En los últimos días, ESET, compañía líder en detección proactiva de amenazas, detectó una campaña de phishing en la que cibercriminales distribuyen correos en Gmail haciéndose pasar por la empresa argentina de energía YPF. El anzuelo es una supuesta oportunidad de inversión en esa compañía y el objetivo es que el usuario acceda a una página falsa donde se le solicitarán datos personales. Así, la víctima, engañada, entrega voluntariamente su información.
“La usurpación de la identidad institucional de YPF y la difusión de oportunidades de inversión falsas es un recurso que ya ha sido utilizado en varias campañas similares que circulan desde, al menos, el año pasado. Lo que tienen en común estas campañas es el uso de redes publicitarias, que pueden generar una falsa sensación de confianza en la fuente. Aunque estas plataformas aplican ciertos controles sobre el contenido que difunden, estos no siempre son efectivos.”, declara Fabiana Ramírez Cuenca, investigadora de Seguridad Informática de ESET Latinoamérica.
Todo comienza con un correo electrónico promocionado que muestra la sigla “YPF” como remitente y un asunto llamativo, con frases como: “Ya funciona en Argentina, comenzá a invertir con un monto mínimo”.
Pie de imagen: Correo que se recibe en la bandeja de entrada simulando a YPF como remitente.
Al hacer clic en los tres puntos del mensaje, Gmail muestra información sobre el anunciante, que en este caso no tiene ninguna relación con YPF. Si se detecta un correo de este tipo, lo recomendable es denunciarlo en el “Centro de anuncios”.
Ilustración sobre cómo denunciar un correo spam.
El contenido del correo copia la estética y el logo real de la empresa, e invita a visitar un enlace para conocer más sobre una supuesta “plataforma oculta de YPF”.
Falso correo invita a hacer clic y acceder a un enlace.
Al hacer clic en ese enlace, el usuario es dirigido a una página de phishing que simula ser un sitio de noticias reconocido, con entrevistas falsas a personas conocidas. Este tipo de montaje es cada vez más común en campañas que utilizan el mismo anzuelo: invertir en la reconocida empresa de energía argentina.
sitio de noticias falsas para alentar al usuario a averiguar más sobre las inversiones.
Desde esa página falsa, cualquier clic lleva a una segunda página -bajo el mismo dominio- que esta vez simula ser una página institucional de la empresa. Según lo analizado por el equipo de ESET, esta es la etapa final del engaño, donde se insta al usuario a ingresar sus datos para no “perderse la oportunidad”. Se simula que hay un cupo limitado, por lo que se lo presiona a actuar rápidamente para no quedarse afuera.
Análisis del sitio falso de YPF
“Esta página final presenta muchas de las características típicas de los sitios de phishing: apela a la urgencia (“quedan pocos lugares para inscribirse”), promete ganancias económicas y utiliza una URL inconsistente que no coincide con ningún dominio legítimo de YPF. Además, se presenta como parte de un supuesto ministerio argentino que no tiene relación con la empresa estatal. A pesar de todo, el sitio está desarrollado con bastante verosimilitud e incluso incluye un video institucional real incrustado.”, destaca la investigadora de ESET Latinoamérica.
Los ciberdelincuentes aprovechan las redes publicitarias digitales -como las de Google, Meta y otras plataformas- para posicionar sitios falsos que imitan, con mayor o menor precisión, la estética de marcas legítimas. Estos falsos anunciantes logran aparecer en los primeros resultados de búsqueda, camuflarse como correos promocionados o mostrarse como publicaciones patrocinadas en redes sociales. Que hayan pasado los filtros de estas plataformas no garantiza su autenticidad. Estos espacios pueden ser manipulados mediante técnicas como el phishing o el uso de dominios engañosos.
ESET comparte consejos para protegerse del phishing en anuncios y correos patrocinados
- Verificar siempre la URL antes de hacer clic.
- Desconfiar de mensajes que prometen beneficios extraordinarios o apelan a la urgencia.
- No ingresar datos personales en sitios que no puedas confirmar como legítimos.
- Revisar el remitente y buscar señales de suplantación (como errores en el dominio o lenguaje sospechoso).
- En caso de tener dudas, acceder directamente al sitio oficial de la empresa desde el navegador, sin seguir enlaces
Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/
