(https://i.postimg.cc/x1Ht37mm/Russia_bear.png) (https://postimages.org/)
Hallazgos recientes de Insikt Group, la división de investigación de la empresa Recorded Future, revelan que solo bastan dos segundos de distracción para que los datos privados de un profesional caigan en manos equivocadas.
Según la última publicación del blog de Recorded Future, un grupo de hackers patrocinado por el Estado ruso, conocido como BlueDelta (o Fancy Bear), ha estado llevando a cabo campañas sigilosas para robar información de inicio de sesión de profesionales en todo el mundo.
Según los informes, entre febrero y septiembre de 2025, BlueDelta atacó a personas en campos especializados como la energía y la investigación nuclear, particularmente en Turquía y Europa. Los investigadores observaron que el objetivo de la campaña parece ser la obtención de credenciales.
Cómo funcionan las estafas
Los investigadores señalaron que los hackers se están volviendo mucho más convincentes porque, en lugar de usar enlaces falsos obvios, primero muestran a la víctima un documento real. Por ejemplo, una persona objetivo puede recibir un enlace que abre un PDF de apariencia legítima sobre el cambio climático o la política internacional, como un informe del Gulf Research Centre (GRC) sobre Israel e Irán.
Auténtico señuelo GRC en formato PDF
(https://hackread.com/wp-content/uploads/2026/01/Russian-Group-BlueDelta-Uses-Fake-Login-Pages-to-Target-Global-Researchers.png)
Otro señuelo similar fue un informe de la Fundación EcoClimate titulado «La acción climática como prioridad estratégica», dirigido específicamente a científicos que trabajan en energías renovables. Mientras la víctima se distrae con estos documentos, el sitio web opera en segundo plano. Después de solo dos segundos, la página cambia automáticamente a una pantalla de inicio de sesión falsa.
Una investigación posterior reveló que estas páginas falsas estaban diseñadas para parecerse a:
Google: Utilizando páginas en portugués para engañar a los usuarios.
Sophos VPN: Dirigida al personal de un centro de investigación europeo.
Microsoft Outlook (OWA): Dirigida específicamente a personal militar en Macedonia del Norte y expertos en TI en Uzbekistán.
Tácticas sencillas pero efectivas
Cabe destacar que BlueDelta no utiliza equipos costosos para estos ataques; se basa en servicios de internet gratuitos como Webhook.site, ngrok e InfinityFree. Según los investigadores, esto convierte los ataques en una forma de robar datos de «bajo costo y alto rendimiento», ya que cuando la víctima ingresa sus datos, el código de los hackers guarda automáticamente la información y luego redirige al usuario al sitio web real.
Proceso de ataque
(https://hackread.com/wp-content/uploads/2026/01/Russian-Group-BlueDelta-Uses-Fake-Login-Pages-to-Target-Global-Researchers-1.png)
"El uso de material de engaño en turco y dirigido a una región específica sugiere que BlueDelta adaptó su contenido para aumentar su credibilidad", se lee en la publicación del blog. Para cuando la víctima es redirigida a la página de inicio de sesión real, sus credenciales ya han sido robadas.
Esta actividad representa una importante expansión de las operaciones de BlueDelta, lo que demuestra su compromiso con la recopilación de información de redes gubernamentales y de investigación.
Por ello, los expertos recomiendan verificar siempre los enlaces en busca de direcciones sospechosas como webhook.site, y nunca confiar en las solicitudes de inicio de sesión que aparecen repentinamente al leer un PDF. También es recomendable activar la autenticación multifactor en todas las cuentas profesionales para mayor protección.
Fuente:
HackRead
https://hackread.com/russian-bluedelta-fancy-bear-pdfs-steal-login/