Una nueva campaña de phishing que suplanta a Movistar ha vuelto a poner en evidencia una realidad incómoda en ciberseguridad: los ataques más efectivos no son necesariamente los más sofisticados, sino los que explotan hábitos cotidianos. En este caso, los ciberdelincuentes utilizan un recurso clásico —una supuesta factura de Movistar pendiente— para engañar a sus víctimas y conseguir que descarguen malware en sus dispositivos.
Aunque este tipo de campañas lleva años circulando, sigue siendo altamente eficaz. La combinación de urgencia, apariencia legítima y automatización permite a los atacantes mantener un volumen constante de víctimas, tanto en el ámbito doméstico como empresarial.
Un correo simple, pero creíble
El ataque descubierto por ESET comienza con un correo electrónico aparentemente legítimo. El mensaje es breve, directo y utiliza el logotipo de Movistar para reforzar su credibilidad. En él se invita al usuario a descargar una factura, sin aportar demasiados detalles, pero lo suficiente para generar curiosidad o preocupación.
A pesar de que el dominio del remitente no coincide con el oficial de la compañía, el diseño del mensaje y su estructura logran que el engaño resulte convincente, especialmente para usuarios menos familiarizados con este tipo de amenazas.
Todo el peso del ataque recae en un enlace incluido en el correo. Este enlace no dirige a ninguna página oficial, sino a un sitio web controlado por los atacantes, diseñado específicamente para iniciar la descarga de un archivo malicioso.
El uso de verificaciones para evadir la detección
Uno de los elementos más llamativos de esta campaña es la inclusión de un sistema de verificación previo a la descarga. Antes de que el archivo se descargue, el usuario debe completar un proceso aparentemente destinado a comprobar que no es un bot.
Este tipo de técnicas no están pensadas para mejorar la experiencia del usuario, sino para evitar que herramientas automatizadas de análisis —utilizadas por empresas de ciberseguridad— detecten y bloqueen la amenaza. Al introducir esta capa adicional, los atacantes consiguen que sus campañas permanezcan activas durante más tiempo.
Una vez superada esta verificación, la página muestra mensajes indicando que la descarga se ha iniciado y que solo hay que esperar unos segundos. Todo está diseñado para simular un proceso legítimo y reducir las sospechas.
El dominio utilizado en esta campaña presenta otro patrón habitual en este tipo de ataques: ha sido registrado recientemente. En este caso concreto, el dominio tenía apenas 48 días de antigüedad, lo que refuerza la hipótesis de que ha sido creado específicamente para campañas maliciosas o reutilizado tras otras operaciones similares.
Este tipo de dominios suelen cambiar con frecuencia y no guardan relación aparente con la empresa suplantada. Sin embargo, su corta vida útil dificulta que sean detectados y bloqueados a tiempo.
El archivo: una trampa en formato poco habitual
Tras la descarga, el usuario obtiene un archivo comprimido. Al abrirlo, se encuentra con un fichero en formato HTA (HTML Application), un tipo de archivo poco habitual para documentos como facturas, que normalmente se distribuyen en PDF o formatos ofimáticos.
Este detalle podría servir como señal de alerta, pero los atacantes confían en que muchos usuarios no se detendrán a analizarlo y procederán a ejecutarlo igualmente.
El archivo HTA puede abrirse con un editor de texto, lo que permite observar su funcionamiento interno. En este caso, actúa como un redireccionador hacia otra URL controlada por los ciberdelincuentes, desde la cual se descarga la carga maliciosa definitiva.
El objetivo final de esta campaña es la instalación de un troyano en el sistema de la víctima. Este tipo de malware está diseñado para recopilar información del dispositivo infectado, incluyendo datos del sistema, configuraciones y, potencialmente, credenciales almacenadas.
La información obtenida puede ser utilizada para lanzar ataques más personalizados o acceder a cuentas sensibles, tanto personales como corporativas. En entornos empresariales, este tipo de infecciones puede convertirse en la puerta de entrada a ataques más complejos, como el robo de datos o el despliegue de ransomware.
