El ingenio de los ciberdelincuentes se agudiza y el phishing sigue siendo una de las técnicas más frecuentes en diferentes ámbitos. En las últimas semanas, la Guardia Civil ha alertado sobre la existencia de un ciberataque que se hace pasar en la factura por una compañía energética para instalar un virus en el dispositivo del receptor a partir de una factura falsa.
Los clientes de compañías como Iberdrola, Endesa o Naturgy deben estar muy atentos, pues son las principales víctimas de este nuevo ataque. Al estar los usuarios acostumbrados a recibir sus facturas por correo electrónico, apenas detectarán que se trata de un engaño y será sencillo que los clientes abriesen el mensaje y que, incluso, descargasen la factura en su ordenador.
El nuevo ataque de phishing en tu factura
Los ciberdelincuentes se sirven de un envío masivo de facturas en correos electrónicos a los clientes, buscando la confusión entre los usuarios. Pueden enviar la propia factura, o bien, una notificación de deuda. En el mensaje figuran elementos idénticos a los de la compañía como el logo o el estilo de redacción. Un claro ejemplo de phishing.
La factura enviada figura en formato PDF, por lo que al pulsar el enlace se descargará un malware que infectará directamente el ordenador o el dispositivo que emplease el usuario. Suele estar adjuntada como un archivo comprimido ZIP, aunque en realidad se trata de un archivo.msi o archivo ejecutable, que contiene un código malicioso.
En concreto, se trata de un troyano bancario denominado Grandoreiro. A partir de ese momento, el troyano registrará todo lo que el usuario escribiese, de tal modo que al entrar en la web del banco pudiesen registrar la contraseña y sustraerla. Se le estará otorgando un acceso ilimitado a toda la información del disco duro.
Grandoreiro lanzó en 2023 ataques contra 900 bancos de 40 países y en 2024 las cifras ascendieron hasta 1.700 bancos y 276 carteras de criptomonedas de hasta 45 países de todo el mundo. Una gran amenaza global que afecta también a Asia y África. En España, el troyano bancario ha llegado a ser responsable de actividades fraudulentas por un valor de 3,5 millones de euros. La organización criminal podría haber generado más de 10 millones de euros.
En el caso de Endesa, los ciberdelincuentes han elaborado una estrategia a partir de la cual la compañía energética emite una factura o comunicación fraudulenta. En la misma, notifica sobre una falsa devolución de dinero e invita a ‘Confirmar reembolso’. Es extraño que la compañía energética, sin ningún tipo de información oficial previa, nos vaya a devolver dinero. Una alerta que estamos frente a un caso de phishing.
Cómo protegerte del phishing de las facturas
Los clientes de Endesa, Naturgy o Iberdrola deberán utilizar el sentido común como mejor arma. En este caso, estar muy atentos al remitente del correo electrónico. Por todo ello, habrá que comprobar que se trata de una cuenta de correo real de la empresa, idéntica a la dirección que suele ponerse en contacto con nosotros o que figura en contratos, facturas o en la propia página web de la empresa.
De igual modo, se recomienda analizar el cuerpo del correo. Los ciberdelincuentes no suelen cuidar demasiado el estilo, sino más bien la forma. De ahí que sea muy importante verificar los posibles errores o imprecisiones en la redacción. Cuando la compañía energética se dirija a nosotros, lo hará de manera personal, mencionando nuestro nombre completo. Si el mensaje es demasiado genérico, deberán saltar las alarmas.
Otro elemento clave será el formato del archivo descargado. Habrá que desconfiar siempre y cuando éste no fuese un PDF. Pese a que en el nombre del archivo figure ‘PDF’, habrá que comprobar que al abrirlo no se ejecutase ninguna aplicación o elemento malicioso.
Una vez que se ha detectado la sospecha, habrá que contactar con la compañía en cuestión y marcar el mensaje como ‘no deseado’ o ‘spam’, para posteriormente eliminarlo. De haberse descargado ya, habrá que buscarlo en la carpeta de descargas del dispositivo y eliminarlo.
En caso de haber ejecutado el archivo ZIP, será mejor seguir una serie de recomendaciones básicas que se señalan desde el Instituto Nacional de Ciberseguridad (INCIBE), pues el dispositivo ya habrá sido plenamente infectado.
- Aislar el dispositivo o equipo de la Red. El primer paso será desconectar el ordenador, Tablet o teléfono móvil de la Red doméstica. De este modo, el malware no podrá trasladarse hasta otros dispositivos que se tuviesen en el mismo ámbito.
- Realizar un análisis exhaustivo con la última actualización del antivirus. A continuación, en caso de que la infección perdurase, habrá que resetear el dispositivo y desinfectarlo. Todos los datos se perderán, por lo que es muy importante realizar copias de seguridad para así conservar los archivos más relevantes.
- Reunir todas las evidencias posibles. Realizar capturas de pantalla y guardar todos los correos electrónicos recibidos, cuando fuese posible, para poder utilizarlos como pruebas en caso de interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
¡Toma nota!