En los últimos días, usuarios de todo el mundo han reportado una oleada inusual de spam procedente de sistemas de soporte al cliente basados en Zendesk. En lugar de los típicos correos desde dominios dudosos, las bandejas de entrada se están llenando con decenas o cientos de notificaciones automáticas legítimas, enviadas desde departamentos de atención al cliente de empresas reales. Aunque estos mensajes no contienen, en la mayoría de los casos, malware aparente ni enlaces de phishing evidentes, su volumen y temática generan preocupación y saturación operativa.
Spam masivo a través de Zendesk: origen y primeras evidencias
Los primeros indicios de la campaña surgieron alrededor del 18 de enero, cuando usuarios y medios especializados comenzaron a documentar una «avalancha» de correos de soporte no solicitados. El patrón común: notificaciones automáticas de creación de tickets de Zendesk, generadas en nombre de compañías legítimas, con asuntos que van desde mensajes absurdos hasta textos alarmistas.
A diferencia del spam tradicional, el contenido no suele incluir archivos adjuntos maliciosos ni URLs obvias sospechosas. El impacto, sin embargo, es significativo: buzones colapsados, distracción de correos realmente importantes y un contexto propicio para futuros intentos de ingeniería social.
Cómo funciona el relay spam en plataformas de helpdesk como Zendesk
Formularios de tickets sin autenticación: la puerta de entrada
Muchas organizaciones que emplean Zendesk permiten crear tickets sin registro previo ni verificación del correo electrónico. Este modelo facilita el soporte al cliente, pero también abre un vector de abuso: basta con un formulario público y un campo de email.
Los atacantes automatizan el envío de solicitudes a estos formularios, inyectando en el campo de correo listas masivas de direcciones. Como resultado, la propia plataforma Zendesk genera tickets y envía confirmaciones a cada una de esas direcciones. Desde la perspectiva del destinatario, el remitente es un servicio de soporte legítimo, aunque nunca haya iniciado contacto con esa empresa.
Por qué los filtros antispam no bloquean estos correos
Los gateways de correo modernos se apoyan en la reputación del dominio, el cumplimiento de SPF, DKIM y DMARC, y el historial del remitente para clasificar el tráfico. En este escenario, los mensajes proceden de dominios corporativos reales y de la infraestructura de Zendesk, considerada altamente confiable. Para los filtros, se trata de correo transaccional legítimo, no de una campaña de spam clásica.
Este patrón encaja con el concepto de relay spam: los atacantes no envían el correo directamente, sino que abusan de una plataforma respetada como «relé» para aprovechar su buena reputación y maximizar la tasa de entrega.
Empresas afectadas y alcance sectorial del incidente
Entre las organizaciones cuyos sistemas de soporte han sido utilizados en esta campaña se encuentran nombres tan diversos como Discord, Tinder, Riot Games, Dropbox, CD Projekt (2k.com), Maya Mobile, NordVPN, agencias de trabajo y de impuestos del estado de Tennessee, Lightspeed, CTL, Kahoot, Headspace y Lime, entre otras.
Este abanico ilustra que no se trata de una brecha directa ni de una intrusión en sus infraestructuras, sino de un abuso de funcionalidades públicas mal protegidas. Los sistemas hacen exactamente aquello para lo que fueron diseñados: abrir tickets y enviar confirmaciones, pero sin controles suficientes frente a automatizaciones maliciosas.
Asuntos llamativos y riesgo de ingeniería social
Los mensajes de relay spam observados muestran asuntos muy variados: desde solicitudes falsas de cuerpos policiales o avisos de bloqueo de contenido, hasta supuestas ofertas de Discord Nitro gratuito y peticiones de ayuda urgentes. Para destacar en la bandeja de entrada, los atacantes recurren a Unicode, texto en varios idiomas, negritas y formatos inusuales.
Aunque muchos correos de esta ola no incluyan aún cargas maliciosas, crean un ruido constante que reduce la capacidad de los usuarios para detectar verdaderas amenazas. Además, sientan las bases para campañas más sofisticadas: una vez acostumbrado a recibir correos del «soporte» de una marca conocida, el usuario es más vulnerable a hacer clic en un enlace o responder datos sensibles en un mensaje posterior que sí contenga phishing dirigido.
Respuesta de Zendesk y medidas recomendadas de ciberseguridad
Varias empresas afectadas, como Dropbox y 2K, han confirmado el abuso de sus sistemas de soporte y recomiendan a los usuarios ignorar los correos de tickets no solicitados y no seguir enlaces si no han iniciado la consulta. Subrayan que no realizan cambios en cuentas ni procesan peticiones sensibles sin verificar previamente la identidad del titular.
Zendesk, por su parte, ha anunciado controles adicionales frente al relay spam, incluyendo monitorización reforzada, límites en la creación de tickets y detección temprana de patrones anómalos para bloquear campañas automatizadas. Además, recomienda a sus clientes:
- Restringir la creación de tickets a usuarios verificados. Habilitar confirmación de correo, autenticación mediante cuenta o integración SSO antes de permitir nuevas solicitudes.
- Reducir campos libres y «placeholders» sensibles. Limitar la posibilidad de que el atacante controle el asunto o el remitente visible en la notificación.
- Aplicar medidas anti‑bot. Implementar CAPTCHA, límites de tasa por IP o dominio y detección de automatizaciones en formularios públicos.
Diversos informes de la industria del correo electrónico estiman que entre el 45 % y el 50 % del tráfico global de email sigue siendo spam, y los actores maliciosos evolucionan constantemente para sortear filtros. El abuso de plataformas de helpdesk como Zendesk demuestra que cualquier interfaz pública de relación con el cliente es ya un potencial vector de ataque, al mismo nivel que los servidores de correo o los sitios web corporativos. Las organizaciones deberían revisar la configuración de sus sistemas de soporte, activar controles de abuso multinivel y auditar de forma continua los registros de actividad. Para los usuarios, la pauta es clara: desconfiar de tickets no solicitados, validar cualquier comunicación a través de la web oficial o la app de la empresa y marcar como spam los mensajes sospechosos, contribuyendo así a entrenar mejor los filtros y reducir el impacto de futuras campañas.
