### Eludir los filtros de correo: auge de los ataques TOAD mediante números de teléfono en el payload

#### Introducción

En el ecosistema actual de ciberseguridad, la sofisticación de las técnicas de ingeniería social sigue evolucionando para sortear las barreras tradicionales de defensa. Recientemente, se ha detectado un notable incremento en el uso de ataques conocidos como Telephone-Oriented Attack Delivery (TOAD), una variante especialmente ingeniosa de phishing en la que los ciberdelincuentes emplean números de teléfono como único vector en los correos electrónicos maliciosos. Este enfoque está logrando eludir con éxito los filtros y pasarelas de seguridad de correo electrónico (SEG), planteando nuevos retos para equipos SOC, CISOs y responsables de cumplimiento normativo.

#### Contexto del Incidente o Vulnerabilidad

La modalidad TOAD, identificada desde 2022 pero con un claro repunte en 2024, consiste en remitir correos electrónicos que aparentan ser comunicaciones legítimas de empresas reconocidas (bancos, plataformas de pago, servicios de suscripción, etc.), en los que el único elemento de acción es un número de teléfono. Los atacantes han perfeccionado la táctica para evitar links, adjuntos o frases sospechosas, elementos tradicionalmente analizados por las SEG y soluciones antispam.

El objetivo es inducir a la víctima a llamar al número proporcionado, donde un agente malicioso, empleando guiones de ingeniería social, persigue el robo de credenciales, información bancaria o incluso la instalación remota de malware. Según el último informe de Agari y Proofpoint, se ha registrado un aumento del 75% en campañas TOAD dirigidas a empleados de grandes corporaciones europeas en el primer semestre de 2024.

#### Detalles Técnicos

Los emails TOAD suelen camuflarse como alertas de facturación, renovaciones de suscripciones o notificaciones urgentes de cuentas bloqueadas. Carecen de los elementos clásicos de phishing (enlaces o archivos adjuntos), lo que dificulta su detección por firmas o análisis heurístico. Técnicamente, evitan los triggers habituales de soluciones como Mimecast, Proofpoint o Microsoft Defender for Office 365.

No existe un CVE específico para estos ataques, pues explotan el eslabón humano y las limitaciones de los sistemas automáticos de análisis de contenido, más que vulnerabilidades de software. En cuanto a TTPs, encajan en las fases de «Initial Access» y «Social Engineering» del framework MITRE ATT&CK (T1566.001: Spearphishing Attachment; T1566.002: Spearphishing Link, aunque aquí el vector es el teléfono).

Los IoC identificados incluyen patrones de números de teléfono de tarificación especial (premium rate o VoIP internacionales), dominios de envío de correo comprometidos y plantillas de correo recurrentes asociadas a campañas TOAD conocidas. La explotación del vector se ve facilitada por herramientas de VoIP, spoofing de llamadas y servicios de respuesta automática para escalar el volumen del ataque.

#### Impacto y Riesgos

El impacto de los ataques TOAD es considerable: al evitar los controles perimetrales de correo, la probabilidad de entrega y apertura es significativamente mayor (se estima en un 95% frente al 70% de ataques con adjuntos o links). Un solo caso de éxito puede traducirse en el compromiso completo de una cuenta corporativa, transferencia fraudulenta de fondos o filtración de datos sujetos a GDPR.

Además, el alcance de estos ataques se ve amplificado por la dificultad para investigar y atribuir llamadas telefónicas, especialmente si se emplean servicios de VoIP deslocalizados o SIMs desechables. Según la ENISA, el coste promedio de un incidente de esta naturaleza supera los 260.000 euros, considerando tiempo de respuesta, consultoría legal y posibles sanciones regulatorias.

#### Medidas de Mitigación y Recomendaciones

Ante la naturaleza evasiva de los ataques TOAD, las recomendaciones principales incluyen:

– **Formación específica al usuario final**: Simulacros de phishing centrados en TOAD y sesiones sobre verificación de números de contacto.
– **Actualización de políticas SEG**: Configuración de reglas para identificar correos que contienen únicamente números de teléfono en el cuerpo del mensaje.
– **Reforzamiento de procesos internos**: Validación secundaria para operaciones sensibles que requieran contacto telefónico, aplicando el principio de doble canal.
– **Monitorización de llamadas sospechosas**: Integrar logs de llamadas a números no autorizados en los SIEM para correlación de incidentes.
– **Colaboración con proveedores de telecomunicaciones**: Solicitar alertas sobre patrones de llamadas a números de alto riesgo o internacionales.
– **Evaluación de cumplimiento**: Revisar el impacto en las obligaciones de GDPR y NIS2, implementando auditorías regulares de canales de comunicación alternativos.

#### Opinión de Expertos

Especialistas de SANS Institute y el European Cybercrime Centre (EC3) coinciden en que TOAD representa una evolución natural de la ingeniería social, aprovechando la confianza residual en la comunicación telefónica. Según Marta González, directora de ciberinteligencia en una multinacional española, “la capacidad de los atacantes para manipular a las víctimas por voz, sumada a la saturación de alertas de ciberseguridad, incrementa la efectividad de estas campañas. No basta con herramientas: es imprescindible una cultura de alerta constante”.

#### Implicaciones para Empresas y Usuarios

Las empresas deben adaptar sus controles y concienciación a esta nueva realidad. El modelo clásico de protección del inbox ya no es suficiente, y la convergencia entre canales (email, teléfono, SMS) exige una visión holística de la superficie de ataque. Los usuarios, por su parte, deben ser instruidos para no confiar ciegamente en la legitimidad de cualquier número telefónico recibido por email, y validar siempre por canales oficiales.

#### Conclusiones

El auge de los ataques TOAD pone de manifiesto la necesidad de evolucionar las estrategias de defensa más allá del perímetro digital clásico. La formación, la monitorización multicanal y la colaboración con actores externos se consolidan como pilares imprescindibles para mitigar este tipo de amenazas. Los responsables de ciberseguridad deben mantenerse actualizados, adaptando sus políticas y tecnologías para anticipar las nuevas tácticas de ingeniería social en un entorno cada vez más híbrido.

(Fuente: www.darkreading.com)