Los ciberdelincuentes son muy dados a aprovechar acontecimientos relevantes para hacer de las suyas, y no han tardado en hacer lo propio con el apagón eléctrico masivo que afectó a la península ibérica este pasado lunes, 28 de abril. Apenas 24 horas después del incidente, ya habían creado una página web fraudulenta que imita la estética del portal legítimo del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación de España, con el objetivo de engañar a los ciudadanos y robar sus datos bancarios.
Esta web maliciosa forma parte de una campaña de smishing –una variante del phishing que se distribuye a través de SMS– que está dirigida a los usuarios españoles, según han descubierto expertos en ciberseguridad de PhisGuard y ha alertado ESET mediante de un comunicado. En los SMS, que simulan ser una comunicación oficial del Gobierno, se insta a los usuarios a acceder a un enlace bajo una supuesta recomendación de seguridad en la que se aconseja leer las últimas noticias sobre el corte eléctrico.
La web fraudulenta del Ministerio de Exteriores
El enlace redirige a los usuarios a la página web que hemos comentado, donde presuntamente el Ministerio de Exteriores difunde su última alerta de seguridad. Dicha alerta informa que, debido al apagón eléctrico del lunes, se han detectado intentos por parte de "hackers" de aprovechar vulnerabilidades en diversas aplicaciones bancarias.
"Se ha confirmado que BBVA ha sido uno de los bancos afectados. Los atacantes lograron insertar código malicioso en versiones antiguas de su aplicación. Se recomienda encarecidamente a todos los clientes descargar inmediatamente la nueva versión oficial de la aplicación BBVA", dicta la alerta, que continúa con una "nota importante" en la que se indica que no debe actualizarse desde Google Play sino a través de la "descarga segura oficial" que se proporciona.
"El Ministerio de Asuntos Exteriores continuará informando sobre futuras actualizaciones", zanja el aviso.
Según ha constatado ESET, el dominio de esta página fraudulenta (www.apagonespana.xyz) se registró al día siguiente del apagón, 29 de abril, y la IP que tiene asignada está ubicada en California.
La compañía de ciberseguridad subraya que nunca se recomienda descargar aplicaciones de repositorios que no sean oficiales o de confianza. No obstante, señala que la relevancia que ha tenido el apagón en la sociedad española y la preocupación que puede generar el falso aviso, especialmente entre aquellas personas que tengan una cuenta en el BBVA, "hacen perfectamente posible que más de uno se descargue e instale la aplicación maliciosa en su dispositivo Android".
La app maliciosa y los riesgos que implica
En caso de que el usuario descargue la aplicación maliciosa, al abrirla se encontrará con una pantalla inicial en la que deben llevar a cabo una supuesta verificación de seguridad. A continuación, aparece un mensaje en el que se indica que la app necesita que se le otorgue permiso para acceder a los mensajes SMS.
"El permiso para acceder a nuestros SMS no es el único que requiere la aplicación, pero sí que se trata del más crítico. Esto se debe a que, pudiendo acceder a nuestros SMS, la aplicación puede capturar los códigos de un solo uso que envían las entidades bancarias como método de verificación cuando tratamos de realizar ciertas operaciones relacionadas con pagos o movimientos de dinero", explica la firma de ciberseguridad.
"De hecho, al ver las siguientes pantallas de la aplicación queda clara cuál es la finalidad de los creadores de esta app. Primero nos solicitan que introduzcamos los datos de acceso a nuestra cuenta online del BBVA para, seguidamente, pedirnos los datos de nuestra tarjeta. Aquí los delincuentes han cometido un pequeño error y es dejar uno de los campos en portugués, lo que nos podría indicar que esta campaña proviene de algún grupo o cibercriminal de origen brasileño, muy relacionados con este tipo de ciberamenazas que tratan de robar dinero de cuentas bancarias y tarjetas de crédito", apunta.
Cómo protegerse ante este tipo de campañas
Ante esta nueva campaña, ESET recuerda algunas medidas de ciberseguridad básicas para evitar que los ciberdelincuentes se salgan con la suya aprovechándose de noticias de impacto reciente como ha sido el apagón masivo del pasado lunes:
- Acudir solo a fuentes oficiales, ya sean gubernamentales o de empresas privadas, y desconfiar de comunicaciones enviadas por otros medios, como SMS o redes sociales, que pueden ser utilizados para difundir todo tipo de estafas, códigos maliciosos o bulos.
- Nunca instalar aplicaciones que no provengan de las tiendas de apps oficiales o sitios webs de confianza.
- Revisar los permisos otorgados a las aplicaciones que se han descargado en el móvil, evitando conceder más de los estrictamente necesarios.
- Contar con una solución de seguridad en el móvil que permita detectar y bloquear las amenazas.