Sebastián R. deslizó el ratón del ordenador, intrigado por el mensaje que acababa de llegar a su bandeja de entrada corporativa. Era un correo electrónico de Netflix que le advertía de que su cuenta iba a ser suspendida de inmediato por un supuesto problema de facturación.
El diseño era perfecto, idéntico al original, y el remitente, invoice@netflix.com, irradiaba autoridad. No obstante, había un detalle absurdo e incongruente que le hizo estar seguro de que el remitente no era realmente Netflix y que se trataba de un ataque de phishing. O eso parecía inicialmente.
La anatomía del engaño
Aquel mensaje había llegado a su correo electrónico de trabajo, una dirección que no estaba vinculada a la plataforma de streaming y que, por ello, despertaba todas las sospechas.
Para entender la magnitud del mensaje que recibió Sebastián, Consumidor Global ha consultado a Samuel Parra, abogado especialista en protección de datos y ciberseguridad. "Efectivamente, es un ataque de phishing muy bien construido", señala.
"Se detecta porque el enlace al que te envía el botón de 'validar ahora' no es un enlace legítimo, apunta al dominio safelinks.info (haciéndose pasar por el servicio real de ciberseguridad de Microsoft Safe links)", continúa la explicación el experto. "Esa es de hecho la única pista para detectar ese ataque de phishing, porque la dirección de remitente es @netflix.com (han suplantado la dirección de remitente)", resalta sobre la técnica de spoofing –suplantación de identidad– utilizada.
El giro de guion
De repente, Parra se detiene en un matiz. "Es extraño que el servidor de correo del afectado lo haya dejado pasar, que no haya acabado en la carpeta de spam o, directamente, que no se haya bloqueado la entrega", reflexiona el experto, cuestionando la permeabilidad de las defensas informáticas de la empresa.
Y es precisamente esa observación la que desencadena un giro de guion. Sebastián reportó el incidente al departamento de informática (IT) de su empresa y la respuesta que recibió contenía un plot twist, digno de las series de la propia plataforma: todo formaba parte de un simulacro.
Un simulacro a costa de Netflix
"Me han respondido que era una simulación de phishing interno que se lo han mandado a varios de la empresa. Parece que nadie ha picado y se han puesto muy contentos", confiesa usuario. El ataque era, en realidad, un test diseñado por su propia compañía para evaluar la resiliencia de sus empleados frente a los ciberataques.
Consumidor Global se ha puesto en contacto con Netflix para confirmar si la dirección invoice@netflix.com pertenece a la plataforma y sin son conscientes de que es utilizada para este tipo de simulacros. Hasta la fecha de publicación de este reportaje, la multinacional no ha ofrecido aclaraciones.
Netflix tiene 800.000 ataques en un año
Aunque el supuesto ataque de phishing de Sebastián terminó en una felicitación del departamento de sistemas, la realidad fuera de los simulacros es devastadora. Según datos recientes de la firma de seguridad Kaspersky, Netflix y Spotify son las empresas de entretenimiento más suplantadas del mundo. Los ciberdelincuentes atacan donde hay mayor saturación de usuarios y, por tanto, una probabilidad más alta de encontrar una tarjeta de crédito activa.
Solo en 2025, los intentos de phishing relacionados con Netflix alcanzaron los 801.148 casos. El pasado 6 de febrero, la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (Incibe) lanzó una alerta roja. Una nueva campaña masiva de correos bajo el asunto 'Netflix - Actualiza tu cuenta para volver a ver' estaba vaciando cuentas bancarias.
Qué hacer y qué evitar
La propia plataforma de streaming ha establecido un protocolo de contención. "Los estafadores solo pueden obtener información tuya si se la das", recuerdan desde Netflix.
Cómo identificar la trampa:
- Netflix nunca pedirá números de tarjetas, cuentas bancarias o contraseñas a través de un SMS o correo electrónico.
- Jamás solicitarán un pago a través de un proveedor o sitio web de terceros.
- En un ordenador, antes de hacer clic en cualquier botón, pasa el cursor por encima del enlace. Si la URL no es netflix.com, es un fraude.
El protocolo si has caído en la trampa:
- Como indica Samuel Parra, el primer paso es el bloqueo. "El usuario debe bloquear y anular inmediatamente la tarjeta de crédito introducida en la web maliciosa".
- Cambia la contraseña de Netflix y hazlo extensivo a cualquier otro servicio donde utilices la misma clave.
- Reúne pruebas (capturas de pantalla, correos) y presenta una denuncia en comisaría. Posteriormente, sigue el trámite con tu entidad bancaria. "Normalmente los seguros bancarios tienen cobertura y devuelven el dinero, pero pillar al estafador es muy complicado", matiza Parra.
- Reenvía el mensaje fraudulento (sea SMS o correo) a phishing@netflix.com y, posteriormente, elimínalo de tu dispositivo.