Aumento del 62% en la estafa de inversión Nomani: nuevas tácticas y expansión a YouTube

Introducción

En los últimos meses, la estafa de inversión Nomani ha experimentado un preocupante auge, registrando un incremento del 62% en su actividad durante el presente año, según datos recientes de la firma eslovaca de ciberseguridad ESET. Si bien originalmente las campañas maliciosas se focalizaban en Facebook, los actores de amenazas han diversificado sus vectores, alcanzando también plataformas como YouTube. Este fenómeno evidencia una evolución en las metodologías de distribución y en el alcance de las campañas fraudulentas, lo que exige una revisión detallada de los riesgos y la implementación de contramedidas actualizadas por parte de los profesionales de la ciberseguridad.

Contexto del Incidente

Nomani se ha consolidado como uno de los principales esquemas fraudulentos de inversión en el entorno digital europeo. A diferencia de otros fraudes, su modus operandi se apoya en la creación de portales y cuentas falsas que simulan iniciativas de inversión legítimas, recurriendo a ingeniería social avanzada para ganarse la confianza de los usuarios. El informe de ESET indica que, solo en lo que va de 2024, han detectado y bloqueado más de 64.000 URLs únicas asociadas a estas campañas, lo que pone de manifiesto la magnitud y sofisticación del despliegue.

En su origen, Nomani explotaba principalmente las capacidades de segmentación y viralización de Facebook para captar víctimas. Sin embargo, la presión de los equipos de seguridad y los esfuerzos de takedown han empujado a los atacantes a diversificar su presencia, extendiendo el radio de acción a YouTube, Instagram y otras redes sociales. Este cambio refleja una tendencia creciente en la ciberdelincuencia: el aprovechamiento de ecosistemas multiplataforma para maximizar la captación y el impacto.

Detalles Técnicos

Si bien Nomani no explota vulnerabilidades técnicas concretas asociadas a CVEs específicos, su éxito reside en la combinación de técnicas de ingeniería social y el uso de infraestructuras web efímeras. Los atacantes utilizan campañas publicitarias fraudulentas y perfiles falsos que redirigen al usuario a sitios clonados de plataformas de inversión, donde se emplean formularios para la captación de datos personales y bancarios.

Técnicas, Tácticas y Procedimientos (TTPs) identificados (según MITRE ATT&CK):

– T1566 (Phishing): Envío de mensajes y anuncios engañosos a través de redes sociales.
– T1192 (Spearphishing Link): Distribución de URLs maliciosas que simulan portales de inversión.
– T1583.001 (Infrastructure as a Service): Uso de proveedores de alojamiento y dominios de vida corta para dificultar el rastreo y bloqueo.
– T1071 (Application Layer Protocol): Comunicación y exfiltración de datos vía HTTP/S.

Indicadores de Compromiso (IoCs) destacados en el informe de ESET incluyen patrones de URLs, direcciones IP de servidores comprometidos y hashes de archivos asociados a kits de phishing. Además, se ha observado el uso de frameworks automatizados para la generación y despliegue masivo de sitios fraudulentos, aunque no se ha detectado una integración directa con herramientas como Metasploit o Cobalt Strike.

Impacto y Riesgos

El impacto de Nomani es doble: no solo afecta a usuarios individuales —que pueden perder cantidades significativas de dinero— sino que también compromete la reputación y la seguridad de las plataformas donde se distribuyen los fraudes. ESET estima que la campaña ha tenido especial incidencia en Europa Central y del Este, con focos relevantes en España, Polonia y la República Checa.

El riesgo para las organizaciones es elevado, ya que un empleado comprometido puede convertirse en vector de ataque hacia infraestructura corporativa, especialmente si utiliza credenciales o dispositivos compartidos. Además, empresas del sector financiero pueden ver dañada su imagen si los atacantes suplantan su identidad en las campañas.

Medidas de Mitigación y Recomendaciones

– Formación continua en concienciación sobre ingeniería social y fraudes de inversión para empleados y usuarios.
– Implementación de filtros avanzados de URL y análisis de reputación en gateways corporativos.
– Monitorización proactiva de menciones y perfiles falsos en redes sociales mediante herramientas OSINT.
– Colaboración con plataformas sociales para agilizar la denuncia y retirada de contenido fraudulento.
– Validación en dos pasos y controles de acceso para evitar el uso de credenciales robadas en entornos corporativos.

Opinión de Expertos

Expertos consultados por ESET subrayan que el fenómeno Nomani ilustra la creciente profesionalización de los grupos de ciberdelincuentes. “La diversificación de plataformas y la rapidez en el despliegue de nuevas campañas dificultan enormemente la respuesta tradicional basada en listas negras o bloqueos reactivos”, señala Ondrej Kubovič, especialista en ciberseguridad de ESET. “La clave está en combinar inteligencia de amenazas con educación y una respuesta coordinada entre empresas, usuarios y proveedores de servicios”.

Implicaciones para Empresas y Usuarios

Desde el punto de vista normativo, incidentes de este tipo pueden conllevar responsabilidades bajo el Reglamento General de Protección de Datos (GDPR) y, en el contexto europeo, la Directiva NIS2, especialmente si se produce filtración de datos sensibles o suplantación de identidad corporativa. Las empresas deben reforzar sus políticas de protección de la marca y revisar con regularidad sus procesos de gestión de incidentes.

Para los usuarios, el consejo sigue siendo la verificación rigurosa de cualquier oferta de inversión en redes sociales y la desconfianza ante promesas de rentabilidad rápida o no solicitadas.

Conclusiones

La estafa Nomani representa una evolución preocupante en el panorama de las amenazas digitales, combinando ingeniería social avanzada, campañas multiplataforma y una infraestructura técnica ágil y difícil de rastrear. La solución exige un enfoque integral que combine inteligencia de amenazas, formación, colaboración sectorial y actualización constante de las medidas de protección.

(Fuente: feeds.feedburner.com)