### Fraude a través de plataformas de encuestas: los ciberdelincuentes camuflan enlaces maliciosos para evadir filtros de spam

#### 1. Introducción

En los últimos meses, se ha detectado un incremento significativo de campañas de spam que emplean plataformas legítimas de encuestas en línea como vector principal para distribuir enlaces fraudulentos. Este método, que aprovecha la reputación y confianza asociada a servicios reconocidos de encuestas, supone un desafío considerable para los equipos de seguridad, ya que estos correos logran evadir de forma efectiva los filtros antispam convencionales. En este análisis, desgranamos la operativa de esta amenaza, sus implicaciones para las organizaciones y las medidas técnicas recomendadas para mitigar el riesgo.

#### 2. Contexto del Incidente o Vulnerabilidad

Las plataformas de encuestas como SurveyMonkey, Google Forms o Typeform se utilizan habitualmente en el entorno empresarial y académico para recoger datos o realizar estudios de opinión. Los atacantes están explotando la legitimidad de estos servicios para incrustar enlaces a sitios de phishing, descargas de malware o páginas clonadas que recolectan credenciales. Dado que los dominios de estos proveedores suelen estar en listas blancas y poseen una reputación elevada, los emails que contienen enlaces a encuestas son aceptados por la mayoría de los sistemas de filtrado de correo, lo que facilita la entrega de los mensajes maliciosos a los buzones de las víctimas.

#### 3. Detalles Técnicos

##### Identificadores y Vectores de Ataque

No existe actualmente un CVE específico asociado a esta táctica, ya que no explota una vulnerabilidad técnica de las plataformas de encuestas, sino que abusa de su funcionalidad legítima. El vector de ataque primario es el correo electrónico, en el que el atacante inserta un enlace a una encuesta aparentemente inofensiva. Dentro de la propia encuesta, se oculta el enlace final a un sitio fraudulento.

##### Tácticas, Técnicas y Procedimientos (TTP)

Según la matriz MITRE ATT&CK, esta técnica se encuadra en la categoría **T1566.002 (Spearphishing Link)** y **T1204.002 (User Execution: Malicious Link)**. Los atacantes suelen personalizar el mensaje para aumentar la tasa de clics, empleando ingeniería social y suplantación de identidad (phishing). Frecuentemente, los enlaces finales llevan a páginas clonadas de acceso a servicios corporativos (Microsoft 365, Google Workspace, etc.) o a descargas de archivos maliciosos (T1059 – Command and Scripting Interpreter).

##### Indicadores de Compromiso (IoC)

– Enlaces a encuestas de plataformas legítimas que, tras uno o varios redireccionamientos, llevan a dominios sospechosos (habitualmente registrados hace menos de seis meses).
– Formularios que solicitan credenciales corporativas, información financiera o archivos adjuntos inusuales.
– Uso de acortadores de URL dentro de las propias encuestas.
– Tráfico saliente inusual hacia dominios de reciente creación tras la interacción con la encuesta.

#### 4. Impacto y Riesgos

El principal riesgo reside en la obtención de credenciales mediante phishing, la instalación de malware (RATs, ransomware, troyanos bancarios) y la exfiltración de datos sensibles. Según estimaciones de Kaspersky, un 7% de los incidentes de phishing detectados en el primer trimestre de 2024 emplearon plataformas de encuestas como parte de la cadena de ataque. El coste medio de una brecha de seguridad por robo de credenciales supera los 4 millones de euros para empresas afectadas, según informes de IBM y ENISA.

Adicionalmente, la dificultad para identificar estos correos como maliciosos incrementa la superficie de ataque y la probabilidad de éxito. El incumplimiento de normativas como el RGPD o la inminente NIS2 puede acarrear sanciones económicas y problemas reputacionales para las organizaciones.

#### 5. Medidas de Mitigación y Recomendaciones

– **Ajuste de filtros de correo**: Configurar políticas de análisis avanzado que inspeccionen los enlaces dentro de cuerpos de correo y formularios, incluso si provienen de dominios reputados.
– **Bloqueo de enlaces dinámicos**: Implementar soluciones que analicen, en tiempo real, la URL de destino final tras todos los redireccionamientos.
– **Formación continua**: Capacitar a empleados en la identificación de correos sospechosos y phishing, incluso cuando provengan de fuentes aparentemente legítimas.
– **Monitorización de tráfico**: Utilizar SIEMs y EDRs para detectar patrones de tráfico anómalos relacionados con la interacción en plataformas de encuestas.
– **Políticas de lista blanca restrictivas**: Revisar y limitar las plataformas de encuestas permitidas en la organización, según necesidades reales.
– **Verificación multifactor**: Reforzar el acceso a sistemas críticos con autenticación multifactor para mitigar el impacto de un posible robo de credenciales.

#### 6. Opinión de Expertos

Según David Barroso, CEO de CounterCraft, “el abuso de plataformas legítimas representa una evolución natural de los ataques de ingeniería social. La sofisticación de estos métodos dificulta la detección automatizada y requiere un enfoque combinado de tecnología y concienciación”. Por su parte, analistas de Kaspersky subrayan que “la confianza en servicios populares es el mayor enemigo de los filtros basados en reputación, por lo que es imperativo analizar el contenido y el comportamiento de los enlaces, no solo su origen”.

#### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este tipo de ataques supone una amenaza directa a la integridad de sus sistemas y la privacidad de sus datos. Los CISOs deben revisar sus estrategias de defensa en profundidad y no confiar únicamente en soluciones tradicionales de filtrado. Los analistas SOC y equipos de respuesta deben prestar especial atención a las campañas de phishing que aparentan ser legítimas. Los usuarios finales, tanto corporativos como particulares, han de extremar la precaución antes de introducir sus credenciales en formularios de encuestas, verificando siempre la autenticidad de las solicitudes.

#### 8. Conclusiones

El camuflaje de enlaces fraudulentos en plataformas de encuestas legítimas demuestra la capacidad de adaptación de los atacantes y la necesidad de un enfoque proactivo en ciberseguridad. Solo mediante una combinación de tecnología avanzada, procesos robustos y formación constante será posible reducir el impacto de estas amenazas emergentes, que seguirán evolucionando en los próximos meses.

(Fuente: www.kaspersky.com)