Más de una decena de sitios que suplantan las páginas oficiales del servicio de citas de la Secretaría de Relaciones Exteriores (SRE) fueron creados en los últimos siete días desde territorio ruso. ¿El riesgo? Podrían robar la información de los mexicanos que buscan realizar trámites para su pasaporte.
Todas estas páginas utilizan dominios similares al del gobierno de México y comparten el mismo número de IP, el cual tiene registro en Moscú, Rusia. Esto sugiere una operación coordinada desde territorio ruso, posiblemente apoyada por grupos cibercriminales especializados en phishing.
Las páginas se presentan como el servicio oficial para tramitar una cita de pasaporte, replicando toda la identidad visual del sitio original. Incluso tienen una pasarela de pago para el trámite.
Pese a que todavía no se encuentra activa la opción de pagos, el objetivo principal de quien se registra ya se ha cumplido: robar sus datos confidenciales. Este tipo de phishing, conocido como “pharming”, es una táctica común para obtener información personal y financiera.
¿Qué sitios forman parte de esta estrategia?
Entre los dominios que comparten la misma IP se encuentran www[.]hcitas-sre[.]gyob[.]mx, www[.]cita-sre[.]gyob[.]mx, entre otros. Sin embargo, la campaña actual de phishing se aloja principalmente en el sitio citas-sre[.]gyob[.]mx. Todos estos dominios están registrados bajo gyob[.]mx, un dominio creado por el mismo grupo el pasado 27 de junio, lo que indica la reciente activación de esta campaña.
De acuerdo con un análisis realizado en conjunto con el especialista en ciberseguridad Nicolás Azuara, se descubrió que el mismo grupo podría estar planificando nuevas campañas, pues registraron en meses pasados los dominios gbob[.]mx, gvob[.]mx y ghob[.]mx, con los cuales podrían intentar suplantar otros sitios del gobierno de México. Esta expansión de dominios sugiere una infraestructura robusta para llevar a cabo ataques de phishing a gran escala.
Peligro para los contribuyentes
Es posible que este grupo también esté preparando una campaña para robar datos de los ciudadanos a través del Servicio de Administración Tributaria (SAT), ya que han registrado sat[.]gyob[.]mx. Además, cuentan con un relacionado con la Secretaría de Medio Ambiente y Recursos Naturales (Semarnat) con la dirección semarnat[.]gyob[.]mx. Esta diversificación en los objetivos refleja una estrategia amplia para maximizar el impacto de sus ataques.
Este grupo ruso ha dirigido varios esfuerzos para obtener información de mexicanos, posiblemente con la intención de vender estos datos en foros de hackers en la deep web o para realizar otras actividades delictivas, como la suplantación de identidad para tramitar créditos bancarios. También han creado un sitio que imita a Telcel (tielcel[.]com), ampliando así su alcance a la esfera privada.
¿El origen de su interés por México?
Además, han adquirido el dominio www[.]en-linea[.]mx, originalmente una página de marketing que perdió el dominio en 2019. Este dominio ahora se utiliza para otra campaña relacionada con la venta de productos. La página también visualiza algunos de los sitios que intentan suplantar al gobierno de México, sugiriendo que podrían cambiar su apariencia para imitar la estética de las dependencias mexicanas en el futuro.
