El phishing, esa técnica de engaño utilizada por ciberdelincuentes para obtener información confidencial de manera fraudulenta, sigue evolucionando y ahora suplanta identidades de empresas reconocidas. Una de las últimas campañas de phishing pasa por simular ser la entidad bancaria CaixaBank y la energética Endesa.
Los ciberdelincuentes están enviando correos electrónicos que parecen ser de fuentes legítimas como CaixaBank o Endesa, pero realmente es phishing. Estos mensajes suelen contener archivos adjuntos o enlaces que llevan a páginas web fraudulentas diseñadas para imitar las auténticas. Por ejemplo, un correo electrónico de una supuesta empleada de CaixaBank llamada Marta, que te envía un archivo con documentación sobre un seguro de vida. Si has contratado recientemente un seguro, podrías no sospechar y caer en la trampa. En el caso de Endesa, el modus operandi es similar, con correos que informan sobre facturas pendientes.
Los archivos adjuntos en estos correos contienen malware, específicamente un tipo conocido como Agent Tesla, que se instala en tu sistema al abrir el documento. Este software malicioso es capaz de robar credenciales almacenadas y otra información sensible del sistema de la víctima.
Agent Tesla, la clave de estos intentos de phishing
Agent Tesla es un tipo de malware conocido principalmente por su capacidad para funcionar como un «infostealer» o ladrón de información. Se distribuye comúnmente a través de campañas de phishing y ha sido una amenaza persistente desde su aparición alrededor de 2014.
Este software malicioso es altamente configurable y se vende en el mercado negro, lo que permite a los ciberdelincuentes personalizarlo según sus necesidades específicas.
Características de Agent Tesla
Entre sus principales características se encuentra el registro de pulsaciones de teclas, o keylogging, que permite capturar información confidencial como contraseñas y datos de tarjetas de crédito al registrar cada tecla que el usuario presiona.
Además, este software malicioso puede extraer credenciales de diversas aplicaciones instaladas en el sistema, incluyendo navegador web como Chrome y Firefox, así como clientes de correo electrónico como Outlook. Agent Tesla también es capaz de realizar capturas de pantalla, lo que facilita a los atacantes observar la actividad en la máquina en tiempo real. En algunas variantes, permite incluso el control remoto del sistema infectado, proporcionando a los ciberdelincuentes la capacidad de ejecutar comandos y manipular archivos como si estuvieran presentes físicamente.
Por último, este malware puede configurarse para exfiltrar los datos robados a un servidor externo mediante métodos como HTTP, FTP o SMTP, enviando la información a través de correo electrónico.
Para evadir la detección por software antivirus, Agent Tesla utiliza varias técnicas:
- Obfuscación: El código del malware se modifica para ocultar su verdadera naturaleza y evitar la detección basada en firmas.
- Ejecución en la memoria: Algunas variantes pueden ejecutarse directamente en la memoria del sistema sin escribirse en el disco, lo que complica su detección por parte de programas antivirus tradicionales que monitorizan los archivos del sistema
Empresas más suplantadas por phishing en España
Las empresas más suplantadas por phishing en España suelen ser grandes corporaciones conocidas por su amplia base de usuarios y la frecuencia con la que las personas interactúan con ellas en línea. Aunque la lista puede variar año tras año, aquí están algunas de las empresas y sectores más comúnmente suplantados:
- Bancos y entidades financieras: Instituciones como Banco Santander, BBVA, y CaixaBank son objetivos frecuentes debido a la naturaleza sensible de la información que manejan.
- Plataformas de telecomunicaciones: Empresas como Movistar, Vodafone, y Orange también son comúnmente suplantadas, ya que los ciberdelincuentes intentan obtener información personal y de pago de los clientes.
- Servicios tecnológicos y de internet: Grandes compañías como Microsoft, Google, y PayPal, que ofrecen servicios en los que se manejan datos personales y financieros, son regularmente objetivos de ataques de phishing.
- Servicios de entrega y logística: Empresas como Correos y empresas privadas de paquetería son usadas en estafas de phishing, especialmente en temporadas altas como durante las festividades, donde la gente espera más paquetes.