Síguenos
DGT retira balizas Jorge García-DihinxNaufragio Indonesia

PORTADA OFFICIAL PRESS

Alertan de correos suplantando a Bankinter y BBVA para robar credenciales

Publicado

hace 4 años

en

Alertan del aumento de casos de la 'estafa del jefe' o el 'timo del CEO'

Josep Albors, director de investigación y concienciación de ESET, compañía pionera en protección antivirus y experta en ciberseguridad, alerta sobre la última suplantación de identidad de BBVA y Bankinter para instalar malware dirigido a robar credenciales.

 

Correos suplantando a Bankinter y BBVA

Buena parte del éxito a la hora de conseguir que un usuario termine descargando y ejecutando un código malicioso pasa por tener un gancho lo suficientemente convincente. En los casos que hemos visto propagarse recientemente observamos como los delincuentes utilizan el nombre de dos conocidas entidades bancarias para tratar de engañar a los usuarios. En uno de los casos analizados durante los últimos días, los delincuentes envían un email con un supuesto documento de anticipo usando la plataforma de cobro de facturas Confirming de Bankinter. En este ejemplo, los delincuentes adjuntaron un fichero en formato xlsx de Microsoft Excel, documento que contenía macros maliciosas y que fue interceptado por el antivirus en el servidor de correo.

Así mismo, se han observado otros correos que suplantan al BBVA pero que también tienen como asunto supuestas confirmaciones de órdenes de pago. En estos emails se sustituye el fichero adjunto por una imagen en miniatura de lo que parece una factura y que contiene un enlace que redirige a la descarga de un fichero.

El jueves 18 de noviembre hemos observado una campaña similar a los dos correos anteriores, pero suplantando la identidad del banco Laboral Kutxa. Adjuntamos un ejemplo de la plantilla utilizada por los delincuentes para facilitar su reconocimiento.

 

Se trata de una técnica conocida desde hace tiempo y que intenta evadir las detecciones en servidores de correo que cuenten con soluciones de seguridad. Sin embargo, en el caso de que el mensaje no sea bloqueado en el propio servidor y el usuario pulse sobre la imagen de la factura, el antivirus instalado en el endpoint puede bloquear igualmente la descarga del código malicioso.

Incluso aunque no se bloquease la descarga de esta amenaza y se descargase a la máquina del usuario, todavía podría ser detectada por las diferentes capas de seguridad con las que cuentan las soluciones de seguridad hoy en día. No obstante, lo mejor es que eso no llegue a producirse y, por ese motivo, se recomienda implementar capas de seguridad que bloqueen estas amenazas antes de que sea el usuario el que tenga que deducir si debe abrir el fichero o no.

 

Revisando la amenaza

En el caso del email suplantando al BBVA, observamos como se utiliza una técnica ligeramente diferente a lo que estamos acostumbrados a ver en estos casos. Si bien desde el enlace al que redirige la imagen de la factura (alojado en una dirección del servicio MediaFire) se descarga un archivo comprimido en formato TGZ, como viene siendo habitual, en su interior no encontramos el clásico fichero ejecutable en formato EXE.

En esta ocasión observamos que se trata de un fichero JavaScript que, si procedemos a analizar, vemos como se encuentra ofuscado, precisamente para dificultar su análisis. Encontrarnos con código ofuscado es algo muy frecuente a la hora de analizar muestras de todo tipo, aunque los niveles de ofuscación pueden variar entre los diferentes desarrolladores de malware.

A la hora de analizar esta muestra en un entorno controlado observamos como este código JavaScript está programado para conectarse con una IP controlada por los atacantes y ubicada en Suiza, desde la que se descarga un archivo con el nombre EdUpsazo.exe. Este archivo actúa como un downloader o descargador, realizando una petición GET para descargar desde la misma IP un segundo fichero ejecutable en formato EXE y de nombre new.exe.

 

Es precisamente este fichero new.exe el componente principal del malware, y que es identificado por las soluciones de seguridad de ESET como una variante del spyware Agent Tesla. Además, también se realiza una petición de descarga de un fichero alojado en el CDN de Discord (una tendencia al alza, por cierto), de nombre AnthonySantosInv.dll, y cuya funcionalidad es la de robar información acerca del sistema en el que se está ejecutando el malware.

 

Como dato curioso, al revisar las conexiones realizadas por este malware para enviar la información robada del equipo infectado nos encontramos con una IP usada por los delincuentes para tal efecto con un curioso mensaje de ánimo.

Recordemos que Agent Tesla es una de las herramientas de control remoto maliciosas que, junto con otras como Formbook, tiene a España como uno de sus principales objetivos. Desde hace meses venimos observando varias campañas que tienen como finalidad robar credenciales almacenadas en aplicaciones de uso común en empresas como navegadores de Internet, clientes de correo electrónico, VPNs o clientes FTP. Estas credenciales pueden ser posteriormente vendidas y utilizadas en otros ataques orientados al robo y cifrado de la información, como los realizados por el ransomware.

