Temporada de declaraciones: estafadores venden datos personales en pleno apogeo de la temporada de impuestos
Las cuentas bancarias se han convertido en una puerta abierta para intrusos.
En Indonesia se detectó una campaña de fraude a gran escala, disfrazada de servicio fiscal oficial Coretax. Los atacantes utilizaron aplicaciones móviles falsas y montaron una infraestructura que permitió atacar no solo a contribuyentes, sino también a usuarios de decenas de otros servicios digitales. Según la estimación de los especialistas de Group-IB, el perjuicio financiero total en el país pudo alcanzar entre 1,5 y 2 millones de dólares.
Coretax es el servicio web oficial de la agencia tributaria de Indonesia, accesible solo a través del sitio web. La plataforma no tiene aplicación móvil. No obstante, desde julio de 2025 empezaron a difundirse en la red archivos APK con el nombre "Coretax". En enero de 2026, en pleno periodo de presentación de declaraciones, la actividad aumentó bruscamente. La campaña se sincronizó con el periodo de presentación y estaba dirigida aproximadamente a 67 millones de residentes fiscales.
El ataque se desarrolló por fases. Primero, a la víctima le escribían por WhatsApp en nombre de la agencia tributaria y enviaban un enlace para descargar la aplicación. Tras la instalación, el dispositivo se bloqueaba temporalmente y el software malicioso recopilaba datos y descargaba módulos adicionales. Luego seguía una llamada: el estafador, haciéndose pasar por un empleado del servicio, exigía pagar urgentemente una "deuda". Durante la conversación, el troyano grababa la pantalla, interceptaba credenciales, códigos de un solo uso y otros datos bancarios. Después, los atacantes obtenían acceso remoto al teléfono inteligente y transferían dinero a través de una red de cuentas falsas.
El análisis mostró que detrás de la campaña está el clúster GoldFactory. La infraestructura maliciosa utilizó varias familias de troyanos para Android. Entre ellas están Gigabud.RAT y MMRat, así como un grupo de muestras no descrito anteriormente, bautizado como Taotie. En total se detectaron 228 nuevas modificaciones. Ambos troyanos principales pueden grabar la pantalla, abusar de los servicios de accesibilidad y eludir la autenticación multifactor, lo que permite realizar transferencias directamente desde el dispositivo infectado.
La infraestructura no se limitó a una sola marca. Los mismos servidores y plantillas de páginas de phishing se utilizaron para falsificar más de 16 servicios conocidos, desde sistemas de licencias comerciales hasta aerolíneas y programas gubernamentales. Los especialistas detectaron 996 dominios creados con un mismo patrón y dirigidos también a usuarios en Tailandia, Vietnam, Filipinas y Sudáfrica. Según los cálculos, solo en enero de 2026 las pérdidas directas en Indonesia podrían haber alcanzado hasta 340.000 dólares, y si se consideran todos los servicios afectados, hasta 2 millones.
La compañía afirmó que entre los clientes que usan sus sistemas de protección, la proporción de robos exitosos fue de 0,027 por ciento del número de dispositivos infectados. Este resultado se atribuye al análisis del comportamiento, la correlación de la telemetría de los dispositivos y la detección temprana de infraestructura de phishing.
La campaña en torno a Coretax demostró que una plataforma maliciosa unificada permite escalar rápidamente ataques a ecosistemas nacionales enteros. No solo están en riesgo las cuentas bancarias, sino también la confianza en los servicios digitales gubernamentales, sin la cual la posterior digitalización queda en cuestión.