PORTADA OFFICIAL PRESS
Alertan de correos suplantando a Bankinter y BBVA para robar credenciales

Publicado
hace 4 añosen
Josep Albors, director de investigación y concienciación de ESET, compañía pionera en protección antivirus y experta en ciberseguridad, alerta sobre la última suplantación de identidad de BBVA y Bankinter para instalar malware dirigido a robar credenciales.
Buena parte del éxito a la hora de conseguir que un usuario termine descargando y ejecutando un código malicioso pasa por tener un gancho lo suficientemente convincente. En los casos que hemos visto propagarse recientemente observamos como los delincuentes utilizan el nombre de dos conocidas entidades bancarias para tratar de engañar a los usuarios. En uno de los casos analizados durante los últimos días, los delincuentes envían un email con un supuesto documento de anticipo usando la plataforma de cobro de facturas Confirming de Bankinter. En este ejemplo, los delincuentes adjuntaron un fichero en formato xlsx de Microsoft Excel, documento que contenía macros maliciosas y que fue interceptado por el antivirus en el servidor de correo.
Así mismo, se han observado otros correos que suplantan al BBVA pero que también tienen como asunto supuestas confirmaciones de órdenes de pago. En estos emails se sustituye el fichero adjunto por una imagen en miniatura de lo que parece una factura y que contiene un enlace que redirige a la descarga de un fichero.
El jueves 18 de noviembre hemos observado una campaña similar a los dos correos anteriores, pero suplantando la identidad del banco Laboral Kutxa. Adjuntamos un ejemplo de la plantilla utilizada por los delincuentes para facilitar su reconocimiento.
Se trata de una técnica conocida desde hace tiempo y que intenta evadir las detecciones en servidores de correo que cuenten con soluciones de seguridad. Sin embargo, en el caso de que el mensaje no sea bloqueado en el propio servidor y el usuario pulse sobre la imagen de la factura, el antivirus instalado en el endpoint puede bloquear igualmente la descarga del código malicioso.
Incluso aunque no se bloquease la descarga de esta amenaza y se descargase a la máquina del usuario, todavía podría ser detectada por las diferentes capas de seguridad con las que cuentan las soluciones de seguridad hoy en día. No obstante, lo mejor es que eso no llegue a producirse y, por ese motivo, se recomienda implementar capas de seguridad que bloqueen estas amenazas antes de que sea el usuario el que tenga que deducir si debe abrir el fichero o no.
Revisando la amenaza
En el caso del email suplantando al BBVA, observamos como se utiliza una técnica ligeramente diferente a lo que estamos acostumbrados a ver en estos casos. Si bien desde el enlace al que redirige la imagen de la factura (alojado en una dirección del servicio MediaFire) se descarga un archivo comprimido en formato TGZ, como viene siendo habitual, en su interior no encontramos el clásico fichero ejecutable en formato EXE.
En esta ocasión observamos que se trata de un fichero JavaScript que, si procedemos a analizar, vemos como se encuentra ofuscado, precisamente para dificultar su análisis. Encontrarnos con código ofuscado es algo muy frecuente a la hora de analizar muestras de todo tipo, aunque los niveles de ofuscación pueden variar entre los diferentes desarrolladores de malware.
A la hora de analizar esta muestra en un entorno controlado observamos como este código JavaScript está programado para conectarse con una IP controlada por los atacantes y ubicada en Suiza, desde la que se descarga un archivo con el nombre EdUpsazo.exe. Este archivo actúa como un downloader o descargador, realizando una petición GET para descargar desde la misma IP un segundo fichero ejecutable en formato EXE y de nombre new.exe.
Es precisamente este fichero new.exe el componente principal del malware, y que es identificado por las soluciones de seguridad de ESET como una variante del spyware Agent Tesla. Además, también se realiza una petición de descarga de un fichero alojado en el CDN de Discord (una tendencia al alza, por cierto), de nombre AnthonySantosInv.dll, y cuya funcionalidad es la de robar información acerca del sistema en el que se está ejecutando el malware.
Como dato curioso, al revisar las conexiones realizadas por este malware para enviar la información robada del equipo infectado nos encontramos con una IP usada por los delincuentes para tal efecto con un curioso mensaje de ánimo.
Recordemos que Agent Tesla es una de las herramientas de control remoto maliciosas que, junto con otras como Formbook, tiene a España como uno de sus principales objetivos. Desde hace meses venimos observando varias campañas que tienen como finalidad robar credenciales almacenadas en aplicaciones de uso común en empresas como navegadores de Internet, clientes de correo electrónico, VPNs o clientes FTP. Estas credenciales pueden ser posteriormente vendidas y utilizadas en otros ataques orientados al robo y cifrado de la información, como los realizados por el ransomware.
