Barracuda Research ha identificado una nueva campaña de scareware denominada CypherLoc, una amenaza basada en navegador que busca bloquear el equipo de la víctima y presionarla para que contacte con un supuesto servicio técnico fraudulento. Según los investigadores, desde comienzos de 2026 se han detectado cerca de 2,8 millones de ataques relacionados con esta técnica.
El ataque suele comenzar con un correo de phishing que incluye un enlace malicioso, ya sea directamente en el mensaje o en un archivo adjunto. Al acceder, la víctima es redirigida a una página aparentemente legítima que incorpora código diseñado para activar el fraude bajo determinadas condiciones.
Un navegador completamente bloqueado
Cuando el sistema detecta que el usuario no está utilizando herramientas de análisis o entornos de pruebas, la página activa el ataque y pasa automáticamente a pantalla completa. A partir de ese momento, el navegador queda prácticamente inutilizado: se deshabilitan controles, desaparece el cursor y aparecen mensajes falsos de alerta acompañados de sonidos de advertencia y otros elementos diseñados para generar alarma.
La investigación detalla que la página incluso puede bloquear intentos de cerrar la ventana o abandonar el sitio. También se muestran formularios falsos de inicio de sesión, mensajes de error repetitivos e incluso la dirección IP de la víctima para reforzar la sensación de urgencia y hacer creer que el equipo ha sido comprometido.
El objetivo: provocar una llamada al falso soporte técnico
Durante todo el proceso aparece en pantalla un número de teléfono que se presenta como la única vía para resolver el supuesto problema. Cuando la víctima llama, entra en contacto con estafadores que se hacen pasar por técnicos de soporte legítimos y continúan el ataque mediante técnicas de ingeniería social con el objetivo de obtener credenciales u otra información sensible.
Saravanan Mohankumar, director del equipo de análisis de amenazas de Barracuda, explica que este tipo de campañas refleja cómo el scareware está evolucionando desde el malware tradicional hacia ataques apoyados en el navegador y en la manipulación psicológica del usuario. Según señala, CypherLoc combina código oculto, activación retardada y comportamientos agresivos en pantalla para crear la sensación de que existe un problema grave en el sistema, dejando además pocos rastros técnicos.
