El spam y el phishing en 2023

Cifras del año

• El 45,60% de los correos electrónicos en todo el mundo y el 46,59% en el sector ruso de Internet eran spam.
• El 31,45% de todos los correos spam se enviaron desde Rusia
• Nuestro antivirus de correo electrónico bloqueó 135 980 457 archivos adjuntos maliciosos.
• El sistema antiphishing impidió 709 590 011 intentos de hacer clic en enlaces de phishing
• El componente “Mensajería segura” de las soluciones móviles de Kaspersky impidió más de 62 000 clics en enlaces de phishing en Telegram

Phishing y estafas en 2023

A la caza de jugadores

En 2023, al igual que antes, los ciberdelincuentes camuflaron sus ataques a jugadores de videojuegos bajo la apariencia de lucrativas ofertas de la industria del videojuego. A las víctimas potenciales se les prometía ver gratis la próxima novedad (a veces incluso un tiempo antes del lanzamiento oficial), o participar en un torneo de videojuegos con una atractiva bolsa de premios. Para ello, el sitio de phishing podía pedir al usuario que inicie sesión en una de sus cuentas de videojuego. En cuanto la víctima introducía datos en el formulario de phishing, le robaban la cuenta.

En otros esquemas, se ofrecía al usuario comprar por una módica suma la oportunidad de probar una nueva versión de un videojuego muy esperado. Dado que el pago por el servicio se hacía en un sitio web falso, no sólo el dinero, sino también los datos de las tarjetas bancarias caían en manos de los atacantes, y el deseo de probar la novedad nunca se cumplía.

Otro señuelo utilizado por los atacantes eran los objetos de valor del videojuego: “vendían” moneda del videojuego, skins, cuentas supuestamente “mejoradas” a precios ventajosos y anunciaban “eventos” en los que también se podía conseguir algo valioso. Sin embargo, al comprar algo en sitios no verificados, el usuario no sólo podía perder su dinero, sino también revelar sus datos personales, como su dirección postal o de correo electrónico, su número de teléfono y otros. Tras realizar la compra, los estafadores desaparecían o enviaban a la víctima los datos de una cuenta robada que no tenía nada de valor.

Ganancias y compensaciones inesperadas

Las prestaciones y compensaciones, sobre todo las relacionadas con gastos inevitables como los impuestos, parecen tentadoras. Los atacantes explotaron mucho esta veta en 2023. El diseño de los sitios web que ofrecen compensaciones reproducía casi a la perfección los sitios web legítimos de las autoridades fiscales de Estados Unidos, Reino Unido, Singapur, Francia y otros países. Sin embargo, algunos de ellos seguían presentando pequeñas diferencias respecto al original. Para que ni las víctimas más meticulosas tuvieran reticencias, los estafadores señalaban en la cabecera del sitio que se trataba sólo de una versión beta. Al mismo tiempo, no pasaban de inmediato a tratar las “compensaciones”. Primero le pedían al visitante que actualizara sus datos (o documentos) o leyera información importante sobre el dinero al que supuestamente tenía derecho. Sin embargo, fueran cuales fueran los trucos utilizados por los estafadores, su principal objetivo era hacer creer a la víctima que recibiría la indemnización.

En una estafa dirigida a residentes en el Reino Unido, tras “actualizar los datos”, se revelaba al usuario que tenía derecho a la devolución de impuestos ya pagados. Para parecer más creíbles, los atacantes especificaban la cantidad: 891,45 libras esterlinas. Para obtener el dinero, había que rellenar un pequeño cuestionario, tras lo cual el usuario debía confirmar su identidad.

De este modo, los atacantes recopilaban una base de datos personales de los usuarios, como los datos de la tarjeta bancaria, el nombre, la fecha de nacimiento y la dirección. Esta información podría utilizarse después para robar fondos de las cuentas de las víctimas, así como para usurpar su identidad.

Las compensaciones de pagos ya hechos no sólo se ofrecían en nombre de organizaciones gubernamentales. Algunas de las páginas de estafas descubiertas prometían devolver determinada cantidad a los clientes de una importante empresa internacional de telecomunicaciones. Para recibir la compensación, exigían el pago de una pequeña comisión, lo que daba lugar a que la tarjeta bancaria de la víctima se viera comprometida. Pero los fondos prometidos nunca llegaban a la cuenta.

En 2023, los estafadores intentaron seducir a las víctimas con algo más que dinero. Por ejemplo, vimos un plan bastante original en el que se invitaba a los usuarios a participar en una lotería para ganar un visado que les permitiera emigrar a otro país para trabajar o estudiar. A los interesados se les pedía que rellenaran una “solicitud” y luego reenviaran la información del “sorteo” a un determinado número de contactos en WhatsApp y esperaran los resultados. Lo más probable es que se tratara de una lotería en la que todos ganaban, como es habitual entre los estafadores, pero el ganador tenía que pagar una pequeña cantidad de dinero por la tramitación del visado. Pero las víctimas de la trama fraudulenta nunca habrían podido obtener un visado: las autoridades responsables de la expedición de visados no los reparten al azar, sobre todo si se trata de una estancia de larga duración en el país.

