Ciberdelincuentes crean clon del portal de pagos ICETEX para robar información bancaria
La peor pesadilla de un estudiante con crédito puede hacerse realidad al realizar su pago en una página web falsa que imita la original del Icetex. Grupo de investigadores detectaron una operación para robar información financiera de la entidad. Los ladrones usan el portal https://icetexrecaudo.com/ para llevar a cabo su operación.
Los atacantes han registrado el dominio “icetexrecaudo.com”, una versión simplificada pero engañosa del sitio oficial “aplicaciones.icetex.gov.co/WebsitePSE/login” donde originalmente se hacen los pagos en línea del crédito.
Sumado a lo anterior el portal falso está tomando información de algún repositorio de datos o tiene una serie de filtros técnicos. Esto se puede concluir ya que el portal ficticio tiene una serie de restricciones para acceder a la sección donde finaliza el robo de información. MuchoHacker.lol probó el aplicativo falso con números de referencia de pago aleatorios y no funcionó pero cuando se hizo la misma prueba con 10 digitos encontrados en Internet el portal permitio acceso. Esto sugiere que está tomando información de algún sitio para validar a quién intenta estafar.
Una vez la víctima ingresa su número de pago aparecerá un recibo.
El ataque sigue con la parte del pago donde se despliega la posibilidad de pagar con tarjeta de crédito o PSE y es acá donde se entregan los datos a los ladrones.
Si bien se conoce una parte de la estrategia (El portal falso) no se conoce cómo los atacantes están enviando mensajes a las posibles víctimas. Lo que sí se puede establecer es que al portal está llegando tráfico.
Esta táctica demuestra una comprensión sofisticada de la psicología del usuario, ya que mantiene elementos familiares como la palabra “icetex” y añade “recaudo”, un término relacionado con pagos que aumenta la percepción de legitimidad.
MuchoHacker.lol pudo establecer que el dominio estafador está activo desde el 8 de enero de 2025 y fue adquirido en la empresa Hostinger. Lleva más de 15 días activo y muestra que la entidad y en general el sistema de ciberseguridad del país no tiene activa alertas para detectar el registro de dominio donde aparezcan palabras de entidades públicas.
¿Qué es el URL Hijacking o Secuestro de URL?
Es una técnica maliciosa utilizada por ciberdelincuentes para redirigir a los usuarios a sitios web fraudulentos o no deseados. Este tipo de ataque puede tener diversas formas y objetivos, pero en esencia, se trata de manipular las URLs para engañar a los usuarios y llevarlos a destinos diferentes de los que esperaban.
