Investigadores de ESET España han detectado una nueva campaña de correos fraudulentos que utilizan supuestas devoluciones y pagos de impuestos para infectar equipos y robar credenciales, especialmente en entornos empresariales.
Correos fraudulentos con señuelos fiscales
Una nueva oleada de correos electrónicos está suplantando a la Agencia Tributaria y a otras entidades relacionadas con la gestión de impuestos con el objetivo de robar credenciales empresariales. Así lo han detectado investigadores de ESET España, que alertan de una campaña activa orientada a la infección de equipos y al acceso no autorizado a redes corporativas.
Los mensajes utilizan como gancho supuestas devoluciones del IRPF, pagos pendientes o notificaciones vinculadas al IVA. Estos asuntos aprovechan la preocupación que generan las obligaciones fiscales tanto en empresas como en autónomos. Los correos suelen ser muy breves e incluyen archivos adjuntos, con el fin de generar urgencia y provocar que la víctima los abra sin comprobar su legitimidad.
Una campaña coordinada con el mismo malware
Según el análisis realizado por ESET, aunque los correos emplean plantillas distintas y aparentan proceder de remitentes diferentes, los archivos adjuntos distribuyen la misma amenaza. Este patrón indica que se trata de una campaña coordinada que reutiliza el mismo malware con distintos señuelos relacionados con la fiscalidad.
Malware especializado en el robo de información
Una vez ejecutado el archivo malicioso, el sistema queda infectado por una combinación de amenazas ya conocidas. En primer lugar, se utiliza GuLoader, también conocido como CloudEye, un cargador encargado de desplegar la carga final. En este caso, la amenaza principal es Snake o VIP Keylogger, un malware especializado en el robo de credenciales.
Este tipo de software malicioso busca credenciales almacenadas en clientes de correo electrónico, navegadores web, redes privadas virtuales, clientes FTP y otros servicios corporativos. También puede acceder a plataformas digitales y, en algunos casos, a carteras de criptomonedas. La información recopilada se envía posteriormente a los atacantes a través de distintos métodos, como correos electrónicos enviados desde servidores comprometidos.
Riesgos para la seguridad empresarial
Desde ESET advierten de que el robo de credenciales suele ser la puerta de entrada a incidentes de seguridad más graves. Con accesos válidos a cuentas corporativas, los atacantes pueden infiltrarse en la red de la empresa, sustraer información confidencial, lanzar ataques de ransomware o extorsionar a la organización con la amenaza de filtrar datos sensibles.
El director de investigación y concienciación de ESET España, Josep Albors, señala que el uso de temas fiscales como gancho sigue siendo especialmente efectivo y que este tipo de correos no solo buscan infectar un equipo, sino comprometer a toda la organización mediante el acceso a sus sistemas.
Recomendaciones para reducir el riesgo
Para minimizar el impacto de este tipo de campañas, ESET recomienda desconfiar de correos que notifiquen pagos, devoluciones o incidencias fiscales inesperadas. También aconseja no abrir archivos adjuntos ni enlaces sin verificar previamente la legitimidad del remitente, formar y concienciar a los empleados sobre estas amenazas y contar con soluciones de seguridad actualizadas capaces de detectar y bloquear correos maliciosos y malware.
La detección temprana y la prevención siguen siendo claves para evitar que una campaña de phishing derive en un incidente grave de seguridad para las empresas.
