Kaspersky ha detectado ciberataques de phishing y de compromiso de correos electrónicos empresariales (BEC) que aprovechan el servicio Amazon Simple Email Service (SES), una plataforma basada en la nube diseñada para que empresas y desarrolladores envíen y reciban correos electrónicos de marketing, notificaciones y transacciones de alto volumen (como restablecimientos de contraseñas). Dado que estos correos se envían a través de un servicio de confianza, provienen de direcciones IP reputadas e incluyen frecuentemente identificadores legítimos de “.amazonses.com”. Esto hace que los mensajes de phishing sean prácticamente indistinguibles de la correspondencia legítima a nivel técnico. Los usuarios deben tratar los correos electrónicos inesperados con extrema precaución.

Los ciberataques se originan debido al robo y exposición de credenciales de Amazon Web Services (AWS). Los ciberdelincuentes están utilizando claves de gestión de identidad y acceso de AWS filtradas, que a menudo se encuentran en repositorios públicos, almacenamiento en la nube mal configurado y archivos de configuración expuestos. Con herramientas automatizadas, los ciberdelincuentes pueden identificar claves válidas y utilizarlas para enviar grandes volúmenes de correos maliciosos a través de la infraestructura legítima de Amazon.

Los ciberdelincuentes disfrazan los enlaces maliciosos detrás de dominios confiables como amazonaws.com utilizando redirecciones y creando plantillas HTML de correo electrónico altamente convincentes. En muchos casos, las páginas de phishing se alojan en infraestructuras que parecen legítimas, lo que aumenta aún más la probabilidad de robo de credenciales de las víctimas.

Uno de los ciberataques observados por Kaspersky a principios de 2026 involucraba correos electrónicos que se hacían pasar por plataformas de firma de documentos como DocuSign. Las víctimas eran incitadas a revisar y firmar documentos, solo para ser redirigidas a páginas fraudulentas alojadas en una página de Amazon Web Services diseñada para capturar credenciales.

Kaspersky también identificó ciberataques de compromiso de correo electrónico empresarial realizados a través de Amazon SES, donde los ciberdelincuentes se hacían pasar por empleados y fabricaban hilos completos de correos electrónicos con proveedores. Estos mensajes, enviados a menudo a los departamentos financieros, solicitaban pagos urgentes e incluían archivos adjuntos en PDF que contenían únicamente detalles bancarios, sin enlaces maliciosos, lo que dificultaba la detección.

“Hemos visto cómo los ciberdelincuentes han abusado de plataformas de confianza anteriormente, como en los casos con Google Tasks y Google Forms, donde los estafadores aprovechan los mecanismos de notificación integrados para entregar enlaces de phishing desde dominios legítimos como @google.com, eludiendo efectivamente los filtros de correo electrónico y explotando la confianza del usuario. Sin embargo, el abuso de Amazon SES representa una etapa más avanzada de esta tendencia: en lugar de simplemente aprovechar las funciones de notificación de una plataforma, los ciberdelincuentes comprometen las credenciales de la nube y obtienen control directo sobre una infraestructura de envío de correos de confianza. Esto les permite escalar ataques, personalizar completamente los mensajes y entregar correos de phishing que son difíciles de distinguir de las comunicaciones comerciales legítimas”. Afirma Roman Dedenok, experto en Anti-Spam de Kaspersky.

Para evitar ser víctima de estos esquemas de ciberataque, los analistas de Kaspersky recomiendan:

Las organizaciones deben asegurar el acceso a AWS minimizando los permisos, reemplazando las claves IAM estáticas por roles, habilitando la autenticación multifactor, restringiendo el acceso (por ejemplo, por IP) y rotando y auditando regularmente las credenciales.

Los usuarios individuales no deben confiar en los correos electrónicos solo basándose en el nombre o dominio del remitente. Tratar los mensajes inesperados con precaución, verificar las solicitudes a través de un canal separado e inspeccionar cuidadosamente los enlaces antes de seguirlos, incluso si parecen provenir de servicios legítimos.