Cuando se habla de campañas de phishing ubicadas en España, salen a la palestra casos de suplantación de empresas bancarias o entidades públicas. Pero en otras ocasiones, estos ciberdelitos también involucran los organismos más importantes del sistema español, y la firma de seguridad ESET ha detectado uno que afecta a nada menos que el Consejo General del Poder Judicial.

Tal y como ha descubierto la empresa a raíz de una investigación del usuario en Twitter @MalwareHunterTeam, se está preparando en España una aplicación maliciosa que suplanta al organismo español cuyo único objetivo es robar información personal para, a su vez, realizar más campañas de phishing. Afortunadamente, todo apunta a que la aplicación aún no se ha publicado de forma masiva, y está a la espera de propagarse mediante canales como correo electrónico o SMS.

Lo más llamativo del asunto es que esta aplicación reutiliza gran parte de otra, también maliciosa, que en este caso suplantaba a BBVA, la famosa entidad bancaria. Esto ha ayudado a 'destapar' el problema de la app y al hecho de que su confección es bastante rudimentaria, para fortuna de los usuarios.

Cuidado con esta app

El Consejo General del Poder Judicial es un organismo gubernamental judicial del sistema español. Se encarga básicamente de proteger la independencia de los profesionales judiciales del sistema español, tales como magistrados o jueces, ante las acciones del Estado español como tal. Está compuesto por veinte vocales y un presidente, el cual también se postula como el presidente del Tribunal Supremo.

Página web fraudulenta. Protegerse Omicrono

Evidentemente, este organismo no cuenta con una aplicación oficial descargable, aunque sí con una página web propia. Los hackers que han elaborado esta aplicación han usado este hecho para preparar la distribución de la app de la forma más simple: creando una página web que emula la del Consejo General del Poder Judicial que usa sus emblemas y enlaza directamente a las redes sociales oficiales del organismo.

Esta aplicación se descarga exclusivamente para Android, ya que se debe instalar de forma manual mediante APK. No obstante, todo apunta a que el trabajo de los hackers es más bien chapucero, ya que hay indicios extremadamente claros de que esta app es maliciosa.

Un trabajo poco cuidado

Mensaje de la aplicación. Protegerse Omicrono

Normalmente, esta clase de aplicaciones se suele preparar a conciencia, así como sus canales de distribución. La idea es que la víctima se crea realmente que la app es fidedigna; para ello crean una página web funcional y que emule lo máximo posible a la original. En este caso es todo lo contrario.

Para empezar, la página web presenta numerosos errores de visionado, lo que la hace casi ilegible y tiene poco cuidado estético. Además, la distribución de los elementos es totalmente errática, y lo más llamativo es que la aplicación ni siquiera tiene el nombre del CGPJ, sino "BBVALock". Y es que la app tampoco es original; reutiliza gran parte del código de otra aplicación maliciosa que suplanta la de la entidad bancaria.

Tal y como expone la ESET en su informe, el código interno de la aplicación es prácticamente el mismo respecto a la aplicación que imita. Normalmente, los hackers que reutilizan código ajeno suelen cambiar el nombre y las referencias de la anterior app para que el engaño no sea obvio. Los hackers responsables de esta aplicación no han hecho eso, y ni siquiera han ocultado los enlaces a archivos dentro del directorio de la web que suplanta a la CGPJ (aunque estos no tienen registro alguno a fecha de escrito este artículo).

Debes evitarla

Esto no hace que la aplicación sea menos peligrosa. Todo lo contrario, ya que al instalarla se solicitarán datos privados como el número de teléfono o el DNI. Para el 'funcionamiento' de la app, esta solícita que se rellenen unos campos para que los hackers se hagan con dicha información de forma fraudulenta.

Es muy importante que, en la medida de lo posible, los usuarios no descarguen aplicaciones de forma manual, sino que hagan uso de tiendas especializadas como la Google Play Store o la App Store en Android e iOS respectivamente. Además, hay que evitar descargar aplicaciones si no se está segura su procedencia, por lo que también se recomienda realizar una pequeña investigación para determinar si por ejemplo el servicio al que suplantan estas aplicaciones posee una propia.

• Ikea, amenazada por el 'phishing': intentan mandar virus a través del correo electrónico
• No, Apple no está sorteando un iPhone 13: cuidado con esta estafa
• Un Rolex gratis en WhatsApp: el phishing que arrasa para estafar a incautos