Dinero fácil

Además de pagos y loterías, en 2023 los estafadores difundieron ofertas de dinero rápido. Además de las conocidas ofertas para hacerse rico sin hacer nada, o para participar en una encuesta remunerada, también nos encontramos con tramas menos habituales. Por ejemplo, el sitio de la captura de pantalla siguiente se posicionaba como un recurso para ganar dinero rápido de forma divertida.

El sitio prometía pagar dinero por realizar actividades sencillas: jugar, probar aplicaciones, responder encuestas y completar pequeñas tareas. Ofrecían tareas a elegir y se pagaba una cantidad fija por completar cada tarea.

Sin embargo, al intentar conseguir un trabajo de la lista, se remitía al usuario a una página con diversas estafas. Por lo tanto, era imposible ganar dinero en este sitio, incluso en teoría, ya que las páginas con tareas servían sólo para promocionar los sitios de estafa.

Los estafadores afirmaban que se podía obtener una remuneración adicional, si se invitaba al “proyecto” al mayor número posible de familiares y amigos.

Como en realidad era imposible ganar dinero en el sitio, si el usuario aceptaba los términos y condiciones y empezaba a recomendar el programa para ganar dinero rápido a sus familiares, sólo ayudaba a los estafadores a engañar a más gente. A la víctima se le abonaba algo de dinero por la recomendación, pero seguía siendo imposible retirarlo. Si intentaba hacerlo, el sistema informaba de que la retirada de fondos sólo era posible si la cantidad ganada superaba un determinado límite (en la captura de pantalla de abajo, 200 dólares), y ofrecía volver a intentar aumentar los ingresos invitando a más familiares y amigos. Lo más probable es que la víctima nunca pudiera acumular la cantidad de dinero necesaria.

Transacciones en criptomoneda

El phishing que roba credenciales de monederos de criptomonedas siguió siendo para los atacantes un medio habitual de lucrar. En páginas que fingian ser recursos populares de criptomonedas, los atacantes invitaban a los usuarios a conectar su monedero introduciendo credenciales. Por ejemplo, uno de los sitios en las siguientes capturas de pantalla copia el diseño del nuevo proyecto CryptoGPT (llamado LayerAI desde mayo de 2023), que ofrece a los usuarios, incluso a desarrolladores de redes neuronales, pagarles por vender sus datos, y el otro es el intercambio de criptomonedas CommEX.

Algunos sitios web de estafas también usaban las criptomonedas como carnada. Por ejemplo, a los visitantes de la página de la captura de la pantalla a continuación se les ofrecía descargar un script “milagroso” que les permitía recibir bitcoins gratis todos los días y aumentar en gran medida sus criptoingresos. En la descripción de otro programa de este sitio, se ofrecía un script aún más ilegal, que, según afirmaban, sustituye la dirección de cualquier monedero por la dirección del usuario del script y le transfiere dinero de la cuenta de otra persona. Para descargar cualquiera de los scripts, había que pagar algo menos de 50 dólares.

Al instalar cualquier software de orígenes no verificados, el usuario se arriesga a infectar su dispositivo con malware. Con más razón si las extraordinarias sumas que los estafadores prometen en la página principal sugieren que estamos frente a un sitio web de delincuentes.

El libro como señuelo: hojeemos las páginas

En 2023, los ciberdelincuentes ampliaron su arsenal de señuelos. Por ejemplo, encontramos un sitio web que finge ser un libro electrónico sobre la reforma de pensiones. En el fondo de la página falsa parece haber un documento PDF del libro. Sin embargo, para leerlo, había que registrarse y suscribirse gratuitamente, pero vinculando una tarjeta bancaria a la cuenta. En este caso, al igual que cuando se invita a “ver” películas nuevas en cines ilegales en línea, el usuario se arriesga a comprometer su tarjeta. Pero aún después de suscribirse, no se puede leer el libro.

Las redes sociales y los mensajeros, bajo ataque

Las redes sociales y los mensajeros fueron una gran parte de los ataques de phishing en 2023. En el segmento de habla rusa, siguió siendo popular el tema de votar por un concursante en línea. Los atacantes distribuían enlaces de votación en WhatsApp tanto en chats privados como en grupos. Los temas de los concursos iban desde el dibujo infantil hasta el ballet. Para votar, el usuario tenía que entrar en su cuenta de WhatsApp, introducir su número de teléfono y después introducir el código de la web en la app, en el apartado “Bind Device”. Si las instrucciones no despertaban las sospechas de la víctima y las seguía, los atacantes obtenían acceso a su cuenta en su dispositivo.

En todo el mundo, los estafadores han tratado de apoderarse de cuentas empresariales en Facebook, utilizando como anzuelo la oportunidad de ahorrar dinero en publicidad en esta red social. Por ejemplo, se ofrecía a los usuarios obtener cupones gratis de anuncios de Meta. Para recibir el regalo, había que iniciar sesión en la cuenta, es decir, había que compartir el nombre de usuario y contraseña con los estafadores.

En 2023, los atacantes idearon un gran número de engaños para los usuarios de Telegram. A las víctimas potenciales se les ofrecía descargar programas de pirateo de juegos de computadora, obtener acceso a Telegram para adultos o moneda virtual gratuita o firmar una petición.

