Imagina que estás ingresando tus datos personales en un sitio web que crees que es oficial, solo para descubrir más tarde que has sido víctima de un fraude. Este escenario desafortunadamente se hizo realidad para muchos ciudadanos mexicanos cuando hackers rusos lanzaron un ataque masivo contra la Secretaría de Relaciones Exteriores (SRE) y el Servicio de Administración Tributaria (SAT). En apenas una semana, se han detectado numerosos sitios web originados en Rusia que intentan suplantar a los portales oficiales del gobierno de México para engañar a los usuarios.
En la última semana, más de diez sitios web que imitan las páginas oficiales de citas de la Secretaría de Relaciones Exteriores (SRE) han sido creados desde Rusia. Estos sitios falsos representan un riesgo significativo al poder robar la información personal de los mexicanos que buscan tramitar su pasaporte.
Todos estos sitios utilizan dominios que se asemejan a los del gobierno de México y comparten la misma dirección IP registrada en Moscú, Rusia. Esto indica una operación coordinada desde territorio ruso, posiblemente apoyada por grupos de ciberdelincuentes especializados en phishing. Estos sitios se presentan como el servicio oficial de citas para pasaportes, replicando fielmente la identidad visual del sitio original e incluso ofreciendo una pasarela de pago para el trámite.
Aunque la opción de pagos aún no está activa, el objetivo principal de quienes crean estos sitios ya se ha cumplido: robar datos confidenciales de los usuarios. Este tipo de ataque, conocido como "pharming", es una táctica común utilizada para obtener información personal y financiera.
Sitio falso que suplanta a la SRE
Conoce más sobre: Detecta si estás en un Sitio Web Pirateado
Entre los dominios que comparten la misma dirección IP se incluyen www[.]hcitas-sre[.]gyob[.]mx, www[.]cita-sre[.]gyob[.]mx y otros. Sin embargo, la campaña de phishing actual se concentra principalmente en citas-sre[.]gyob[.]mx. Todos estos dominios están bajo gyob[.]mx, un dominio creado por el grupo atacante el 27 de junio, lo que indica la reciente activación de esta campaña.
Un análisis detallado reveló que el grupo responsable podría estar preparando nuevas campañas, ya que han registrado en meses anteriores los dominios gbob[.]mx, gvob[.]mx y ghob[.]mx, los cuales podrían ser utilizados para suplantar otros sitios del gobierno de México. Esta expansión en el registro de dominios sugiere una infraestructura significativa destinada a ejecutar ataques de phishing a gran escala.
Te podría interesar leer: Detección de Ataques de Phishing con Wazuh
El grupo responsable de estos ciberataques también ha mostrado interés en obtener información de los ciudadanos a través del Servicio de Administración Tributaria (SAT), al registrar el dominio sat[.]gyob[.]mx. Asimismo, han creado un sitio vinculado a la Secretaría de Medio Ambiente y Recursos Naturales (Semarnat) con la dirección semarnat[.]gyob[.]mx. Esta variedad de objetivos revela una estrategia amplia para maximizar el impacto de sus acciones.
Estos hackers rusos han dedicado esfuerzos significativos a obtener datos de los mexicanos, posiblemente con la intención de comercializar esta información en foros de la dark web o para llevar a cabo actividades delictivas, como el robo de identidad para obtener créditos bancarios.
Conoce más sobre: México: Epicentro de Ciberataques en América Latina
La reciente ofensiva de phishing contra la SRE y el SAT por parte de hackers rusos subraya la importancia crucial de la ciberseguridad. Es fundamental que tanto los usuarios como las instituciones se mantengan alerta y adopten medidas proactivas para protegerse de estas amenazas. Mediante la educación, la implementación de tecnologías avanzadas y la cooperación internacional, se pueden reducir los riesgos y fortalecer la seguridad cibernética en México.
La protección contra el phishing y otros ataques cibernéticos no es solo una responsabilidad de las entidades gubernamentales, sino también de cada usuario que navega por la web. Estar informado y tomar medidas preventivas puede ser la diferencia entre ser una víctima o un usuario cibernéticamente seguro.