El riesgo detrás de los sitios falsos
Estos sitios fraudulentos buscan engañar a los mexicanos que intentan realizar trámites de pasaporte. Utilizan dominios similares al del gobierno de México y comparten la misma dirección IP, registrada en Moscú, Rusia.
Esto sugiere una operación coordinada, posiblemente apoyada por grupos cibercriminales especializados en phishing.
Estas páginas se presentan como el servicio oficial para tramitar una cita de pasaporte, replicando toda la identidad visual del sitio original, incluso con una pasarela de pago para el trámite.
Aunque la opción de pagos aún no está activa, el principal objetivo ya se ha cumplido: robar datos confidenciales de los usuarios. Este tipo de phishing, conocido como “pharming”, es una táctica común para obtener información personal y financiera.
¿Qué sitios forman parte de esta estrategia?
Entre los dominios involucrados se encuentran:
- www[.]hcitas-sre[.]gyob[.]mx
- www[.]cita-sre[.]gyob[.]mx
- citas-sre[.]gyob[.]mx (principal sitio de la campaña actual)
Estos dominios están registrados bajo gyob[.]mx, un dominio creado el 27 de junio, indicando la reciente activación de esta campaña.
Un análisis realizado con el especialista en ciberseguridad Nicolás Azuara revela que el mismo grupo podría estar planificando nuevas campañas, ya que también registraron dominios como gbob[.]mx, gvob[.]mx y ghob[.]mx.
Esta expansión sugiere una infraestructura sólida para realizar ataques de phishing a gran escala.
Peligro para los ciudadanos
Este grupo parece estar preparando una campaña para robar datos a través del Servicio de Administración Tributaria (SAT), con el dominio sat[.]gyob[.]mx. Además, cuentan con un dominio relacionado con la Secretaría de Medio Ambiente y Recursos Naturales (Semarnat): semarnat[.]gyob[.]mx. Esta diversificación muestra una estrategia amplia para maximizar el impacto de sus ataques.
Estos cibercriminales rusos están enfocados en obtener información de mexicanos, probablemente para vender estos datos en la deep web o realizar actividades delictivas, como suplantación de identidad para tramitar créditos bancarios. También han creado un sitio que imita a Telcel: tielcel[.]com, extendiendo su alcance a la esfera privada.
El origen de su interés por México
Además, han adquirido el dominio www[.]en-linea[.]mx, que originalmente era una página de marketing que perdió el dominio en 2019. Este dominio ahora se utiliza para otra campaña relacionada con la venta de productos. La página también muestra algunos de los sitios que intentan suplantar al gobierno de México, sugiriendo que podrían cambiar su apariencia para imitar la estética de las dependencias mexicanas en el futuro.
Recomendaciones
Es crucial estar atentos y verificar siempre la autenticidad de los sitios web antes de ingresar cualquier información personal o realizar pagos. Utilizar herramientas de seguridad, como antivirus y bloqueadores de phishing, puede ayudar a proteger tus datos.
