“Deuda con Sunat”: correos fraudulentos llevan troyanos para robar tus datos y contraseñas bancarias

Como suele suceder en este tipo de estafas, los cibercriminales intentan darle realismo a su mensaje utilizando el logo de la institución a la que suplantan e incluso siguen su línea gráfica. En este caso en particular, el correo señala que hay una supuesta factura pendiente la cual debe ser pagada para evitar una cobranza judicial o el embargo. Acompaña el texto un ícono que utiliza la imagen de un archivo pdf invitando al usuario a ver los detalles de la deuda. En realidad se trata de un enlace.

LEE TAMBIÉN: “Tu cuenta bancaria ha sido bloqueada”: ¿por qué suplantar bancos es la modalidad favorita de los ciberestafadores?

Un usuario informado probablemente detectará que se trata de un engaño. Lamentablemente, no todas las personas son conscientes de la existencia de estas estafas, de lo contrario, los delincuentes cibernéticos no le tendrían tanta predilección. Además, podrían existir ciertos elementos que confundirían a cualquiera, como el hecho de que los enlaces posean dominios con el término Sunat.

De acuerdo a un reporte de la empresa de ciberseguridad Eset, el 81% de latinoamericanos recibió al menos un intento de ciberestafa en 2022. De ellos, el 71% comentó que el canal por el que más se recibieron engaños fue el mail.

Troyanos a la vista

Pero ¿cuál es el real peligro de estos correos? Muchas veces se suplanta la identidad de bancos con la intención de obtener datos sensibles como números de tarjetas de crédito o claves y contraseñas bancarias. En el ejemplo que analizamos, lo que se busca es que la víctima dé clic en el enlace adjunto.

“Aunque parezca, el enlace no es un pdf. Si pones el cursor sobre este no hay un archivo pdf, sino una dirección que no es de Sunat, pero intentando engañar se usa el dominio sunat-pe.shop”, señala a El Comercio Jorge Zeballos, Gerente General de ESET Perú.

“Este enlace te lleva a una página con contenido activo que descargará en tu computadora un troyano –archivo aparentemente inofensivo que trae una carga maliciosa en su interior–. El daño probable es innumerable, desde tomar control completo de tu computadora, hasta secuestrar tu información”, agrega Zeballos.

Un troyano oculta un software malicioso dentro de un archivo que parece normal. Hay una gran cantidad de virus troyanos en Internet que pueden realizar diversas tareas. La mayoría de ellos tienen como objetivo controlar el equipo de su víctima, robar datos o introducir más malwares.

Entre los troyanos más comunes están los que crean una “puerta trasera” en el equipo afectado, lo que permite que el atacante pueda acceder a este fin de controlarlo. Actuando en conjunto con otros malware, como un keylogger, el delincuente incluso puede registrar las pulsaciones que se realizan en el teclado y averiguar contraseñas de correos o aplicaciones bancarias, poniendo en riesgo los activos financieros de las personas.

MIRA: “Hola, soy tu nieto y necesito 3.000 dólares″: ciberdelincuentes estafan a ancianos con voces generadas por IA

Mencionamos en un inicio que este tipo de actividad maliciosa no es algo nuevo. Se enmarca dentro de lo que se conoce como ataques de phishing y lleva años pululando en la red. Podemos definir al phishing como un tipo de fraude en las telecomunicaciones que emplea trucos de ingeniería social para obtener datos privados de sus víctimas.

Las campañas de phishing utilizan diversos canales para llevar a cabo fechorías; no solo correos electrónicos, sino también redes sociales, llamadas telefónicas, mensajes de texto, aplicaciones de mensajería, etc.

El objetivo principal es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito. En el caso que nos atañe, no solo se trataría de phishing, sino que integra un elemento malicioso adicional: el troyano. Estaríamos más específicamente frente a un ataque malspam, que combina el phishing con un malware.

