Abril debería ser un mes de organización y cumplimiento para millones de contribuyentes en México, pero este año, una amenaza silenciosa pone en riesgo la seguridad digital de miles de personas. Mientras muchos intentan cumplir con su declaración anual, una campaña de malware se propaga mediante mensajes SMS que suplantan al SAT con una precisión inquietante. Solo basta un clic en el enlace falso para que tu computadora quede bajo el control de los atacantes.
Lo más alarmante es que, tras acceder al sitio clonado del SAT, los usuarios son redirigidos automáticamente a versiones falsas de portales bancarios como BBVA, HSBC, Banamex y otros. Este nuevo fraude digital no solo roba datos personales y fiscales, sino también credenciales bancarias y acceso a tus finanzas.
Todo empieza con un mensaje del “SAT”
Todo arranca con un SMS que parece venir del SAT. El texto dice que tienes un citatorio pendiente y te invita a entrar a un sitio llamado avisos-sat.com.mx. A simple vista, suena serio y legítimo. El sitio parece auténtico: tiene el logo oficial, los colores del SAT y hasta un formulario donde te piden un supuesto “número de folio”.
Lo que no te dicen es que da igual qué número pongas. Siempre te aparece una descarga automática: un archivo .zip que trae dentro un archivo con extensión .reg, típico de Windows. Y ahí es donde empieza el verdadero problema.
¿Qué pasa si lo abres?
Si haces doble clic en ese archivo, básicamente le estás dando permiso al malware para modificar cómo se comporta tu computadora. Según un experto en ciberseguridad, ese archivo cambia la forma en que funcionan los accesos directos en tu sistema. Cada vez que haces clic en algo, por detrás se ejecuta un comando escondido que baja otro archivo malicioso… y de ahí, se activa toda una cadena de scripts. Mientras tanto, tú solo ves una pantalla que dice “actualización de Windows”, como si todo fuera normal. Pero en realidad, tu computadora ya está comprometida y bajo control del atacante. Lo peor es que todo esto pasa sin que te des cuenta.
El verdadero truco: La redirección sin que te des cuenta
Lo más peligroso de este virus no es solo que se mete en tu computadora… es lo que hace después. Una vez instalado, empieza a espiar en silencio qué sitios visitas. Y si detecta que intentas entrar a páginas como citas.sat.gob.mx, bbva.mx, hsbc.com.mx o banamex.com, ¡zas! Te redirige solito a una copia falsa del sitio, que se ve igualita a la original, pero que está diseñada para robar tus contraseñas y datos bancarios.
Lo más inquietante es que tú no tienes que hacer nada raro para caer. Aunque escribas la dirección correcta en el navegador, el virus se encarga de mandarte al sitio falso sin que te des cuenta. Eso es justo lo que hace que esta estafa sea tan peligrosa: actúa por detrás, sin que notes que algo anda mal.
Con el malware activo, cualquier visita al SAT o tu banco puede llevarte a un sitio falso (Fuente: Publimeto)
Podría interesarte leer: ¡Alerta! Hackers Filtran más de 100 mil Contraseñas del SAT
¿Qué páginas están en la mira del virus?
Según el análisis, este malware puede interceptar y redirigir el acceso a más de 50 sitios reales. Sí, más de cincuenta. Entre los más importantes están:
-
SAT:
citas.sat.gob.mx -
BBVA:
bbva.mx,bbvanetcash.mx -
HSBC:
hsbc.com.mx,secure.hsbcnet.com -
Banamex:
bancanet.banamex.com,banamex.com -
Además de Banorte, Afirme, Inbursa, Scotiabank, Santander
-
Incluso plataformas de inversión como CIBanco, Masari, Ve por Más, Bansi
-
Y servicios de pago tipo Clip, STP, Invex
El virus tiene este listado dentro de su propio código, lo que muestra lo bien planeado que está el ataque. Los expertos en ciberseguridad han logrado extraer esa información y compartirla públicamente.
El malware: sí, pueden controlar toda tu compu
Una vez que se descarga el archivo malicioso, se instala un programa llamado RAT (Remote Access Tool), y en este caso específico se trata de RuRAT. ¿Y qué hace? Básicamente les da a los atacantes el control total de tu computadora. Literalmente, pueden:
-
Ver todo lo que haces en la pantalla.
-
Robar tus archivos o contraseñas.
-
Instalar más virus sin que te des cuenta.
-
Y hasta meterse a tus sesiones bancarias en tiempo real.
Lo peor es que todo esto se coordina desde servidores ubicados en el extranjero, principalmente a través de dominios rusos y plataformas como DigitalOcean, lo que complica muchísimo rastrear a los responsables.
Podría interesarte leer: EE.UU. Aumenta Aranceles y Riesgos Cibernéticos en Industria Mexicana
Ya hay víctimas confirmadas
Esto no es teoría ni una suposición. Ya se detectaron al menos 41 computadoras infectadas, según reportes de inteligencia en seguridad digital. Las pruebas están activas y se han compartido en plataformas como MalwareBazaar, donde se rastrean amenazas reales. Los archivos que usan para colarse tienen nombres bastante engañosos, como:
-
fisherprice.msi(sí, como la marca de juguetes) -
LinLibrary.dll(una biblioteca que espía tu navegación) -
Citatorio_folio_XXXXXX.reg(el famoso archivo que lo inicia todo)
¿Qué buscan con todo esto?
La intención es clara: aprovechar que medio país está entrando al SAT y a sus bancos para robar credenciales, entrar a cuentas y hacer fraudes financieros. Y como el malware cambia el comportamiento del navegador, ya ni siquiera tienes que caer por ignorancia. Tú escribes la dirección correcta, piensas que todo va bien… pero el sistema te manda a una página clonada que luce igualita. Y ahí, se quedan con tus datos.
