Recientemente, investigadores del Cofense Phishing Defense Center (PDC) han descubierto una sofisticada campaña de phishing que tiene como objetivo a los usuarios de Amazon Prime. Esta estafa, detectada el 18 de febrero de 2025, utiliza correos electrónicos fraudulentos y páginas web falsas para engañar a las víctimas y robar sus credenciales de acceso, información personal y detalles bancarios.
Los atacantes emplean técnicas avanzadas de ingeniería social, incluyendo redirecciones mediante Google Docs y el uso de códigos QR para evadir los filtros de seguridad automatizados. La naturaleza bien ejecutada de esta campaña demuestra el creciente nivel de sofisticación en las amenazas de phishing modernas.
Cómo funciona la estafa
1. Correo electrónico falso
El ataque comienza con un correo electrónico disfrazado de notificación de Amazon Prime, alertando al usuario sobre un problema con su método de pago. El mensaje incluye un botón de «Actualizar información», que al ser pulsado redirige a la víctima a una página fraudulenta.
Aunque el remitente aparenta ser «Prime Notification», la dirección real del dominio no pertenece a Amazon, sino a una URL poco conocida, lo que representa una primera señal de alerta.
2. Redirecciones engañosas
En lugar de dirigir a la víctima directamente a una página falsa, los atacantes utilizan Google Docs y enlaces QR para ocultar la URL de destino. Esto dificulta la detección por parte de los filtros de seguridad.
3. Página falsa de seguridad de Amazon
El usuario es llevado a una página que imita la interfaz de seguridad de Amazon, donde se le solicita que verifique su cuenta para evitar accesos no autorizados. Esta es una estrategia común para generar una sensación de urgencia y hacer que la víctima introduzca sus credenciales sin sospechar.
4. Robo de credenciales y datos personales
Una vez ingresado el usuario y la contraseña, la página solicita información adicional, como nombre completo, fecha de nacimiento y número de teléfono. Estos datos suelen utilizarse para el secuestro de cuentas y fraudes financieros.
5. Captura de datos bancarios
En una etapa final, el usuario es redirigido a una página de pago falsa que le solicita los detalles completos de su tarjeta de crédito, incluyendo el código CVV. Esta información permite a los atacantes realizar transacciones fraudulentas y cometer robos de identidad.
Métodos de evasión utilizados por los atacantes
Uno de los aspectos más peligrosos de esta campaña es el uso de infraestructura descentralizada. Los atacantes distribuyen sus páginas de phishing en servicios como Google Docs y generadores de códigos QR, además de utilizar dominios comprometidos en países como Sri Lanka.
Al emplear códigos QR, los atacantes evitan que los usuarios y sistemas de seguridad puedan analizar fácilmente las URL maliciosas. Esta técnica es cada vez más común en las campañas de phishing modernas.
Cómo protegerse de este tipo de ataques
Para evitar caer en trampas como esta, es fundamental seguir las siguientes recomendaciones:
- Verificar siempre la URL antes de ingresar credenciales en determinados sitios web. Amazon nunca utilizará plataformas como Google Docs para gestionar cuentas.
- No hacer clic en enlaces sospechosos en correos electrónicos, especialmente si solicitan información personal o financiera.
- Activar la autenticación en dos pasos (MFA) en Amazon y otros servicios críticos. Esto agrega una capa adicional de protección contra accesos no autorizados.
- No compartir información sensible a través de enlaces desconocidos o no verificados.
- Notificar correos de phishing a Amazon a través de su portal de seguridad.
Las campañas de phishing continúan evolucionando, adoptando nuevas técnicas para evadir los sistemas de seguridad y engañar a los usuarios. La utilización de Google Docs y códigos QR en esta estafa demuestra que los ciberdelincuentes están refinando sus métodos, haciendo que las estafas sean más convincentes y difíciles de detectar.
