Cuando alguien busca en Google “soporte técnico 24/7 de Netflix” o “número de atención al cliente de Apple”, espera encontrar un enlace fiable al servicio oficial, pero ahora puede ser gancho de estafas. Si, esa confianza puede convertirse en una puerta de entrada para estafas online altamente elaboradas. Un nuevo tipo de ataque, detectado por investigadores de Malwarebytes, está manipulando los resultados de búsqueda para mostrar anuncios maliciosos que redirigen a páginas legítimas, como las de Netflix o PayPal, con un pequeño, pero letal añadido: un número de teléfono falso previamente insertado en la barra de búsqueda.

Este vector de ataque —una variación del conocido search poisoning o “envenenamiento de buscadores”— utiliza técnicas de ingeniería social combinadas con vulnerabilidades técnicas. Los delincuentes compran anuncios patrocinados en Google y diseñan URLs que apuntan directamente a funciones de búsqueda internas de las webs legítimas. Pero en lugar de una consulta corriente, insertan un número de teléfono que aparenta ser de atención al cliente.

La trampa es sencilla. Como el enlace lleva a una página auténtica —por ejemplo, netflix.com/search?q=+1-800-xxx-xxxx—, los filtros del navegador, como el de Safe Browsing de Google Chrome, no lo marcan como peligroso. A los ojos del sistema y del usuario, se está visitando una página oficial. Y lo es. Solo que con un contenido manipulado.

Cómo funciona esta vulnerabilidad

Según Jérôme Segura, director de investigación en Malwarebytes, la clave de esta estafa está en cómo las plataformas gestionan sus propias funcionalidades de búsqueda. En el caso de Netflix, el buscador interno refleja de forma directa lo que el usuario introduce en la URL, sin filtrar ni validar adecuadamente. Esto permite que un número de teléfono malicioso se muestre como parte del contenido de la web.

El usuario, al ver el número en una página de apariencia legítima, baja la guardia y lo marca. Al otro lado del teléfono, un estafador se hace pasar por personal de soporte y convence a la víctima para que revele datos sensibles: credenciales, información bancaria o incluso acceso remoto al ordenador.

Una vez obtenidos estos permisos, el ciberdelincuente puede vaciar cuentas, instalar malware, copiar documentos o robar contraseñas almacenadas en el equipo. En resumen, una simple llamada puede desencadenar un robo digital devastador.

Empresas afectadas y falta de respuesta

Los principales objetivos de estas estafas en Google incluyen nombres de gran confianza entre los usuarios: Apple, Bank of America, Facebook, HP, Microsoft, Netflix y PayPal. A pesar de la gravedad del hallazgo, ninguna de estas compañías respondió inicialmente a las solicitudes de información de los medios.

Malwarebytes tampoco ha podido precisar cuántas personas han sido engañadas hasta ahora, pero el hecho de que los anuncios hayan conseguido posicionarse en las primeras posiciones del buscador sugiere una campaña activa y bien financiada.

Esta técnica representa una evolución preocupante en las tácticas de suplantación digital. Ya no se trata de crear una página falsa que imite el diseño de Netflix o PayPal. Ahora, se aprovechan las propias herramientas y servicios legítimos para insertar contenido engañoso.

¿Cómo protegerse ante esta nueva forma de estafa?

El problema principal de estas estafas en Google es que los filtros de seguridad tradicionales no identifican este ataque como malicioso, porque el sitio visitado es, técnicamente, legítimo. Por eso, la protección debe comenzar con la educación del usuario. Desde Malwarebytes recomiendan estar atentos a:

  • Números de teléfono incrustados en la barra de búsqueda o en la URL.
  • Palabras clave sospechosas como “call now”, “emergency support” o “technical help”.
  • Cadenas de caracteres codificados como %20 (espacio) o %2B (signo más) en la URL.
  • Cualquier página que solicite credenciales, número de cuenta o permita acceso remoto sin justificación clara.

Y lo más importante: ningún servicio de atención al cliente legítimo solicitará tu contraseña ni acceso total a tu dispositivo. Esa es una señal inequívoca de intento de estafa.