La semana pasada hablamos de una aplicación que promete a los usuarios que pueden ganar dinero probando juegos, o incluso simplemente desplazándose por TikTok.
Imagina nuestra sorpresa cuando acabamos en un sitio web que promocionaba esa misma aplicación Freecash mientras investigábamos un phishing de «almacenamiento en la nube». Probablemente todos hayamos visto alguno. Son bastante comunes y, según una investigación reciente de BleepingComputer, hay un
«Campaña fraudulenta a gran escala de suscripción a servicios de almacenamiento en la nube dirigida a usuarios de todo el mundo mediante correos electrónicos repetidos en los que se advierte falsamente a los destinatarios de que sus fotos, archivos y cuentas están a punto de ser bloqueados o eliminados debido a un supuesto fallo en el pago».
Según la descripción de ese artículo, el correo electrónico que encontramos parece formar parte de esta campaña.
El asunto del correo electrónico es:
“{Recipient}. Your Cloud Account has been locked on Sat, 24 Jan 2026 09:57:55 -0500. Your photos and videos will be removed!”
Esto coincide con uno de los asuntos que BleepingComputer incluyó en su lista.
Y el contenido del correo electrónico:
«Problema de pago: almacenamiento en la nube
Estimado usuario:
Hemos detectado un problema al intentar renovar tu suscripción a Cloud Storage.
Lamentablemente, su método de pago ha caducado. Para garantizar que su Cloud continúe sin interrupciones, actualice sus datos de pago.
ID de suscripción: 9371188
Producto: Almacenamiento en la nube Premium
Fecha de vencimiento: sábado, 24 de enero de 2026
Si no actualizas tu información de pago, puedes perder el acceso a tu almacenamiento en la nube, lo que puede impedirte guardar y sincronizar tus datos, como fotos, vídeos y documentos.
Actualizar datos de pago {botón de enlace}
Recomendaciones de seguridad:
- Acceda siempre a su cuenta a través de nuestro sitio web oficial.
- Nunca compartas tu contraseña con nadie.
- Asegúrese de que su información de contacto y facturación esté actualizada.
El enlace del correo electrónico lleva a https://storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html#/redirect.html, lo que ayuda al estafador a generar cierta confianza, ya que apunta a Google Cloud Storage (GCS). GCS es un servicio legítimo que permite a los usuarios autorizados almacenar y gestionar datos, como archivos, imágenes y vídeos, en buckets. Sin embargo, como en este caso, los atacantes pueden abusar de él para realizar phishing.
La redirección lleva algunos parámetros al siguiente sitio web.
En feed.headquartoonjpn[.]com El dominio fue bloqueado por Malwarebytes. Ya lo habíamos visto antes en una campaña anterior relacionada con un phishing con temática de resistencia.
Después de algunas redirecciones más, terminamos en hx5.submitloading[.]com, donde un CAPTCHA falso activó la última redirección a freecash[.]com, una vez que se resolvió.
El objetivo final de este phishing probablemente dependa de los parámetros transmitidos durante los redireccionamientos, por lo que los resultados pueden variar.
En lugar de robar credenciales directamente, la campaña parece estar diseñada para monetizar el tráfico, canalizando a las víctimas hacia ofertas de afiliados en las que los operadores cobran por los registros o las conversiones.
BleepingComputer señaló que fueron redirigidos a sitios web de marketing de afiliados para diversos productos.
«Los productos promocionados en esta campaña de phishing incluyen VPN , software de seguridad poco conocido y otras ofertas basadas en suscripciones que no tienen relación con el almacenamiento en la nube».
Cómo mantenerse seguro
Irónicamente, el propio correo electrónico de phishing incluye algunos consejos útiles:
- Acceda siempre a su cuenta a través de nuestro sitio web oficial.
- Nunca compartas tu contraseña con nadie.
Nos gustaría añadir:
- Nunca haga clic en enlaces de correos electrónicos no solicitados sin verificarlos con una fuente fiable.
- Utilice una solución antimalware actualizada y en tiempo real con un componente de protección web.
- No interactúes con sitios web que atraen visitantes de esta manera.
Consejo profesional: Malwarebytes Guard te habría ayudado a identificar este correo electrónico como una estafa y te habría proporcionado consejos sobre cómo proceder.
Redireccionamiento de flujo (IOC)
storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html
feed.headquartoonjpn[.]com
revivejudgemental[.]com
hx5.submitloading[.]com
freecash[.]com
Actualización del 5 de febrero de 2026
Almedia GmbH, la empresa responsable de la plataforma Freecash, se puso en contacto con nosotros para obtener información sobre la cadena de redireccionamientos que conducen a su plataforma. Tras una investigación, nos comunicaron lo siguiente:
«Tras el informe Malwarebytesy la información adicional que compartieron con nosotros, investigamos el asunto e identificamos a un afiliado que operaba infringiendo nuestras políticas. Dicho socio ha sido eliminado de nuestra red.
Almedia no vende los datos de los usuarios y nos tomamos muy en serio el cumplimiento normativo, la confianza de los usuarios y la publicidad responsable.
No sólo informamos de las estafas, sino que ayudamos a detectarlas.
Los riesgos de ciberseguridad nunca deben ir más allá de un titular. Si algo te parece sospechoso, comprueba si se trata de una estafa con Malwarebytes Guard. Envía una captura de pantalla, pega el contenido sospechoso o comparte un enlace, texto o número de teléfono, y te diremos si se trata de una estafa o es legítimo. Disponible con Malwarebytes Premium para todos tus dispositivos y en la Malwarebytes para iOS Android.
