Skynet Systems detecta una campaña de phishing dirigida que imitaba facturas y portales de acceso corporativo

El patrón se repite: el usuario recibe un correo con tono urgente (“pago pendiente”, “actualización de método de cobro” o “confirmación de pedido”) y un enlace que redirige a una web clonada. En algunos casos, el correo incluye un PDF aparentemente legítimo, pero el botón “Ver documento” lleva a un dominio recién registrado.

Indicadores detectados (IOCs) más comunes:

Dominios con variaciones mínimas del nombre real (ej. “micros0ft”, “m1crosoft”, “skynetsistemss”).

URLs con rutas largas y parámetros para evadir filtros.

Envíos desde cuentas comprometidas, lo que aumenta la tasa de apertura.

Adjuntos PDF con enlaces embebidos a páginas de login falsas.

Durante el análisis, observamos que la campaña intenta capturar credenciales y, si el acceso se completa, automatiza el envío del mismo correo a contactos internos. Esto provoca un “efecto cadena” dentro de la organización.

“El éxito del phishing no depende de malware sofisticado, sino de urgencia + apariencia creíble.”

Recomendaciones inmediatas (aplicables hoy):

Activar MFA obligatorio en accesos externos y reforzar políticas de acceso condicional.

Revisar reglas sospechosas en buzones (reenvíos automáticos a direcciones externas).

Alertar a usuarios sobre correos de facturas con enlace a “portal”.

Bloquear dominios recién registrados y URLs acortadas no autorizadas.

En paralelo, recomendamos realizar una revisión de registros de acceso (ubicaciones, dispositivos y patrones de inicio de sesión) para detectar posibles cuentas comprometidas.