Una serie de correos falsos que se hacen pasar por el Correo Argentino están circulando a través de anuncios patrocinados en Gmail. Estos anuncios se mezclan entre los correos legítimos y pueden confundirse con comunicaciones legítimas.

Esta mecánica, que se basa en usar la plataforma publicitaria de Google (Google Ads), ya fue observada en varios casos que cubrimos desde WeLiveSecurity, en los que los estafadores usan (usurpan) distintas marcas conocidas para engañar a los usuarios e inducirlos a que den datos personales y financieros, al abusar del conocimiento público de grandes marcas y entidades de confianza, a pesar de los controles de la plataforma.

La red de anuncios digitales como Google Ads u otras plataformas similares permite a empresas y personas difundir correos promocionales suscribiéndose al servicio. La idea principal es poder sectorizar el mensaje y que llegue a personas con cierto interés, costumbres, rango etario u otras características en común, que se alineen con el mensaje difundido o el servicio ofrecido. Pero, como hemos visto en casos anteriores cómo resultados de búsquedas fraudulentos o anuncios en bandejas de entrada de correo (que figuran como patrocinados), funcionan como parte del engranaje de estafas y engaños diversas como una mecánica común.

En este caso, la estafa se observó circulando en Gmail, al menos en su versión móvil para Android (aunque, como ocurre con estas campañas, podría eventualmente expandirse a otros dispositivos o sistemas operativos).

A continuación, un recorrido sobre los pasos de esta estafa:

Anuncio que parece correo real

Llega a la bandeja de entrada de Gmail para Android un correo que simula ser de Correo Argentino. Este mensaje replica estéticamente a la marca y contiene un mensaje de alerta del tipo "paquete retenido en aduana" o "envío retenido" y similares, que en un apuro puede inducir a hacer clic para abrir el mensaje.

correo-argentino-phishing-gmail-primer-pantalla-2
Imagen 1: Capturas de anuncios en Gmail con asunto liberar paquete con distintos formatos. En uno de ellos (imagen del centro) se utiliza el nombre de Correo Argentino.

La particularidad es que este tipo de estafas, al utilizar la red de anuncios, mezcla los mensajes entre los legítimos que llegan a la bandeja de entrada y no son tratados como spam, ya que aparecen como contenido patrocinado, algo que como vimos en un artículo anterior se ha observado en aumento en el último tiempo.

Mensaje convincente

Si el receptor, en un descuido o engañado por el mensaje, hace clic para ver más, accede al contenido del mensaje, que está diseñado para reforzar el sentido de urgencia y llevar a actuar con menos reflexión.

correo-argentino-phishing-gmail-primer-pantalla-1
Imagen 2: Visual imitada de la emrpesa de correos, en los mensajes de anuncio en Gmail. En algunos refieren a la identidad visual y en otros utiliza claramente el nombre de la empresa (ej. de la izq).

 

Este mensaje en particular está redactado de una forma muy convincente y sin fallas (antiguamente la mala redacción y errores de ortografía eran un signo simple para descartar correos de phishing; hoy, gracias a herramientas modernas —incluida la IA—, generar textos bien escritos se les ha hecho muy sencillo a los estafadore).

Mezclado con correos reales

Por otro lado, que aparezcan mezclados entre correos legítimos hace al usuario un poco más propenso a no notar que se trata de un correo falso (no es lo mismo hacer clic en un mail en spam) y no detectar las primeras inconsistencias que deben alertar:

correo-argentino-phishing-gmail-anunciante
Imagen 3. Centro de anuncios de google donde se observa que el patrocinante no tiene relación con la empresa que suplanta.

 

Como se observa en Imagen 3, el mensaje de anuncio está registrado ante Google con una identidad que no tiene nada que ver con la que dice ser (este es uno de los indicadores más importantes de que se trata de un engaño y uno de los primeros puntos que el usuario debería revisar).

Falso soporte

En el caso de que el engaño continúe, la persona hace clic y es llevada a un bot que simula ser de "atención al cliente".

El grado de personalización que puede tomar el engaño a partir de esta etapa es posible gracias a herramientas de IA que facilitan la diagramación de la estafa para los criminales, que logran textos personalizados y bien escritos. Aquí ya no aplican las viejas reglas de detección de phishing que se basaban en chequear errores de ortografía o redacción.

correo-argentino-phishing-gmail-bot
Imagen 4: Falso bot de atención al cliente que pedirá los primeros datos para simular y personalizar la conversación en un nivel alto.

 

En este caso en particular, la personalización llega a un nivel aún mayor: el sistema genera y muestra imágenes de supuestos paquetes con etiquetas que incluyen el nombre ingresado por el usuario, lo que refuerza la credibilidad del engaño y da la sensación de que se trata de un envío real en proceso. Este nivel de personalización es parte de la evolución de las estafas actuales, que buscan parecer cada vez más legítimas

Imagne 5: La conversación del falso bot de atención al cliente simula una fotografía generada con IA del paquete retenido usando los datos del usuario real.

Robo de datos

Si el usuario llega a esta etapa, se le presenta un formulario falso donde se pedirá rellenar con datos de tarjetas para realizar un supuesto pago de tasa para liberar el envío. Si bien en la captura que sigue se ve que se han ingresado datos de tarjeta de crédito, estos son datos ficticios y el sistema fingió aprobar la transacción. El resultado real es que se envían a los cibercriminales los datos ingresados, consumándose así el robo de información.

correo-argentino-phishing-gmail-tarjeta
Imagen 6: Etapa final del engaño donde el usaurio ingresa datos financieros para hacer un pago, que la misma web simulará exitoso.

Cómo mantenerse a salvo:

Consejo ante correos de phishing y qué hacer si caíste en el engaño:

  • Desconfiar de mensajes urgentes relacionados con envíos inesperados
  • Verificar siempre el remitente real del mensaje
  • No hacer clic en enlaces de correos sospechosos
  • Ingresas manualmente al sitio oficial de la empresa
  • No compartir datos personales o financieros desde enlaces recibidos
  • Reportar correos sospechosos en Gmail

Si te has percatado de que ingresaste a un link falso o fuiste víctima aquí tienes unos consejos adicionales para ejecutar inmediatamente: Phishing: 10 cosas para hacer inmediatamente si cliqueaste en un enlace falso