En los últimos días, INCIBE ha detectado una campaña en España que utiliza técnicas de phishing para suplantar a empresas de suministro y, en esta ocasión, apunta a clientes de Endesa. El gancho es siempre el mismo: un correo que aparenta enviar una factura pendiente y que incluye un archivo comprimido para descargar. Pero ese .zip no contiene una factura; dentro hay un instalador que instala un troyano diseñado para robar credenciales y datos bancarios.
El mensaje llega con apariencia corporativa —colores, logos y una redacción que imita la formalidad de una compañía energética— pero varios detalles dejan entrever el fraude. En algunas versiones del correo aparecen frases extrañas o mal traducidas, como “la responsabilidad de las acciones posteriores, incluso el pago, es de Su Señoría”, un error que choca con la comunicación profesional que cualquier compañía responsable pondría en sus avisos oficiales.
Los asuntos del correo están pensados para provocar una reacción inmediata: “Factura vencida: regularizar ahora mismo”, “Bloqueo inminente: regularice su factura”, o “Pago pendiente, evite penalizaciones”. Ese sentido de urgencia es la esencia del ataque: al generar temor y prisa, los delincuentes empujan al receptor a descargar y ejecutar el archivo sin pensar.
Cómo funciona la trampa
Al abrir el .zip se encuentra un archivo .msi que, si se ejecuta, instala el malware. El propósito es claro: el troyano activa módulos para supervisar la actividad del equipo, captar credenciales introducidas en webs bancarias y, en algunos casos, manipular las transacciones. Los análisis realizados en plataformas de detección muestran que el software malicioso corresponde a una familia conocida y efectiva para el robo financiero.
Los correos proceden de dominios que imitan a los reales, pero no son los oficiales. Si se examina el remitente con cuidado, el dominio no coincide con los registros legítimos de la compañía. En algunas ocasiones, además, los enlaces dentro del mensaje redirigen a páginas que aparentan ser de organismos oficiales, como la Agencia Tributaria, una estrategia destinada a dar sensación de legitimidad al usuario menos desconfiado.
Qué hace el troyano y por qué preocupa
El software que se está distribuyendo en esta campaña tiene capacidades orientadas a la sustracción de información financiera. Entre sus funciones típicas están la interceptación de formularios, la superposición de ventanas falsas sobre portales bancarios reales y el registro de pulsaciones. Eso permite a los atacantes capturar contraseñas y datos de pago en cuanto la víctima intenta acceder a su banca online.
Además, estos programas maliciosos suelen contar con mecanismos de persistencia y actualización remota: una vez instalados, pueden descargar módulos adicionales que amplían sus capacidades y dificultan su detección. Por eso, una infección no resuelta puede derivar en pérdidas económicas y en la necesidad de acciones forenses para recuperar evidencias.
Pasos a seguir si has recibido el correo
Si el correo ha llegado a tu bandeja y no has interactuado con él, lo más sensato es marcarlo como spam y eliminarlo. También es recomendable reportarlo a los canales de incidentes (por ejemplo, a los servicios de respuesta a incidentes nacionales o a los equipos de seguridad de la propia compañía, si disponen de un buzón para alertas). Esa información ayuda a bloquear las campañas y a proteger a otros usuarios.
En el caso de que hayas descargado el fichero pero no lo hayas ejecutado, localízalo en la carpeta de descargas y elimina el archivo. Vacía la papelera para evitar una apertura accidental posterior. No intentes abrir ni “ver” su contenido con programas que puedan ejecutar código.
Si, desgraciadamente, ejecutaste el archivo, debes actuar con rapidez: desconecta el equipo de la red para cortar la comunicación del malware con sus servidores y limitar la propagación a otros dispositivos. Ejecuta un análisis completo con un antivirus actualizado y, si las herramientas de limpieza no lo erradican, valora la restauración del sistema o un formateo. Antes de formatear, si es posible, recopila pruebas —capturas de pantalla del correo, metadatos y cualquier rastro— porque podrían ser útiles para una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
