Red de sitios fraudulentos y direcciones IP sospechosas afectan a usuarios de servicios públicos, empresas y aseguradoras en Colombia
Un investigador independiente expuso una operación masiva que imita plataformas legales para cometer fraudes y recolectar datos sensibles de miles de colombianos.
Una investigación independiente reveló una sofisticada red de engaño digital en Colombia. Se trata de una serie de páginas web con nombres similares a empresas reconocidas —como aseguradoras, servicios públicos y empresas privadas— que operan bajo una red de direcciones IP conectadas a actividades maliciosas. Estas páginas simularían ser legítimas para recolectar datos personales y financieros de los usuarios. En el momento de este análisis los sitios se encuentran fuera de linea pero pueden ser activados en cualquier momento.
La alerta fue publicada en Twitter/X por el investigador @IvanZaM1, quien identificó más de 60 direcciones IP del bloque 45.8.132.X y 45.8.133.X, muchas de ellas utilizadas como backend de sitios clonados o falsos. Una de estas, 45.8.132.243, fue denunciada como nodo central de la operación.
Entre los dominios utilizados se encuentran imitaciones de portales de pago de Enel, Suramericana, Codensa, Mundial de Seguros y Sanitas. Algunos ejemplos son:
- pagosdefacturaenel.com
- eenlineasura.com
- soatmundiial.com
- facturacreditocodensaa.com
- pagocuotascolsanitas.com
Estos dominios fueron registrados con nombres apenas modificados —agregando letras, cambiando una vocal o imitando errores tipográficos— para pasar desapercibidos ante usuarios desprevenidos.
“Esta red parece estar diseñada para atacar específicamente a usuarios colombianos, suplantando páginas de servicios esenciales como luz, salud o seguros”, explicó @IvanZaM1 en su publicación.
Las implicaciones son graves: usuarios podrían estar entregando sus datos sin saberlo, accediendo desde motores de búsqueda o enlaces compartidos por WhatsApp, sin notar la diferencia con el sitio original.
Además de los dominios falsos, las direcciones IP asociadas a esta operación comparten rangos muy cercanos, lo cual sugiere un control centralizado, posiblemente a través de servicios VPS contratados de forma automatizada.
Este tipo de engaños se conoce como “typosquatting” o “phishing de marcas”, y es una técnica común en campañas de cibercrimen. En palabras simples: los atacantes crean páginas muy parecidas a las reales para robar datos.
Colombia ya ha enfrentado este tipo de incidentes. De hecho, a diario en MuchoHacker.lol reportamos sobre esta actividad. Esta nueva ola parece enfocarse en servicios no financieros, lo que puede generar menor sospecha.
ColCERT y autoridades han sido notificadas, pero la respuesta institucional aún es incierta.
Análisis de registros Whois de dominios sospechosos
| Dominio | Fecha de Registro | Servidor DNS | Observaciones |
|---|---|---|---|
| pagoaporteasemlineas.com | 2025-06-30 | Cloudflare (treasure / walt) | Dominio recién creado, probablemente automatizado. Uso de Cloudflare común en campañas de phishing. |
| mundiallsoat.com | 2025-04-22 | ns3.my-ndns.com ns4.my-ndns.com |
Nombre similar a marca SOAT. DNS poco comunes, lo que sugiere infraestructura no corporativa. |
| facturacreditocodensaa.com | 2025-05-16 | ns3.my-ndns.com ns4.my-ndns.com |
Variación mínima del dominio legítimo de Codensa. Uso del mismo DNS que otros dominios fraudulentos. |
Desde el punto de vista legal, la creación y uso de estos sitios puede constituir varios delitos en Colombia, como el acceso abusivo a un sistema informático (Ley 1273 de 2009), la violación de datos personales (Ley 1581 de 2012) y el uso de medios engañosos para obtener datos de terceros (Código Penal, artículo 269F).
El impacto para el usuario común es directo: al intentar pagar un servicio o consultar un seguro, puede terminar entregando su número de cédula, datos de tarjeta o correo a un grupo criminal sin saberlo.
¿Cómo puedes protegerte?
- Verifica siempre que la URL sea exactamente igual a la oficial antes de ingresar tus datos
- Nunca accedas a sitios web desde enlaces en mensajes de WhatsApp o SMS no solicitados
- Usa navegadores con protección contra phishing activada
- Consulta el sitio oficial de tu aseguradora o empresa de servicios para guardar sus enlaces verdaderos
- Si ves un sitio sospechoso, repórtalo inmediatamente a colCERT o la Superintendencia de Industria y Comercio
- Evita ingresar datos personales en páginas que no tengan certificado HTTPS válido
Dominios falsos detectados y sus equivalentes legítimos
| Dominio falso | Dominio legítimo |
|---|---|
| seegurosmundial.com | segurosmundial.com.co |
| sooatmundiiall.com | soatmundial.com.co |
| pagosdefacturaenel.com | enel.com.co – botón de pago |
| facturacreditocodensaa.com | enel.com.co |
| tarjetacodensaenel.com | enel.com.co |
| pagosafacturasenel.com | enel.com.co |
| coltiendasisohp.com | co.tiendasishop.com |
| mundiallsoat.com | soatmundial.com.co |
| www.pagoaporteasemlineas.com | aportesenlinea.com |
| eenliineasura.com | sura.co |
| www.pagocuotacolsanitas.com | sin dominio oficial confirmado (sospechoso) |
| facturaluzcali.com | cali.gov.co/facturas |
