Neutralización de ciberseguridad del mes: la avalancha en la bandeja de entrada. El bombardeo de suscripciones que oculta el ataque real

En nuestra serie de blogs "Neutralización de ciberseguridad del mes", analizamos las tácticas en constante evolución de los ciberdelincuentes actuales y vemos cómo Proofpoint ayuda a las empresas a reforzar sus defensas para proteger a las personas frente a las amenazas emergentes.   

Imagine revisar su correo y descubrir que su bandeja de entrada se ha llenado con 1500 mensajes nuevos. No se trata de los típicos enlaces maliciosos de spam o phishing. Se trata de confirmaciones legítimas de suscripción a boletines informativos enviados por empresas reales, como una panadería en Francia, un blog tecnológico con sede en Japón y una tienda de muebles en Estados Unidos. 

No es que se haya vuelto extremadamente popular de la noche a la mañana. Está siendo víctima de un ataque de bombardeo de suscripciones por correo electrónico. Y, mientras elimina frenéticamente miles de correos no deseados para despejar su bandeja de entrada, acaba pasando por alto la única notificación realmente crítica, enterrada en el ruido: una alerta de “contraseña cambiada” o un aviso de “transferencia iniciada” de su banco. 

Esto va mucho más allá del típico spam molesto. Se trata de una versión calculada y actualizada de una táctica de denegación de servicio (DoS) que está ganando rápidamente popularidad como vector de ataque sofisticado.  

¿Qué es el bombardeo de suscripciones?  

Los ataques de bombardeo de suscripciones se producen en ráfagas cortas y de alta velocidad, con miles de correos electrónicos. Un ataque de bombardeo envía más de 1500 correos electrónicos por hora, con el objetivo de saturar a la víctima y dejar su bandeja de entrada completamente inutilizable en cuestión de minutos. Aunque aparentan ser un problema meramente disruptivo para la productividad, el objetivo real es desviar la atención de la víctima de otras actividades maliciosas  

Esta actividad puede incluir ocultar escenarios de usurpación de cuentas, como el restablecimiento de contraseñas para dejar al usuario sin acceso a su cuenta También pueden tratar de desplazar la comunicación del correo electrónico a otros canales, como Microsoft Teams o Slack.  

El escenario: la "avalancha" matutina 

Estos son dos ejemplos del mundo real. 

Alerta del sector sanitario (HC3) 

El Centro de Coordinación de Ciberseguridad del Sector Salud (HC3) emitió una alerta sectorial advirtiendo de que los ataques de bombardeo de correos electrónicos se están utilizando contra organizaciones de ámbito sanitario de la salud pública. La alerta destaca cómo estos ataques pueden degradar el rendimiento de la red y llegar incluso a provocar interrupciones directas de la actividad empresarial, instando a las organizaciones a implementar sistemas de verificación robustos. 

La cortina de humo de la “ingeniería social” de Black Basta 

Investigaciones de Hornetsecurity han revelado que el conocido grupo de ransomware Black Basta está utilizando activamente el bombardeo de suscripciones. En sus campañas, inundan la bandeja de entrada del usuario para generar pánico y confusión. Mientras el usuario está distraído, los ciberdelincuentes se comunican con él a través de Microsoft Teams, haciéndose pasar por el servicio de soporte técnico para “solucionar el problema de spam”. A continuación, engañan al usuario para que instale herramientas de acceso remoto como AnyDesk o Quick Assist y así comprometer la red 

La amenaza: una cortina de humo al servicio del fraude 

El bombardeo de suscripciones rara vez es el objetivo final de un ataque. Es una técnica de distracción. Los atacantes la utilizan para paralizar tu capacidad de comunicación y para ocultar pruebas de una cuenta comprometida. 

Frente a los ataques tradicionales que recurren payloads maliciosas (URL o malware malicioso), estos ataques utilizan herramientas legítimas de automatización de marketing como arma. Los ciberdelincuentes utilizan bots automatizados para rastrear la web en busca de formularios de suscripción a boletines no seguros, es decir, aquellos que carecen de CAPTCHA. A continuación, introducen la dirección de correo electrónico de la víctima en miles de estos formularios de manera simultánea. 

Dado que los correos electrónicos proceden de dominios legítimos, como Mailchimp, HubSpot u otras empresas reales, cuentan con la autenticación adecuada (SPF/DKIM). Como consecuencia, eluden los filtros de spam tradicionales que se basan en sistemas de reputación. Para los gateway de seguridad del correo electrónico tradicionales, simplemente parece que el usuario se ha suscrito voluntariamente a numerosos boletines. 

Cómo bloquea Proofpoint Nexus el bombardeo de suscripciones 

Mientras los filtros estándar fallan porque los correos electrónicos son técnicamente legítimos, nuestra pila de detección impulsada por IA, Proofpoint Nexus®, logra identificar el ataque analizando la intención y la velocidad del correo entrante. 

La tecnología Nexus utiliza un conjunto de motores de IA que trabajan de forma conjunta para identificar y bloquear estos ataques en tiempo real, garantizando que el correo legítimo siga fluyendo mientras la “bomba” queda contenida. 