Otro vector de ataques en mensajeros ha sido la propagación de una variedad de ataques de phishing y estafas, cuyo propósito es diferente al de secuestrar una cuenta de mensajero. En particular, los atacantes enviaban ofertas de dinero rápido. En la captura de pantalla que aparece a continuación, ofrecían a los inversores descargar un bot de WhatsApp supuestamente desarrollado por el equipo de Zuckerberg. Los atacantes afirmaban que el bot aumenta la rentabilidad de una inversión hasta en un 97%.

Para empezar a hacer dinero, todo lo que había que hacer era esperar a tener espacio libre (al parecer en algún programa relacionado con bots), registrarse e iniciar el bot. Los estafadores también ofrecían a la víctima un “asesoramiento gratuito” durante el proceso de registro, durante el cual es muy probable que usaran ingeniería social para convencerle de que les diera su dinero.

Para ser más exactos, debajo del formulario de registro afirmaban que los residentes de algunos países todavía no podían utilizar el bot, pero sí estar atentos a las actualizaciones. Tras registrarse, según las instrucciones, el participante en el proyecto tenía que “invertir la cantidad recomendada” para empezar a ganar. Si el usuario seguía esta recomendación, lo más probable es que perdiese su dinero.

En una estafa en portugués, cierto profesor de matemáticas pregonaba que había creado una aplicación para mejorar las posibilidades de ganar la lotería y ofrecía venderla a quien estuviera interesado.

En Telegram, se animaba a los usuarios a monetizar las visualizaciones de historias y videos.

En todos los casos el esquema era casi el mismo: se ofrecía al usuario ir al canal de los estafadores, donde le confirmaban la cantidad ganada, y al intentar retirar el dinero ofrecían obtener ingresos adicionales enviando información sobre este “programa” a sus amigos, es decir, atraer a nuevas víctimas a la trampa de los ciberdelincuentes. A continuación, se informaba al usuario de que “la solicitud se había pasado al departamento de pago para su procesamiento” y, al cabo de un rato, se le pedía que pagara una pequeña comisión. Pero, como era de esperarse, ni el “importe ganado” ni los “ingresos adicionales” llegaban a manos del usuario.

Además de la propagación de estafas a través de mensajeros, hemos visto estafas que utilizan las redes sociales como trampa. Por ejemplo, hacer crecer la cantidad suscriptores en la recién lanzada red social Threads puede parecer una propuesta lucrativa para algunos. Al usuario se le decía que bastaría con introducir un nombre de usuario y demostrar que no es un robot, y que el número de suscriptores seleccionado aparecería en ese instante en su perfil. Sin embargo, el formulario de inscripción estaba en una página web falsa y, cuando el usuario hacía clic en Verificar ahora, se lo remitía a un sitio fraudulento. Y ningún nuevo suscriptor aparecía en su cuenta.

Cómo burlar la autenticación de dos factores

Muchos sitios web serios han introducido la autenticación de dos factores para proteger las cuentas de sus clientes de los piratas informáticos. Por regla general, para acceder a una cuenta personal en un recurso de este tipo, el usuario debe introducir primero un nombre de usuario y una contraseña, y después un código de un solo uso que llega al teléfono, por correo, en una notificación automática o se genera en una aplicación especial. Los ciberdelincuentes intentan superar este obstáculo para apoderarse de las cuentas. Así, en una página falsa de un banco ruso que ofrecía participar en una promoción y recibir 6000 rublos, primero se le pedía al visitante un nombre de usuario y una contraseña.

El bot, tras recibir los datos introducidos los enviaba a la página real de la tienda, que solicitaba un código del SMS. Al mismo tiempo, en la página fraudulenta también aparecía un formulario para introducir el código.

Una vez recibido el código del SMS, el bot lo enviaba al sitio real, y la cuenta personal de la víctima quedaba a merced de los estafadores.

La inteligencia artificial al servicio de los estafadores

En 2023, la inteligencia artificial generativa fue la “tecnología del año”. Los estafadores cibernéticos usaron este tema en su beneficio. Publicaron “chats GPT” en sitios web falsos supuestamente capaces de diagnosticar problemas informáticos, ayudar a ganar dinero, etc. Pero en realidad los atacantes no conectaban ningún modelo al sitio, sino que sólo utilizaron un tema popular para interesar a las víctimas potenciales y conseguir un botín mayor.

Una de estas páginas, que simulaba ser un sitio de Microsoft, advertía al visitante de que su ordenador estaba infectado con un troyano. Le aconsejaba al usuario que no reiniciara ni apagara el dispositivo hasta que se resolviera el problema para evitar la pérdida de datos.

Y proponía dos formas de resolver el problema: llamando a la línea directa o chateando con Lucy, la “inteligencia artificial”. En el segundo caso, había que seleccionar un método para diagnosticar el dispositivo, tras lo cual el bot decía que no podía resolver el problema y recomendaba llamar al servicio de asistencia. Por supuesto, el teléfono no pertenecía a Microsoft, y al otro lado de la línea eran unos estafadores profesionales los que esperaban al cliente.

Por supuesto, también se usaban “chatbots inteligentes” como “consejeros” para aprender a ganar dinero en Internet. Por ejemplo, en un sitio web, un bot que afirmaba haber sido desarrollado por Ilon Musk anunciaba sus servicios sobre inversiones efectivas. Tras decirle que podía hacerlo rico rápidamente, el robot preguntaba a su nuevo cliente por su educación, nivel de ingresos y experiencia en inversiones.

