AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Nueva campaña de phishing suplanta a Movistar para distribuir troyanos a través de falsas facturas

admin

#### 1. Introducción

En las últimas semanas, analistas de ciberseguridad han detectado una intensificación de campañas de phishing que utilizan la identidad corporativa de Movistar, una de las principales operadoras de telecomunicaciones en España. El objetivo de estos ataques es engañar a los usuarios para que descarguen y ejecuten troyanos mediante correos electrónicos fraudulentos que simulan ser notificaciones sobre facturas pendientes. A pesar de que este vector de ataque es recurrente, la sofisticación en la suplantación y la evolución de los troyanos empleados sigue representando un riesgo significativo tanto para usuarios finales como para entornos corporativos.

#### 2. Contexto del Incidente

El uso de la ingeniería social, especialmente a través de campañas de phishing, es una de las técnicas más extendidas y efectivas dentro del panorama de amenazas actual. En este caso, los actores maliciosos han optado por suplantar a Movistar, aprovechando la confianza y el reconocimiento de marca que la compañía tiene en España. Este tipo de campañas suelen aumentar en sofisticación, incorporando elementos visuales auténticos y utilizando remitentes falsificados que imitan direcciones legítimas de la empresa.

Según datos recabados por investigadores de diferentes CERTs nacionales, el volumen de campañas de phishing dirigidas a clientes de proveedores de servicios se ha incrementado en un 35% durante el primer semestre de 2024, en comparación con el mismo periodo del año anterior. Movistar, junto con otras marcas de telecomunicaciones, figura entre las más suplantadas.

#### 3. Detalles Técnicos

Las campañas detectadas presentan una estructura común: el envío de un correo electrónico que aparenta provenir del departamento de facturación de Movistar. El mensaje informa sobre una supuesta factura pendiente e insta al usuario a consultar o descargar el documento a través de un enlace incorporado. Este enlace redirige a una web que simula el portal de clientes de Movistar, pero que en realidad aloja un payload malicioso.

La variante de malware identificada en las últimas oleadas corresponde principalmente a troyanos bancarios y stealers, como **Emotet** y **Agent Tesla**, ambos ampliamente documentados por la comunidad de ciberseguridad. Los archivos maliciosos suelen estar ofuscados y distribuidos en formatos como .zip o .xlsm (macros de Excel), aprovechando vulnerabilidades conocidas de Microsoft Office (por ejemplo, CVE-2017-11882) para ejecutar código arbitrario en el sistema de la víctima.

– **Vectores de ataque:** Correo electrónico con enlaces a páginas falsas (phishing), archivos adjuntos maliciosos.
– **TTPs (MITRE ATT&CK):**
– **T1566.001** (Phishing: Spearphishing Attachment)
– **T1566.002** (Phishing: Spearphishing Link)
– **T1059.005** (Command and Scripting Interpreter: Visual Basic)
– **T1071.001** (Application Layer Protocol: Web Protocols)
– **Indicadores de compromiso (IoC):** URLs de phishing, hashes de los archivos maliciosos, direcciones IP de C2 (Command & Control) asociadas a los troyanos, y dominios registrados recientemente con denominaciones similares a Movistar.

Herramientas como **Metasploit** y **Cobalt Strike** han sido observadas en campañas posteriores para el movimiento lateral y la persistencia en redes corporativas comprometidas.

#### 4. Impacto y Riesgos

El impacto potencial de esta campaña es elevado. La descarga y ejecución del troyano permite al atacante obtener credenciales bancarias, información personal y datos corporativos sensibles. En casos documentados, la infección inicial ha derivado en la propagación lateral dentro de organizaciones, robo de información confidencial y, en ocasiones, despliegue de ransomware como Ryuk o Conti.

El riesgo es especialmente alto para empresas que no hayan implementado políticas estrictas de filtrado de correo, segmentación de red y monitorización de endpoints. Además, la suplantación de Movistar puede afectar gravemente la confianza de los usuarios en las comunicaciones legítimas de la compañía.

#### 5. Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a esta campaña, los expertos recomiendan:

– **Filtrado avanzado de correo electrónico:** Implementación de soluciones de sandboxing y análisis de enlaces y adjuntos.
– **Educación y concienciación:** Formación continua de empleados sobre los riesgos de phishing y cómo identificar correos fraudulentos.
– **Actualización de sistemas:** Parcheo inmediato de vulnerabilidades conocidas, especialmente en suites ofimáticas.
– **Implementación de autenticación multifactor (MFA):** Para el acceso a servicios críticos y correo electrónico.
– **Monitorización de endpoints:** Uso de soluciones EDR para detectar y responder a comportamientos anómalos.
– **Bloqueo de dominios sospechosos:** Y actualización constante de listas negras (blacklists) de IoC.

#### 6. Opinión de Expertos

Según Pablo Fernández, analista senior en un SOC de referencia en España, “La resiliencia de los troyanos bancarios y la continua explotación de la ingeniería social ponen de manifiesto la necesidad de combinar tecnologías avanzadas con una sólida cultura de ciberseguridad en las organizaciones. La suplantación de grandes marcas como Movistar seguirá siendo un vector recurrente mientras los usuarios no sean plenamente conscientes de los riesgos”.

#### 7. Implicaciones para Empresas y Usuarios

Más allá del impacto inmediato, este tipo de ataques puede acarrear sanciones bajo la **GDPR** y la nueva directiva **NIS2**, en caso de que la fuga de datos afecte a información personal o provoque interrupciones en servicios esenciales. Las empresas deben revisar sus políticas de respuesta a incidentes y notificar a los reguladores en los plazos establecidos ante cualquier brecha significativa.

Para los usuarios, la recomendación principal es desconfiar de cualquier comunicación que solicite acciones urgentes o redireccione a portales de facturación fuera de los canales habituales.

#### 8. Conclusiones

La reciente oleada de phishing que suplanta a Movistar es un recordatorio de que la ingeniería social sigue siendo una de las mayores amenazas en el ámbito de la ciberseguridad. La sofisticación de los troyanos y la capacidad de los atacantes para imitar comunicaciones legítimas exigen una vigilancia constante tanto a nivel tecnológico como humano. Solo una combinación de soluciones avanzadas, formación y cumplimiento normativo permitirá reducir el impacto de estos ataques en el tejido empresarial y en los usuarios particulares.

(Fuente: www.cybersecuritynews.es)