A continuación, se explica cómo los distintos motores de Nexus trabajan de forma conjunta para identificar y bloquear un ataque de bombardeo de correo electrónico: 

• Nexus LM™ (Language Model). Este motor analiza patrones de lenguaje en los mensajes. Busca concentraciones elevadas de expresiones como “Bienvenido a” o “Registro de suscripción”, así como marcadores identificativos habituales en las confirmaciones automatizadas. 
• Nexus RG™ (Relationship Graph). Al comprender el comportamiento habitual de los usuarios, el motor Nexus RG identifica anomalías en el volumen y la velocidad de los mensajes. Identifica de inmediato que un incremento súbito de 500 correos electrónicos en segundos, procedentes de remitentes desconocidos hasta ese momento, constituye una anomalía frente a la actividad habitual del usuario. 
• Nexus ML™ (Machine Learning). Cuando estas señales convergen, el motor Nexus ML activa el modo “Refugio antiaéreo”. Esto clasifica automáticamente la avalancha de correos electrónicos como mensajes masivos o de baja prioridad y los desvía fuera de la bandeja de entrada del usuario. Esto asegura la neutralización del ataque. De este modo, las bandejas de entrada de los usuarios se mantienen despejadas para las alertas críticas que el atacante intenta ocultar. Y la productividad del usuario no se ve afectada. 

Tendencias emergentes: el bombardeo se extiende 

El bombardeo de suscripciones se enmarca en una tendencia más amplia de ataques de distracción de alto volumen, cada vez más frecuentes. Vemos cómo los atacantes están adaptando estas tácticas a otros canales: 

• Bombardeo de formularios. Al igual que el bombardeo de suscripciones, estos ataques tienen como objetivo formularios transaccionales, como las páginas de “Contacto” o “Solicitud de presupuesto“. Las víctimas reciben miles de respuestas automáticas del tipo “Gracias por ponerse en contacto con nosotros” Estos ataques suelen ser más difíciles de bloquear, ya que se trata de correos electrónicos transaccionales que no requieren un paso de “clic para confirmar” 
• Bombardeo de SMS. También conocidos como ataques de fatiga de autenticación multifactor (MFA), en estos casos los ciberdelincuentes inundan el dispositivo móvil del usuario con códigos 2FA o mensajes de texto. Esto se utiliza a menudo para molestar a las víctimas hasta que acepten una solicitud de inicio de sesión fraudulenta solo para que las notificaciones se detengan o para enmascarar un ataque de intercambio de SIM. 

Cómo defenderse del ruido 

En una era en la que los atacantes utilizan tráfico legítimo para ocultar sus actividades maliciosas, las organizaciones necesitan una defensa que entienda el comportamiento, no solo la reputación 

Proofpoint Nexus garantiza que, por mucho ruido que genere un atacante, la señal (y su seguridad) sigan siendo claras Al activar defensas como el modo “refugio antibombas”, convertimos un ataque DoS potencialmente paralizante en un incidente irrelevante, protegiendo a sus empleados y preservando la continuidad de sus operaciones comerciales. 

Para obtener más información sobre cómo podemos ayudar a su organización a proteger a sus empleados y datos frente a la próxima generación de amenazas optimizadas por IA, solicite una demostración hoy mismo.  

Póngase en contacto con nosotros para saber más sobre cómo Proofpoint Prime Threat Protection puede ayudar a defenderse de los ataques de bombardeo de suscripciones y otros riesgos de ciberseguridad emergentes.  

Lea nuestra serie "Neutralización de ciberseguridad del mes"     

Para saber más sobre cómo Proofpoint bloquea los ataques avanzados, consulte los otros artículos de esta serie:  

• Cómo los ciberdelincuentes instrumentalizan los asistentes de IA mediante la inyección de prompts (octubre de 2025) 
• Ataques BEC dirigidos a agencias gubernamentales (agosto de 2025) 
• Detección y neutralización de una usurpación de cuentas (julio de 2025)   
• Ataques de intermediario (Adversary-in-the-Middle) contra Microsoft 365 (junio de 2025)    
• Bloqueo de los ataques de phishing que pasan del correo electrónico a los SMS (mayo de 2025)     
• Cómo engañan a sus víctimas los ciberdelincuentes con criptomonedas gratuitas para robarles dinero y credenciales (abril de 2025)   
• Phishing de credenciales que ataca tu seguridad financiera (febrero de 2025)   
• El phishing de firma electrónica casi provoca un desastre para una empresa eléctrica (enero de 2025)   
• Cómo consiguió Proofpoint bloquear un ataque de phishing de Dropbox (diciembre de 2024)   
• Prevención del compromiso del correo electrónico de proveedores en el sector público (noviembre de 2024)   
• Cuando el malware SocGholish mantuvo atemorizado al sector sanitario (octubre de 2024)   
• Prevención de estafas de suplantación de la identidad de proveedores (septiembre de 2024)    
• Ataque de phishing de credenciales para obtener datos de ubicación del usuario (agosto de 2024)     
• Contrarrestar los ataques de malware DarkGate desde la playa (julio de 2024)     
• Ataques de suplantación de la identidad del CEO (junio de 2024)    
• Ataques de suplantación de la cadena de suministro (mayo de 2024)    
• Neutralización de ataques mediante la creación de aplicaciones maliciosas (abril de 2024)     
• Detección de ataques multicapa mediante códigos QR (marzo de 2024)    
• Prevención del compromiso de la cadena de suministro (febrero de 2024)    
• Manipulación de la autenticación multifactor (enero de 2024)       
• Uso de IA basada en el comportamiento para contrarrestar la redirección de nóminas (diciembre de 2023)      
• Secuencia de ataques por teléfono (noviembre de 2023       
• Estafas y phishing mediante códigos QR (octubre de 2023)      
• Prevención del phishing de firma electrónica (septiembre de 2023)     
• Detección y análisis de un ataque de SocGholish (agosto de 2023)     
• Protección contra el toolkit de herramientas de phishing EvilProxy y la usurpación de cuentas cloud (julio de 2023)    
• Detección de ataques BEC y a la cadena de suministro (junio de 2023)