Campaña de phishing del Ministerio del Interior del Reino Unido dirigida a los titulares de licencias de patrocinio de visados
12 de agosto de 2025
Por Samantha Clarke, Hiwot Mendahun, Ankit Gupta y el equipo de investigación de amenazas de Mimecast
- Campaña de phishing dirigida a los titulares de licencias de patrocinador del Reino Unido mediante la suplantación fraudulenta del Ministerio del Interior
- Los atacantes pretenden obtener acceso a las credenciales del Sistema de Gestión de Patrocinios (SMS) con el fin de obtener beneficios económicos y sustraer datos.
- La campaña utiliza direcciones URL protegidas con captcha y una suplantación convincente de dominios gubernamentales para eludir los controles de seguridad
- Progresión de un ataque en varias fases, desde la obtención de credenciales hasta la monetización de cuentas y la explotación de la identidad
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast ha identificado una campaña de phishing activa dirigida a organizaciones del Reino Unido con privilegios de licencia de patrocinador, mediante tácticas de suplantación de identidad del Ministerio del Interior. Esta campaña supone una amenaza significativa para el sistema de inmigración del Reino Unido, ya que los atacantes pretenden comprometer el acceso al Sistema de Gestión de Patrocinios (SMS) con el fin de llevar a cabo una explotación financiera y de datos a gran escala. Los autores de estos ataques envían correos electrónicos fraudulentos que se hacen pasar por comunicaciones oficiales del Ministerio del Interior; por lo general, se envían a direcciones de correo electrónico generales de la organización con avisos urgentes sobre cuestiones de cumplimiento normativo o la suspensión de cuentas. Estos mensajes contienen enlaces maliciosos que redirigen a los destinatarios a páginas de inicio de sesión falsas muy convincentes, diseñadas para obtener los nombres de usuario y las contraseñas.
Metodología de ataque
La campaña sigue un enfoque sistemático que comienza con correos electrónicos de phishing que imitan fielmente las notificaciones legítimas del Ministerio del Interior. A los destinatarios se les muestran mensajes urgentes en los que se les informa de nuevas notificaciones por SMS o alertas del sistema que requieren atención inmediata. Los correos electrónicos redirigen a los usuarios a páginas de inicio de sesión fraudulentas que recopilan las credenciales de autenticación en el momento de introducirlas.
El análisis técnico revela el uso de direcciones URL protegidas por captcha como mecanismo de filtrado inicial, seguido de una redirección a las páginas de phishing que imitan fielmente la interfaz auténtica de SMS. Los autores de las amenazas demuestran un conocimiento avanzado de los patrones de comunicación de las autoridades y de las expectativas de los usuarios en el marco del sistema de inmigración del Reino Unido.
La página de phishing es una réplica muy convincente de la página legítima de inicio de sesión por SMS del Ministerio del Interior del Reino Unido, lo cual se ha conseguido mediante la copia directa del código HTML, la inclusión de enlaces directos a recursos oficiales y cambios mínimos, pero fundamentales, en el proceso de envío del formulario.
- Página legítima
<form id="smslogin" method="post" action="j_security_check">
- Página de phishing
<form id="smslogin" method="post" action="sms.php">
Esto constituye una señal de alarma muy importante, ya que indica que las credenciales se están enviando a un script controlado por un atacante, en lugar de al sistema de autenticación legítimo.
Estrategia de monetización ilícita
Una vez que las credenciales de SMS se ven comprometidas, los autores de las amenazas pueden recurrir a múltiples vías de monetización. Entre los objetivos principales se encuentran la venta de acceso a cuentas comprometidas en foros de la dark web, la facilitación de la emisión fraudulenta de certificados de patrocinio (CoS) y la puesta en marcha de esquemas de extorsión contra las organizaciones afectadas.
