AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Campaña de smishing suplanta a la Hacienda de Nueva York para robar datos bajo el pretexto de “reembolsos por inflación”

admin

Introducción

En las últimas semanas, se ha detectado una campaña de smishing de gran escala que afecta especialmente a residentes del estado de Nueva York. Los atacantes, haciéndose pasar por el Departamento de Impuestos y Finanzas de Nueva York (Department of Taxation and Finance), envían mensajes SMS fraudulentos prometiendo supuestos “reembolsos por inflación” con el objetivo de obtener credenciales, información personal y datos financieros confidenciales. Este nuevo vector de ataque pone de manifiesto la sofisticación creciente del phishing dirigido a dispositivos móviles y la necesidad de reforzar las medidas de concienciación y defensa frente a amenazas basadas en ingeniería social.

Contexto del Incidente

El smishing, una variante del phishing que utiliza mensajes SMS como canal primario, ha experimentado un notable auge en los últimos años, en parte debido a la alta tasa de apertura de estos mensajes y a la confianza que muchos usuarios depositan en la mensajería móvil. El Departamento de Impuestos y Finanzas de Nueva York es una entidad gubernamental clave en la gestión tributaria, lo que convierte a su identidad en un señuelo eficaz para campañas fraudulentas. Aprovechando el contexto económico actual y las preocupaciones sobre la inflación, los atacantes han diseñado una campaña que promete devoluciones fiscales inexistentes para captar la atención de las víctimas y maximizar la tasa de éxito.

Detalles Técnicos

La campaña identificada utiliza mensajes SMS con textos como: “Dept. of Taxation & Finance: You have an inflation refund pending. Claim here: [URL maliciosa]”. Al hacer clic en el enlace, la víctima es redirigida a una página web clonada que reproduce con gran fidelidad el portal oficial de la agencia. Esta página fraudulenta solicita la introducción de datos personales (nombre, dirección, número de la Seguridad Social), así como información bancaria (número de cuenta y credenciales de acceso).

No se ha asociado aún un CVE específico a esta campaña, dado que la explotación se basa en técnicas de ingeniería social y no en la explotación de vulnerabilidades técnicas. Sin embargo, los TTPs observados se alinean con los descritos en MITRE ATT&CK, especialmente en las técnicas T1566.001 (Phishing: Spearphishing Attachment) y T1204.002 (User Execution: Malicious Link).

Los IoCs detectados incluyen dominios recientemente registrados con palabras clave relacionadas con “tax”, “refund”, y “NY”, así como direcciones IP asociadas a proveedores de hosting en el extranjero. En algunos casos, las URLs maliciosas utilizan acortadores de enlaces para dificultar su detección y filtrado.

Impacto y Riesgos

La campaña tiene potencial para afectar a cientos de miles de ciudadanos, dado que el abuso de identidad de un organismo tributario suele generar una alta tasa de respuesta. El robo de datos personales y bancarios puede desembocar en fraudes financieros directos, usurpación de identidad y posteriores ataques dirigidos mediante spear-phishing o ingeniería social avanzada.

Según estimaciones del sector, el 46% de los ataques de phishing en 2023 utilizaron canales móviles como vector principal. En el caso de esta campaña, el impacto económico potencial podría superar varios millones de dólares en pérdidas si se tiene en cuenta el volumen de SMS enviados y la sensibilidad de la información comprometida.

Adicionalmente, el incidente puede acarrear implicaciones legales para las empresas que sufran brechas de datos derivadas de la reutilización de credenciales obtenidas a través de este fraude, en cumplimiento del GDPR y las nuevas obligaciones de la Directiva NIS2.

Medidas de Mitigación y Recomendaciones

Para reducir el riesgo de incidentes derivados de campañas de smishing, se recomienda a los profesionales de ciberseguridad y administradores de sistemas:

– Implementar soluciones de Mobile Threat Defense (MTD) y filtros de SMS en dispositivos corporativos.
– Sensibilizar a los usuarios sobre cómo identificar mensajes fraudulentos y la importancia de no pulsar enlaces desconocidos.
– Monitorizar activamente los dominios de reciente creación y bloquear aquellos sospechosos relacionados con temas fiscales.
– Configurar alertas en el SIEM ante patrones de acceso anómalos provenientes de enlaces sospechosos difundidos por SMS.
– Revisar y reforzar los procedimientos de respuesta ante incidentes relacionados con la fuga de credenciales y datos personales.

Opinión de Expertos

Varios analistas SOC y responsables de ciberinteligencia han advertido sobre la progresiva sofisticación de las campañas de smishing. “El nivel de personalización de estos mensajes y la calidad de las páginas de phishing hacen que incluso usuarios experimentados puedan verse afectados”, señala Javier Martínez, responsable de Threat Intelligence en una consultora de ciberseguridad española. Destaca, además, la necesidad de actualizar periódicamente las campañas internas de concienciación, incluyendo ejemplos reales y simulaciones de ataques móviles.

Implicaciones para Empresas y Usuarios

Para empresas con empleados en EE.UU., y especialmente en Nueva York, este incidente supone un riesgo añadido de fuga de información y suplantación de identidad corporativa. La exposición de datos personales puede derivar en accesos no autorizados a sistemas empresariales mediante técnicas de password spraying o spear-phishing, comprometimiento de cuentas y fraudes financieros.

Los usuarios deben extremar la precaución, evitando facilitar información confidencial a través de enlaces recibidos por SMS y validando siempre la autenticidad de la comunicación directamente con el organismo oficial.

Conclusiones

La campaña de smishing que suplanta al Departamento de Impuestos y Finanzas de Nueva York pone en evidencia la creciente profesionalización de los ciberdelincuentes en el ámbito del phishing móvil. La combinación de ingeniería social avanzada, explotación del contexto socioeconómico y uso de infraestructuras técnicas de difícil rastreo exige una respuesta proactiva tanto a nivel técnico como de formación. La colaboración entre entidades públicas y privadas será clave para detectar y mitigar este tipo de amenazas en el futuro inmediato.

(Fuente: www.bleepingcomputer.com)