas de reputación de URL hacia los canales de voz, donde la verificación resulta más difícil y los suplantadores pueden adaptar su estrategia en tiempo real. Cuando se combina con una plantilla de Amazon autenticada, la probabilidad de que el destinatario confíe en ella aumenta considerablemente.
Flujo técnico del proceso: el reenvío como amplificación
El volumen y la rapidez de la campaña se debieron a una cadena de reenvío de múltiples saltos que convirtió un mensaje aceptado en un envío masivo:
- Crear una cuenta de Amazon: El autor de la amenaza se registra para obtener una cuenta de Amazon utilizando una dirección de grupo de Proton Mail y un nombre de usuario como [¿No es usted? Llame ahora: 1-(805) 334 9416]. Esta manipulación del nombre de usuario es lo que permite que las notificaciones automáticas incluyan el contenido malicioso establecido por el autor de la amenaza.
- Recuperación de la contraseña: Una vez creada la cuenta de Amazon, el autor del ataque inicia un proceso de recuperación de la contraseña.
- Envío de la notificación inicial: La notificación de recuperación de contraseña se envía a la dirección de grupo de Proton Mail con el nombre de usuario manipulado incluido en la notificación. Este correo electrónico ha sido enviado desde el servicio legítimo de notificaciones de Amazon e incluye todos los encabezados de autenticación, como SPF, DKIM y DMARC, de los servicios de Amazon.
- Reenvío de Proton: Los correos electrónicos enviados a la dirección del grupo de Proton Mail se reenvían a un inquilino de Microsoft 365 que es propiedad del actor malicioso o que ha sido comprometido por este, y que incluiría a varios destinatarios externos.
- Amplificación de Microsoft: Cuando Microsoft recibe el mensaje reenviado y totalmente autenticado, lo prepara para su entrega a la lista definitiva de destinatarios externos. En estas campañas se utiliza el servicio SRS (Sender Rewrite Scheme) de Microsoft, que reescribe el remitente del sobre, lo que convierte a Microsoft en el remitente oficial y añade su propia autenticación válida (SPF/DKIM) para garantizar la entrega. Además, la autenticación de Amazon sigue intacta en los encabezados.
- Difusión externa: A continuación, los sistemas de los destinatarios externos comprobarán la autenticación del correo electrónico. La dirección de remitente que se muestra sería la dirección de correo electrónico legítima de Amazon. No obstante, la dirección del sobre sería una dirección asociada a Microsoft, como [bounces+srs=v1zju=bn@[customer].onmicrosoft.com] y, con una autenticación válida de Microsoft a través de SRS, se identificaría, lo que permitiría que este correo electrónico superara todos los controles de autenticación.
Esta amplificación se basó en el «Sender Rewriting Scheme» (SRS), un mecanismo legítimo de reenvío de correo electrónico. Cuando se reenvía un correo electrónico, a menudo se modifica el remitente original del sobre, de modo que los errores de entrega se devuelven al sistema de reenvío en lugar de al remitente original. Cuando se utiliza de forma adecuada, el SRS permite un flujo adecuado de mensajes a través de las listas de correo. En este escenario de abuso, un nodo central que reciba un mensaje puede reenviarlo a numerosos destinatarios en cuestión de segundos, y es posible que en cada tramo de la entrega aparezcan metadatos del remitente que hayan sido modificados. Puede encontrar más información sobre el servicio SRS de Microsoft aquí.
Por qué la autenticación no es suficiente
Esta campaña pone de manifiesto una laguna fundamental en el conocimiento sobre la seguridad del correo electrónico. Las firmas DKIM sólidas y los dominios alineados confirman quién ha firmado el correo; no validan cada palabra del cuerpo del mensaje. Cuando un servicio permite incluir texto proporcionado por el usuario en un correo generado por el sistema, dicho texto se convierte en contenido controlado por un atacante dentro de un sobre de alta confianza. Para los defensores, la lección es clara: los mecanismos de autenticación describen la procedencia de los mensajes, no su seguridad. Las organizaciones deben combinar el análisis del comportamiento, la inspección de contenidos y la formación de los usuarios con los protocolos de autenticación.
