En relación con el ataque de pesca sofisticada contra Robinhood... los dominios y la autenticación han sido verificados.

Se rumorea que los usuarios de Robinhood recibieron en masa durante el fin de semana correos electrónicos de “phishing” que parecían ser enviados directamente por la compañía. La dirección del remitente de estos correos efectivamente utilizaba el dominio @robinhood.com, con encabezados de autenticación y firmas digitales (DKIM) que se procesaron correctamente, lo que permitió sortear los filtros de spam.

En particular, algunos correos enviados desde [email protected] incluso se fusionaron automáticamente en Gmail con las alertas de seguridad normales anteriores de Robinhood en el mismo “hilo de conversación”. Prácticamente sin signos externos evidentes, el problema central radica en que el “contenido” en sí, como enlaces que inducen a ingresar información de inicio de sesión, es fraudulento.

La “técnica del punto” y la inyección HTML… abuso del canal de notificaciones de Robinhood

El investigador de seguridad Abdel Sabbah, al analizar este ataque, lo calificó con un tono sombrío como “bastante hermoso (kinda beautiful)”. Los atacantes primero aprovecharon la característica de Gmail de ignorar los puntos (.) en la parte anterior a @ en las direcciones de correo (la llamada “técnica del punto”), permitiendo que variantes como [email protected] y [email protected] llegaran a la misma bandeja de entrada.

El problema es que Robinhood no normaliza las variantes con puntos como lo hace Gmail. Los atacantes crearon cuentas con puntos en el nombre, insertaron HTML en la barra de entrada del nombre del dispositivo (device name), y lograron que la plantilla de notificación de “actividad no reconocida” de Robinhood insertara directamente ese contenido sin sanitizarlo. Como resultado, se generó un correo de phishing que cumple con todas las condiciones de “DKIM aprobado, SPF aprobado, DMARC aprobado”, pareciendo un envío “normal”.

El objetivo es el secuestro de cuentas… incluso enlaces que codician el código 2FA

El llamado a la acción (CTA) en el correo aparece en forma de una advertencia de seguridad falsa, con enlaces a páginas controladas por los atacantes. Es una técnica clásica: al hacer clic y ingresar las credenciales, no solo se roba la contraseña, sino también el código de doble autenticación (2FA), permitiendo el acceso a la cuenta.

Como en otros ataques de phishing, el objetivo final es acceder a los “fondos del usuario”. La cuenta de Robinhood se considera el objetivo principal. Este caso revela que incluso indicadores aparentemente normales (dominio, firma de autenticación, servidor de envío) pueden estar en orden, lo que advierte tanto a inversores en criptomonedas como a inversores tradicionales.

“Al ver el enlace en el correo, deténgase primero”… La verificación y el hábito de confirmar son clave

El análisis del incidente se difundió rápidamente en las redes sociales, y varios líderes de opinión en criptomonedas advirtieron: “Sea cauteloso al hacer clic”. David Schwartz, CTO de Ripple, advirtió: “Incluso un correo que parezca provenir de Robinhood (incluso enviado a través del sistema de correo real) puede ser un correo de phishing, con técnicas bastante ingeniosas.”

Casos similares ya han ocurrido antes. En abril de 2025, Nick Johnson, desarrollador principal de ENS (Ethereum Name Service), reveló que alguien abusó de la infraestructura de Google para enviar correos de phishing que parecían provenir de [email protected] y que pasaron la firma DKIM. La lección de este caso de Robinhood es similar. No basta con verificar solo el dominio del remitente y la firma; es necesario adoptar el hábito: no hacer clic inmediatamente en los enlaces del correo, sino acceder directamente a través de la aplicación o el sitio oficial para confirmar la notificación.

