Cuando te descargues tu certificado digital, ten cuidado: podrías estar instalando malware si no te fijas en esto

Los ciberdelincuentes están enviando e-mails suplantando a la Fábrica Nacional de Moneda y Timbre, responsable de gestionar los certificados digitales

Fnmt
1 comentario Facebook Twitter Flipboard E-mail

Hace unos días, el Instituto Nacional de Ciberseguridad (INCIBE) advertía de una nueva campaña de distribución de malware dirigida contra los usuarios españoles que han solicitado (o creen haber solicitado) el certificado digital.

Los atacantes, haciéndose pasar por la Fábrica Nacional de Moneda y Timbre (la FNMT, el organismo que gestiona los certificados), están enviando correos electrónicos fraudulentos que simulan ser oficiales, y en los que se incluye un archivo adjunto o enlace para supuestamente descargar el certificado del Número de Identificación Fiscal (NIF) del usuario.

Sin embargo, el archivo adjunto es un ejecutable en formato .iso que contiene un virus troyano denominado 'GuLoader/VIPKeyLogger', diseñado para robar datos y tomar el control del dispositivo infectado.

Un vistazo a…
Ransomware: qué es, cómo infecta y cómo protegerse

Así te la 'cuela' el e-mail fraudulento

Fnmt1

Esta campaña ha sido catalogada con un 'nivel de importancia alto' debido a la cantidad de personas afectadas y la sofisticación del fraude. Los delincuentes emplean la técnica de "email spoofing" o suplantación de correo electrónico, lo que permite que el mensaje parezca proceder de la FNMT (concretamente, de un dominio 'fnmt.es'), logrando así que el usuario no desconfíe de su contenido.

Los mensajes fraudulentos suelen llevar asuntos como "Disponibilidad del certificado FNMT-RCM" e incluyen instrucciones que, supuestamente, permiten descargar el certificado de identidad en formato digital.

Los correos pueden ofrecer dos opciones: descargar el certificado directamente desde un archivo adjunto o acceder a una URL incluida en el mensaje. En cualquier caso, al descargar el archivo adjunto y ejecutarlo, el dispositivo queda inmediatamente infectado.

Así se la 'cuela' a tu PC el malware

Fnmt2

Una vez el usuario ejecuta el archivo descargado, el malware 'GuLoader/VIPKeyLogger' comienza a operar. Este software malicioso tiene múltiples funciones peligrosas:

  • Robo de información personal: El malware recopila información privada del usuario, incluyendo contraseñas y datos financieros.
  • Acceso remoto: Permite a los atacantes tomar el control del dispositivo infectado, facilitando el robo de datos y la posible ejecución de acciones fraudulentas desde el dispositivo de la víctima.
  • Expansión de la amenaza: Si el dispositivo infectado está conectado a una red doméstica o laboral, el malware puede propagarse a otros dispositivos conectados, comprometiendo la seguridad de la red entera.

Instrucciones para las posibles víctimas

El INCIBE ha publicado recomendaciones específicas para quienes puedan haber recibido estos correos. Dependiendo de si se ha ejecutado el archivo malicioso o no, las acciones varían:

  1. Si no descargaste ni ejecutaste el archivo: No interactúes con el enlace ni con el archivo adjunto. Marca el correo como spam y elimínalo de la bandeja de entrada.
  2. Si te descargaste el archivo, pero no lo ejecutaste:  Elimina el archivo de la carpeta de descargas y escanea el dispositivo con un software antivirus como medida preventiva.
  3. Si ejecutaste el archivo malicioso: Desconecta el dispositivo de cualquier red para evitar la propagación del malware y ejecuta un análisis exhaustivo con un antivirus... si se confirma la infección, considera la opción formatear. Es fundamental realizar copias de seguridad de manera periódica, ya que el formateo borra todos los datos almacenados.

Vía | INCIBE

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo denunciar fraudes en Internet y ciberestafas

Inicio