El phishing que parecía legítimo
Una auditoría de Red Team distinta que aún recuerdo con especial cariño
s4vitar
9 de febrero de 2026 · 3 min de lectura
Cuando se habla de ejercicios de Red Team, casi todo el mundo imagina el mismo escenario. Un atacante externo intentando entrar en la compañía desde fuera, enumerando servicios, explotando vulnerabilidades, moviéndose lateralmente hasta donde sea posible. Ese era el planteamiento inicial de esta auditoría. Un ejercicio íntegro de Red Team con el objetivo de medir hasta dónde podíamos llegar sin levantar sospechas reales.
Comenzamos como tantas otras veces. Recolección de información pública, enumeración de correos corporativos, identificación de empleados, cargos intermedios, directivos. Usamos herramientas accesibles, fuentes abiertas, técnicas conocidas. El correo electrónico seguía siendo el vector más interesante, no por ser el más técnico sino por seguir siendo el más humano.
Aquí entra el contexto habitual. Muchas campañas de phishing se apoyan en configuraciones deficientes de SPF, DKIM y DMARC. Estos mecanismos existen para validar que un correo proviene realmente de quien dice ser. Cuando están mal configurados o directamente ausentes permiten algo muy peligroso, el spoofing de correo electrónico. Básicamente enviar correos haciéndose pasar por direcciones legítimas sin tener control real sobre ellas.
Otra técnica muy común consiste en registrar dominios muy similares al original. Cambiar una letra, añadir un guion, jugar con terminaciones. Algo como ‘empresasegura.com’ frente a ‘empresa-segura.com’. A nivel visual suele pasar desapercibido, especialmente para usuarios que leen rápido o confían en el contexto.
Sabíamos quiénes eran los directivos, qué direcciones se usaban en comunicaciones importantes, qué nombres generaban autoridad dentro de la organización. En este punto, podríamos haber seguido el camino habitual, recurrir al spoofing de correo o registrar un dominio casi idéntico al original para lanzar la campaña. Sin embargo esta vez queríamos ser más originales.
En lugar de atacar directamente a los empleados, decidimos ir un paso más atrás y atacar al proveedor de dominios.
Durante una auditoría web previa al mismo cliente habíamos conseguido credenciales válidas. Nada especialmente crítico a simple vista. Usuario y contraseña reutilizados en varios servicios, algo tristemente habitual. Probamos esas credenciales contra el panel del proveedor de dominios y funcionaron.
Ese acceso nos dio control real sobre el dominio principal de la empresa. Gestión de DNS, creación de registros, alta de buzones de correo bajo el dominio legítimo. No estábamos suplantando direcciones externas. Estábamos operando desde dentro del propio dominio.
El siguiente paso fue sutil. Registramos una cuenta de correo casi idéntica a la de uno de los ejecutivos. No una variación obvia, sino un cambio pensado para pasar desapercibido en una lectura rápida.
La letra ‘m’ sustituida visualmente por ‘rn’. A simple vista prácticamente indistinguible.
A partir de ahí lanzamos la campaña desde esa cuenta. El remitente pertenecía al dominio real de la empresa, el nombre del remitente coincidía con el del directivo, la firma era coherente, el tono del mensaje encajaba con comunicaciones internas previas. No había nada que generara desconfianza inmediata.
Faltaba el destino del enlace. Para eso registramos un nuevo subdominio bajo el dominio principal, algo que sonara interno, técnico, poco llamativo. Un supuesto sistema de gestión en desarrollo, algo como ‘management-system.empresa.com’.
El correo indicaba que se trataba de un nuevo sistema interno y que era necesario autenticarse para acceder. El panel de login era fraudulento pero visualmente idéntico a los sistemas reales de la compañía. Se indicaba además que debían usar las mismas credenciales corporativas de siempre.
Y muchos lo hicieron.
Las credenciales empezaron a llegar. Usuarios, contraseñas, validaciones correctas en una proporción altísima. No eran combinaciones inventadas. Eran credenciales reales, funcionales, reutilizadas.
Aquí surge la pregunta clave. Cómo detectas algo así. El dominio era legítimo, el remitente pertenecía al dominio real, el enlace apuntaba a un subdominio válido de la empresa, el nombre del ejecutivo era correcto, el contexto era creíble. No había indicadores clásicos de phishing ni señales técnicas evidentes que un usuario medio pudiera identificar.
Fue una de las auditorías en las que más credenciales válidas conseguimos recopilar. No por una complejidad técnica extrema, sino por entender cómo funciona la confianza y usarla como vector principal.
A nivel profesional fue otro nivel. A nivel personal le guardo un cariño especial. Aprendí mucho sobre phishing, sobre comportamiento humano y sobre lo poco que sirven algunas defensas cuando el ataque no viene desde fuera sino desde dentro del propio perímetro de confianza.
No fue el phishing de siempre.
Fue el phishing que nadie esperaba.