Sin fijarse en las respuestas, el bot informaba al cliente de que la IA proporcionaría todas las ganancias por sí sola. A continuación, mostraba la cantidad que podía ofrecer al usuario y le ofrecía inscribirse con sólo facilitar sus datos de contacto. Después, los acontecimientos se desarrollaban igual que en otros esquemas similares: la “inteligencia artificial” exigía una pequeña suma como recompensa por sus capacidades intelectuales, para luego desaparecer en el espacio virtual.

El spam en 2023

Estafas

A mediados de la primavera (del hemisferio norte) de 2023, en el segmento ruso de Internet se inició un envío masivo de estafas camufladas de un proyecto de inversión de un banco ruso. El mensaje ofrecía al destinatario ganar varios cientos de miles de rublos sin mucho esfuerzo. Al hacer clic en el enlace, la víctima era conducida al sitio web del “proyecto”, donde primero debía responder a preguntas sobre su experiencia de inversión y después dejar un número de teléfono y una dirección de correo electrónico para recibir más información. Más tarde, los estafadores llamaban al número facilitado por la víctima y le ofrecían crear un monedero para realizar las inversiones. Pero la víctima no podrá ganar dinero con la ayuda de este monedero: los fondos que depositaba caían en manos de los estafadores. En algunos casos, tras introducir los datos, se remitía a la víctima a sitios web dudosos, como una “empresa de corretaje” ficticia. Si un usuario ingresaba dinero en la cuenta de una empresa de este tipo, lo más probable es que no pudiera recuperarlo.

Durante la campaña, los spammers cambiaban muchos aspectos del formato de los correos electrónicos: colocaban un enlace en un archivo adjunto o en el cuerpo del mensaje y pedían a los interesados que lo respondieran. El texto también variaba mucho, y en algunos correos no había texto alguno y aparecían y desaparecían elementos gráficos como el logotipo del banco. Los estafadores siguen enviando cartas similares hasta ahora, cambiando de tanto en tanto su diseño.

Fraude con criptomonedas

Los spammers utilizaron activamente el tema de la criptomoneda como cebo. Por ejemplo, los estafadores enviaban cartas advirtiendo a las víctimas potenciales del cierre inminente de una determinada cuenta y les exigían que retiraran dinero de ella lo antes posible.

Al hacer clic en el enlace, el destinatario de la carta descubría que en el pasado había (supuestamente) creado una cuenta en una plataforma de minería de bitcoins y ya había ganado varias decenas de miles de dólares desde entonces. Sin embargo, tenía que pagar una modesta comisión para retirar los fondos. Por supuesto, no existía ninguna cuenta con una cantidad sustancial de dinero, y el verdadero objetivo de los estafadores era recibir la “comisión”.

En un envío masivo realizado en noviembre detectamos esquema similar, pero con una historia más original. Unos estafadores de Internet supuestamente abrieron una cartera de criptomoneda en nombre del usuario y le transfirieron criptomoneda ganada de forma ilegal. Los estafadores habían sido atrapados, pero la criptomoneda seguía en la cuenta, y el destinatario del correo electrónico podía retirarla.

Se sugería discutir el proceso con el “servicio de atención al cliente” en el mensajero WhatsApp. El “especialista de soporte” en el curso de la comunicación exigía un escaneo del documento de identidad, después de lo cual “permitiría” retirar dinero de la cuenta. Pero claro, había que pagar un porcentaje.

Fraude caritativo

Ya es una tradición que los autores exploten acontecimientos mundiales de gran repercusión en un intento de sacar provecho del sufrimiento humano y del deseo de ayudar al prójimo. Por ejemplo, en la segunda quincena de febrero de 2023, registramos varios correos en los que se pedía al destinatario que transfiriera dinero a un monedero bitcoin para ayudar a las víctimas del terremoto en Turquía.

En octubre, los estafadores enviaban cartas pidiendo ayuda para las víctimas del conflicto entre Israel y Hamás.

Mientras que en el primer caso el número del monedero de los atacantes figuraba en el mensaje, los correos de octubre contenían un enlace a un sitio web donde ya se podían encontrar varios monederos en diversas criptodivisas. Lo interesante es que los estafadores habían creado varios sitios web para ayudar a distintas partes en conflicto, pero con los mismos números de monedero. Sin embargo, también se encontraron cartas clásicas que contenían el número de billetera en el texto.

Extorsión

El año 2023 no estuvo exento de cartas de extorsión. Por ejemplo, en diciembre descubrimos un correo en el que los atacantes amenazaban con enviar videos íntimos a los seres queridos del destinatario, supuestamente tomados tras hackear el dispositivo. Afirmaban haber capturado la cámara y el micrófono de la computadora de la víctima y hecho grabaciones de pantalla. A continuación, habían editado el video combinando grabaciones de la pantalla y del comportamiento de la persona frente a la computadora. Como rescate por no distribuir el video, exigían a la víctima que transfiriera dinero en bitcoins a la cartera de criptomonedas indicada. El esquema en sí no es nada nuevo: el chantaje que amenaza con “sacar los trapos sucios” es un tipo de fraude en línea conocido desde hace tiempo. En 2023, sin embargo, se lo ejecutó de una forma un poco diferente. En primer lugar, el mensaje no contenía los detalles del “hackeo” y las exigencias de los atacantes, sino un enlace que la víctima tenía que seguir para verlos en una página web. En segundo lugar, esta vez los atacantes intentaron dar más credibilidad a su leyenda añadiendo a las cartas los datos personales del destinatario, como el nombre completo, número de teléfono, NIF y otra información pertinente. Probablemente obtuvieron todo esto de bases de datos publicadas en la darknet. Por supuesto, esto repercutió en la masividad del envío: normalmente este tipo de mensajes se envían por millones, pero esta vez sólo registramos unos cientos.