Conclusión
Revisando la actividad de este tipo de amenazas, no parece que tengan intención de detener este tipo de campañas a corto plazo. Por ese motivo, es importante no solo aprender a reconocer las tácticas que usan para conseguir infectar los sistemas, sino utilizar soluciones de seguridad capaces de reconocer y bloquear estas amenazas, evitando así problemas importantes para nuestra empresa.
Publicado
hace 42 minsen
9 julio, 2025El presidente del Gobierno, Pedro Sánchez, ha comparecido este miércoles 9 de julio ante el Pleno del Congreso de los Diputados para ofrecer explicaciones sobre el informe de la Guardia Civil que salpica por presunta corrupción a Santos Cerdán, exsecretario de Organización del PSOE, y para anunciar un nuevo paquete de medidas anticorrupción con el objetivo de blindar la legislatura y reforzar la confianza ciudadana en las instituciones.
La intervención, retransmitida en directo, ha generado una gran expectación política y mediática, ya que se trata de la primera aparición de Sánchez en la Cámara baja tras las revelaciones del informe de la Unidad Central Operativa (UCO) que apunta a supuestas irregularidades en la financiación de campañas del PSOE en varias comunidades autónomas.
Durante su comparecencia, Pedro Sánchez ha defendido la actuación del Gobierno, asegurando que “nadie está por encima de la ley” y que el Ejecutivo actuará con “tolerancia cero” frente a cualquier conducta que se desvíe de la legalidad.
El presidente ha remarcado que «la ejemplaridad debe ser el pilar de cualquier democracia avanzada» y ha pedido a todos los grupos parlamentarios que respalden las nuevas reformas legislativas orientadas a prevenir, detectar y sancionar prácticas corruptas en el seno de las instituciones públicas.
Entre las iniciativas clave anunciadas por Sánchez destacan:
La creación de una Agencia Estatal Independiente contra la Corrupción, con capacidad sancionadora y autonomía presupuestaria.
Refuerzo de los mecanismos de transparencia en la financiación de partidos políticos.
Obligación de declaración de intereses y patrimonio para altos cargos antes, durante y después de su mandato.
Endurecimiento de las penas por delitos de corrupción en el ámbito público.
El presidente también ha propuesto una reforma urgente del Código Penal para tipificar nuevos delitos relacionados con la corrupción tecnológica y digital.
La comparecencia se produce en un momento especialmente delicado para el Ejecutivo, ya que el caso que afecta a Santos Cerdán, hasta hace unas semanas número tres del PSOE, ha generado fuertes críticas desde la oposición y dudas entre algunos socios parlamentarios.
El Gobierno busca, con estas medidas, salvaguardar la estabilidad de la legislatura y enviar un mensaje firme tanto a la ciudadanía como a sus aliados parlamentarios.
En su comparecencia del lunes, Pedro Sánchez descartó un adelanto electoral y cargó contra la oposición por los casos de presunta corrupción que afectan tanto al PSOE como a su entorno familiar. Para The Times, esta intervención fue más un ejercicio de confrontación que una verdadera rendición de cuentas:
«Sánchez intentó disipar la incertidumbre sobre su estilo de gobierno con una actuación mordaz y pugilística, culpando a la oposición de las acusaciones que han manchado su destartalada administración, liderada por la minoría socialista.»
El diario critica duramente la decisión de no adelantar elecciones y mantener el calendario previsto hasta 2027, algo que considera un desprecio a la voz del pueblo:
«La conclusión no es que lo hará mejor, sino que la opinión pública solo podrá opinar en las próximas elecciones. Y no antes de 2027. Se podría perdonar a los españoles por pensar que es demasiado tiempo de espera.»
The Times no se limita a los casos judiciales recientes. El editorial hace un repaso demoledor a lo que considera una gestión plagada de errores:
Menciona la dimisión de Santos Cerdán, ex mano derecha de Sánchez.
Recuerda las investigaciones que implican a su esposa, Begoña Gómez, y a su hermano, David Sánchez.
Subraya que, aunque Sánchez ve conspiraciones, «lo cierto es que los investigadores policiales y el poder judicial parecen haber actuado escrupulosamente».
«Un catálogo de errores innecesarios desde 2018″, así califica el diario su mandato.
Cita la mala gestión de las inundaciones y deslizamientos de tierra en Valencia.
Recuerda el fracaso del ‘apagón ibérico’.
Señala la crisis de la vivienda, indicando que se crean 250.000 nuevos hogares al año, mientras solo se construyen menos de 90.000 viviendas.
Los socios de Sánchez plantan a Feijóo y rechazan negociar una moción de censura
Puedes seguir toda la actualidad visitando Official Press o en nuestras redes sociales: Facebook, Twitter o Instagram y también puedes suscribirte a nuestro canal de WhatsApp.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares.
Dejar esta cookie activa nos permite mejorar nuestra web.
¡Por favor, activa primero las cookies estrictamente necesarias para que podamos guardar tus preferencias!
Más información sobre nuestra política de cookies
Tienes que estar registrado para comentar Acceder