Una campaña masiva de fraude digital que ya había sido advertida comenzó a activarse este martes: dominios falsos que suplantan a bancos mexicanos ya están en operación real y están robando datos a través de mensajes SMS dirigidos a usuarios desprevenidos.
El analista de ciberseguridad Miguel Becerra, quien inicialmente detectó una red de más de 370 dominios maliciosos vinculados a una misma dirección IP (196.251.88.4), confirmó a Publimetro México que al menos uno de los sitios ya está activo y en uso: `personal.banorte.top`.
A diferencia de otras campañas detectadas en fase de preparación, esta ya comenzó a enviarse por SMS a usuarios mexicanos, bajo el pretexto de canjear puntos de recompensa que “están por vencer”.
Así es el mensaje que llega a las víctimas
Usuarios han reportado mensajes de texto con remitente “[BANORTE]” y textos como:
“Tus [1,056–8,997] vencerán pronto. Por favor canjea tu regalo: https://personal.banorte.top/mx”
El dominio —recién registrado el 14 de abril— está asociado a la misma infraestructura identificada previamente y responde a la IP holandesa 196.251.88.4, usada también para simular portales de Telcel, Liverpool, Scotiabank, Santander y más.
Una página casi idéntica a la original
Publimetro México accedió al sitio fraudulento y documentó su funcionamiento. El portal simula de forma muy convincente el sistema de puntos Banorte: muestra una bienvenida, productos disponibles (como audífonos, smartphones y bocinas), temporizadores de urgencia y hasta opciones para “consultar puntos”.
El objetivo final: hacer que el usuario introduzca su número de tarjeta bancaria, junto con fecha de expiración y CVV. Incluso presenta logos de Visa, Mastercard, SafeKey y otros servicios para aparentar legitimidad.
Una vez ingresados los datos, la página muestra mensajes como “Procesamiento de pago exitoso” o “Error, inténtelo de nuevo”, todo diseñado para obtener múltiples intentos y validar información bancaria real.
Tecnología para evadir detección
La página tiene una lógica de funcionamiento avanzada: si detecta que se están usando tarjetas falsas o entornos de prueba, redirige automáticamente al sitio oficial de Banorte. Esto confunde a la víctima y engaña a los escáneres automáticos de seguridad que pudieran estar intentando verificar la legitimidad del dominio.
Además, el contenido puede cambiar dinámicamente: durante el análisis, la página ocultó funciones y luego volvió a mostrarlas, lo que sugiere un sistema de control por IP o comportamiento del navegador. Posteriormente, tras el análisis periodístico, la página fue desactivada; sin embargo, sigue arriba y en cualquier momento podrían reactivarla o replicar su código en cualquiera de sus otros dominios falsos.
Ya activaron más sitios falsos en otros países
Publimetro México también detectó que otros dominios de la lista original han comenzado a operar. Uno de ellos, `btcbahamasi.top`, está dirigido a usuarios de BTC Bahamas y utiliza el mismo esquema: supuestos puntos por vencer, consulta telefónica, productos disponibles y formulario para ingresar datos personales.
Este detalle es clave: la red es internacional y su activación es progresiva. Aunque en este momento el foco está en México, los operadores están expandiendo el fraude a otros países, utilizando la misma base técnica y solo modificando los logos y textos.
¿Qué hacer para evitar caer?
- No abras enlaces recibidos por SMS que mencionen puntos, regalos o urgencia de canjear.
- Verifica siempre la URL desde la página oficial del banco, no desde enlaces acortados o poco familiares.
- Recuerda que Banorte y otros bancos nunca te pedirán tu tarjeta o CVV desde un sitio externo ni vía mensaje de texto.
- Reporta estos mensajes a tu banco o directamente a la Policía Cibernética.
