Esta web difundía un falso Excel que robaba tus datos. Unos expertos siguieron el rastro y así han boicoteado la estafa

Publicado el 06/03/2025 por Diario Tecnología Artículo original

Seguro que habrás oído hablar en varias ocasiones de páginas que suplantan a las oficiales para convencerte de descargar algún software muy conocido, del que el usuario no desconfiaría... pero que termina siendo algún tipo de malware. Pues precisamente una web así ha salido a la luz hace poco (usando Microsoft Excel como anzuelo), y el experto en ciberseguridad que la detectó ha explicado paso a paso en X cómo siguió hasta Telegram el rastro dejado por los estafadores.

¿Cómo funciona esta estafa?

Imagínatelo: estás buscando descargar Excel y, a través de redes sociales o de una búsqueda en Google, llegas a un sitio web que (hasta donde sabes) parece legítimo. Pero cuando descargas el archivo, en lugar del esperado Excel, lo que ejecutas en tu PC es un malware que empieza a recolectar tu información personal, como, por ejemplo:

• Tu dirección IP.
• Tu ubicación aproximada.
• Tu proveedor de Internet.
• Tu tipo de dispositivo y navegador.
• Tu zona horaria.

Y todo esto se envía automáticamente a un bot en Telegram, que está programado para recibir y almacenar estos datos sin que tú lo sepas.

¿Cómo lo descubrieron los expertos?

Los investigadores de ciberseguridad analizaron el archivo descargado en plataformas de ciberseguridad como VirusTotal y Any.Run (un entorno virtual online que monitoriza el funcionamiento de ejecutables sospechosos), lo que permitió confirmar su peligrosidad.

Se detectó que establece conexión con la dirección IP 45.92.1.4 a través del puerto 8041, lo que indica una posible infraestructura de 'comando y control' operada por cibercriminales.

Pero lo más interesante fue cuando revisaron el código de la página y encontraron el bot de Telegram que recibía la información robada. Gracias al token de acceso, lograron identificarlo como @davresultallbot.

La principal función de este bot es la de recibir los datos de las víctimas, y rápidamente sospecharon que podía estar conectado con otras actividades fraudulentas en distintos grupos de Telegram (extremo que los investigadores, efectivamente, pudieron confirmar).

Contramedidas (un trago de su propia medicina)

Como parte de las contramedidas, los investigadores decidieron lanzar un ataque de saturación al bot utilizando la propia API de Telegram. A través de la plataforma my.telegram.org, obtuvieron el ID y el hash ID del bot, permitiéndoles el envío masivo automatizado de mensajes al mismo (con información falsa) con el objetivo de colapsarlo.

Además, el equipo denunció en un e-mail la actividad fraudulenta a Telegram, proporcionando pruebas del uso indebido de la plataforma y solicitando su eliminación por incumplimiento de las políticas de seguridad.

¿Cómo puedo protegerme de este tipo de fraudes?

No necesitas ser un experto en ciberseguridad para evitar caer en estas trampas. Aquí te dejamos algunos consejos básicos:

• No descargues archivos desde sitios sospechosos. Si necesitas un programa como Excel, ve siempre directamente a la página oficial de Microsoft.
• No hagas clic en enlaces raros. Si recibes un mensaje con un enlace que te parece extraño (sobre todo si es por e-mail o mensajería), mejor no lo abras.
• Usa herramientas antimalware. Si descargaste un archivo y no estás seguro si es seguro, súbelo a VirusTotal.com o a una plataforma similar para analizarlo.
• Mantén tu antivirus actualizado. Un buen antivirus puede ayudarte a detectar este tipo de amenazas antes de que dañen tu equipo.

Imagen | Marcos Merino mediante IA
En Genbeta | Periodistas estonios descubren en Telegram un acceso al submundo criminal de las estafas online. Y sólo buscaban empleo...

utm_campaign=06_Mar_2025"> Marcos Merino .