Threat Spotlight: CypherLoc, un scareware avanzado que bloquea navegadores y ataca a millones
Barracuda Research detalla un kit de ataque basado en la web que combina cargas útiles cifradas, controles agresivos del navegador y tácticas de alta presión.
Conclusiones
- CypherLoc es un scareware sofisticado de bloqueo del navegador diseñado para llevar a las víctimas a llamadas fraudulentas de soporte técnico.
- Elude escáneres y entornos aislados mediante la ejecución basada en condiciones cifradas dentro del navegador.
- Los equipos de seguridad deben contar con protecciones antiphishing, de navegador y de endpoint robustas y dar prioridad a la formación de usuarios.
Barracuda Research, el brazo de inteligencia de amenazas de Barracuda, ha identificado CypherLoc, un sofisticado kit de scareware basado en la web que combina técnicas avanzadas de evasión, controles agresivos del navegador y manipulación psicológica para empujar a las víctimas a llamar a números de soporte técnico fraudulentos.
Desde principios de 2026, los investigadores de Barracuda han observado alrededor de 2,8 millones de ataques con este kit.
CypherLoc muestra cómo el scareware ha evolucionado de simples estafas de pantalla congelada a marcos de ataque sigilosos, residentes en el navegador, que dependen más del miedo del usuario que de la instalación de malware. En el caso de CypherLoc, esto incluye el uso nuevo e innovador de cargadores cifrados, ejecución con puertas hash y reemplazo de páginas durante el tiempo de ejecución operativo.
Cómo funciona el ataque
El ataque generalmente comienza con un correo electrónico de phishing que dirige a la víctima a una página web maliciosa a través de un enlace que está incrustado en el cuerpo del correo electrónico o en un archivo adjunto.
La página web inicialmente parece inofensiva, pero gradualmente se transforma en un entorno de scareware completamente controlado. El desencadenante de esta transición está oculto en la página web y solo se descifrará si se cumplen ciertas condiciones (ver abajo). Si se cumplen, la página se convierte en una interfaz de scareware a pantalla completa que bloquea el navegador, muestra mensajes de seguridad alarmantes y urge al usuario a contactar con el soporte de inmediato.
Si alguien intenta inspeccionar o examinar la página mientras está ejecutándose, la página provoca deliberadamente que el navegador se vuelva lento, problemático o inestable. Para la víctima, esto refuerza la ilusión de un problema grave en el sistema.
El flujo a continuación ilustra la transformación desde el acceso inicial hasta el bloqueo completo del navegador.
Caption: Flujo de ejecución de CypherLoc. Ilustración generada por IA con fines educativos.
Técnicas fundamentales que hacen que CypherLoc sea difícil de detectar
Un contenido cifrado, controlado por hash, oculto en la página web
CypherLoc oculta su funcionalidad real dentro de una carga útil cifrada incrustada directamente en la página web. El código solo se descifra cuando la página se abre bajo las condiciones correctas: cuando el fragmento de URL requerido está presente y la página pasa una serie de verificaciones de integridad criptográfica.
Si el fragmento oculto falta o la página se está abriendo en un entorno de escáner, sandbox o de prueba, la carga útil maliciosa se niega a ejecutarse y la página redirige a una pantalla en blanco. Esto oculta el ataque de las herramientas de seguridad.
Título: Cargador de JavaScript cifrado utilizado en CypherLoc para validar, descifrar y ejecutar la carga útil oculta.
Un análisis más técnico basado en código del flujo de ejecución inicial se incluye en la tabla al final de este artículo.
Reemplazando la página de ejecución
La página que se carga inicialmente no es la página final de scareware. Después de una descifrado exitoso, la página original se borra a sí misma y coloca una página completamente nueva en el navegador. Esta transformación repentina restablece los scripts y rompe la inspección en vivo, haciendo que la página se sienta peligrosa e inestable.
Bloqueo agresivo del navegador
CypherLoc restringe activamente la actividad del usuario al tomar el control en modo de pantalla completa, deshabilitar los menús de contexto, ocultar el cursor y cubrir la pantalla con superposiciones. Cualquier intento de recuperar el control activa un comportamiento de "re-bloqueo" inmediato, creando una fuerte sensación de estar atrapado.
El audio añade presión
La página de seguridad falsa reproduce automáticamente sonidos de advertencia cada vez que el usuario hace clic, la página cambia a pantalla completa o la página se vuelve a cargar. Este ruido y actividad adicionales pueden ralentizar el navegador, hacerlo inestable o incluso provocar que se bloquee, lo que dificulta el análisis.
Revelación de la dirección IP para que parezca algo personal
CypherLoc recupera la dirección IP pública de la víctima al cargar la página y la muestra en la página de destino. Mostrar esta dirección IP es una táctica psicológica, diseñada para hacer que la advertencia se sienta personalizada y aumentar la sensación de miedo y urgencia. Aunque no se involucra ninguna explotación técnica, la presencia de la propia dirección IP de la víctima refuerza la ilusión de que el sistema está siendo rastreado activamente.
