Scareware CypherLoc bloquea el navegador e inhabilita los controles para atacar con tácticas de presión psicológica a través de un falso soporte técnico
Una vez activado, la página cambia a una pantalla completa controlada por el atacante que desactiva los controles y muestra avisos de seguridad falsos
Los últimos hallazgos de Barracuda Research revelan que CypherLoc- una estafa web avanzada que bloquea el navegador de la víctima y la presiona para que llame a un número fraudulento de asistencia técnica- utiliza técnicas de ocultación para eludir la detección por parte de herramientas de seguridad como escáneres y entornos asilados. Desde principios de 2026, los investigadores han observado alrededor de 2,8 millones de ataques perpetrados mediante CypherLoc.
Todo comienza con un correo electrónico de phishing que, según los datos a los que ha tenido acceso Barracuda Networks, contiene un enlace fraudulento en el cuerpo del mensaje o en un archivo adjunto. Dicho enlace redirecciona a una página que, a primera vista, parece una web cualquiera, pero lleva integradas una serie de códigos y protocolos específicos que sirven de detonante para comenzar con el proceso de ataque.
Cómo funciona el ataque
Por ejemplo, si hay una clave de código especial y el usuario no está utilizando un escáner de seguridad o un entorno de pruebas, se activa el malware y la página cambia a pantalla completa. El atacante se hace con el control total, bloquea el navegador, se desactivan los controles y se muestran en el monitor avisos de seguridad falsos, con alarmas muy estridentes, tanto visuales como auditivas.
Para frustrar cualquier intento de escape, la página oculta el cursor, desactiva los menús e incluso bloquea por completo el navegador si la víctima intenta cualquier acción que bloquee el ataque.
Las tácticas de presión psicológica incluyen sonidos de advertencia a todo volumen, la publicación de la dirección IP de la víctima en pantalla, formularios de inicio de sesión falsos que no funcionan y mensajes de error repetidos, todo ello diseñado para generar pánico y una sensación de urgencia.
Durante todo el ataque, aparece un número de teléfono en pantalla como única solución para resolver el problema. Las víctimas que llaman son transferidas a estafadores que se hacen pasar por personal de soporte técnico legítimo. A continuación, los estafadores continúan el ataque mediante técnicas de ingeniería social, por ejemplo, para obtener credenciales.
"CypherLoc pone de manifiesto cómo el scareware moderno está dejando atrás el malware evidente para orientarse hacia estafas basadas en el navegador e impulsadas por el usuario, que resultan difíciles de detectar y son muy eficaces", afirmó Saravanan Mohankumar, director del equipo de análisis de amenazas de Barracuda. "Utiliza el proprio navegador para presionar a las víctimas y que actúen. Al combinar código oculto, activación retardada y un comportamiento agresivo en pantalla, crea la convincente ilusión de un grave problema en el sistema, al tiempo que deja muy pocos rastros técnicos".
Desde Barracuda recomiendan contar con una protección sólida contra el phishing, así como para el navegador y los dispositivos finales, con el fin de detectar y bloquear cualquier comportamiento sospechoso de los scripts. A medida que los atacantes se alejan del malware tradicional y se adentran en ataques basados en el navegador y dirigidos por el usuario, las organizaciones necesitan controles que protejan a los usuarios, no solo a los dispositivos. El scareware de CypherLoc es un claro ejemplo de amenazas que se sitúan en la intersección de phishing, ingeniería social y evasión técnica.
