Un sitio fraudulento que imita al portal oficial del Servicio de Administración Tributaria (SAT) está engañando a los contribuyentes para que ejecuten manualmente un código malicioso en sus computadoras, lo que compromete su seguridad sin que se den cuenta.
¿Cómo funciona este ataque? El sitio falso portalsatmx[.]com solicita a los usuarios seguir supuestas “medidas de seguridad” para continuar con su trámite. En realidad, los instruye a copiar y ejecutar un código en PowerShell, una herramienta de automatización en Windows. Este código descarga y ejecuta malware en la carpeta APPDATA del sistema, permitiendo a los atacantes tomar el control del equipo.
Este modus operandi es similar al ataque de FenixBotnet, detectado en octubre de 2024, donde se enviaban falsos citatorios del SAT por SMS para redirigir a páginas maliciosas.
¿Cuáles son los riesgos? Ejecución remota de malware sin que el usuario lo detecte. Robo de credenciales e información personal almacenada. Programas espía que registran pulsaciones de teclado y capturan contraseñas bancarias. Acceso persistente al equipo, incluso tras eliminar el código inicial.
¿Cómo protegerse? No ejecutar comandos en Windows sin verificar su autenticidad. Verificar la URL oficial del SAT: el único sitio legítimo es www.sat.gob.mx. No ingresar datos personales en páginas no verificadas. Mantener el sistema y antivirus actualizados para detectar amenazas. Reportar páginas fraudulentas a la Policía Cibernética.