 

Conclusión

Revisando la actividad de este tipo de amenazas, no parece que tengan intención de detener este tipo de campañas a corto plazo. Por ese motivo, es importante no solo aprender a reconocer las tácticas que usan para conseguir infectar los sistemas, sino utilizar soluciones de seguridad capaces de reconocer y bloquear estas amenazas, evitando así problemas importantes para nuestra empresa.

 

Relacionados:
Advertisement
Click para comentar

Tienes que estar registrado para comentar Acceder

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

PORTADA OFFICIAL PRESS

Se filtran 100 millones de números de teléfono de WhatsApp: por qué podrían usarse para estafas y fraudes empresariales

Publicado

hace 6 horas

en

30 diciembre, 2025

De

Una grave vulnerabilidad en WhatsApp ha vuelto a situar a Meta en el centro del debate sobre la privacidad y la ciberseguridad. Un grupo de investigadores de la Universidad de Viena logró extraer 100 millones de números de teléfono vinculados a cuentas activas de la plataforma de mensajería, poniendo de relieve los riesgos asociados a la exposición masiva de datos personales.

Aunque la compañía ha asegurado que el fallo ya ha sido corregido y que no existen indicios de uso criminal de la información, expertos en seguridad digital advierten de que una filtración de este calibre podría tener consecuencias a medio y largo plazo, especialmente en forma de estafas dirigidas y fraudes empresariales.

Una vulnerabilidad que expuso el alcance real de WhatsApp

La investigación académica permitió, además, estimar el número total de cuentas activas en WhatsApp: alrededor de 3.500 millones de usuarios en todo el mundo. El acceso a esta información se produjo a través de un fallo en el funcionamiento interno de la plataforma que permitía comprobar qué números estaban asociados a cuentas reales.

Según explicaron los investigadores, los datos obtenidos se presentaban en forma de listados estructurados, lo que, en manos equivocadas, podría facilitar la creación de directorios globales de usuarios.

Desde Meta insisten en que el hallazgo se produjo en un entorno controlado y que no se comprometieron las conversaciones, gracias al sistema de cifrado de extremo a extremo que protege los mensajes.

¿Pueden leer tus chats si se filtra tu número?

Expertos en ciberseguridad aclaran que este tipo de filtración no permite acceder al contenido de los mensajes. WhatsApp utiliza claves criptográficas que impiden que terceros lean conversaciones privadas, incluso aunque tengan acceso a los números de teléfono.

Sin embargo, el problema no está en los chats, sino en la información asociada a la cuenta. Entre los datos que podrían haberse recopilado se encuentran:

  • Número de teléfono

  • Foto de perfil

  • Nombre visible

  • Antigüedad de la cuenta

  • Tipo de dispositivo utilizado

Este conjunto de información es suficiente para perfiles de riesgo, especialmente cuando se combina con datos de otras filtraciones previas.

Estafas más creíbles y fraudes dirigidos

Especialistas en seguridad digital advierten de que una base de datos de este tipo es un punto de partida ideal para estafas muy específicas. A diferencia del spam masivo, estos datos permiten ataques más personalizados, conocidos como phishing dirigido o spear phishing.

Entre los principales riesgos destacan:

  • Estafas empresariales, suplantando a proveedores o directivos

  • Fraudes financieros con mensajes aparentemente legítimos

  • Ingeniería social, usando fotos y nombres reales

  • Vigilancia o seguimiento en países con restricciones políticas

El número de teléfono es un dato especialmente sensible porque, a diferencia de una contraseña, rara vez se cambia, lo que convierte la filtración en un problema persistente en el tiempo.

El efecto “bola de nieve” de las filtraciones

Cuando un número de teléfono aparece en una filtración, puede reutilizarse durante años. Los ciberdelincuentes pueden:

  • Vincularlo con perfiles en redes sociales

  • Asociarlo a bases de datos anteriores

  • Cruzarlo con correos electrónicos o nombres reales

Esto genera un efecto acumulativo, en el que cada nueva filtración aumenta la precisión de futuras estafas.

Cómo proteger mejor tu cuenta de WhatsApp

Aunque no existe el riesgo de lectura de mensajes, sí es recomendable reforzar la privacidad dentro de la aplicación. Algunas medidas básicas incluyen:

  • Revisar los ajustes en Ajustes > Privacidad

  • Limitar quién puede ver la foto de perfil y los estados

  • Controlar quién puede añadirte a grupos

  • Desactivar la ubicación en tiempo real si no es necesaria

  • Activar la verificación en dos pasos

Como recomendación adicional, expertos sugieren utilizar un número de teléfono diferente para usos públicos, anuncios o actividades profesionales, separándolo del número personal.

Un aviso sobre la importancia de la ciberseguridad

Aunque Meta ha asegurado que la vulnerabilidad ya está solucionada y que no fue explotada por cibercriminales, el caso vuelve a demostrar que incluso las plataformas más utilizadas del mundo no están exentas de fallos.

La filtración de 100 millones de números de teléfono de WhatsApp sirve como recordatorio de que la protección de los datos personales no depende solo de las empresas tecnológicas, sino también de los hábitos y precauciones de los propios usuarios.

Puedes seguir toda la actualidad visitando Official Press o en nuestras redes sociales: Facebook, Twitter o Instagram y también puedes suscribirte a nuestro canal de WhatsApp.

Continuar leyendo