Estafa por correo electrónico de la Administración del Seguro Social: el estado de cuenta electrónico está disponible

Los ciberdelincuentes suelen utilizar campañas de correo electrónico convincentes para engañar a los destinatarios y lograr que abran archivos maliciosos, revelen información confidencial o instalen malware. Por ello, es fundamental extremar la precaución ante cualquier correo electrónico inesperado, especialmente si afirma contener documentos importantes o notificaciones urgentes. Los correos electrónicos con el asunto "El estado de cuenta electrónico de la Administración del Seguro Social está disponible" son un claro ejemplo de esta táctica. Estos mensajes son fraudulentos y no están asociados con ninguna empresa, organización, agencia gubernamental o entidad legítima. Su único propósito es infectar los dispositivos de las víctimas y proporcionar a los atacantes acceso no autorizado.

Un análisis más detallado de la estafa

El análisis de los correos electrónicos con el asunto "El estado de cuenta electrónico de la Administración del Seguro Social está disponible" ha revelado que forman parte de una campaña de spam malicioso diseñada para suplantar la identidad de la Administración del Seguro Social (SSA). Estos correos informan falsamente a los destinatarios que su estado de cuenta del Seguro Social de 2026 está disponible para su descarga.

Para que el mensaje parezca auténtico, los estafadores incluyen detalles como un número de referencia, una fecha y un botón destacado para "Descargar extracto electrónico". Estos elementos buscan generar una sensación de legitimidad y animar a los destinatarios a confiar en el correo electrónico. Sin embargo, la Administración del Seguro Social no tiene ninguna relación con estos mensajes.

El objetivo de la campaña es inducir a los destinatarios a hacer clic en el botón proporcionado, lo que inicia la siguiente fase del ataque.

El portal de verificación falsa

Los destinatarios que hacen clic en el botón de descarga son redirigidos a un sitio web fraudulento diseñado para parecerse a una página oficial de la SSA. Al acceder, los visitantes ven un mensaje que indica que se requiere verificación de identidad y se les pide que interactúen con un control deslizante para iniciar la descarga del documento.

En lugar de proporcionar un extracto de la Seguridad Social, el sitio web descarga automáticamente un archivo llamado «ScreenConnect.ClientSetup.msi» en el dispositivo del visitante. Además, muestra un aviso que indica que solo se puede acceder a los documentos desde ordenadores con sistema operativo Windows. Esta restricción es intencionada, ya que facilita a los atacantes el acceso a los usuarios de Windows y aumenta la probabilidad de que el instalador malicioso funcione correctamente.

El proceso de verificación no tiene ningún propósito legítimo y existe únicamente para que la descarga parezca fiable.

Cómo funciona el instalador malicioso

El archivo descargado contiene una versión modificada de ScreenConnect, también conocido como ConnectWise Control. En circunstancias normales, ScreenConnect es una herramienta legítima de escritorio remoto y soporte técnico ampliamente utilizada por profesionales y organizaciones de TI.

En esta campaña, sin embargo, el software ha sido modificado y configurado para establecer silenciosamente una conexión con servidores controlados por los atacantes. Una vez instalada y ejecutada, la aplicación troyanizada otorga a los ciberdelincuentes acceso remoto sin supervisión al sistema comprometido.

Este nivel de acceso permite a los atacantes realizar una amplia gama de actividades maliciosas sin el conocimiento de la víctima.

Los peligros de la vulneración remota de sistemas

Cuando los atacantes obtienen acceso remoto mediante software malicioso, las consecuencias pueden ser graves. Pueden llegar a:

• Supervise las actividades de la víctima y vea todo lo que aparece en la pantalla.
• Roban documentos, credenciales de acceso, información bancaria y otros datos confidenciales.
• Instalar software malicioso adicional, incluyendo ransomware, spyware o amenazas de robo de información.
• Manipular archivos y configuraciones del sistema.
• Realizar transacciones financieras no autorizadas o abusar de cuentas en línea comprometidas.

Cualquier ordenador en el que se haya ejecutado el instalador malicioso de ScreenConnect debe considerarse totalmente comprometido. Es necesario tomar medidas inmediatas de respuesta ante incidentes para contener la amenaza y evitar daños mayores.

Cómo los correos electrónicos no deseados distribuyen malware

La campaña "El estado de cuenta electrónico de la Administración del Seguro Social está disponible" demuestra una estrategia común de distribución de malware utilizada por los ciberdelincuentes. Los correos electrónicos de spam maliciosos generalmente propagan malware a través de archivos adjuntos o enlaces incrustados.

Los archivos adjuntos pueden llegar en diversos formatos, como documentos de Microsoft Office, archivos PDF, archivos ZIP, archivos ejecutables y scripts. Algunas infecciones de malware comienzan en cuanto se abre el archivo, mientras que otras requieren que los destinatarios habiliten las macros o realicen acciones adicionales.

De igual forma, los enlaces maliciosos suelen redirigir a los usuarios a sitios web disfrazados de portales de documentos seguros, servicios de verificación o páginas de descarga. Estos sitios están diseñados para persuadir a los visitantes a descargar y ejecutar archivos dañinos. En algunos casos, las descargas se inician automáticamente, mientras que en otros, se utilizan técnicas de ingeniería social para convencer a las víctimas de que ejecuten el malware por sí mismas.

Reconocer las señales de advertencia

Varias características pueden ayudar a identificar estafas de esta naturaleza:

• Correos electrónicos inesperados que afirman que hay documentos gubernamentales, financieros o legales importantes disponibles para su descarga inmediata.

• Mensajes que generan urgencia o que incitan a la acción rápida sin verificación independiente.

• Enlaces que conducen a páginas de verificación antes de que se conceda el acceso al supuesto documento.

• Solicitudes para descargar software con el fin de visualizar documentos o completar procedimientos de verificación.

• Restricciones inusuales, como por ejemplo la afirmación de que solo se puede acceder al contenido desde sistemas operativos o dispositivos específicos.

Reconocer estos indicadores puede ayudar a prevenir la exposición accidental a malware y otras amenazas cibernéticas.

Evaluación final

La campaña de correo electrónico «Estado electrónico de la Administración del Seguro Social disponible» es un peligroso esquema de distribución de malware que suplanta la identidad de la Administración del Seguro Social para ganarse la confianza de las víctimas. En lugar de proporcionar un estado de cuenta anual, la estafa redirige a los destinatarios a un portal de verificación falso que descarga un instalador de ScreenConnect infectado con un troyano.

Una vez ejecutado, el software malicioso otorga a los atacantes acceso remoto al sistema afectado, lo que puede provocar robo de datos, acceso no autorizado a cuentas, pérdidas económicas e infecciones de malware adicionales. Quienes reciban estos correos electrónicos deben eliminarlos de inmediato y evitar hacer clic en cualquier enlace o descargar cualquier archivo que contengan.