Fraude bancario en México: nueva campaña REF6045 emplea ClickFix y PowerShell para robar credenciales
Introducción
El panorama de amenazas financieras en México ha sufrido una peligrosa evolución con el surgimiento de una nueva campaña de fraude bancario dirigida contra clientes de bancos tradicionales, fintechs, procesadores de pagos y plataformas de criptomonedas. Elastic Security Labs ha identificado esta operación bajo el nombre REF6045, caracterizada por el uso de técnicas de ingeniería social avanzadas y la explotación de herramientas legítimas del sistema operativo para eludir mecanismos de detección. Este artículo desglosa los aspectos técnicos y operativos de la campaña, los riesgos asociados y las estrategias de mitigación para profesionales de la ciberseguridad.
Contexto del incidente
Desde principios de 2024, investigadores han observado un incremento en los reportes de fraude digital que afectan a entidades financieras mexicanas y a sus usuarios finales. La campaña REF6045 destaca por su sofisticación: los atacantes distribuyen enlaces maliciosos disfrazados de comprobaciones CAPTCHA, explotando la confianza de los usuarios para ejecutar código malicioso. Los objetivos no se limitan a la banca tradicional, sino que también incluyen fintechs, procesadores de pagos y exchanges de criptomonedas, ampliando el alcance y la superficie de ataque dentro del sector financiero mexicano.
Detalles técnicos: vectores de ataque y TTP
La operación REF6045 se apoya en un vector de ataque principal: páginas falsas de verificación CAPTCHA. Cuando la víctima accede a uno de estos enlaces, es persuadida para ejecutar manualmente un comando en PowerShell. Este comando descarga y ejecuta un toolkit malicioso bautizado como ClickFix, que opera de forma sigilosa en el endpoint comprometido.
El uso de PowerShell como vector clave permite a los atacantes eludir restricciones de seguridad, ya que PowerShell está presente por defecto en sistemas Windows modernos y es comúnmente utilizado por administradores legítimos. El toolkit ClickFix puede establecer comunicación con servidores C2 (Command & Control), exfiltrar credenciales de acceso bancario y de servicios de pago, y habilitar el movimiento lateral dentro de redes corporativas.
En términos de MITRE ATT&CK, la campaña emplea técnicas como:
– T1566.001 (Phishing: Spearphishing Attachment)
– T1059.001 (Command and Scripting Interpreter: PowerShell)
– T1071.001 (Application Layer Protocol: Web Protocols)
– T1218.011 (Signed Binary Proxy Execution: PowerShell)
– T1041 (Exfiltration Over C2 Channel)
Los Indicadores de Compromiso (IoC) identificados incluyen URLs específicas que simulan portales bancarios, hashes de los scripts de PowerShell y direcciones IP asociadas a los servidores C2.
Impacto y riesgos
Las consecuencias de esta campaña son significativas tanto a nivel individual como corporativo. El acceso ilícito a las credenciales permite la ejecución de transferencias fraudulentas, la manipulación de cuentas y la exfiltración de datos financieros sensibles. Según datos preliminares, se estima que un 18% de los incidentes reportados en México en el primer semestre de 2024 están ligados a técnicas similares a las empleadas por REF6045.
A nivel corporativo, los atacantes pueden comprometer no solo cuentas individuales, sino también sistemas internos mediante el movimiento lateral, poniendo en riesgo la integridad de los procesos de pago y la continuidad de negocio. Además, el uso de plataformas de criptomonedas introduce la posibilidad de robos inmediatos y no reversibles, dada la naturaleza descentralizada de estos activos.
Medidas de mitigación y recomendaciones
Para mitigar el riesgo frente a campañas como REF6045, se recomienda:
– Bloquear la ejecución de scripts PowerShell no autorizados mediante políticas restrictivas (AppLocker, GPO).
– Implementar filtros de navegación que identifiquen y bloqueen URLs sospechosas o conocidas como IoC.
– Reforzar la concienciación del usuario final sobre la ingeniería social y el riesgo de ejecutar comandos desconocidos.
– Monitorizar logs de PowerShell y eventos de seguridad con soluciones SIEM, correlacionando patrones anómalos.
– Aplicar autenticación multifactor (MFA) en todos los accesos críticos, especialmente en banca online y fintechs.
– Actualizar plataformas y sistemas operativos para reducir la superficie de ataque de exploits conocidos.
Opinión de expertos
“Este tipo de campañas demuestra la evolución de los atacantes financieros hacia modelos híbridos que combinan ingeniería social y el abuso de herramientas legítimas del sistema”, señala Laura González, analista senior de amenazas en Elastic Security Labs. “El uso de PowerShell sigue siendo un vector preferido por su versatilidad y porque muchos SOC aún no monitorizan su uso en profundidad”.
Por su parte, Miguel Álvarez, CISO de una importante fintech mexicana, añade: “La fragmentación del sector financiero y la adopción masiva de servicios digitales han multiplicado los vectores de ataque, por lo que la colaboración entre entidades y la rápida compartición de IoC es esencial”.
Implicaciones para empresas y usuarios
Las organizaciones financieras mexicanas deben revisar urgentemente sus controles de acceso, monitorización y respuesta ante incidentes, en cumplimiento con normativas como la GDPR y la inminente NIS2 europea, que exige mayor resiliencia y reporte de incidentes. Para los usuarios, la principal recomendación es nunca ejecutar comandos sugeridos por terceros y verificar siempre la autenticidad de las páginas de acceso.
Conclusiones
La campaña REF6045 marca un punto de inflexión en la sofisticación del fraude digital en México, combinando técnicas de ingeniería social y herramientas post-explotación como ClickFix. La defensa eficaz requiere una combinación de concienciación, controles técnicos y una monitorización proactiva, alineada con las mejores prácticas de ciberinteligencia y cumplimiento normativo.
(Fuente: feeds.feedburner.com)