La forma más lucrativa de estafa consiste en crear ofertas de empleo falsas y planes de patrocinio de visados, en los que los delincuentes cobran a las víctimas entre 15 000 y 20 000 libras por oportunidades laborales inexistentes. Este método aprovecha las cuentas de los patrocinadores que han sido objeto de un ataque para crear documentación de visado aparentemente legítima que respalda elaborados planes de fraude en materia de inmigración.
Protección de Mimecast
Mimecast ha implementado unas funciones de detección exhaustivas para identificar y bloquear los correos electrónicos relacionados con esta campaña de suplantación de identidad del Ministerio del Interior. Seguimos vigilando la evolución de las tácticas y técnicas que utilizan estos actores maliciosos para garantizar que nuestros clientes sigan estando protegidos frente a esta sofisticada amenaza.
Objetivos:
Organizaciones del Reino Unido titulares de licencias de patrocinio en todos los sectores e industrias, con especial atención a las empresas que gestionan activamente programas de patrocinio de visados y a los usuarios habituales del sistema SMS.
Indicadores de compromiso (IOC)
Asuntos habituales:
- Se ha publicado un nuevo mensaje en su Sistema de Gestión de Patrocinios
- Notificación de mensaje por SMS
- Nuevo mensaje en su cuenta de UKVI
- Notificación de nuevo mensaje
- Notificación de UKVI
- Notificación del sistema SMS
- Notificación del sistema: se requiere una acción
- Mensaje seguro de UKVI
- Notificación segura de UKVI
- Tiene un nuevo mensaje
- Tiene una nueva notificación de cuenta SMS
- Ha recibido un nuevo mensaje
- Ha recibido un nuevo mensaje
URL maliciosas:
- hxxps://hkrd[.]site/points.homeoffice.gov.uk.gui-sms-jsf.home.SMS-003-Home.faces
- hxxps://www.slcpi[.]org/points.homeoffice.gov.uk-uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
- hxxps://sinsense[.]jp/gov.uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
- hxxps://casting-one[.]jp/uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
- hxxps://alfonzorivas[.]com/uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
Recomendaciones
Medidas de seguridad para el correo electrónico
- Implemente funciones avanzadas de seguridad del correo electrónico capaces de detectar intentos de suplantación de identidad de organismos públicos y patrones de URL sospechosos
- Implemente la reescritura de URL y el entorno de pruebas para analizar los enlaces antes de que el usuario interactúe con ellos
Gestión de accesos
- Implemente la autenticación multifactorial para todos los accesos al sistema de SMS con el fin de evitar que se vean comprometidas las credenciales.
- Aplique políticas de rotación periódica de credenciales para los usuarios con acceso al sistema SMS
- Supervise la actividad de la cuenta de SMS para detectar patrones de acceso no autorizado o ubicaciones de inicio de sesión inusuales
Formación en sensibilización de los usuarios
- Informar a los titulares de licencias de patrocinador sobre los canales de comunicación auténticos del Ministerio del Interior y los dominios de correo electrónico oficiales
- Realice simulaciones periódicas de phishing que pongan a prueba específicamente la capacidad de reconocer las tácticas de suplantación de identidad de organismos públicos
- Formar a los usuarios para que comprueben las notificaciones urgentes sobre el cumplimiento normativo a través de los canales oficiales del Ministerio del Interior antes de tomar medidas
Control organizativo
Establecer procedimientos de verificación para todas las comunicaciones relacionadas con el SMS, exigiendo una confirmación secundaria a través de los canales oficiales
- Elabore protocolos de respuesta ante incidentes en caso de sospecha de vulneración de una cuenta SMS, que incluyan el cambio inmediato de credenciales y la notificación a la Oficina Central
- Implemente la separación de funciones en la gestión de las licencias de los patrocinadores para evitar situaciones de «punto único de fallo»
Detección proactiva de amenazas:
- Busque en los registros de correo electrónico los mensajes que contengan algún asunto o URL que coincida con los que figuran en esta notificación.