Los cibercriminales no descansan y ahora han encontrado una nueva forma de engañar a los usuarios: suplantando la identidad de la empresa de logística FedEx.
De acuerdo con una alerta publicada por el sitio especializado en ciberseguridad WeLiveSecurity, circula una campaña de phishing que utiliza correos electrónicos con el diseño y logotipo de la compañía para estafar a los destinatarios.
El mensaje que reciben las víctimas indica que hay un paquete retenido en aduana y que es necesario realizar una gestión para liberarlo.
Para aumentar la credibilidad, los correos incluyen un supuesto número de seguimiento del envío y un botón de “resolución de problemas”, que redirige a un sitio web falso que simula la estética de FedEx.
Cómo funciona la estafa
Una vez que el usuario ingresa al sitio, comienza un proceso que simula varios pasos de verificación y gestión del envío. El objetivo es lograr que la víctima proporcione información sensible, como los datos de su tarjeta de crédito, para realizar un pago ficticio que permitiría “liberar” el paquete.
Incluso si los datos ingresados no son válidos, el sistema está diseñado para detectar esta situación y pedir que se ingresen datos reales.
Esto lo logran los cibercriminales usando la pasarela de pago de una página legítima de compra de gift cards, lo que además valida los datos ante empresas de tarjetas de crédito. Así, obtienen información financiera verificada, que luego puede ser utilizada para cometer otros fraudes o ser vendida en mercados ilegales, incluyendo la dark web.
Un engaño bien disfrazado
Los correos y el sitio web falso están cuidadosamente diseñados para parecer auténticos. Utilizan la misma tipografía, colores y logotipo de FedEx, así como la firma de “FedEx Express” al final del mensaje.
Todo está pensado para generar confianza en el usuario y llevarlo paso a paso hasta entregar sus datos sin sospechar.
La URL a la que se dirige el usuario no tiene relación con el sitio oficial de FedEx, pero al estar camuflada entre imágenes y diseño similar, pasa fácilmente desapercibida.
¿Cómo protegerse?
WeLiveSecurity ofrece algunos consejos básicos para evitar caer en este tipo de trampas:
Usar tarjetas de crédito o débito virtuales para compras en línea. Muchas wallets y servicios financieros ofrecen esta opción.
Desconfiar de mensajes inesperados que generen urgencia o requieran acciones inmediatas. Siempre verifica con la entidad oficial usando sus canales de contacto legítimos.
Revisar cuidadosamente la URL del sitio antes de ingresar datos personales o financieros. Asegúrate de que sea la dirección real de la empresa.
Tal como se observa en este caso, los ciberatacantes se apoyan en dos estrategias comunes: generar confianza con elementos visuales conocidos y apremiar al usuario para que actúe sin pensar. Por eso, es clave mantenerse alerta y no dejarse llevar por las apariencias.
