Detectada campaña de phishing que suplanta al INe

Una nueva campaña activa de phishing que suplanta la identidad del INe (Instituto Nacional de Estadística de España) está circulando por los departamentos de administración de empresas españolas y está alertando a las autoridades españolas.

El objetivo final de los ciberdelincuentes es recolectar datos financieros para futuros fraudes más elaborados. Una vez la víctima envíe los datos al supuesto correo, estos quedarán en posesión del ciberdelincuente y podrá utilizarlos para cometer otro tipo de ciberdelitos en nombre de la víctima. Al ofrecer datos de otros proveedores, se provocaría una reacción en cadena e intentar alcanzar el mayor número de estafados en otro tipo de estrategia como ingeniería social.

Dominio falso y más detalles

Los ciberdelincuentes se hacen pasar por el Instituto Nacional de Estadística (INE). El modus operandi utilizado es el envío de un correo electrónico con el asunto «Solicitud de datos para análisis estadístico» y simula ser una notificación oficial relacionada con un estudio de mercado bajo el marco de una operación estadística sobre relaciones económicas internacionales y con un número de expediente INE 2026/2631.

Lo primero en lo que nos dimos cuenta al abrir el correo fueron dos detalles sospechosos:

• Este ataque phishing para hacerse pasar por el INe, utiliza el dominio falso estadisticas-ine.eu, mientras que el oficial es ine.es.
• Aparece una alerta que el email recibido pertenece a una «Lista de correo». Tanto Apple Mail como cualquier otro cliente de correo electrónico (Outlook, Gmail, Spark, etc), ofrece anular la suscripción cuando detecta que un email viene de una lista de difusión o newsletter: esto es incompatible con este tipo de notificaciones oficiales de un organismo público.
  

  Las notificaciones de cualquier organismo no están enviadas desde una lista de correo

• Revisando la cabecera del email, se podía observar tanto las IPs de procedencia, como la aparición de los datos de la lista de suscripción generada y donde la trazabilidad acaba en Bird(.)com (plataforma de comunicaciones en la nube (CPaaS) basada en IA y diseñada para conectar empresas con clientes a través de canales como SMS, WhatsApp, voz y correo electrónico)

Documentos adjuntados sospechosos

El email viene con varios documentos adjuntos: una supuesta notificación en PDF y dos archivos XLSX para que, desde el departamento de administración, gestión o el autónomo rellene y envíe al correo falso:

Primer documento adjuntado con extensión «PDF»: Notificacion_INE.pdf

Veamos lo que se ha detectado en el correo:

• El documento viene creado por el autor «WPS Docs» y sin firma electrónica para comprobar que es verídico
• Se nos pide datos confidenciales respecto a las operaciones económicas de la empresa / autónomo / pyme debido a la supuesta colaboración con Eurostat (Oficina Europea de Estadística)
• El documento aparece fechado en el mismo día del envío y viene con el aviso de que la falta de presentación de la información podrá dar lugar a sanciones administrativas si no se envía antes de la fecha indicada en el PDF

Este es el aspecto que tiene el PDF recibido de la supuesta notificación del INe

Dos documentos de Excel

El correo electrónico, además del PDF mencionado, viene con otros dos documentos de excel:

• „INE_cobros.xlsx
• „INE_pagos.xlsx

Así es el aspecto de uno de los documentos recibidos:

Tabla de uno de los dos documentos de Excel que envían los ciberdelincuentes para rellenarlos con los datos de la empresa

Propiedades del documento INE_cobros.xlsx

Datos de creación y autor de uno de los archivos Excel del archivo que se hace pasar por el INe

En esta ocasión, los archivos no contenían macros maliciosos. Para comprobarlo, dentro de Microsoft Excel > Vista > Macros > Ver macros.

Por seguridad, siempre recomendamos tener configurado Microsoft Excel con los macros desactivados.

Así es cómo se dirige el INe a los ciudadanos y/o empresas participantes

El INE nunca se dirige a los ciudadanos por correo electrónico solicitando la participación en encuestas. Cuando una persona o empresa es seleccionada por primera vez para participar en una encuesta, recibe siempre una carta personalizada anunciándole la próxima visita o llamada de un entrevistador o indicándole un teléfono de contacto en el que puede resolver sus consultas o recabar información adiciona

Así es cómo actúa oficialmente el INe:

• A las empresas que participan en encuestas se les ofrece la posibilidad de rellenar a través de internet un formulario electrónico, en una web segura donde la información circula codificada.
• El INE nunca solicita en sus encuestas datos relacionados con los nombres de las entidades bancarias con las que trabajan los ciudadanos, ni mucho menos con los números de cuenta, tarjetas de crédito o códigos de seguridad.
• Únicamente se solicitan datos bancarios para la expedición de certificados telemáticos y el pago de su correspondiente tasa. En este caso el usuario accede al servicio mediante un certificado de usuario clase 2CA emitido por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda y la interacción se realiza en una web segura.

Cómo actuar frente a estos correos electrónicos

• Contrasta siempre la información de cualquier notificación.
• Permanece alerta y desconfía de cualquier llamada o correo electrónico sospechoso.
• Si has proporcionado datos bancarios, no olvides revisar frecuentemente los movimientos de tu cuenta para impedir que se realicen cargos no autorizados. Si esto sucediese, ponte en contacto con tu entidad bancaria para informarles y así tomar las medidas necesarias.

Contactos oficiales para reportar el fraude:

• • INe
  • INCIBE (Instituto Nacional de Ciberseguridad). Teléfono: 017
  • Guardia Civil: 900 101 062
  • Policía Nacional: 091