Hace un momento dijimos que los atacantes utilizan la ingeniería social para lograr sus objetivos. Esto significa que se valen del engaño para parecer más cercana a la víctima. Es posible que los ciberdelincuentes segmenten sus ataques, por ejemplo, enviando correos solamente a contribuyente de la Sunat. O, en el caso de que suplanten a un banco, podrían dirigirse a los clientes del mismo.

Al respecto, el ejecutivo de Eset comenta que “todas las instituciones públicas o privadas que manejen datos personales están obligadas por ley a resguardarlos (ley de protección de datos personales DL 29733)”. “Pero sabemos que la mayoría de empresas no cuenta con suficiente infraestructura ni procedimientos para evitar la fuga de información. Inclusive el sector estatal tiene una serie de leyes y normas, que incluyen sanciones de no cumplirlas, pero a pesar de ello hay un gran porcentaje que no las cumple”, señala. “Es fácil entender de dónde salen los datos que se venden libremente a través de redes sociales”, acota.

Lastimosamente, no es nada complicado encontrar bases de datos de todo tipo, tanto empresas privadas, como entidades estatales, clubes, entro otros. Una rápida búsqueda por el Market Place de Facebook o por el mismo Google muestra una amplia oferta.

Cómo protegerse

Consultados por ese Diario, la Sunat confirmó que ellos no envían correos electrónicos ni otro tipo de mensajería electrónica para dar a conocer deudas tributarias.

“El canal oficial de comunicación de la Sunat es el Buzón Electrónico SOL, ubicado dentro de Sunat Operaciones en Línea, y asignado al deudor tributario, donde se depositan las copias de los documentos en los cuales constan los actos administrativos que son materia de notificación, regulado mediante la Resolución de Superintendencia N° 14-2008/SUNAT”, explican.

MIRA: ¿Cuáles son las cuatro ciberestafas más comunes en Internet, según el FBI?

Asimismo, se debe tener presente que, la Sunat no envía enlaces ni archivos adjuntos mediante correo electrónico, mensajes de texto o de WhatsApp.

De acuerdo al ejecutivo de Eset, en estos casos, lo primero que se debe revisar es el remitente, más aún si no se está esperando un correo de esta entidad. Hay que ser cuidadosos. Por ejemplo, en el caso que estamos analizando, usaron un correo remitente que no tiene relación alguna con Sunat (primalinea@send-nota26.cfd). No obstante, los ciberdelincuentes pudieron ser más creativos y usar un dominio como el del enlace (sunat-peru.shope), el cual sí podría haber dudar a cualquiera.

“De eso se trata. Si no estoy esperando una comunicación en particular, debo dudar. Ante esta duda, como contribuyente tenemos una plataforma oficial sunat.gob.pe a la cual accedemos mediante nuestro número de RUC o DNI y la clave SOL”, detalla.

Entre los consejos generales a tomar en cuenta que brinda el especialista en ciberseguridad para protegernos de estos y otros engaños están:

• Informarse, dudar, ser cuidadosos y, de ser posible, adquirir una buena plataforma de seguridad, ya sea para la computadora, tablet o celular.
• Actualizar el software, no utilizar licencias piratas, mantener actualizado el router y evitar utilizar redes públicas o, en su defecto, ingresar desde una red VPN.

Además, Zeballos exhorta sobre todo a las entidades públicas a monitorizar los dominios. “No puede haber dominios que usen de ningún modo prefijos, sufijos o cualquier forma de combinación donde aparezca la palabra Sunat sin que ellos estén enterados. Empiecen con una cacería en la ‘selva’, que con ello evitarán que los contribuyentes pierdan sus recursos que con tanto esfuerzo construyen”.

Consultados sobre este punto en particular, Sunat asegura que cuenta con un servicio especializado de detección y protección de ciberamenazas que, entre otros aspectos, protege la reputación y marca del organismo. De esta manera, tiene entre sus principales actividades el monitoreo para la detección de suplantación de dominios y aplicaciones web institucionales. En base a las detecciones, emiten alertas para prevenir el fraude.