Las campañas de phishing que utilizan marcas conocidas siguen multiplicándose, y las empresas de mensajería continúan siendo uno de los cebos favoritos de los ciberdelincuentes. En los últimos días, investigadores de ESET han detectado dos nuevas oleadas de correos fraudulentos que utilizan la imagen de DHL en una campaña para engañar a usuarios, robar información personal e incluso instalar malware en los dispositivos de las víctimas.
La operación destaca por el elevado nivel de detalle de los mensajes, el uso de páginas falsas muy convincentes y la incorporación de técnicas avanzadas de ofuscación para dificultar la detección de los archivos maliciosos.
Correos sobre paquetes retenidos y entregas pendientes
La primera campaña identificada está dirigida principalmente a usuarios de habla hispana.
Los atacantes envían mensajes que aparentan proceder de DHL y alertan de un supuesto problema con la entrega de un paquete. El correo suele indicar que el envío no ha podido completarse por errores en la dirección, incidencias logísticas o necesidad de confirmar ciertos datos del destinatario.
El diseño del mensaje imita con bastante precisión las comunicaciones reales de la compañía de mensajería. Incluye logotipos oficiales, colores corporativos y textos redactados correctamente en español, algo que incrementa considerablemente su credibilidad.
El objetivo es que la víctima pulse sobre un enlace para “reprogramar la entrega” o “actualizar la información del envío”.
Sin embargo, el enlace redirige a una página web fraudulenta diseñada específicamente para recopilar información sensible.
Robo de datos personales y bancarios
Una vez dentro del sitio falso, los usuarios son invitados a introducir datos personales como nombre completo, dirección, teléfono móvil y correo electrónico.
En algunos casos, la página solicita además información bancaria bajo el pretexto de pagar pequeñas tasas de envío o costes adicionales asociados al transporte del paquete.
Los investigadores advierten de que los ciberdelincuentes buscan especialmente datos de tarjetas bancarias y credenciales que posteriormente pueden ser utilizadas en fraudes financieros o vendidas en foros clandestinos.
Este tipo de campañas siguen funcionando porque aprovechan hábitos muy extendidos entre los usuarios. Millones de personas reciben paquetes constantemente y no resulta extraño encontrarse con incidencias reales de entrega, lo que reduce las sospechas iniciales.
Además, muchos ataques coinciden con periodos de elevado volumen logístico, como rebajas, campañas comerciales o temporadas vacacionales.
Archivos comprimidos y malware oculto
La segunda campaña detectada por ESET utiliza un enfoque todavía más peligroso.
En este caso, los correos electrónicos llegan en inglés e incluyen un archivo comprimido adjunto que aparenta contener documentación relacionada con un envío.
Dentro del archivo se esconde código JavaScript ofuscado preparado para iniciar la infección una vez ejecutado.
La utilización de scripts ofuscados complica enormemente el trabajo de algunas soluciones de seguridad, ya que el código malicioso intenta ocultar su comportamiento real mediante modificaciones automáticas y cadenas cifradas.
Cuando el usuario ejecuta el archivo, comienza una cadena de infección que descarga un script de PowerShell desde una dirección remota controlada por los atacantes.
Ese script es el encargado de instalar finalmente el malware en el equipo comprometido.
PowerShell vuelve a ser una de las herramientas favoritas
Los investigadores señalan que PowerShell sigue siendo uno de los recursos más utilizados por los ciberdelincuentes para desplegar malware dentro de sistemas Windows.
La razón es sencilla: se trata de una herramienta legítima integrada en el propio sistema operativo y ampliamente utilizada por administradores y departamentos técnicos.
Eso permite a los atacantes ejecutar comandos maliciosos sin necesidad de introducir inicialmente programas sospechosos que puedan ser bloqueados inmediatamente.
Además, muchas organizaciones continúan teniendo configuraciones demasiado permisivas sobre el uso de PowerShell, algo que facilita la propagación de amenazas avanzadas.
Técnicas avanzadas de evasión
Desde ESET advierten de que estas campañas combinan ingeniería social clásica con técnicas cada vez más sofisticadas para maximizar el número de víctimas.
El éxito del ataque no depende únicamente del malware, sino de la capacidad para generar confianza y provocar una reacción rápida del usuario.
La suplantación de empresas conocidas como DHL sigue ofreciendo tasas elevadas de apertura de correos porque los mensajes se integran fácilmente en situaciones cotidianas.
A eso se suma el uso de archivos comprimidos, scripts ofuscados y descargas escalonadas de malware, una estrategia diseñada para evitar los sistemas automáticos de análisis.
Cómo protegerse frente a este tipo de campañas
Los expertos recomiendan extremar la precaución con cualquier correo relacionado con entregas inesperadas o incidencias logísticas urgentes.
Antes de pulsar sobre enlaces o descargar archivos, conviene comprobar directamente el estado del envío desde la web oficial de la empresa de mensajería.
También resulta fundamental desconfiar de solicitudes de pago no previstas, especialmente cuando se piden datos bancarios completos para liberar supuestos paquetes retenidos.
En el caso de archivos adjuntos comprimidos o ejecutables, la recomendación es clara: nunca abrirlos si proceden de mensajes no esperados o remitentes dudosos.
Mantener actualizado el sistema operativo, utilizar soluciones de seguridad modernas y activar autenticación multifactor en servicios importantes sigue siendo una de las mejores barreras frente a este tipo de campañas.
