Malware por certificado digital: cuidado con el fraude que suplanta a la FNMT

El certificado digital de la Fábrica Nacional de Moneda y Timbre (FNMT) es una herramienta muy útil que permite al titular identificarse oficialmente para realizar multitud de trámites en internet.

Los delincuentes conocen su popularidad y han puesto en marcha un nuevo fraude que puede acabar con un malware instalado en el dispositivo.

En qué consiste el fraude del certificado digital de la FNMT

Según ha alertado el Instituto Nacional de Ciberseguridad (INCIBE), varias personas se han visto afectadas por este nuevo fraude, que consiste en la distribución de malware mediante la suplantación de la FNMT. Para ello, simulan el envío del certificado digital como un documento adjunto.

Se trata de una campaña de phishing, es decir, de robo de información mediante la instalación de un virus informático en el dispositivo en el cual se recibe un correo electrónico.

El e-mail fraudulento, supuestamente enviado desde la FNMT, informa a la víctima de que puede descargar un archivo adjunto que contiene su identificación y el certificado de su NIF. También le invita a utilizar una alternativa para la descarga, que consiste en acceder a una página web a través de una URL que proporciona el correo electrónico.

El problema es que ese archivo, en realidad, contiene un código malicioso. Por supuesto, la FNMT no ha enviado el archivo, sino los ciberdelincuentes que pretenden hacerse con el control del dispositivo.

Si la víctima llega a descargarlo y ejecutarlo, el dispositivo quedará infectado y su información, expuesta. Se trata de un malware.

Cómo es el correo electrónico fraudulento

Para identificar el correo electrónico fraudulento más fácilmente, el INCIBE ha publicado un ejemplo de un e-mail recibido a raíz de esta campaña de phishing. El asunto empleado en ese correo electrónico es «Disponibilidad del certificado FNMT-RCM», aunque no se descarta que se puedan utilizar también otros distintos en diferentes correos electrónicos.

⚠#INCIBEaviso | Se ha detectado la distribución de #malware mediante suplantación de la Fábrica Nacional de Moneda y Timbre (FNMT) que utiliza la excusa del envío de tu certificado digital. https://t.co/UdoVk0bW3a#AvisosDeSeguridad #NextGenerationEU pic.twitter.com/QrZZOok5D9

— Oficina de Seguridad del Internauta (@osiseguridad) October 23, 2024

El remitente del correo simula ser la Fábrica Nacional de Moneda y Timbre (fnmt.es). En realidad, no lo es: los delincuentes utilizan una técnica de ofuscación conocida como email spoofing para aparentar que el correo electrónico se ha enviado desde el dominio de la FNMT.

En este caso, el archivo adjunto detectado se denomina Certificado FNMT-RCM.iso. También en este caso el archivo muestra un nombre que no corresponde, ya que en realidad se trata de un archivo ejecutable del tipo .exe, listo para poner en marcha el malware.

Si el archivo se llega a ejecutar, los delincuentes tratarán de tomar el control del dispositivo infectado, robar información personal de la víctima y utilizarla con distintos fines delictivos, como cometer otro tipo de fraudes o extorsión.

Qué hacer si has sido víctima del fraude del certificado digital de la FNMT

Si has recibido un correo electrónico de estas características, deberás seguir los pasos que propone el INCIBE para solucionar el ataque o minimizar el daño causado:

Si has recibido el correo, pero no has descargado el archivo

En este caso, lo único que debes hacer es marcar como spam el correo electrónico y eliminarlo de tu bandeja de entrada. Bajo ningún concepto debes descargar el archivo adjunto, ni mucho menos ejecutarlo.

Si has descargado el archivo, pero no lo has ejecutado

Si todavía no has llegado a ejecutar el archivo, pero te lo has descargado en tu dispositivo, debes dirigirte a tu carpeta de descargas (o a la que hayas elegido para guardar el archivo) y eliminarlo. A continuación, deberás borrarlo también de la papelera de reciclaje.

Si has descargado y ejecutado el archivo

Si has llegado a ejecutar el archivo, tu dispositivo puede estar infectado. En este caso, debes seguir una serie de recomendaciones:

• Desconecta el equipo que pueda estar infectado para evitar que el malware se propague a otros dispositivos de la red doméstica.

• Utiliza un antivirus para efectuar un análisis exhaustivo del dispositivo y encontrar el malware. Si sigue infectado, conviene que lo formatees o lo restablezcas de fábrica para eliminar el virus por completo. Eso sí, si haces esto, toda la información almacenada en el dispositivo también se eliminará. Por eso es aconsejable realizar copias de seguridad de manera periódica.

• Guarda todas las pruebas que puedas durante este proceso: capturas de pantalla, asuntos del correo electrónico y otra información que te parezca relevante para denunciar los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado.