top of page

Alerta: Fraude Cibernético Imitando Sitios Web Del Gobierno Mexicano

En enero de 2021 publiqué un blog donde explicaba cómo investigar fraude cibernético para aplicaciones de pasaporte mexicano. Ahora para cerrar el año con broche de oro, me encontré otra página maliciosa asimilando un sitio web del gobierno mexicano y seguí nuevamente la pista. Aquí les comparto un breve recuento de lo que encontré.


Todo comenzó con el sitio “ofertasgob[.]com”. A primera vista el sitio parecía legítimo, ¿notan algo extraño?


Figura 1. Sitio de ofertasgob[.]com


Si la respuesta es negativa, no me sorprende. A decir verdad yo tampoco encontré nada muy peculiar al inicio – fuera del hecho de que la terminación del dominio era .com en vez de .gob.mx utilizado para sitios web oficiales. Sin embargo, un poco más de análisis de la página hizo claro que había algo extraño. Resulta que como usuario era imposible interactuar con la página ya que era solo una imagen estática. Los únicos links que funcionaban eran misteriosamente: “Contáctanos” y “Vehículos en Venta.”


Esto me pareció sospechoso, así que lo primero que hice fue comportarme como un millenial y buscar mi problema en Google. Encontré dos cosas interesantes:



Figura 2. Sitio web malicioso de ofertasgob.com[.]mx


Si ambos sitios eran tan parecidos y tenían el mismo propósito, tal vez fueron hechos por el mismo actor, ¿no? Siendo honesto, me encantaría creer que sí, pero no puedo probarlo ya que los metadatos del segundo sitio eran muy limitados y no coincidían con el resto de los sitios que encontré. Lo que sí puedo decirles, es que no compraría un automóvil en ninguno de los dos sitios.


Los Creadores de ofertasgob[.]com Crearon Al Menos 17 Dominios Más


Por suerte, uno de los dos dominios mencionados arriba me ayudó a encontrar más información sobre este fraude. Haciendo análisis pasivo de DNS me encontré con que la página ofertasgob[.]com fue oficialmente registrada con el nombre de Jesenia Romero y el correo electrónico moralesmorado1212@gmail.com. Aclaro que esto no significa que sepamos quién creó las páginas, ya que es muy probable que tanto el nombre como el correo hayan sigo elegidos arbitrariamente.


Figura 3. Nombre y correo electrónico de registro (muy probablemente falsos)


Pivoteando a partir del nombre y correo electrónico, encontré que había 17 dominios web más creados por el mismo individuo o grupo entre mediados y finales de 2021. Los sitios web resolvían principalmente a las direcciones IP 88.99.90.21 y 176.9.140.9 bajo el control de un proveedor de servicios en Alemania.


Lo más interesante, es que todos los sitios encontrados (excepto uno) hacían alusión a temas relacionados con el gobierno mexicano. Además, varias de estas páginas ofrecían en la esquina superior derecha la posibilidad de comprar automóviles. (Por alguna razón, los defraudadores también crearon una página llamada milagros caninos ¿Será que la nueva moda de fraude va a ser con perritos?)


Figura 4. Dominios asociados con los creadores de ofertasgob[.]com


Al explorar los sitios arriba mencionados, fue posible notar que el dueño había estado trabajando con varios de ellos durante los meses pasados. En algunos casos los dominios son aún nuevos y no contienen mucha información, mientras que en otros casos se trataba de páginas web más detalladas como las que discutí al inicio de este blog.


Algunas Recomendaciones Para Evitar Ser Víctima de Fraude Cibernético


Esta es la segunda vez que escribo sobre esquemas de fraude cibernético y, si algo es claro, es que no será la última. Desafortunadamente ninguna investigación puede ayudarnos a frenar por completo este tipo de actividades maliciosas, pero lo que sí podemos hacer es ayudarnos mutuamente a aprender cómo identificar estos ataques. Por ahora recomendaría lo siguiente:


  • Al visitar una página web para hacer una transacción, asegúrate de analizar la liga del dominio y que los contenidos concuerden con lo que esperarías del sitio. Si tienes dudas, consúltalo con alguna otra persona de tu confianza.

  • Asegúrate de que cualquier trámite con el gobierno mexicano sea por medio de páginas con dominio de terminación .gob.mx.

  • Si ves algo sospechoso, denúncialo. O al menos compártelo en redes sociales y tal vez algún loco como yo pueda tomarse el tiempo de investigar más al respecto. Al fin y al cabo, ¿qué mejor modo de estar seguros que cuidando los unos de los otros?

Comentários


bottom of page