En los últimos días, INCIBE ha detectado una campaña de distribución de malware que aprovecha la confianza de los ciudadanos en la Fábrica Nacional de Moneda y Timbre (FNMT) para introducir software malicioso en sus dispositivos a través de un falso certificado digital. Este ataque, dirigido mediante una campaña de phishing, busca que los usuarios descarguen y ejecuten un archivo adjunto en correos electrónicos falsificados que simulan ser comunicaciones oficiales de la FNMT.
El malware ha sido distribuido por correo electrónico, por lo que cualquier persona que haya recibido y ejecutado el archivo adjunto se convierte en un posible afectado. Al abrir el archivo, el equipo de la víctima queda expuesto a un malware que compromete tanto su integridad como la seguridad de la información que contiene.
Este ataque ha demostrado el creciente ingenio de los ciberdelincuentes para suplantar a instituciones de confianza como la FNMT, cuya actividad principal es la emisión de certificados digitales seguros para personas y empresas. La legitimidad de este tipo de instituciones se convierte en una fachada ideal para engañar a los usuarios y hacerles creer que están recibiendo una comunicación oficial y segura.
¿Cómo funciona el ciberataque a la FNMT?
El ataque suplantando a la FNMT para distribuir malware comienza con un correo electrónico que informa al destinatario que puede descargar un supuesto “certificado digital” vinculado a su NIF (Número de Identificación Fiscal). La comunicación es altamente convincente, ya que utiliza la identidad visual de la FNMT y un asunto del correo que sugiere una notificación importante, como “Disponibilidad del certificado FNMT-RCM”. Estos elementos de ingeniería social buscan generar una respuesta rápida e impulsiva, en lugar de un análisis crítico de la veracidad del mensaje.
El archivo adjunto en el correo no es un certificado digital legítimo, sino un archivo ejecutable disfrazado de archivo .iso, que contiene el malware conocido como GuLoader/VIPKeyLogger. Este tipo de malware tiene varias funciones, entre las cuales se incluyen:
- Captura de datos sensibles como contraseñas, identificaciones, e incluso capturas de pantalla.
- Control del dispositivo de la víctima, permitiendo a los atacantes manipular archivos, aplicaciones y configuraciones del equipo.
- Robo de información personal, que luego se utiliza para otros fraudes o ventas en mercados de información ilegal.
Un análisis realizado en plataformas de ciberseguridad como VirusTotal muestra que este archivo es identificado como un virus troyano altamente peligroso. Asimismo, un análisis adicional con Triage califica la peligrosidad del archivo en un nivel de 10 sobre 10, confirmando la gravedad de la amenaza.
Consecuencias de la infección
Una vez ejecutado el archivo, el malware se instala en el dispositivo y comienza a recopilar información personal, poniendo en riesgo no solo al usuario afectado, sino también a otros dispositivos de su red. Las posibles consecuencias incluyen:
- Robo de identidad: La información sustraída puede ser utilizada para suplantar la identidad del usuario y cometer fraudes.
- Pérdida de control del dispositivo: Los atacantes pueden manipular el equipo para realizar otras actividades ilícitas.
- Riesgo de propagación: Si el dispositivo infectado está conectado a una red doméstica o de oficina, el malware podría intentar infectar otros dispositivos conectados a la misma red.
Además, la información robada suele ser vendida en la dark web o utilizada en campañas de spam y otros delitos cibernéticos, perpetuando el ciclo de vulnerabilidades y afectando la seguridad digital de más personas.
¿Qué hacer en caso de haber recibido el correo?
En caso de recibir un correo similar, pero no haber descargado ni ejecutado el archivo, la recomendación principal es:
- Marcar el correo como spam y eliminarlo de inmediato. De esta forma, se reduce el riesgo de ejecutarlo accidentalmente en el futuro.
Si el archivo ha sido descargado, pero no se ha ejecutado, los pasos a seguir son:
- Eliminar el archivo de la carpeta de Descargas.
- Vaciar la Papelera de Reciclaje para asegurar que no quede ninguna copia del archivo en el dispositivo
