Eset, empresa especializada en detección de amenazas, emitió una advertencia sobre una campaña de estafas digitales («phishing») que utiliza un correo electrónico fraudulento en nombre de la ex AFIP (hoy ARCA) para distribuir el troyano bancario Grandoreiro. Este engaño se basa en una supuesta multa del organismo recaudador de impuestos en Argentina.
Señales de alerta en el correo falso
- Dominio sospechoso: El correo proviene de «[email protected]». La combinación de la antigua denominación del organismo (AFIP) con la nueva (ARCA) en un dominio diferente al oficial, es una clara señal de que no es una comunicación legítima.
- Enlace malicioso: Al hacer clic en «Ver Documento Fiscal», la víctima es redirigida a una página que simula una descarga de PDF. Sin embargo, lo que realmente se descarga es un archivo ZIP («JYN178047BRFJ-89S459#xbdk765209999302.zip») que contiene un archivo «.vbs». Al ejecutarlo, se inicia el proceso de infección con Grandoreiro.
La Agencia de Recaudación y Control Aduanero (ARCA) confirmó la falsedad de estos correos. Instó a los contribuyentes a no ingresar a ninguno de los enlaces incluidos y a denunciar el incidente reenviando el correo a [email protected]. Tamboién recordó que ninguna comunicación que invoque a la AFIP es oficial.
Historial y alcance del trroyano Grandoreiro
Grandoreiro, un troyano bancario latinoamericano activo desde 2017, fue dirigido inicialmente a Brasil y México, desde 2019 también se enfocó en España, el país más atacado entre 2020 y 2022. En 2023, se observó un cambio de enfoque hacia México y, por primera vez, la Argentina.
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de Eset Latinoamérica, describió en un comunicado enviado a iProfesioinal, las amplias funcionalidades de Grandoreiro, que incluyen:
- Manipulación de ventanas
- Actualización remota
- Registro de pulsaciones de teclado
- Simulación de acciones de mouse y teclado
- Obtención de URL del navegador de la víctima
- Cierre de sesión o reinicio del equipo
- Bloqueo de acceso a sitios web específicos
- Recopilación de información del sistema (nombre de computadora, usuario, productos de seguridad instalados)
- Robo de credenciales de Google Chrome y datos de Microsoft Outlook.
Recientemente, Eset colaboró con la Policía Federal de Brasil en la desarticulación de la botnet Grandoreiro. Esta colaboración incluyó análisis técnicos, información estadística y datos de servidores de comando y control (C&C). Un fallo de diseño en el protocolo de red de Grandoreiro permitió a los investigadores de Eset observar la conducta del troyano.
Phishing: 10 cosas para hacer si cliqueaste en un enlace falso
1. No dés más información
Supongamos que recibiste un correo electrónico de una tienda en línea que, aunque te generó algunas sospechas, hiciste clic en el enlace adjunto sin pensarlo demasiado, o por curiosidad, y aunque te lleva a un sitio web que te parece legítimo, la duda continúa.
Lo más sencillo es abstenerse de compartir información adicional: no introducir credenciales ni facilitar datos bancarios u otros de igual sensibilidad. Si los estafadores solo querían los datos y no comprometieron el dispositivo con programa maligno, lo más probable es que puedas esquivar el anzuelo, o zafarte de él.
2. Desconectá el dispositivo de Internet
Algunos ataques de phishing pueden hacer que le otorgues acceso a la computadora, teléfono móvil u otro dispositivo. Pueden desplegar código informático malicioso, recopilar información personal o del dispositivo, u obtener el control remoto.
Para mitigar los daños, es imprescindible actuar con rapidez. Lo primero que debés hacer es desconectar el dispositivo de Internet. Si se utiliza una PC con conexión por cable, simplemente desenchufálo. Si está conectado a través de Wi-Fi, desactivá esa conexión en los ajustes del dispositivo o activá la función modo avión.
3. Hacé una copia de seguridad de los datos
Desconectarse de Internet evitará que se envíen más datos al servidor malicioso, pero los datos siguen estando en peligro. Deberías hacer una copia de seguridad de los archivos, principalmente de los documentos sensibles o de aquellos archivos con un alto valor personal, como fotos y videos.
Hacer una copia de seguridad de los datos después de haber sido comprometidos puede ser arriesgado, ya que es posible que ya hayan sido comprometidos por el programa maligno.
Las copias de seguridad deben ser una práctica habitual.
En lugar de eso, deberías hacer copias de seguridad de los archivos de forma regular y preventiva. Si el programa maligno afecta el dispositivo, se pueden recuperar los datos desde un disco duro externo, una memoria USB o un servicio de almacenamiento en la nube.