Durante el verano, descubrimos otro curioso correo que exigía transferir dinero a un monedero bitcoin. Las cartas en francés estaban diseñadas como cualquier otra carta de chantaje (envío de videos íntimos, amenazas en nombre de la policía, amenazas de difamar la reputación de la empresa en Internet), pero los atacantes fueron más allá y esta vez amenazaban de muerte al destinatario. El remitente se presentaba como un sicario profesional que había sido contratado para envenenar al destinatario de la carta. Pero mientras acechaba a su posible víctima, se dio cuenta de que le habían ordenado matar a un buen hombre. Como resultado, el sicario estaba dudando en cumplir la orden. Pero no estaba dispuesto a renunciar al asesinato, y ofrecía al destinatario pagarle transfiriendo dinero a la billetera de criptomoneda especificada en la carta.

Archivos adjuntos maliciosos

Para propagar archivos maliciosos, en 2023 los estafadores siguieron disfrazando sus envíos de correos electrónicos de organismos gubernamentales. En marzo, por ejemplo, descubrimos un envío masivo realizado en nombre de un organismo oficial. Los atacantes pedían verificar los datos acerca de los empleados en la base de datos de la institución. Pero en vez de la lista de empleados se enviaba un software malicioso. Para convencer a la víctima de que abriera el archivo adjunto sin pensárselo más, los atacantes hacían hincapié en que la información actualizada debía enviarse con urgencia, ya que de lo contrario el destinatario podría incurrir en responsabilidad administrativa. El grueso de dichas cartas estaba dirigido al personal de recursos humanos y finanzas.

A mediados de agosto, los usuarios fueron atacados mediante un envío masivo en nombre de la comisión investigadora. En la dirección del remitente, los atacantes utilizaban dominios similares a los oficiales, y el texto de la carta contenía la petición de familiarizarse con los materiales de un caso penal, en el que el destinatario es supuestamente testigo, y de informar sobre la posibilidad de comparecer ante el tribunal para testificar. Para ver los “materiales” había que hacer clic en un enlace que llevaba a un sitio de intercambio de archivos. Para ser convincente, la carta contenía los datos personales del destinatario, probablemente obtenidos de una de las filtraciones de datos personales.

A lo largo del año vimos envíos malintencionados en nombre de personas con las que los destinatarios ya hacen negocios. La mayor parte de los correos ya contenían el texto de una correspondencia anterior, a la que los atacantes respondían con un mensaje que supuestamente contenía un documento comercial, como un contrato, una factura, etc. Para verlo, había que abrir el archivo adjunto y hacer clic en el enlace, que descargaba un código malicioso en la computadora del usuario. Los atacantes han fueron cambiando activamente la forma en que se transmitían los contenidos peligrosos. Por ejemplo, en algunos correos electrónicos usaron un archivo protegido por contraseña, en otros era un enlace en un archivo PDF adjunto o incluso un archivo HTML adjunto. Mientras que a principios de año distribuyeron activamente Qbot, a mediados de mayo encontramos varios miles de correos electrónicos similares con un enlace para descargar el troyano PikaBot. Más adelante, vimos otros programas maliciosos que se propagaron siguiendo el mismo patrón.

A lo largo del año, hemos visto intentos de los atacantes de atacar a propietarios y empleados de hoteles. Estos recibían cartas supuestamente escritas por huéspedes, antiguos o potenciales. Por regla general, la carta trataba o bien de resolver un problema con el que se había encontrado el huésped (le cobraron dos veces, el personal fue grosero, malas condiciones de alojamiento), o bien de aclarar información sobre los servicios del hotel (posibilidad de prestar servicios adicionales, aclarar el costo, etc.).

En algunos casos, los atacantes intercambiaban primero varios correos electrónicos “limpios” con la dirección del hotel, y sólo después enviaban un enlace para descargar los archivos maliciosos. Varias amenazas se propagaron de esta forma, como el troyano Xworm o el stealer RedLine.

List linking

Según nuestras observaciones, los ataques DoS como el “list-linking”, o el bombardeo por correo, se hicieron más frecuentes este año. El ataque consiste en lo siguiente: los atacantes registran el buzón de la víctima en numerosos sitios legítimos, tras lo cual se envían al buzón miles de notificaciones automáticas con la confirmación del registro. Esto supone una pesada carga para el servidor de correo del destinatario e imposibilita el trabajo normal con el buzón atacado. Si una bandeja de entrada compartida para comunicarse con clientes o socios, por ejemplo, se ve comprometida, puede paralizar toda la organización. La dificultad para contrarrestar estos ataques radica en que los correos electrónicos son perfectamente legales, al igual que los sitios desde los que se envían.

