¿Ya instalaste Windows 11? Revisa tus cuentas: quizá ya no sean tuyas

Según el informe de DomainTools, un grupo de ciberdelincuentes con motivación financiera desplegó una amplia infraestructura de sitios falsos que se hacen pasar por servicios fiscales estatales, aplicaciones bancarias, páginas con contenido 18+ y programas para Windows. La campaña comenzó en el otoño de 2024 e incluyó más de 80 dominios utilizados para distribuir troyanos para Android y Windows. El objetivo principal de los atacantes es el robo de credenciales e información financiera, así como obtener acceso a sistemas mediante formularios de inicio de sesión falsos.

Uno de los vectores de esta estafa fueron sitios que se hacían pasar por páginas oficiales de instalación de Windows. En esos recursos se ofrecía al usuario descargar un supuesto «asistente de instalación del sistema», que en realidad era software malicioso. Para eludir los filtros de seguridad, los atacantes emplearon métodos inusuales de camuflaje, incluyendo URL excesivamente largas con muchos espacios (codificados como %20). Esa estructura dificulta el análisis automático de enlaces y puede confundir a los sistemas que usan expresiones regulares para buscar patrones sospechosos.

Una característica de la campaña fue el uso de herramientas de seguimiento típicas de las redes publicitarias. En el código de las páginas de descarga se detectaron rastreadores integrados de Facebook. Esto indica que el ataque se diseñó según los principios del marketing digital: los atacantes registraban las «conversiones», es decir, el número de usuarios que hicieron clic en el enlace malicioso, y probablemente atraían tráfico mediante campañas publicitarias pagadas.

La infraestructura vinculada a esta actividad incluye los registradores de dominios PDR Ltd. d/b/a PublicDomainRegistry.com y GMO Internet, y el alojamiento se realizó a través de los proveedores BL Networks y H2nexus Ltd. Entre las zonas de dominio utilizadas predominaban .pro, .shop, .com, .icu y .top, y para el registro los atacantes usaron dominios de correo temporales como fviainboxes.com, dropjar.com, replyloop.com, yopmail.com, robot-mail.com y protonmail.com. Esto subraya la intención de actuar de forma anónima y la capacidad de cambiar rápidamente la infraestructura tras bloqueos o denuncias.

Los recursos falsos más activos imitaban aplicaciones como TikTok y YouTube, así como plataformas de juego con marca 18+. Otros dominios se presentaban como sitios de grandes bancos y bolsas de criptomonedas, incluyendo USAA, PMC, Bloomberg y Binance. Una parte de la red se usó para distribuir instaladores falsos de Windows 11 y aplicaciones TrustCon VPN, lo que generaba una apariencia de legitimidad e inducía a los usuarios a descargar archivos infectados. Visualmente, esas páginas copiaban el diseño de los sitios originales, y al pulsar el botón «Descargar» se iniciaba la descarga de un troyano que se hacía pasar por el instalador oficial.

Por la naturaleza y la organización de la infraestructura, la campaña recuerda la actividad de una «agencia de marketing negra», donde el objetivo principal es la escala y la eficacia del engaño, no la perfección técnica. Los delincuentes usan creadores de sitios basados en plantillas, que permiten clonar rápidamente el diseño para cualquier temática, lo que acelera el despliegue de nuevas páginas y dificulta su erradicación. Esa estrategia garantiza la renovación constante de dominios y la evasión de bloqueos, advertencias del navegador y listas de amenazas.

Resultan especialmente peligrosas las técnicas sociales y psicológicas aplicadas en estos ataques. La estrategia principal se basa en la curiosidad y el deseo de acceder a contenido «prohibido» o exclusivo. Los usuarios que caen en esas trampas a menudo se avergüenzan de denunciar lo ocurrido, lo que permite que las campañas maliciosas perduren más y permanezcan inadvertidas para los sistemas antivirus y los investigadores.

El análisis de la infraestructura muestra que la campaña tiene un carácter sostenido y probablemente continuará con nuevos conjuntos de dominios y temáticas. Los usuarios deben extremar las precauciones al seguir enlaces, especialmente los que conducen a páginas que ofrecen la descarga de aplicaciones relacionadas con bancos, redes sociales o herramientas del sistema. La semejanza visual de los sitios con los originales no garantiza su seguridad: en varios casos la falsificación resulta ser la más peligrosa.