Durante los últimos días, se han identificado campañas de fraude digital que involucran el uso de infostealers, como el malware Lumma, en sitios web de instituciones públicas y privadas en Chile. Estos ataques no solo comprometen datos, sino que también convierten formularios institucionales en herramientas para propagar contenido malicioso.
Desde Cut Security, analizamos este tipo de ataque, te explicamos cómo identificar si tu infraestructura está vulnerable y qué medidas tomar para prevenirlo.
¿Qué es un infostealer y cómo se está propagando?
Los infostealers son una clase de malware diseñada para robar información del usuario, como credenciales, cookies, datos de navegación y archivos. En las campañas recientes, los atacantes han utilizado sitios legítimos para enviar correos fraudulentos que parecen provenir de instituciones confiables, lo que aumenta la probabilidad de que la víctima caiga en la trampa.
Este tipo de fraude ha aprovechado vulnerabilidades en formularios web y sistemas de carga de archivos para manipular mensajes, redirigir a URLs maliciosas e incluso utilizar dominios oficiales como canal de distribución.
¿Tu formulario web puede ser usado para fraudes?
Existen cuatro vulnerabilidades comunes que permiten que un formulario web sea aprovechado para actividades fraudulentas:
1. Envío de correos electrónicos arbitrarios
Cuando un formulario permite ingresar cualquier dirección de correo para recibir una copia del mensaje enviado, los atacantes pueden usar esta función como bandeja de salida para sus campañas maliciosas, haciendo que el mensaje parezca provenir de una fuente legítima.
¿Qué hacer?
Evita permitir correos arbitrarios. Usa autenticación de usuarios antes de enviar mensajes o aplica validaciones que limiten esta función.
2. Autocompletado basado en RUT
Algunos formularios completan automáticamente datos como nombre y correo al ingresar un RUT. Esto puede ser explotado para obtener datos personales sin autorización, solo con conocer el RUT de una persona.
¿Qué hacer?
No utilices el RUT como parámetro para prellenar información. Solo recupera datos desde la sesión activa del usuario autenticado.
3. Inyección de HTML en correos electrónicos
Si los campos de un formulario no filtran adecuadamente el contenido HTML, un atacante puede modificar la apariencia del correo enviado, insertando enlaces, botones o mensajes engañosos.
¿Qué hacer?
Sanitiza todos los campos de entrada. Rechaza etiquetas HTML o utiliza funciones específicas de filtrado, como htmlentities() o strip_tags() en PHP, u opciones equivalentes en otros lenguajes.
4. Falta de protección contra automatización
Sin mecanismos anti-bot, como CAPTCHA, es posible que scripts automatizados envíen miles de mensajes desde un formulario vulnerable, amplificando el daño en poco tiempo.
¿Qué hacer?
Integra sistemas como Google reCAPTCHA, hCaptcha o Cloudflare Turnstile. Asegúrate de validar el desafío en el backend antes de procesar cualquier envío.
Otras vulnerabilidades críticas a considerar
➤ Redirecciones abiertas (Open Redirect)
Al permitir que URLs de redirección acepten cualquier dominio externo como parámetro, se abre una puerta para burlar filtros de seguridad y enviar a los usuarios a sitios maliciosos a través de un dominio legítimo.
Mitigación recomendada:
Valida que las redirecciones se mantengan dentro del mismo dominio o lista blanca. No aceptes redirecciones absolutas sin validación.
➤ Subida de archivos sin control
Muchas plataformas permiten que los usuarios suban archivos sin autenticar, pero luego los enlaces para descargar estos archivos quedan accesibles públicamente, lo que convierte el sitio en un hosting involuntario de contenido malicioso.
Mitigación recomendada:
Restringe el acceso a archivos subidos mediante controles de sesión y permisos. Asegúrate de que solo usuarios autorizados puedan descargar los archivos que subieron.
¿Cuál es el riesgo real?
Cuando se combinan estas vulnerabilidades, los atacantes pueden construir un ataque completo:
-
Usan el formulario para enviar un correo falso
-
Personalizan el mensaje con datos obtenidos automáticamente
-
Insertan un enlace visualmente limpio pero que lleva a contenido malicioso
-
Hospedan el archivo malicioso en el mismo sitio web comprometido
Todo esto desde una institución legítima, lo que reduce la desconfianza del receptor y aumenta la efectividad del fraude.
¿Cómo proteger tu infraestructura hoy?
-
Audita todos los formularios públicos de tu sitio. Evalúa si permiten correos arbitrarios, HTML, RUT o cargas de archivos sin validación.
-
Integra CAPTCHA en todos los puntos de entrada que pueden ser abusados automáticamente.
-
Usa frameworks modernos con protecciones integradas si estás desarrollando un nuevo sistema (Laravel, Django, etc.).
-
Evita partir desde cero sin un análisis de seguridad. Si ya lo hiciste, revisa las funciones de sanitización y control de acceso manualmente.
-
Configura alertas para detectar patrones anómalos en los formularios (picos de envío, correos repetidos, mismos IPs).
-
Reporta cualquier actividad sospechosa al portal de la ANCI: https://portal.anci.gob.cl
Conclusión: No seas parte involuntaria del fraude
Las campañas con infostealers como Lumma no solo afectan a los usuarios que caen en la trampa, sino también a las instituciones que, sin saberlo, facilitan el fraude al no proteger adecuadamente sus canales digitales.
Desde Cut Security, te ayudamos a detectar vulnerabilidades, implementar medidas efectivas y fortalecer la seguridad de tu infraestructura web.
La seguridad digital no comienza cuando hay un ataque: comienza cuando previenes ser parte de uno.
🔗 Conoce todas nuestras marcas
Cut Security forma parte del ecosistema digital de Grupotech.
Descubre nuestras otras marcas especializadas en diseño, desarrollo de software, soporte TI y automatización para empresas chilenas.