Ataques selectivos de phishing y BEC en 2023

Con el desarrollo de las redes neuronales y, en particular, de los sistemas de inteligencia artificial generativa (por ejemplo, ChatGPT), a los atacantes les resulta cada vez más fácil componer textos competentes para lanzar ataques de phishing selectivos. Mientras que antes de 2023 las cartas BEC se caracterizaban no sólo por errores gramaticales, sino también por un analfabetismo estilístico general y una escasa cantidad de texto, ahora en la mayoría de los casos el texto de las cartas se ajusta mucho más al formato de la correspondencia comercial.

Aparte del inglés, los atacantes enviaron a las víctimas potenciales más correos electrónicos en su lengua materna, independientemente de su prevalencia. También puede haber influido la aparición de grandes modelos lingüísticos (LLM) a disposición del público, capaces de producir textos en multitud de lenguas, incluyendo las menos comunes.

Otras tendencias del phishing por correo electrónico en 2023

Ofuscación

Los atacantes seguían ideando nuevas formas de ofuscar los correos electrónicos para eludir los filtros de contenido. En particular, nos encontramos con correos electrónicos cuyos autores utilizaron el código Right-To-Left Override Code (&#8238), que cambia la dirección de escritura de derecha a izquierda, y escribía el texto al revés. Al abrir un correo de este tipo, el usuario verá un mensaje “reflejado”, y el filtro de palabras clave no funcionará, porque todas las palabras del texto original del correo estarán invertidas.

Códigos QR

Los correos electrónicos con códigos QR que conducían a recursos fraudulentos pueden calificarse como una de las principales tendencias de 2023 en los ataques de phishing por correo electrónico. Si a principios de año la gran mayoría de los correos electrónicos eran notificaciones falsas enviadas en nombre de Microsoft, a finales de año las tácticas de los atacantes cambiaron y empezaron a ofrecer escanear un código QR supuestamente enviado por muchas organizaciones diferentes.

IPFS

El uso de sistemas IPFS para alojar páginas de phishing también fue una de las tendencias importantes de 2023. Además de los correos masivos, este método de alojamiento también empezó a utilizarse en ataques de phishing selectivo dirigidos a empresas concretas.

Estadísticas: Spam

Porcentaje de spam en el tráfico de correo

En 2023, el porcentaje medio de spam en el tráfico mundial de correo electrónico se redujo en 3,03 puntos porcentuales con respecto al periodo del informe anterior, situándose en el 45,60%. El porcentaje más bajo de spam se observó a principios de año: 42,68% en enero y 42,88% en febrero. Un promedio de 42,93% de los correos electrónicos fueron spam en el primer trimestre. Por el contrario, el segundo trimestre fue el más activo, ya que el correo basura representó el 48,00% del tráfico de correo electrónico durante este periodo. En mayo, esta cifra alcanzó un máximo del 49,94%.

Porcentaje de spam en el tráfico mundial de correo en 2023 (descargar)

Como es habitual, la actividad de los spammers en el segmento ruso de Internet fue mayor que en el resto del mundo. En promedio, el 46,59% de los correos electrónicos fueron spam en 2023, un 5,85% menos que en 2022. Al mismo tiempo, como en el resto del mundo, el primer trimestre fue el más tranquilo. Durante este periodo, el promedio de spam en el tráfico de correo electrónico del sector ruso de Internet fue incluso inferior a la media mundial: 42,88%. El mes más tranquilo en el segmento ruso de Internet fue febrero, cuando el spam representó sólo el 42,47% de todo el tráfico. El aumento de la actividad de los remitentes de spam se produjo en mayo y junio, cuando la proporción de correos basura superó la mitad con un 52,46% y un 52,12%, respectivamente. En promedio, uno de cada dos correos electrónicos del segundo trimestre fue spam.

Porcentaje de spam en el tráfico de correo en el segmento ruso de Internet en 2023 (descargar)

Países y territorios fuentes de spam

La cuota de spam procedente de Rusia volvió a aumentar hasta el 31,45% en 2023. El segundo puesto fue para Estados Unidos (11,30%), cuya cuota también aumentó ligeramente. Pero el spam de China continental (10,97%) bajó en 3 puntos porcentuales respecto al año anterior.

TOP 20 de países y territorios fuentes de spam, 2023 (descargar)

La cuota de Alemania (3,25%) siguió disminuyendo, mientras que la del spam procedente de Japón (3,63%) subió ligeramente hasta ocupar el cuarto puesto. El spam brasileño (2,84%) sufrió leves pérdidas, pero subió del séptimo al sexto puesto, ubicándose por delante del spam neerlandés (2,54%). En el octavo puesto tenemos a Kazajistán (2,51%), país que no figuraba entre los 20 primeros un año antes, mientras que el noveno y décimo puesto fueron para India (2,02%) y Corea del Sur (1,55%), respectivamente.

Archivos adjuntos maliciosos

Nuestras soluciones en 2023 respondieron a 135 980 457 intentos de abrir archivos adjuntos maliciosos. Al igual que la proporción de spam en el tráfico de correo electrónico, el número de activaciones de antivirus de correo electrónico fue relativamente bajo a principios de año, alcanzando su máximo en mayo y junio.