Devolución de llamada a la víctima
El objetivo principal de estas campañas es inducir a las víctimas a que llamen al número de teléfono que figura en las notificaciones. Una vez establecido el contacto, los autores de las amenazas pueden emplear tácticas avanzadas de ingeniería social para aprovecharse de la víctima. Estas tácticas pueden incluir:
- Convencer a los usuarios de que descarguen herramientas de supervisión y gestión remotas (RMM).
- Dirigir a los usuarios a sitios web maliciosos.
- Obtención de datos personales sensibles.
- Obligar a los usuarios a realizar pagos fraudulentos.
Este tipo de campañas de devolución de llamada son extremadamente peligrosas, ya que eluden las medidas tradicionales de seguridad del correo electrónico al trasladar el ataque a canales de voz, donde la verificación resulta más complicada.
Indicadores de compromiso (IOC)
Dirección de correo electrónico del encabezado - (direcciones legítimas desde las que se envían las notificaciones de Amazon)
account-update@amazon[.]com
account-update@amazon[.]co[.]uk
Dirección de correo electrónico del destinatario del encabezado
updates_a_ccs@groups[.]proton[.]me
notifications_a_dd@groups[.]proton[.]me
updates_a_bb@groups[.]proton[.]me
notifications_acc@groups[.]proton[.]me
updates_a_b@groups[.]proton[.]me
notifications_a_bb@groups[.]proton[.]me
notifications_a_b@groups[.]proton[.]me
membership-09293@groups[.]proton[.]me
user-09838@groups[.]proton[.]me
user-00837@groups[.]proton[.]me
notifications_a4@groups[.]proton[.]me
notifications_a3@groups[.]proton[.]me
notifications_a2@groups[.]proton[.]me
Temas
amazon.com: Recuperación de contraseña
amazon.com: Intento de acceso a los datos de la cuenta
Destinatarios
Enfoque geográfico: Las campañas se dirigieron a varias regiones, con una elevada concentración en EE. UU.
Sectores específicos: En muchos sectores se observan niveles ligeramente superiores en las empresas del ámbito jurídico y del sector manufacturero.
Recomendaciones
- Informe a los empleados sobre las características específicas de esta campaña y aplique las mejores prácticas en lo que respecta a las llamadas a los números de teléfono que figuran en los correos electrónicos no solicitados. En su lugar, deberían acceder directamente a la página web oficial del proveedor de servicios o utilizar los datos de contacto que hayan sido verificados previamente.
- Busque en los registros de recepción de correos electrónicos los mensajes procedentes de Amazon y con los asuntos indicados
Consideraciones a largo plazo
Las organizaciones deben ser conscientes de que los servicios legítimos que cuentan con campos de contenido proporcionados por los usuarios pueden constituir posibles vectores de abuso. Evalúe qué remitentes de confianza permiten la personalización e informe a los usuarios de que la autenticación por sí sola no garantiza la seguridad. Dado que los autores de amenazas siguen utilizando la infraestructura legítima como arma, las estrategias de detección deben evolucionar, pasando de preguntarse « "» (quién envió este" ) a « "» (¿qué pretende conseguir este mensaje?)."
Mantenga su ventaja en materia de inteligencia sobre amenazas
Únase a los miles de profesionales de la seguridad que confían en nuestras alertas seleccionadas, nuestros análisis de expertos y los indicadores de compromiso (IOC) de nuestras campañas para defenderse de las últimas amenazas cibernéticas.
El registro se ha realizado correctamente
Le agradecemos que se haya suscrito para recibir actualizaciones sobre nuestras notificaciones de inteligencia sobre amenazas.
¡Nos pondremos en contacto con usted!