Alertan de una nueva estafa que suplanta a Iberdrola: los delincuentes instalan el malware Grandoreiro

Las nuevas tecnologías nos han facilitado la vida de muchas maneras. Sin embargo, los criminales han encontrado en ellas nuevos métodos con los que engañar a sus víctimas y hacerse con sus datos personales o con el dinero de sus cuentas bancarias.

Recientemente, el Instituto Nacional de Ciberseguridad (INCIBE), a través de su Oficina de Seguridad del Internauta (OISI), ha emitido un aviso en el que alerta de una estafa de phishing que suplanta a Iberdrola con el pretexto del envío de una factura, y que tiene como objetivo la distribución del malware Grandoreiro.

A través de correos electrónicos fraudulentos, los atacantes informan a los usuarios de que su factura de electricidad ya está disponible para su consulta o descarga. Sin embargo, el enlace proporcionado no dirige al Área Cliente de la empresa, como aparenta, sino que inicia la descarga de un archivo con extensión .iso que contiene un programa malicioso.

Cómo actuar según el caso

Si has recibido el correo pero no accediste al enlace, se recomienda reportar el mensaje al buzón de incidentes correspondiente, lo cual contribuirá a prevenir nuevos casos. Asimismo, se debe marcar el correo como no deseado o spam y eliminarlo de inmediato.

En el caso de haber descargado el archivo sin ejecutarlo, conviene localizarlo en la carpeta de descargas y eliminarlo de forma definitiva, incluyendo la papelera de reciclaje.

Si el archivo fue ejecutado, es posible que el equipo haya sido infectado con el malware. En tal situación, los expertos recomiendan:

Ante cualquier duda, se recomienda acudir directamente a los canales oficiales de Iberdrola, que ofrece información y orientación para detectar fraudes de phishing.

Detalles técnicos y patrón de ataque

El ataque está vinculado a los troyanos conocidos como Zbot o Grandoreiro, ambos diseñados para robar datos sensibles, como credenciales bancarias e información financiera. Entre los signos que pueden indicar una infección destacan: lentitud anómala del sistema, aparición de ventanas emergentes, comportamientos extraños del navegador al ingresar a páginas de entidades bancarias, procesos sospechosos en el administrador de tareas y conexiones a dominios desconocidos.

El correo suplantador contiene datos personalizados, como la dirección electrónica de la víctima y un supuesto número de contrato. Además, presenta una cifra de consumo eléctrico inusualmente alta —que puede oscilar entre 424,81 € y hasta los 98.589,64 €— con el objetivo de alarmar al destinatario y forzar la apertura del enlace malicioso.

Este tipo de mensajes se envía desde dominios que no corresponden al oficial de Iberdrola y emplean saludos impersonales, como la dirección de correo del destinatario. Las comunicaciones legítimas de la compañía, en cambio, utilizan el nombre y apellidos del cliente.

Los asuntos más habituales de estos correos incluyen expresiones como:

La finalidad última de esta campaña es que la víctima descargue y ejecute el archivo infectado, lo que permite al atacante tomar control del sistema o sustraer la información sensible contenida en el dispositivo. Esta modalidad de ataque se enmarca dentro del cibercrimen dirigido al robo de datos mediante ingeniería social.