Número de detecciones del antivirus de correo electrónico, 2023 (descargar)

Los troyanos de la familia Badur fueron los que con mayor frecuencia se enviaron por correo electrónico (7,24%). Esta familia incluye archivos PDF con enlaces a recursos web dudosos. En segundo lugar se situaron los stealers Agensla (5,98%), cuya cuota siguió disminuyendo. La familia de troyanos Badun (4,72%), que se hacen pasar por documentos electrónicos y se propagan en archivos, se mantuvo en el tercer lugar.

El TOP 10 de familias de malware que se propagan como adjuntos de correo electrónico, 2023 (descargar)

La familia de programas espía Noon (3,37%) cayó al cuarto puesto, y los exploits de vulnerabilidades en el componente Equation Editor volvieron a intercambiar posiciones, con CVE-2017-11882 (3,06%) subiendo al quinto puesto y CVE-2018-0802 (2,33%) cayendo al noveno.

En 2023, los atacantes enviaron con bastante frecuencia formularios de phishing como adjuntos HTML, que nuestras soluciones detectan con el veredicto Hoax.HML.Phish (3,01%). El troyano Makoob (2,41%), que antes no figuraba entre los archivos adjuntos de correo electrónico más comunes, también se puso de moda. Además, hubo un ligero aumento en la proporción de archivos adjuntos que contenían la familia Taskun (2,80%), que se caracteriza por crear tareas maliciosas en el Programador de tareas, mientras que, por otro lado, las imágenes de disco ISO maliciosas (2,16%) fueron menos populares entre los atacantes que en 2022.

TOP 10 de programas maliciosos que se propagan como adjuntos de correo electrónico, 2023 (descargar)

La distribución de las amenazas específicas es, como de costumbre, casi exactamente la misma que la distribución de las familias. La única diferencia es que el miembro más común de la familia Taskun (2,73%) se envió con más frecuencia que el tipo más común de adjuntos HTML de phishing (2,48%).

Países y territorios objetivo de los correos maliciosos

En 2023, el antivirus de correo electrónico se activó con mayor frecuencia en dispositivos ubicados en Rusia (16,72%). La cuota de este país entre los objetivos de spam malicioso aumentó más del doble desde 2022. España (9,53%) descendió al segundo puesto, a pesar de que su cuota también aumentó. Los usuarios de México (5,99%) se toparon con archivos adjuntos maliciosos casi con la misma frecuencia que un año antes, mientras que la cuota de Brasil (2,63%) se redujo a casi la mitad.

El TOP 20 de países y territorios más atacados por correos electrónicos maliciosos, 2023 (descargar)

Turquía (5,04%) ocupó el cuarto lugar en cuanto a detecciones realizadas por el antivirus de correo en 2023. Vietnam (4,37%) e Italia (3,18%) intercambiaron posiciones, mientras que Alemania (2,92%), EAU (2,90%) y Malasia (2,70%) subieron un puesto.

Estadísticas: Phishing

Los ataques de phishing volvieron a aumentar en 2023, y las soluciones de Kaspersky bloquearon 709 590 011 intentos de hacer clic en enlaces fraudulentos. Salvo un repunte de la actividad de phishing en mayo y junio, el número de ataques creció de forma constante a lo largo del año.

Número de activaciones del sistema Antiphishing, 2023 (descargar)

Geografía de los ataques de phishing

Los usuarios vietnamitas (18,91%) fueron los que más veces se enfrentaron al phishing. Perú ocupa el segundo lugar (16,74%), seguido de Taiwán (15,59%), Lesoto (15,42%) y Ecuador (15,29%), con una pequeña diferencia entre ellos. Grecia ocupa el sexto lugar (14,97%) y Malawi el séptimo (14,91%). Completan el TOP 10 de países y territorios más afectados por el phishing Portugal (14,07%), Sri Lanka (14,04%) y Palestina (13,89%).

TOP 10 de países y territorios por porcentaje de usuarios atacados:

País/territorio	Proporción de usuarios atacados (%) *
Vietnam	18,91%
Perú	16,74%
Taiwán	15,59%
Lesotho	15,42%
Ecuador	15,29%
Grecia	14,97%
Malawi	14,91%
Portugal	14,07%
Sri-Lanka	14,04%
Palestina	13,89%

* Proporción de usuarios de Kaspersky que han sufrido phishing, del total de usuarios de Kaspersky en el país o territorio, 2023

Dominios de nivel superior

La zona de dominio más común donde los atacantes alojan sus sitios de phishing en 2023, como es habitual, fue la zona COM (19,65%). En segundo lugar se encuentra el dominio de nivel superior CLUB (5,79%), anteriormente impopular entre los atacantes. El tercero es TOP (5,46%) y el cuarto es IO (2,57%), un dominio de los Territorios Británicos del Océano Índico que, sin embargo, ha ganado popularidad entre las empresas de TI de todo el mundo y tiene una segunda interpretación, “organización de Internet”. La mayoría de las veces, este dominio es utilizado por estafadores especializados en estafas relacionadas con criptomonedas.

