En el mundo hispanohablante históricamente hemos tenido una ventaja a la hora de enfrentarnos a los fraudes online: Muchos de estos fraudes son diseñados para el mercado angloparlante y/o por grupos de ciberdelincuencia que no hablan nuestro idioma. Por ende, partían con desventaja a la hora de engañarnos, ya que probablemente, a poco que nos fijemos en su legibilidad, algo no funcionaba.
Sin embargo, de un tiempo a esta parte la industria del cibercrimen ha crecido tanto que ya es muy habitual encontrarse ante campañas de phishing muy bien elaboradas y localizadas al mercado en cuestión. Este es el caso de la que quería hablar hoy, y que he recibido recientemente: El fraude del aviso de notificación de la DEHÚ.
Índice de contenido
Primero de todo: ¿Qué es eso de la DEHÚ?
DEHÚ es la plataforma de notificación del gobierno de España. Desde hace unos años, y en ese proceso continuo de transformación digital, cada vez más notificaciones se reciben de forma telemática, y para ello, los diferentes ministerios españoles se han ido sumando a la plataforma.
Por tanto, es muy probable que si tienes un requerimiento de Hacienda, o estás esperando alguna subvención, has participado en alguna licitación, o simplemente tienes una empresa a tu nombre y cuentes, por supuesto, con un certificado digital o algún sistema de acceso telemático a servicios gubernamentales, hayas tenido que usar (y pegarte, todo sea dicho) con DEHÚ.
Que no sé tú, pero yo, cada vez que recibo un aviso de notificación de DEHÚ, me pongo nervioso.
En la mayoría de las ocasiones, se trata de una alerta de algún tema relacionado con el ministerio de transformación digital, por eso de que CyberBrainers es una entidad acogida al programa de agente digitalizador del Kit Digital, y este programa, como tantos otros, utiliza DEHÚ como plataforma de notificación.
Pero claro, tú cuando miras el email que te envían, no tienes ni idea de si se trata de algo bueno o malo, siendo esto último lo más habitual.
Incluso con el Kit, ya van varias notificaciones que han supuesto tener que volver a enviar más documentación para seguir siendo agentes digitalizadores, por eso de que el gobierno saca programas y luego, con el tiempo, va cambiando a su antojo los requerimientos para estar adscritos, teniendo los digitalizadores que perder nuevamente tiempo documentando otra vez lo que ya habíamos documentado, y nos habían aceptado, previamente.
Y no solo, sino que, como te decía, DEHÚ es la plataforma que también usa la Agencia Estatal de Administración Tributaria. Y ya sabes que siempre que recibes una notificación de Hacienda, es para mal.
A un servidor, por ejemplo, este año le han hecho dos inspecciones: Una a título personal, y otra a título de la empresa.
En ambas he podido salir airoso (lo tengo todo regularizado), pero ya sabes cómo va la cosa: Aunque hayas hecho todo bien, puede que no te lo acepten, como le pasó a Èlia hace ya un par de años con otra inspección en la que incluso le echaron para atrás viajes de ida y vuelta para dar conferencias, ya que según el inspector asignado, eso no era por trabajo, es por ocio (claro, te vas un día a la otra punta del mundo, das una conferencia y presentas pruebas de ello, y vuelves al día siguiente, porque te gusta viajar en avión…).
En fin, que sea como fuere, ahora, que estamos en fechas de presentar la Renta, los cibercriminales están lanzando ya campañas de fraude haciéndose pasar por Hacienda.
Y la que he recibido yo la semana pasada perfectamente podría haber pasado por verídica.
Cómo funciona el fraude del Aviso de notificación de la DEHÚ
Echas las presentaciones anteriores, paso a definir cómo fue el ataque, y por qué estuve a puntito de picar.
Pero antes, una matización: Al menos a un servidor siempre que recibo una notificación de la DEHÚ, la suelo recibir por duplicado, supongo que porque tengo dos correos (personal y corporativo) asociados.