Resumen del artículo por TokenPost.ai

🔎 Análisis del mercado - Este caso de phishing mediante el uso del “dominio normal (@robinhood.com)” y la autenticación correcta (DKIM/SPF/DMARC) confirma que confiar solo en los indicadores técnicos del correo no garantiza la seguridad - Las cuentas de trading/monedero/corretaje vinculadas directamente a fondos son el objetivo principal del phishing, tanto para inversores en acciones como en criptomonedas - Elementos de interfaz como “hilos de correos (conversaciones) fusionados” pueden ser abusados para aumentar la confianza y la tasa de clics, resaltando la importancia de las plantillas y la validación de entrada (Sanitize) en plataformas y servicios de correo 💡 Puntos clave de estrategia - No hacer clic en enlaces del correo, sino abrir directamente la aplicación o el sitio oficial para verificar notificaciones y eventos de seguridad (adoptar la costumbre de usar marcadores o ingresar directamente) - Si recibe una advertencia de “inicio de sesión o actividad no reconocida”: cambie inmediatamente la contraseña → cierre sesión en todos los dispositivos → restablezca 2FA (preferiblemente usando aplicaciones de autenticación o claves de acceso resistentes al phishing) → revise las direcciones de retiro, dispositivos conectados y permisos API - Incluso si el correo parece “enviado normalmente”, evalúe si el contenido (las acciones solicitadas) es anómalo: solicitudes de inicio de sesión/código 2FA, énfasis en la urgencia, inducción a visitar dominios externos, todos son señales de alto riesgo - Perspectiva operativa del servicio: prevenir la inyección HTML en los valores ingresados por los usuarios (como nombres de dispositivos), revisar las estrategias de inserción de datos de usuario en las plantillas de correo, considerar normalizar las variantes con puntos en Gmail o prevenir registros duplicados 📘 Glosario de términos - Phishing(: suplantación de identidad de instituciones o servicios confiables, técnicas de fraude para robar cuentas, códigos de autenticación, etc. - DKIM/SPF/DMARC): sistemas de verificación que confirman si un correo proviene de servidores autorizados por el dominio y si está firmado digitalmente (pasar la verificación no garantiza que el contenido sea seguro) - Técnica del punto (dot trick)(: aprovechar que Gmail ignora los puntos en la parte anterior a @ en las direcciones, para atacar usando variantes que llegan a la misma bandeja - Inyección HTML): insertar código HTML o scripts en los campos de entrada para que el contenido visual o del correo sea manipulado por los atacantes - 2FA (autenticación de doble factor)(: método de seguridad que requiere un código, aplicación o clave adicional además de la contraseña (que también puede ser robada mediante phishing)

💡 Preguntas frecuentes )FAQ(

Q. Si un correo pasa las verificaciones DKIM/SPF/DMARC, ¿significa que es real? No. DKIM/SPF/DMARC solo verifican si el correo fue enviado desde los servidores autorizados del dominio, no garantizan que el contenido (enlaces, instrucciones) sea seguro. Como en este caso, si la plantilla de notificación del servicio se ha infiltrado con contenido malicioso, puede generar un correo de phishing que pase la verificación. Q. ¿Cuál es la forma más segura de confirmar si un correo de phishing es legítimo? No hacer clic en los enlaces del correo, sino acceder directamente a la aplicación de Robinhood o al sitio oficial mediante marcadores, para verificar notificaciones y eventos de seguridad. Si es necesario, buscar en canales oficiales y contactar al soporte, además de reportar el correo sospechoso como spam o phishing. Q. ¿Qué debo hacer si ya hice clic en el enlace y proporcioné mi información de inicio de sesión y código 2FA? Actúe inmediatamente en el siguiente orden: )1( Cambie la contraseña, )2( Cierre sesión en todos los dispositivos, )3( Restablezca 2FA (preferiblemente usando aplicaciones de autenticación o claves de acceso resistentes al phishing), )4( Revise las direcciones de retiro, dispositivos conectados y permisos API, )5( Verifique si hay transacciones o retiros sospechosos y contacte al soporte para reportar el incidente de seguridad.

Notas de precaución de TP AI Este resumen fue generado usando un modelo de lenguaje basado en TokenPost.ai. Puede omitir contenidos principales del original o presentar diferencias respecto a los hechos.