Una falla de configuración en Zendesk permite a atacantes enviar miles de correos desde multitud de empresas, generando campañas de saturación (email bombing) difíciles de rastrear, gestionar y cortar.
Zendesk, una herramienta popular de atención al cliente, ha sido utilizada de forma maliciosa al no requerir autenticación previa para la creación de tickets de soporte por correo electrónico. Esta situación ha permitido que cibercriminales lancen campañas de «email bombing», una técnica creciente para desbordar la bandeja de entrada de objetivos mediante la explotación coordinada de servicios legítimos.
El abuso en Zendesk radica en la opción de aceptar solicitudes de soporte anónimas, sin verificación del remitente. El atacante automatiza peticiones de tickets usando la dirección de la víctima. Si el cliente afecta tiene activado el auto-responder, el sistema envía notificaciones legítimas a la bandeja de entrada del objetivo, pero con distintos remitentes (empresas reales como CapCom, Discord, NordVPN…). Esto no solo desborda el inbox sino que los mensajes provienen de direcciones empresariales genuinas, aumentando la dificultad de filtros y bloqueos a nivel usuario.
El principal riesgo reside en la sobresaturación de inboxes, lo que dificulta la gestión de comunicaciones críticas y expone a amenazas colaterales como phishing. Además, la reputación de las empresas afectadas se ve comprometida al convertirse inadvertidamente en vectores de abuso. La carencia de autenticación en este contexto facilita el «email bombing» dirigido y la potencial denegación de servicio a individuos.
La recomendación fundamental es exigir autenticación previa al envío de tickets, usando validación de correo o sistemas de CAPTCHA. Limitar la creación de tickets por dirección IP y monitorizar anomalías en tasa de envíos son prácticas clave. Zendesk debe endurecer mecanismos de control de envío masivo y educar a sus clientes sobre los riesgos de permitir peticiones abiertas sin restricción.
La permisividad en la configuración de Zendesk abre la puerta a ataques de ingeniería social y saturación que impactan tanto a usuarios como a las propias marcas. Es crucial que las organizaciones endurezcan políticas de autenticación en sus canales de soporte y sean proactivas en la detección y mitigación de técnicas de «email bombing».
