📆 Publicado el

Análisis Forense de Phishing a Entidad Bancaria

5 min read
Autor

🕵️ Análisis forense de un caso real de phishing bancario

En esta investigación forense se analiza un intento de phishing dirigido a clientes de una entidad bancaria simulada (GrupoCajaRural.es). A partir de un SMS fraudulento, se reconstruye todo el flujo del ataque documentando cada paso mediante capturas de pantalla y herramientas OSINT/técnicas de análisis web.

🧰 Paso 1: Recepción del SMS sospechoso

El proceso comienza con la recepción de un mensaje SMS desde un número español. El texto amenaza con desactivar la tarjeta bancaria si no se actualiza la seguridad antes del 17/06/2025. Incluye un enlace acortado con TinyURL.

SMS fraudulento

🧵 Paso 2: Resolución del enlace acortado

En el SMS observamos un enlace acortado, lo que indica que se está intentando ocultar la URL original. Lamentablemente, esta práctica también es utilizada por muchas empresas legítimas, pero en el contexto adecuado puede ser un indicio de phishing.

Si no queremos abrir el enlace directamente en un navegador, podemos utilizar curl para revelar la URL real sin necesidad de seguirla con un navegador:

curl -Ls -o /dev/null -w "%{url_effective}\n" https://tinyurl.com/9763pdap
Resolución de tinyurl

Esto revela el destino final:

http://srv235288.hoster-test.ru/wp-admin/ru/rural/core/index.php

💪 Paso 3: Simulación de entorno móvil

Si se accede a la web con el navegador, no se ve nada. ¿Qué raro, un intento de phishing que no está preparado? Vamos a mirar más a fondo.

Landing page ruralvía

Muchos intentos de phishing están orientados específicamente a dispositivos móviles. Estos dispositivos suelen ocultar o acortar los enlaces en el navegador para adaptarse al tamaño reducido de la pantalla. Es posible que este sea uno de esos casos.

Parece que si no se accede con un User-Agent de un iPhone, por ejemplo, no se visualiza nada. Forzamos el User-Agent de un smartphone y vemos la primera página.

Formulario de tarjeta bancaria

🔍 Paso 4: Recolección de datos bancarios

A partir de este punto, debemos tener precaución. Toda la información que introduzcamos probablemente será enviada directamente al atacante. Por ello, todos los datos utilizados a partir de ahora son ficticios.

Introducimos un DNI y una contraseña inventada.

Introducimos los datos

Al interceptar la petición con Burp Suite, observamos que los datos se envían al servidor a través del siguiente POST:

id=12345678e&pwd=123456

Podemos ver claramente cómo el DNI y la contraseña introducidos en el formulario son enviados a una URL sospechosa que no corresponde con la del banco legítimo, sino a:

http://srv235288.hoster-test.ru
Burp Suite interceptando datos

🔢 Paso 5: Captura de datos personales

Login alternativo con DNI/NIE

La página solicita más datos del usuario: nombre completo, número de tarjeta, fecha de caducidad, código de seguridad y PIN. Es una práctica habitual en los fraudes tipo phishing más sofisticados, donde se intenta obtener la mayor cantidad de información sensible posible.

Burp Suite con login simulado

En esta ventana de Burp Suite, observamos cómo los datos introducidos en el formulario se envían mediante una petición POST a la misma URL fraudulenta.

POST /wp-admin/ru/rural/core/backend.php
name=Michael+Jordan&cc=1234+5678&yr=11%2F27&cvv=123&pix=1234

📲 Paso 6: Simulación de acceso final

La última ventana solicita un código SMS. En este punto, si se hubieran introducido datos reales de tarjeta, es posible que el banco legítimo hubiera enviado un código de verificación al número asociado.

La idea del atacante es que el usuario introduzca ese código aquí, completando así el fraude.

Redirección final al login

Finalmente, la página de phishing redirige automáticamente al sitio oficial de grupocajarural.es, simulando que no ha pasado nada.

Esta redirección final refuerza la sensación de legitimidad, haciendo creer al usuario que ha accedido correctamente a su cuenta.

Redirección final al login

⚠️ Nota legal y de responsabilidad

Este análisis se ha realizado exclusivamente con fines educativos, con el objetivo de mostrar cómo operan los ataques de phishing desde una perspectiva técnica, sin comprometer la seguridad de terceros ni promover actividades ilícitas.

No se recomienda replicar este tipo de análisis sin los conocimientos adecuados ni las medidas de protección necesarias. Acceder a ciertos sitios maliciosos puede poner en riesgo tu equipo si no estás debidamente protegido.

Además, según la legislación vigente (como la Ley de delitos informáticos de 2010 en España), incluso el análisis pasivo de infraestructuras sin autorización podría interpretarse como una actividad ilegal.

⚠️ Actúa con responsabilidad. La ciberseguridad es una herramienta para proteger, no para dañar.

🛡️ Recomendaciones

  • Desconfía de SMS con enlaces acortados o mensajes con tono alarmista o amenazante.
  • Comprueba siempre la URL antes de acceder, especialmente si te solicitan datos personales o bancarios.
  • Ante la más mínima duda, contacta directamente con tu gestor o con la entidad bancaria por canales oficiales.
  • Reporta cualquier intento de phishing al banco y a INCIBE (Instituto Nacional de Ciberseguridad): https://www.incibe.es
Ver en Github