Estafa por correo electrónico que solicita la revalidación de la propiedad del dominio.

Los correos electrónicos inesperados que exigen una acción urgente siempre deben tratarse con precaución. Los ciberdelincuentes suelen suplantar la identidad de organizaciones y organismos reguladores de confianza para generar una falsa sensación de urgencia y presionar a los destinatarios para que tomen decisiones precipitadas. Los correos electrónicos con el asunto "Se requiere revalidación de la propiedad del dominio" son un claro ejemplo de esta táctica. Investigadores de seguridad han identificado estos mensajes como parte de una campaña de phishing diseñada para robar credenciales de cuentas de correo electrónico. Es importante destacar que estos correos electrónicos no están asociados con ninguna empresa, organización, registrador de dominios ni autoridad reguladora legítima.

Disfrazado de notificación oficial de cumplimiento

Los correos electrónicos fraudulentos están diseñados para parecerse a notificaciones oficiales de cumplimiento de dominio. Se informa a los destinatarios que la propiedad de su dominio no se ha revalidado en los últimos 90 días y que deben tomar medidas para cumplir con las supuestas regulaciones. Los mensajes hacen referencia al "Reglamento 3.18 de la ICANN" y advierten que, de no completar el proceso de verificación, se suspenderán los servicios de correo electrónico entrante y saliente en un plazo de siete días.

El lenguaje utilizado en todo el correo electrónico busca generar preocupación y urgencia. Al amenazar con interrupciones en el servicio, los estafadores intentan convencer a los destinatarios de que actúen de inmediato sin verificar la autenticidad del mensaje.

El proceso de revalidación fraudulenta

El elemento central de la estafa es un botón que suele estar etiquetado como "Revalidar dominio ahora". Al hacer clic en este botón, los usuarios son redirigidos a una página de inicio de sesión de correo web fraudulenta que se hace pasar por un portal de servicio de correo electrónico legítimo.

La página de phishing imita la pantalla de inicio de sesión de Roundcube Webmail y está alojada en la plataforma Firebase Storage de Google. Para que la página parezca más convincente, la dirección de correo electrónico de la víctima puede aparecer precargada automáticamente. A continuación, se solicita a los usuarios que introduzcan su contraseña para continuar con el supuesto proceso de verificación.

En realidad, la página solo tiene un propósito: recopilar las credenciales de inicio de sesión y transmitirlas directamente a los atacantes.

¿Qué ocurre cuando se roban las credenciales?

Las cuentas de correo electrónico comprometidas pueden brindar a los ciberdelincuentes acceso a una cantidad significativa de información personal y empresarial. Dado que las cuentas de correo electrónico suelen estar vinculadas a numerosos servicios en línea, los atacantes pueden aprovechar las credenciales robadas para ampliar aún más su acceso.

Una vez que obtienen el control de una cuenta de correo electrónico, los delincuentes pueden:

• Lea los mensajes confidenciales y las comunicaciones sensibles.
• Restablecer contraseñas para cuentas en línea vinculadas.
• Suplantar la identidad de la víctima en las comunicaciones con colegas, clientes, amigos o familiares.

• Distribuye correos electrónicos de phishing adicionales desde una cuenta de confianza.

• Recopilar información personal para cometer robo de identidad o fraude financiero.

Dado que las cuentas de correo electrónico suelen ser el método principal de recuperación para otros servicios, un único buzón de correo comprometido puede dar lugar al acceso no autorizado a múltiples cuentas.

Por qué las afirmaciones son falsas

Diversos indicios evidencian la naturaleza fraudulenta de estos correos electrónicos. Los mensajes intentan aprovecharse de la autoridad de la Corporación de Internet para la Asignación de Nombres y Números, comúnmente conocida como ICANN, sugiriendo falsamente que la revalidación de dominios se está llevando a cabo mediante notificaciones directas por correo electrónico.

En realidad, la ICANN no se comunica con usuarios individuales mediante mensajes no solicitados que exijan la revalidación de dominios. Además, ninguna autoridad de dominios legítima ni proveedor de servicios de buena reputación exige a los usuarios que verifiquen sus credenciales de inicio de sesión a través de un enlace incluido en un correo electrónico inesperado.

El nombre del remitente que suele aparecer en estos mensajes, «Global Domain Validation Center», no tiene ninguna relación reconocida con la ICANN, los registradores acreditados ni ninguna organización legítima de gestión de dominios. Todo el escenario es una farsa para generar credibilidad y engañar a los destinatarios.

La amenaza más amplia que va más allá del robo de credenciales

Si bien el objetivo principal de esta campaña es la obtención de credenciales, correos electrónicos fraudulentos similares también se utilizan con frecuencia para la distribución de malware. Los ciberdelincuentes suelen emplear ataques basados en correo electrónico para distribuir software malicioso a posibles víctimas.

Los correos electrónicos relacionados con malware pueden incluir archivos adjuntos infectados o enlaces que redirigen a sitios web maliciosos. Los tipos de archivo más comunes utilizados en estos ataques incluyen archivos ejecutables, documentos PDF, archivos comprimidos como ZIP o RAR, scripts y documentos de Office con código malicioso. En algunos casos, se solicita a los usuarios que habiliten macros u otras funciones que activan el proceso de infección.

La mayoría de las infecciones de malware transmitidas por correo electrónico requieren algún tipo de interacción del usuario, como abrir un archivo adjunto, ejecutar un archivo descargado, hacer clic en un enlace malicioso o habilitar contenido incrustado. Por ello, la precaución y la verificación siguen siendo fundamentales al gestionar mensajes inesperados.

Cómo responder a estos correos electrónicos

Quienes reciban un correo electrónico con el asunto "Se requiere revalidación de la propiedad del dominio" deben evitar interactuar con el mensaje de cualquier forma. No deben hacer clic en los enlaces, no deben abrir los archivos adjuntos y nunca deben enviar información personal a través de páginas web a las que se accede desde correos electrónicos no solicitados.

Lo más seguro es eliminar el correo electrónico de inmediato. Quienes ya hayan ingresado sus credenciales en la página de phishing deben cambiar su contraseña de correo electrónico sin demora, actualizar las contraseñas de cualquier cuenta que pueda compartir las mismas credenciales y activar la autenticación multifactor siempre que sea posible.

Reflexiones finales

La campaña de correo electrónico «Se requiere revalidación de la propiedad del dominio» es una estafa de phishing que se hace pasar por un aviso de cumplimiento normativo relacionado con la ICANN. Su objetivo es engañar a los destinatarios para que revelen las credenciales de su cuenta de correo electrónico a través de una página de inicio de sesión fraudulenta. Los mensajes se basan en el miedo, la urgencia y falsas afirmaciones regulatorias para manipular a las víctimas y que actúen sin la debida verificación.

Comprender cómo funcionan estas estafas es fundamental para proteger la información confidencial. Al desconfiar de las solicitudes inesperadas, verificar las afirmaciones a través de canales oficiales y evitar los enlaces que aparecen en correos electrónicos no solicitados, los usuarios pueden reducir significativamente el riesgo de ser víctimas de robo de credenciales y otras amenazas cibernéticas.