4. Realizá un análisis en busca de programas malignos y otras amenazas
Hacer un análisis completo del dispositivo con un software antimalware de un proveedor de confianza, mientras el dispositivo está desconectado de Internet. Lo ideal sería ejecutar un segundo escaneado utilizando, por ejemplo, un escáner gratuito en línea.
Descargá el escáner en la computadora o en un dispositivo independiente, como un disco duro USB, que se pueda insertar en la PC infectada e instalar el software desde allí. No usés el dispositivo durante el escaneado y esperá los resultados. Si el escáner encuentra archivos sospechosos, seguí sus instrucciones para eliminarlos. Si el proceso de escaneado no encuentra ningún riesgo potencial, pero seguís teniendo dudas, ponete en contacto con el proveedor de seguridad.
5. Considerá un restablecimiento de fábrica
Restablecer los valores de fábrica significa devolver el teléfono móvil a su estado original eliminando todas las aplicaciones y archivos instalados. Sin embargo, algunos tipos de programa maligno pueden persistir en el dispositivo incluso después de un restablecimiento completo.
De todas formas, lo más probable es que al borrar el dispositivo móvil o la computadora se elimine con éxito cualquier amenaza. Recordá que un restablecimiento de fábrica es irreversible y borrará todos los datos almacenados localmente.
6. Restablecé las contraseñas
Los correos electrónicos de phishing pueden engañar para que se divulguen datos confidenciales, como números de identificación, datos bancarios y de tarjetas de crédito o credenciales de inicio de sesión.
Usá contraseñas diferentes para cada servicio en línea.
Si creés que este es el caso, sobre todo si los correos electrónicos de phishing piden que se facilite un nombre de usuario específico —por ejemplo, con una estafa con temática de LinkedIn-, deberías cambiar inmediatamente las credenciales de inicio de sesión, muchos más si reciclás la misma contraseña en varias cuentas como el correo electrónico, banca en línea y/o redes sociales.
Estas situaciones ponen de relieve la importancia de utilizar nombres de usuario y contraseñas únicos para los distintos servicios en línea. Usar las mismas credenciales en varias cuentas facilita a los atacantes el robo de datos personales o dinero.
7. Ponéte en contacto con bancos, autoridades y proveedores de servicios
Si proporcionaste datos bancarios o de la tarjeta de crédito o los datos de acceso a un sitio web con acceso a las tarjetas, hay que comunicarse inmediatamente con la entidad que las proporciona. Ellos podrán bloquear la tarjeta o congelarla para prevenir futuros fraudes, y así minimizás el daño financiero.
Consultá si tu banco (o servicios de pago) tiene una política de reembolso para víctimas de estafas. Para evitar que otras personas caigan en esta estafa, avisá también a las autoridades locales.
8. Detectá las diferencias
Cuando los delincuentes consiguen entrar en uno de los dispositivos o cuentas, es posible que cambien los datos de acceso, direcciones de correo electrónico, números de teléfono o cualquier cosa que pueda ayudarles a afianzarse en la cuenta y apoderarse de ella por más tiempo.
Revisá la actividad en las redes sociales, la información bancaria y el historial de pedidos de tus compras en línea. Si, por ejemplo, detectás algún pago que parezca raro, desconocido o no autorizado, denunciálo, cambiá las credenciales de inicio de sesión y, si es el caso, solicitá un reembolso.
Netflix es uno de los argumentos que usan los estafadores.
9. Buscá dispositivos no reconocidos
Si los piratas informáticos robaron los datos de la cuenta, es probable que intenten iniciar sesión desde tu propio dispositivo. La mayoría de las plataformas de redes sociales guardan un registro de las sesiones iniciadas en la configuración de privacidad. Hacé esa comprobación y forzá el cierre de sesión en cualquier dispositivo que desconozcas.
10. Notificá a amigos, contactos, proveedores de servicios y al empleador
A veces, los estafadores utilizan la lista de contactos en una cuenta comprometida para difundir enlaces de phishing o spam. Debés tenerlo en cuenta y tomar medidas para evitar que otros caigan en la misma estafa.
En el caso que un ciberataque esté relacionado con cuentas de trabajo o dispositivos proporcionados por una empresa, seguí las normas e informá inmediatamente al departamento de tecnologías de la información.
Los principales servicios de correo electrónico, como Outlook o Gmail, también ofrecen herramientas para informar de correos electrónicos de phishing directamente desde su bandeja de entrada.