Introducción
Las ciberamenazas más efectivas de 2026 no siempre pasan por malware sofisticado ni vulnerabilidades de día cero: en muchos casos, basta una llamada telefónica. Desde enero de 2026, un grupo de extorsión ampliamente documentado ha intensificado sus operaciones contra despachos de abogados y firmas de servicios profesionales en Estados Unidos, con una metodología que preocupa tanto por su efectividad como por su escalada hacia el plano físico.
Un esquema en tres fases perfectamente ejecutado
Todo comienza con un correo electrónico aparentemente inofensivo —habitualmente una factura falsa enviada desde una cuenta de correo gratuita— sin enlaces ni adjuntos maliciosos. Su único propósito: crear el pretexto para la llamada que vendrá a continuación.
Un supuesto técnico de soporte IT contacta entonces al empleado, cita el correo recibido para ganar credibilidad, y le pide unirse a una sesión de pantalla compartida a través de Teams, Zoom o Quick Assist. Una vez obtenido el acceso, instala discretamente una herramienta de control remoto legítima —AnyDesk, Zoho Assist o Bomgar— que le garantiza acceso persistente incluso después de colgar.
La exfiltración comienza de inmediato: contratos con clientes, expedientes de fusiones y adquisiciones, datos fiscales, información personal. Las herramientas WinSCP y Rclone gestionan la transferencia silenciosa hacia servidores externos. La exigencia de rescate llega en menos de treinta minutos.
Una escalada hasta la intrusión física
Lo que distingue las campañas de 2026 es un salto raramente documentado hasta ahora: el grupo ha comenzado a enviar operativos directamente a las instalaciones de algunas víctimas. Presentándose como técnicos autorizados, estos individuos conectan memorias USB en los equipos de trabajo para exfiltrar datos sin pasar por la red corporativa. El perímetro digital ya no es suficiente.
El FBI ha emitido una alerta de nivel FLASH —su segundo aviso en doce meses sobre este grupo, y el primero en alcanzar este nivel de severidad— en coordinación con los equipos de Threat Intelligence de Google. Más de cien organizaciones habrían sido atacadas entre enero y mayo de 2026, y los datos de al menos treinta y ocho firmas han sido publicados en un sitio de filtraciones tras negarse a pagar.
Lo que esto exige en la práctica
Los despachos de abogados, firmas de auditoría y consultoras concentran información de altísimo valor —datos no públicos sobre operaciones M&A, secretos industriales, datos personales de clientes— con una madurez en ciberseguridad históricamente inferior a la de la banca o los operadores de infraestructuras críticas.
El problema que plantea el vishing es fundamentalmente humano. Ningún EDR ni ningún firewall detecta a un empleado que comparte de buena fe su pantalla con un técnico ficticio. Las respuestas son, por tanto, organizacionales:
Verificación sistemática mediante devolución de llamada: cualquier llamada entrante que se identifique como soporte IT debe dar lugar a un retorno de llamada a un número oficial conocido, nunca al número facilitado por el interlocutor.
Restricción de herramientas de acceso remoto: limitar el control remoto exclusivamente a proveedores autorizados y registrados, con autenticación robusta como condición previa.
Formación dirigida a los perfiles más expuestos: los objetivos prioritarios de estos ataques no son los equipos de IT, sino con frecuencia los asistentes, colaboradores junior y personal administrativo.
Refuerzo del control de acceso físico: el incremento de intrusiones presenciales obliga a revisar los protocolos de recepción de proveedores externos, con verificación de identidad sistemática y acompañamiento obligatorio en todo momento.
La confianza como superficie de ataque
Lo que estos grupos explotan ante todo es la confianza institucional: la que un empleado deposita de forma natural en alguien que conoce su nombre, cita un correo reciente y habla el vocabulario del soporte informático. Construir rutinas de verificación rigurosas sin paralizar la operativa diaria es el reto inmediato de todas las firmas que gestionan datos sensibles —en España y América Latina, donde campañas similares han registrado un crecimiento sostenido durante los últimos dos años.