Por eso, me sorprendió que un día como hoy, a la tarde, recibiera una única notificación de la DEHÚ al correo corporativo.
Sin embargo, daba la casualidad que ese mismo día, a la mañana, había recibido varias, por lo que perfectamente podría tratarse o de un email que se envió más tarde de lo previsto, o de otra nueva notificación.
Así que, cómo no, corrí a abrirlo, y me encontré lo siguiente:
Ejemplo de campaña de phishing de la DEHÚ bien diseñada
Se trata, a todas luces, de exactamente el mismo copy que tienen todos los envíos de la DEHÚ, y por lo que puedo ver, parece ser una notificación de Hacienda (vamos, algo malo…).
Te dejo otro mail, recibido ese mismo día, y que sí es oficial, para que veas las escasas diferencias que tiene esta campaña de phishing con un correo real de la DEHÚ.
Ejemplo de correo real y oficial enviado por la DEHÚ
Como puedes ver, teniendo uno delante de otro es fácil darse cuenta de que en el primero no se dirigen a mi como titular, sino al correo electrónico. Por supuesto, si fuera oficial o bien pondrían, como ponen, mis datos fiscales personales (nombre completo y algunos de los números del DNI), o bien iría dirigido a la propia empresa, en cuyo caso aparecerían los datos fiscales de la misma (razón social y algunos de los números del CIF).
Pero por lo demás, es un calco exacto de las comunicaciones oficiales.
Hay que decir, eso sí, que lo abrí desde el móvil, y como recomiendo hacer siempre en esos tres puntos que identifican a un phishing, para confirmar su legitimidad, lo primero que hice fue ver quién era el emisor del mail, encontrándome con que, en efecto, parecía ser un mail oficial enviado por [email protected].
De nuevo, algo que parece legítimo… pero que no existe como tal. Las comunicaciones oficiales de la DEHÚ vienen dadas por el dominio oficial de la DEHÚ, que al tratarse de un dominio corporativo, es correo.gob.es.
Otro matiz que de no tener ambos correos (fraudulento y oficial) delante, se nos puede pasar inadvertido.
A la hora de escribir este artículo, no obstante, y ya desde escritorio, veo que aunque en efecto los metadatos de envío estaban correctamente puestos, GMail sí me chiva que el emisor no es esa cuenta, sino otra con un dominio muy poco confiable, como puedes ver a continuación:
Esta información, en la versión móvil, no me aparecía, pensando que en efecto estaba ante una comunicación oficial
Los oficiales, por supuesto, vienen también firmados por correo.gob.es.
Pero recalco, lo estaba mirando desde el móvil, y ahí este indicio no lo tenía, así que, y de nuevo por ser precavido, me da por mirar a dónde llevan esos dos enlaces de la notificación (el tercer punto de los que debemos fijarnos a la hora de identificar fraudes de correos legítimos).
Y aquí es cuando veo que estoy ante un fraude más. Eso sí, con sorpresa incluida.
Ambos enlaces, en vez de llevar a la plataforma de la DEHÚ, llevan a una página dentro del dominio registraalbacete[dot]com. Que ya me dirás qué tiene que ver con la DEHÚ (ni tan siquiera vivo en Albacete), por lo que supongo que simplemente es uno de los dominios que tienen bajo el control los cibercriminales.
La sorpresa viene porque al intentar entrar, me encuentro con que el enlace te redirige a una supuesta página de la Agencia Tributaria, que por lo que puedo ver, están cambiando cada poco (cuando entré la primera vez era una agenciatributaria[dot]online, y ahora veo que redirige a agenciatributaria[dot]hk).
La web en cuestión se parece a la de la Agencia Tributaria, pero es aquí donde el fraude cojea, ya que, que yo sepa, hoy en día no hay manera de acceder a trámites administrativos mediante usuario y contraseña.
