El phishing es una de las tácticas predilectas del cibercrimen para ejecutar ataques. A través de técnicas de ingeniería social y la suplantación de identidades de organismos reconocidos, los atacantes logran generar confianza en sus víctimas, induciéndolas a descargar malware o a entregar información confidencial.
Una muestra reciente de este tipo de campañas circula actualmente entre usuarios de Argentina, en la que los cibercriminales están enviando correos falsos que simulan ser notificaciones de supuestas multas de la antigua AFIP (Administración Federal de Ingresos Públicos) con el objetivo de infectar los dispositivos con el troyano bancario Grandoreiro.
A continuación, analizaremos y repasaremos los detalles que deben encender las alarmas de que se trata de un intento de phishing y compartiremos otros casos recientes para comprender mejor el alcance y la sofisticación de estas amenazas, en particular de este troyano.
Grandoreiro: características y actividad reciente
El protagonista de esta campaña es Grandoreiro, uno de los muchos troyanos bancarios latinoamericanos. Activo desde al menos 2017, los investigadores de ESET lo han seguido de cerca desde entonces. Este malware apunta a Brasil y México, y desde 2019 también a España (país más atacado entre 2020 y 2022). Ya en 2023 se había observado un claro cambio de enfoque hacia México y Argentina, como nuevo blanco.
Al igual que otros troyanos bancarios latinoamericanos, Grandoreiro cuenta con funcionalidades de backdoor, que les permite manipular ventanas, actualizarse, registrar las pulsaciones de teclado, simular acciones de mouse y teclado, obtener direcciones URL del navegador de la víctima, cerrar sesión de la víctima o reiniciar el equipo y bloquear el acceso a sitios web elegidos.
Además de recopilar información de sus víctimas (nombre de la computadora, del usuario o la lista de productos de seguridad instalados) también roba credenciales almacenadas en Google Chrome y datos almacenados en Microsoft Outlook.
Recientemente, ESET colaboró con la Policía Federal de Brasil en la desarticulación de la botnet Grandoreiro, proporcionando análisis técnicos, información estadística y nombres de dominio y direcciones IP de servidores de comando y control (C&C) conocidos. No solo eso, gracias a un fallo de diseño en el protocolo de red de Grandoreiro, los investigadores de ESET también pudieron observar su victimología.
El anzuelo: notificación de supuesta multa
La imagen que se comparte a continuación es la del correo falso que le llega a la potencial víctima en nombre de la AFIP (Administración Federal de Ingresos Públicos), aduciendo que existe una multa registrada a su nombre.
Como analizaremos a continuación, presenta ciertos detalles e indicios que debemos tener en cuenta para comprender que se trata de un intento de phishing y no de un comunicado oficial del organismo encargado de la recaudación de impuestos en Argentina.
En primer lugar, el dominio serviciosarca@sfip.com ya debe despertar sospechas: allí confluyen la vieja denominación del organismo (AFIP), con la nueva (ARCA), lo cual marca a las claras que difícilmente se trate de una comunicación oficial.
También es interesante comprender qué sucede al hacer clic en “Ver Documento Fiscal”: lleva a la potencial víctima a la página que mostramos a continuación:
En caso de que la persona haga clic creyendo que está descargando el PDF con la supuesta multa, lo que en realidad está descargando es un archivo ZIP, con el nombre “JYN178047BRFJ-89S459#xbdk765209999302.zip”.
Este archivo contiene una carpeta con un archivo en formato “.vbs”, que al ejecutarlo comienza el proceso que termina con la infección con el troyano bancario Grandoreiro.
Desde la propia Agencia de Recaudación y Control Aduanero (ARCA) compartieron un comunicado, resaltando “la absoluta falsedad de estos correos” e incitando “a los contribuyentes que los reciben a no ingresar a ninguno de los links allí incluidos y a denunciar el incidente, reenviando el mail a phishing@arca.gob.ar”.
A su vez, el organismo oficial recuerda que “como es de público conocimiento, ninguna comunicación que invoque a la AFIP es oficial”.
Lectura recomendada:
Cómo evitar caer en el engaño del phishing
Reportes recientes de esta campaña y otras similares
Diversos usuarios compartieron ejemplos de correos que recibieron como parte de esta misma campaña que utiliza el nombre de AFIP, con una supuesta multa como señuelo.
Tal como se verifica en el caso compartido por el especialista Cristian Borghello, el enlace descarga un ZIP con un archivo “.vbs” fuertemente ofuscado.
Durante 2025 se reportaron oleadas de correos de phishing muy similares a la analizada en este posteo, y dirigidas mayormente a usuarios de España, Argentina y México.
A continuación, el reporte de un usuario en la red social X:
En esa misma línea, otro usuario compartió el siguiente ejemplo:
Otro ejemplo similar es el compartido por Josep Albors, que data de marzo de 2025. Puntualmente, esta campaña, que distribuye el troyano bancario Grandoreiro, está dirigida a España y suplanta la identidad de la compañía telefónica Movistar.
Consejos de seguridad antiphishing
Para reducir el riesgo de caer en este tipo de engaños, es fundamental adoptar hábitos de ciberseguridad básicos pero efectivos:
- Verifica siempre el remitente: Presta atención a la dirección de correo electrónico. Si el dominio parece sospechoso o no coincide exactamente con el del organismo oficial, es una señal de alerta.
- No hagas clic en enlaces ni descargues archivos adjuntos sin verificar: Ante la duda, accede directamente al sitio web oficial del organismo en cuestión escribiendo la dirección en el navegador.
- Mantén actualizado tu software de seguridad: Un buen antivirus puede detectar y bloquear archivos maliciosos antes de que causen daño.
- Desconfía de mensajes que generen urgencia o miedo: El phishing suele apelar a emociones fuertes para forzar decisiones rápidas. Tómate un momento para analizar el contenido con calma.
