Bombardeo de suscripciones: el ciberataque que llena tu correo con miles de emails para ocultar un fraude

2026-03-16 - 06:13

Imagina que al revisar la bandeja de entrada de tu correo te encuentras en un solo día 1.500 emails nuevos sin leer procedentes de newsletters de distintas empresas. No es únicamente spam molesto, sino una versión calculada y actualizada de una táctica de denegación de servicio (DoS) que está ganando rápidamente popularidad como un sofisticado vector de ataque. Mientras el usuario procede a eliminar frenéticamente todos esos correos basura para despejar su bandeja de entrada, se pierde una sola notificación importante entre tanto ruido: quizá una alerta de cambio de contraseña o una notificación de inicio de transferencia bancaria. En eso consisten los ataques de bombardeo de suscripciones, que suceden en ráfagas cortas y a una velocidad de miles de emails por hora, para abrumar a la víctima, inutilizando su bandeja de entrada por completo para distraerle de la actividad maliciosa, como la apropiación de cuentas o el bloqueo de acceso a las mismas por parte de los usuarios. A diferencia de los ataques tradicionales que dependen de cargas como enlaces defectuosos o malware, el bombardeo de suscripciones se aprovecha del marketing legítimo como arma. Los ciberdelincuentes utilizan bots automatizados para escanear la web en busca de formularios de suscripción a boletines no seguros, que son aquellos que carecen de captcha, y luego introducen la dirección de correo electrónico de la víctima en miles de estos formularios simultáneamente. Los correos electrónicos que recibe el usuario proceden de dominios legítimos, como Mailchimp, HubSpot y empresas reales, y cuentan con la autenticación adecuada (SPF/DKIM). Esto hace que pasen inadvertidos para los filtros de spam tradicionales y también para las pasarelas de seguridad de email heredadas, por lo que da la impresión de que el usuario se ha suscrito a distintos boletines. Otra de estas cortinas de humo es la que lleva a cabo el grupo de ransomware Black Basta. Mientas el usuario está confundido ante tantos emails de suscripción, los ciberdelincuentes contactan a través de Microsoft Teams, haciéndose pasar por un equipo de soporte de TI para ayudarle a solucionar el problema del spam. Finalmente, lo que consiguen es explotar a la víctima mediante engaños para que descargue herramientas de acceso remoto, como AnyDesk o Quick Assist, comprometiendo de esta forma el rendimiento de la red. La táctica detrás del bombardeo de suscripciones se ha extrapolado a otros canales, aumentando el ya de por sí alto volumen registrado de estos ataques de distracción. Mediante el uso de formularios transaccionales, las víctimas pueden recibir miles de respuestas automáticas del tipo «gracias por contactarnos», que resultan más difíciles de bloquear al no requerir un clic de confirmación como paso previo. Otro ejemplo sería el conocido como fatiga de autenticación multifactor, en el que el dispositivo móvil de la víctima recibe infinidad de SMS o códigos hasta que acepta una solicitud de inicio de sesión fraudulenta solo para que cesen las notificaciones. Ante unos atacantes que convierten el tráfico legítimo en un arma para ocultar las pruebas de sus actividades delictivas, la defensa debe centrarse en entender el comportamiento y no solo en la mala reputación, junto con sistemas de verificación robustos para que, independientemente de cuánto ruido generen los ciberdelincuentes, la seguridad permanezca clara, transformando un ataque DoS paralizante en un incidente sin impacto. Actualmente, existen soluciones de seguridad potenciadas con IA que identifican y bloquean estos ataques en tiempo real, analizando patrones lingüísticos y anomalías en la afluencia de correos electrónicos, con el objetivo de que siga fluyendo los mensajes legítimos mientras se neutraliza la bomba.