El candado en la barra de direcciones ya no garantiza nada: los estafadores han aprendido a manipular los certificados de seguridad
Descubren un esquema para infectar ordenadores mediante actualizaciones falsas.
Grandes bancos y empresas tecnológicas volvieron a convertirse en cebo para estafadores. En una nueva campaña los atacantes falsifican masivamente sitios de marcas conocidas, obtienen las credenciales y de inmediato consiguen acceso remoto a los equipos de las víctimas. El esquema está industrializado y funciona casi como una cadena de montaje.
En informe de SOCRadar, dedicado a la campaña Operation DoppelBrand, los especialistas describen la actividad del grupo que siguen con el nombre GS7. Desde diciembre de 2025 hasta enero de 2026 llevó a cabo series de ataques, haciéndose pasar por grandes organizaciones financieras y tecnológicas. Entre los cebos había páginas que copiaban las interfaces de bancos y servicios de pago. Al usuario se le muestra un formulario de inicio de sesión casi indistinguible, tras lo cual el nombre de usuario y la contraseña se envían instantáneamente a los atacantes a través de un bot en Telegram.
La infraestructura se despliega rápida y en serie. Para los ataques registran cientos de dominios con nombres parecidos, a menudo a través de los mismos registradores. Ocultan los sitios tras redes de distribución de contenido para complicar el bloqueo y la búsqueda del servidor real. Certificados de cifrado se emiten automáticamente, por lo que en la barra de direcciones del navegador todo parece «seguro», lo que adormece aún más la vigilancia.
Las páginas de acceso se copian casi por completo. Replican colores, iconos, estilos y la estructura de los formularios. A veces en la dirección usan un truco: el nombre de un banco conocido se inserta no en el dominio sino en la ruta del enlace. Visualmente la cadena parece verosímil y muchos no notan el engaño. Tras introducir los datos, a menudo redirigen a la víctima al sitio real para no levantar sospechas.
La sustracción de contraseñas no es lo único. En muchos escenarios se ofrece al usuario instalar urgentemente una «actualización» o una «corrección de error». Bajo ese pretexto se descarga una herramienta de administración remota. El informe menciona herramientas legítimas de acceso remoto que suelen usar los administradores. Se instalan en modo silencioso, sin ventanas innecesarias, tras lo cual el atacante obtiene el control total del sistema.
Los datos recopilados se clasifican automáticamente. Junto con el nombre de usuario y la contraseña se envía la dirección IP, la ubicación aproximada, información sobre el dispositivo y la hora de acceso. Esto ayuda a determinar rápidamente el valor de la cuenta y decidir qué hacer a continuación. El acceso puede venderse en mercados clandestinos o usarse para las siguientes etapas del ataque, incluso contra la red corporativa.
Según los autores del informe, el grupo no es nuevo y cambia periódicamente las zonas de dominio, los registradores y los detalles de configuración, pero conserva patrones reconocibles. Esto permite localizar nuevos sitios de la campaña por indicios indirectos. En los últimos meses se han contabilizado más de un centenar de dominios vinculados a este esquema de ataques.
El riesgo principal es que los atacantes emplean programas reales de acceso remoto y páginas de inicio de sesión bien copiadas. El antivirus y el navegador no siempre consideran ese comportamiento como malicioso. Por eso sigue siendo decisiva una regla sencilla: no seguir enlaces de correos inesperados y no introducir contraseñas en páginas abiertas desde archivos adjuntos o mensajes, aunque parezcan el sitio de un banco o un servicio conocido.