El equipo de investigación de Barracuda Networks documentó cerca de 2,8 millones de ataques protagonizados por CypherLoc desde comienzos de 2026. Se trata de un kit de ataque basado en el navegador que congela la pantalla del usuario, desactiva todos los controles y lo presiona para que marque un número telefónico falso de soporte técnico, donde estafadores le roban credenciales y datos críticos.
El ataque comienza con un correo de phishing que contiene un enlace malicioso, ya sea en el cuerpo del mensaje o en un archivo adjunto. Al hacer clic, la víctima es redirigida a una página aparentemente inofensiva que lleva integrado un código con lógica de activación condicional: si el sistema detecta que el usuario no está utilizando un escáner de seguridad ni un entorno de pruebas aislado, el malware se dispara y la página pasa a pantalla completa bajo control total del atacante.
Una vez activado, el navegador queda bloqueado, los menús e atajos de teclado se deshabilitan y la pantalla se llena de alertas de seguridad falsas acompañadas de alarmas visuales y sonidos estridentes. La página también muestra la dirección IP real de la víctima, formularios de inicio de sesión que no funcionan y mensajes de error repetidos, todo diseñado para generar pánico y urgencia. Si la víctima intenta cerrar la ventana o contrarrestar el ataque, el navegador se bloquea por completo.
La única salida visible es un número de teléfono que aparece en pantalla. Quienes llaman son atendidos por estafadores que se hacen pasar por técnicos legítimos y continúan el engaño mediante ingeniería social para obtener contraseñas y acceso remoto a los equipos.
Lo que distingue a CypherLoc de amenazas anteriores es su capacidad de evadir herramientas de detección automatizada: el código permanece inactivo frente a escáneres y sandboxes, activándose únicamente ante un usuario real. Saravanan Mohankumar, director del equipo de análisis de amenazas de Barracuda, explicó que este tipo de ataque «combina código oculto, activación retardada y presión psicológica para lograr que sea el propio usuario quien impulse el ataque, lo que lo hace difícil de detectar con métodos tradicionales».
Para las organizaciones en América Latina, el caso subraya la necesidad de capacitar a usuarios para reconocer señales de scareware —pantallas que no responden, alarmas repentinas, números de teléfono como única solución— y de contar con filtros de correo que bloqueen enlaces maliciosos antes de que lleguen a la bandeja de entrada.
📬 Newsletter gratuito
Lo más relevante de tecnología y negocios digitales en español — cada día, en cinco minutos.
