Alertan de un 'malware' distribuido en correos maliciosos que suplantan a BBVA y Banco Santander

En el caso de los correos que suplantan al Banco Santander, la OSI detalla que, en el asunto, suele poner 'Confirmación - Aviso de pago'. La dirección del que procede simula una cuenta oficial del Grupo Santander con el usuario 'fycout@gruposantander.es'. Ya en el interior, se informa de que se adjunta una carta de liquidación de un pago, que es precisamente donde se encuentra el archivo malicioso. El texto no parece contener faltas ortográficas, aunque el formato es simple y carece de logotipos del banco. Además, para conseguir la confianza del usuario, se proporcionan consejos de seguridad online, por medio de un enlace.

Adjunto al texto, viene el archivo comprimido con la supuesta carta de liquidación financiera, la cual se invita a revisar para comprobar los datos de esta. Al descomprimir el archivo, el nombre del ejecutable (.exe) suele ser una sucesión de números y letras como «210909836-042205-sanlccjavap0003-3991.exe». Se trata de un 'malware' de tipo troyano.

Similares características tienen los correos maliciosos que suplantan a BBVA. En este caso, el asunto suele rezar: 'BBVA-Confirming Facturas Pagadas al Vencimiento' y procede de una cuenta que simula formar parte del BBVA 'confirming.bbva_bbva@accitraf.com'. La OSI destaca que el formato de esta dirección de correo electrónico es muy diferente a la utilizada por la entidad bancaria. «El dominio no tiene ninguna relación con el BBVA, lo que puede darnos una pista para identificar que no es verídico», apuntan.

En el interior, se adjunta información relativa a «facturas pagadas al vencimiento» adjuntando un archivo comprimido, el cual supuestamente contiene dicha factura. Al igual que en el anterior, el texto no parece contener faltas de ortografía que lo delaten como correo malicioso, carece asimismo de logotipos de la entidad y ofrece consejos de seguridad, como recordar qué datos no se deben proporcionar por medio de correo electrónico, además de utilizar avisos formales habituales en entidades en las que se habla de la privacidad y confidencialidad de los datos adjuntos.

Una vez descargado el archivo malicioso y descomprimido, aparece con el nombre de «FacturasPagadasalVencimiento.PDF.vbs». A primera vista, se puede confundir con un archivo PDF, pero realmente es un script (código) de Visual Basic (herramienta de código).

Si no se decarga el archivo adjunto, basta con marcarlo como spam y eliminarlo de la bandeja de correos. Si se descarga, pero no se ejecuta, hay que borrarlo de la carpeta predefinida de descargas y ejecutar un antivirus para comprobar que los dispositivos no están infectados.

Si se ha llegado a realizar la descarga, aunque se hayan dado los pasos anteriores, el dispositivo puede estar infectado y, con ello, comprometida toda la información que contenga.

Los pasos a seguir en este último caso serán los siguientes:

- Desactivar la conexión a Internet del dispositivo afectado, de este modo, la amenaza no podrá propagarse a otros dispositivos que estén conectados en la misma Red.

- Realizar un análisis con un antivirus actualizado en el dispositivo afectado, para que así, pueda realizar una desinfección.

- En el caso de haber seguido las anteriores pautas y que dicho dispositivo se encuentre todavía infectado, se recomienda que este se formatee a los valores de fábrica. Esto originará un borrado de todos los datos del dispositivo que contenga hasta el momento, por tanto, se recomienda realizar una copia de copias de seguridad para mantener la información que te resulte relevante, importante o de interés.

Si se detecta una filtración de información o acceso no permitido a datos sensibles:

- Se debe recoger las evidencias (capturas del email, del archivo, etc.).

- En los meses siguientes al suceso, recurrir al 'egosurfing' para comprobar que no se han expuesto datos personales en las redes y recurrir al derecho al olvido si se necesita eliminar datos privados o sensibles.

- Denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado intentando presentar todas las evidencias para sí facilitar la investigación.

Siempre que se reciba un correo de estas características, hay que ponerse en contacto con la entidad bancaria para confirmar su veracidad, aunque cabe reseñar que los bancos nunca notificarán este tipo de incidentes a través de un correo electrónico de estas características. Algunas entidades cuentan además en sus webs con información sobre posibles fraudes detectados (Atención al cliente de BBVA y sección de 'última hora'; Atención al cliente del Banco Santander y sección 'Aprende seguridad online: herramientas y consejos'.)

No se deben abrir enlaces desconocidos, de dudosa procedencia o cuyo remitente no se conozca o parezca sospechoso, tanto si se trata de un SMS o o de un correo electrónico. Del mismo modo, hay que mantener los dispositivos actualizados con la versión más reciente, tanto del sistema operativo como de los navegadores web.