Estafa por correo electrónico de evaluación de proveedores

Los correos electrónicos inesperados que generan una sensación de urgencia siempre deben tratarse con precaución, especialmente si solicitan información confidencial o incitan a los usuarios a hacer clic en enlaces. Los ciberdelincuentes suelen disfrazar las campañas de phishing como comunicaciones comerciales legítimas para engañar a los destinatarios y obtener datos confidenciales. Los correos electrónicos de "Evaluación de Proveedores" que se mencionan aquí no están relacionados con ninguna empresa, organización, contratista o entidad de compras real. En cambio, forman parte de una operación de phishing para robar credenciales, diseñada para comprometer cuentas de correo electrónico y facilitar fraudes.

Explicación de la estafa de la “evaluación de proveedores”

Los correos electrónicos fraudulentos suelen tener como asunto "Documento listo para revisión" y se hacen pasar por una invitación profesional a presentar una oferta relacionada con una iniciativa de infraestructura supuestamente prevista para principios del segundo trimestre de 2026. Se informa a los destinatarios que han sido seleccionados para revisar un documento de solicitud de cotización (RFQ) como parte de una supuesta oportunidad de evaluación de proveedores.

Para que el mensaje parezca convincente, el correo electrónico incluye lo que parece ser un archivo PDF adjunto llamado "Bid_Invitation_RFQ_2026_Q2.pdf" junto con un botón que dice "Revisar RFQ de forma segura". Sin embargo, ninguno de los dos elementos es un archivo adjunto legítimo. Ambos son simplemente enlaces que redirigen a los usuarios al mismo sitio web malicioso.

El mensaje también intenta presionar a los destinatarios para que actúen con rapidez, mencionando una fecha límite de envío y mostrando avisos como "el enlace caduca en 20 días". Estas tácticas de urgencia se utilizan habitualmente en ataques de phishing para reducir la probabilidad de que las víctimas examinen detenidamente el correo electrónico antes de hacer clic.

Cómo funciona el robo de credenciales

Una vez que el destinatario hace clic en el archivo adjunto falso o en el botón de reseña, es redirigido a una página de inicio de sesión fraudulenta diseñada para imitar a un proveedor de correo electrónico de confianza. Estas páginas de phishing suelen ser muy sofisticadas y pueden detectar automáticamente el dominio de correo electrónico de la víctima para mostrar un portal de inicio de sesión de aspecto familiar.

Por ejemplo, los usuarios de Gmail pueden ver una pantalla de inicio de sesión con el logotipo de Google, mientras que los usuarios de Outlook pueden ver una interfaz al estilo de Microsoft. Esta personalización aumenta la probabilidad de que las víctimas crean que la página es auténtica.

Las credenciales introducidas en el formulario fraudulento se transmiten directamente a los atacantes. Dado que las cuentas de correo electrónico suelen servir como punto de acceso para otros servicios en línea, el robo de información de inicio de sesión puede provocar una filtración masiva de cuentas.

¿Por qué son peligrosas las credenciales de correo electrónico robadas?

Las cuentas de correo electrónico comprometidas pueden brindar a los ciberdelincuentes un acceso extenso a la vida digital de la víctima. Una vez que los atacantes obtienen el control de una bandeja de entrada, pueden:

• Restablecer contraseñas para cuentas bancarias, de compras, de almacenamiento en la nube o de redes sociales vinculadas a la dirección de correo electrónico.

• Lea las comunicaciones confidenciales y la información financiera.

• Enviar correos electrónicos de phishing a compañeros de trabajo, clientes, amigos o familiares.

• Realizar ataques de compromiso de correo electrónico empresarial (BEC) contra empleadores.

• Vende accesos a cuentas robadas en mercados clandestinos de ciberdelincuencia.

Los riesgos aumentan aún más cuando los usuarios reutilizan la misma contraseña en varias cuentas. Una sola credencial robada puede potencialmente desbloquear numerosos servicios conectados.

Señales de que el correo electrónico es fraudulento

Diversos indicadores revelan la naturaleza maliciosa de esta campaña de phishing. La supuesta organización remitente y sus datos de contacto son falsos, y el mensaje apela a la urgencia para provocar una acción inmediata. Además, el archivo PDF adjunto falso es simplemente un hipervínculo disfrazado, no un archivo legítimo.

Otra señal de alerta importante es la solicitud de iniciar sesión a través de una página externa. Los procesos legítimos de adquisición o evaluación de proveedores rara vez requieren que los destinatarios verifiquen sus credenciales de correo electrónico mediante enlaces de terceros no relacionados, enviados en correos electrónicos no solicitados.

Lo más importante es que el proveedor de correo electrónico que la página de phishing intenta imitar no tiene absolutamente ninguna relación con la estafa en sí.

Riesgos potenciales del malware

Si bien esta campaña en particular se centra principalmente en el robo de credenciales, plantillas de phishing similares se suelen reutilizar para distribuir malware. Los ciberdelincuentes suelen usar el correo electrónico como método de distribución de software malicioso, insertando contenido dañino en archivos adjuntos o enlaces.

Los ciberdelincuentes pueden distribuir documentos de Microsoft Office infectados, archivos PDF, archivos ZIP o RAR, archivos JavaScript o programas ejecutables. En muchos casos, el proceso de infección comienza solo después de que la víctima abre el archivo, habilita las macros o ejecuta manualmente el software descargado.

Algunas campañas de phishing evitan por completo los archivos adjuntos y, en su lugar, dirigen a las víctimas a sitios web maliciosos capaces de iniciar descargas de malware automáticamente o de engañar a los usuarios para que instalen actualizaciones e instaladores de software falsos.

Reflexiones finales

La campaña de correo electrónico "Evaluación de proveedores" es una estafa de phishing que se hace pasar por una invitación legítima a una licitación. Su objetivo principal es robar las credenciales de correo electrónico mediante una página de inicio de sesión engañosa pero fraudulenta. Los correos electrónicos no están vinculados a ninguna organización auténtica, programa de gestión de proveedores ni proceso de adquisición.

Los destinatarios deben evitar interactuar con el mensaje, abstenerse de hacer clic en cualquier enlace o botón incrustado y eliminar el correo electrónico de inmediato. Mantener la cautela ante las comunicaciones comerciales no solicitadas es fundamental para proteger la información personal, las cuentas corporativas y la seguridad financiera frente a las amenazas cibernéticas cada vez más sofisticadas.