O bien lo haces mediante certificado digital, bien mediante Cl@ve, o PIN Permanente. Sistemas que difícilmente veo cómo pueden robárnoslos los cibercriminales.
Pero oye, igual así cazan los datos de algunas víctimas…
Por cierto, que he probado a poner un usuario y contraseña (inventados, por supuesto), y la web, como era de esperar, me dice que la validación no es correcta y que vuelva a incluirlos.
Ni tan siquiera se han molestado en hacer una redireción a la página oficial…
Y otro apunte:
Desde que me llegó el mail, hasta que he creado este artículo (tú lo leerás unos días más tarde), han pasado 4 días.
En estos cuatro días me alegra ver que tanto Chrome como Firefox (los dos navegadores de escritorio que he probado para preparar este tutorial) ya marcaban como potencialmente fraudulento el enlace de Albacete. Y Firefox, además, hacía lo propio con el dominio fake de la AgenciaTributaria (Chrome sí me dejaba entrar a él sin mostrarme alerta).
Un ejemplo más de los tiempos que manejan estos cibercriminales, que son conscientes de que a las pocas horas de lanzar la campaña, la URL se va a quemar, y tocará volver a lanzar otra campaña.
De hecho, por eso es tan habitual que usen redirecciones que les permitan funcionar durante al menos unas horas más las campañas activas, pudiendo cambiar la URL final del phishing mientras aún no se ha quemado la URL que aparece en el correo, y que redirige al fraude en cuestión.
Cómo podemos evitar ser víctimas de este tipo de campañas de phishing
Como puedes ver, simplemente he aplicado los 3 elementos que delatan a las campañas de phishing o fraude por email.
Así que simplemente te comparto el tutorial en cuestión donde voy punto por punto definiendo qué debemos fijarnos a la hora de dar credibilidad a un mail.
Artículo previamente publicado en la revista chilena Seguridad & Defensa (PDF) y también en su versión web (ES).
Qué hacer para evitar ser víctima de fraudes
- 3 elementos que delatan a las campañas de phishing o fraude por email
- Qué hacer en caso de haber sido víctima de un fraude
- Cómo recuperar el dinero que nos han robado
- Cómo nos protegemos de los fraudes en Internet
- Cómo saber si esa persona con la que chateamos es quien dice ser
- El papel de los muleros en el cibercrimen
- Así de fácil es caer en una campaña de phishing
Otros fraudes que deberías conocer
- El día que ligué con una capitana del US Army (fraude de la novia rusa)
- Cómo estafaron a mi pareja con un producto vendido en Instagram
- Cómo funciona el timo basado en la extorsión para no divulgar contenido de índole sexual/pornográfico
- Cómo funcionan los fraudes basados en SMSs Premium
- Cómo funciona el timo de: “Tengo fotos tuyas, paga o difundo”
- Cómo funcionan los fraudes de descarga de libros o películas GRATIS
- Cómo estafaron a mi madre con un producto vendido por Wallapop
- Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
- Cómo funciona la estafa del pellet
- Cómo funciona el fraude que se hace pasar por una notificación de la DEHÚ
- Qué tipos de fraude por Wallapop existen
- Cómo me intentaron estafar con el alquiler de un piso
- Cómo funcionan los fraudes por Facebook
- Cómo funciona el timo de la compra de fotos o arte NFT
- Cómo me estafaron 400 euros con un producto vendido en Amazon
- Cómo funcionan los fraudes basados en iCloud
- Cómo funciona la estafa del chulo y las prostitutas
- Cómo funciona el fraude de BlaBlaCar
- Cómo funcionan las estafas de criptomonedas de tipo Rug Pull
- Cómo funciona el fraude del viejo contacto
- Cómo funcionan los fraudes dirigidos a creadores de contenido
- Cómo funciona el fraude del incumplimiento de copyright con imágenes
Imagínate recibir en tu correo semanalmente historias como esta
Suscríbete ahora a “Las 7 de la Semana”, la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.
