Los clientes de Robinhood recibieron este fin de semana algunos correos electrónicos de Phishing particularmente convincentes. Los mensajes, que parecían provenir directamente de la empresa, incluían encabezados autenticados, estaban correctamente firmados, incluían una dirección de remitente genuina, fueron enviados desde un servidor de correo auténtico y no fueron detectados por los filtros de spam.
Para empeorar las cosas, el correo electrónico de [email protected] incluso logró que Gmail lo enrutara automáticamente al mismo hilo de conversación que las alertas de seguridad legítimas y anteriores de Robinhood.
Las únicas cosas fraudulentas del correo electrónico eran irregularidades técnicas poco evidentes y su contenido, una llamada a la acción de Phishing que buscaba información de inicio de sesión.
La noche del domingo, los hackers utilizaron el propio pipeline de notificaciones de Robinhood para ejecutar su ataque.
El análisis del exploit se volvió viral en las redes sociales poco después.
Los correos de Phishing de Robinhood eran 'casi hermosos'
El investigador de seguridad Abdel Sabbah publicó un análisis del evento, calificándolo de "casi hermoso" con una connotación siniestra. Desafortunadamente, tenía razón.
Para elaborar el ataque, el hacker utilizó primero el "truco del punto" de Gmail, una conocida función de Google por la que Gmail enruta [email protected], [email protected] y [email protected] a la misma bandeja de entrada.
Gmail, a diferencia del resto de internet, ignora los puntos en la parte de la dirección antes del símbolo @, por lo que todas esas variantes llegan a la misma bandeja de entrada.
Dado que Robinhood, a diferencia de Gmail, no normaliza las variantes con puntos, un atacante utilizó una versión modificada con "punto" de los correos electrónicos legítimos de los clientes de Robinhood.
A continuación, el atacante configuró el nombre del dispositivo en la nueva cuenta como un bloque de HTML sin procesar. Cuando se genera el correo electrónico de "actividad no reconocida" de Robinhood, la plantilla inserta ese nombre de dispositivo sin sanearlo, renderizando el HTML malicioso.
El resultado, en palabras de Sabbah, era lo que parecía ser "un correo electrónico real de [email protected], DKIM pass, SPF pass, DMARC pass, con una CTA de Phishing."
Esa CTA o "llamada a la acción", por supuesto, es un correo electrónico falso de alerta de seguridad con un hipervínculo a una página web controlada por el atacante que recolecta credenciales de inicio de sesión y códigos de autenticación de dos factores.
El objetivo final, como casi todas las campañas de Phishing, era robar el dinero de los clientes — en este caso, de su cuenta de Robinhood.
Leer más: Robinhood paga 605 millones de dólares para comprar la participación de Sam Bankman-Fried
Piensa antes de hacer clic en cualquier correo electrónico
Muchos influencers de cripto advirtieron a la gente sobre los convincentes correos electrónicos.
David Schwartz de Ripple amplificó la advertencia. "Cualquier correo electrónico que recibas que parezca ser de Robinhood (y que en realidad pueda ser de su sistema de correo electrónico) es un intento de Phishing", publicó. Citando el hilo de Sabbah, Schwartz añadió: "Es bastante astuto."
En abril de 2025, el desarrollador principal del Ethereum Name Service, Nick Johnson, documentó un exploit casi idéntico que involucraba correos electrónicos que parecían enviarse desde el propio Google.
Los atacantes utilizaron una serie similar de trucos para usar la propia infraestructura de Google para enviar correos electrónicos de Phishing firmados con DKIM desde [email protected].
La lección de entonces es la lección de ahora: ten cuidado con hacer clic en cualquier enlace de cualquier correo electrónico, sin importar cuán auténtico parezca.
El consejo tradicional anti-phishing indica a los usuarios que verifiquen el dominio del remitente y busquen fallos de autenticación. Nada de eso ayudó aquí. El dominio parecía real. Las firmas parecían reales. Solo la intención era criminal.
La propia guía contra estafas de Robinhood indica a los clientes que verifiquen el dominio de correo electrónico del remitente y lista @robinhood.com como el ejemplo auténtico.
Protos se puso en contacto con Robinhood para obtener comentarios, pero no recibió respuesta antes del momento de publicación. En el trading de Nasdaq de hoy, las acciones ordinarias de Robinhood abrieron sin cambios con respecto al cierre del viernes.
¿Tienes un consejo? Envíanos un correo electrónico de forma segura a través de Protos Leaks. Para noticias más informadas, síguenos en X, Bluesky y Google News, o suscríbete a nuestro canal de YouTube.
Source: https://protos.com/read-this-before-you-click-on-any-robinhood-email/