Formularios de inicio de sesión falsos como cebo de legitimidad
En CypherLoc, se presentan formularios de inicio de sesión a las víctimas, solicitando nombres de usuario y contraseñas. Estas entradas nunca se procesan. Su propósito es nuevamente puramente psicológico, ya que hacen que la amenaza parezca legítima, mantienen a la víctima en la página por más tiempo y aumentan la sensación de pánico cuando introducir las credenciales no resuelve el problema.
Caption: Ejemplo de un formulario de inicio de sesión falsificado en un ataque de CypherLoc.
Llevar a las víctimas a líneas de soporte técnico fraudulentas
Un número de teléfono de soporte fraudulento se muestra de manera prominente en la pantalla durante todo el ataque y se presenta como la única forma de solucionar el problema. Cuando las víctimas llaman al número, operadores humanos que se hacen pasar por personal de soporte de Microsoft toman el control y continúan la estafa mediante una conversación en vivo.
Análisis e interrupción del navegador
Se desencadena un aumento de actividad si alguien abre las Herramientas para desarrolladores, especialmente la pestaña de Red. Los recursos se recargan, las canalizaciones de medios se reinician y los cálculos de diseño se repiten continuamente. El ruido resultante abruma las herramientas de análisis y provoca inestabilidad en el navegador y cuadros de diálogo de error del sistema.
Leyenda: Ventana de diálogo de error del sistema en un ataque CypherLoc
Lo que CypherLoc revela sobre la evolución del scareware
CypherLoc muestra cómo el scareware moderno se está alejando del malware obvio y acercándose a ataques basados en navegador y de manipulación de usuarios que son difíciles de detectar y altamente efectivos.
CypherLoc se basa en el sigilo y la preocupación del usuario, utilizando el navegador para presionar a las víctimas a estafarse a sí mismas. Al combinar cifrado, ejecución condicional, abuso agresivo de la interfaz de usuario y disrupción del análisis, crea una ilusión convincente de compromiso del sistema mientras mantiene su huella técnica limpia y un perfil de red bajo.
Lo que las organizaciones pueden hacer para mantenerse seguras
Los equipos de seguridad deben asegurarse de tener protecciones antiphishing, de navegador y de endpoint robustas que detecten y bloqueen cualquier comportamiento sospechoso de scripts. La formación de usuarios es igualmente importante porque las alertas de seguridad legítimas no muestran números de teléfono, bloquean navegadores ni exigen acciones inmediatas a través de ventanas emergentes.
A medida que los atacantes se alejan del malware tradicional y se adentran en ataques basados en el navegador y dirigidos por el usuario, las organizaciones necesitan controles que protejan a los usuarios, no solo a los dispositivos. El scareware de CypherLoc es un claro ejemplo de amenazas que se sitúan en la intersección de phishing, ingeniería social y evasión técnica.
Un análisis más técnico y basado en código del flujo de ejecución inicial
Cadena de código técnico |
Descripción de la actividad |
document.getElementById('enc_...') blobNode.textContent.trim() |
Extrae la carga útil cifrada de un elemento HTML oculto en la página (lee el contenido de texto que contiene el "blob" cifrado). |
if(!blob || !location.hash) |
Verifica que los dos requisitos previos estén presentes: (1) el blob cifrado y (2) el URL "hash/fragmento" (la parte después de #). Si falta alguno, se detiene y redirige a una página en blanco. |
CryptoJS.enc.Base64.parse(blob)
|
Base64 descodifica el blob cifrado para que pueda dividirse en partes (por ejemplo, IV, texto cifrado, valor de integridad). |
raw.words.slice |
Extrae la parte del vector de inicialización (IV) de los datos decodificados (uno de los componentes necesarios para el descifrado AES). |
CryptoJS.HmacSHA256(iv.concat(c), h) CryptoJS.enc.Hex.stringify(...) |
Recalcula un HMAC (verificación de integridad) sobre los datos cifrados y lo compara con el valor incrustado para confirmar que el blob no ha sido alterado. Si no coincide, la ejecución falla. |
CryptoJS.AES.decrypt(...) CryptoJS.SHA256(location.hash.slice(1)) |
Descifra la carga útil utilizando AES, una clave derivada del fragmento de URL (hash), por lo que solo se descifra correctamente cuando está presente el valor correcto de #… |
CryptoJS.enc.Utf8.stringify(decrypted) |
Convierte la salida descifrada en una cadena de JavaScript utilizable (para que pueda ser ejecutada). |
historial.replaceState(...) |
Elimina el fragmento de URL de la barra de direcciones/historial (reduce las huellas evidentes del valor de entrada y dificulta el análisis). |
(0, eval)(código) |
Ejecuta el JavaScript descifrado en el navegador, lanzando la lógica oculta del scareware. |
Email Threats Report 2026
Descubra cómo la IA y el phishing-as-a-service están transformando el panorama de amenazas de correo electrónico y cómo mantenerse protegido.
Suscríbase al blog de Barracuda.
Regístrese para recibir Threat Spotlight, comentarios de la industria y más.
El informe sobre amenazas globales de Managed XDR
Conclusiones clave sobre las tácticas que utilizan los atacantes para atacar a las organizaciones y los puntos débiles de seguridad que intentan explotar