Zonas de dominio de nivel superior que alojan la mayoría de las páginas de phishing, 2023 (descargar)

La quinta zona de dominio más popular entre los atacantes es la zona de dominio XYZ (2,50%). Los sitios de phishing también se alojaron activamente en la zona de dominio APP (1,58%), que Google posiciona como zona de dominio para aplicaciones web, la zona rusa RU (1,44%) y los dominios globales ORG (1,40%), NET (1,23%) y SITE (1,20%).

Organizaciones blanco de ataques de phishing

La clasificación de las organizaciones atacadas por los phishers se basa en la activación del componente determinista del sistema Antiphishing en los equipos de los usuarios. Este componente detecta páginas con contenido phishing que el usuario intentó visitar siguiendo enlaces en mensajes o en Internet, si los enlaces a estas páginas ya estaban disponibles en las bases de datos de Kaspersky.

Las páginas de phishing que fingen ser portales globales de Internet (16,46%) volvieron al primer puesto en 2023 en cuanto a intentos de visita. Los atacantes también se interesaron por los usuarios de servicios web más pequeños (14,66%). Otro 12,22% de los ataques de phishing iban dirigidos a usuarios de compras en línea.

Distribución de organizaciones cuyos usuarios fueron atacados por phishers, 2023 (descargar)

Los bancos (11,29%) ocupan el cuarto lugar en 2023, y los servicios de reparto (8,30%) el quinto. Además, los delincuentes atacaron cuentas de redes sociales (6,96%), mensajeros (6,32%) y juegos en línea (5,24%). Entre las diez primeras categorías de organizaciones cuyos usuarios son atacados con más frecuencia por los estafadores se encuentran también los sistemas de pago (5,83%) y los recursos relacionados con las criptomonedas (5,24%).

Phishing en Telegram

Las estadísticas sobre phishing en mensajeros se basan en datos anonimizados del componente “Mensajería segura” de las soluciones de Kaspersky para Android, facilitados voluntariamente por los usuarios de la solución. La “Mensajería segura” comprueba los mensajes entrantes y bloquea los intentos de hacer clic en los enlaces fraudulentos y de suplantación de identidad que contienen.

En 2023, las soluciones de Kaspersky impidieron 62 127 clics en enlaces de phishing y estafas en Telegram. Esto es un aumento del 22% con respecto a 2022. Se bloqueó un promedio de 170 ataques de phishing al día. A lo largo del año, la actividad de phishing en este sistema de mensajería cambió de forma insignificante, salvo por un repunte a finales de mayo.

Dinámica de la actividad de phishing en el mensajero Telegram, 2023 (descargar)

Este pico puede estar relacionado con la actividad de phishing dirigida a robar cuentas de Telegram, que, según nuestros datos, aumentó notablemente entre el 19 de mayo y el 5 de junio de 2023. Los enlaces fraudulentos destinados a robar cuentas de Telegram suelen distribuirse en chats y canales de este mensajero.

Número de ataques de phishing dirigidos a usuarios de Telegram, mayo-junio de 2023 (descargar)

Nuestras soluciones impidieron la mayoría de los intentos de hacer clic en enlaces de phishing y estafas en los dispositivos de usuarios de Rusia, al igual que hace un año. En segundo lugar se mantuvo Brasil, donde se duplicó el número de ataques de phishing bloqueados, seguido de Turquía, India, Alemania e Italia, donde también aumentó la actividad de phishing en Telegram. En séptimo lugar se ubicaron esta vez los usuarios de México, que desplazaron a Arabia Saudí del TOP 7.

TOP 7 de países y territorios donde los usuarios hacen clic con más frecuencia en enlaces de phishing desde Telegram, 2023 (descargar)

Conclusión:

La adopción generalizada de tecnologías con bots de ChatGPT incorporados dará a los estafadores nuevos temas para sus tramas de fraude a los usuarios. Es probable que nos encontremos con esquemas similares muchas más veces en un futuro próximo. Al mismo tiempo, es poco probable que los atacantes abandonen las técnicas que han demostrado funcionar bien a través del tiempo. Los lanzamientos, eventos y estrenos de gran repercusión y gran expectación seguirán generando sitios de phishing y estafas para quienes deseen acceder a los nuevos productos de forma más barata o anticipada.

Quienes ganan dinero con criptomonedas y otras inversiones también deben mantener los ojos bien abiertos, ya que cada vez es más difícil distinguir los sitios fraudulentos de los recursos legítimos. Además, se recomienda estar especialmente atento durante el periodo previo a las vacaciones y durante las rebajas a gran escala: cuando un usuario tiene prisa por comprar muchas cosas a la vez, es mucho más fácil hacerle caer en una trampa. Por último, la ampliación del conjunto de herramientas de los mensajeros les permite ir relegando a un segundo plano la comunicación a través de las redes sociales. A medida que crezca la demanda de mensajeros, también aumentará el interés de los ciberdelincuentes por ellos.

En el sector empresarial, es probable que los atacantes sigan enviando correos electrónicos de phishing y BEC en diferentes idiomas generados utilizando grandes modelos lingüísticos. El historial de correspondencia de las cuentas de correo electrónico comprometidas también seguirá utilizándose en campañas de phishing malintencionadas y selectivas. Es probable que la gama de programas maliciosos que se distribuyen de esta forma se amplíe en el futuro.