Eliminación de un dominio de phishing: cómo se neutralizó un sitio web fraudulento de pago de servicios públicos

El incidente: un portal de pago fraudulento de EPM

La amenaza se detectó por primera vez después de que un usuario informara de que, sin saberlo, había realizado el pago de un servicio público a través de un sitio web que suplantaba a Empresas Públicas de Medellín (EPM). El sitio de phishing, facturaepm.com, imitaba fielmente la marca, la interfaz de usuario y el flujo de pago de EPM. Al introducir los datos de la factura, el sitio mostraba información de facturación precisa y redirigía a los usuarios a lo que parecía ser una pasarela de pago legítima.

Sin embargo, las confirmaciones de pago revelaron que la transacción se había procesado bajo el nombre de Pagos GDE S.A., una cuenta digital vinculada a Powwi, una entidad financiera que posteriormente confirmó el uso no autorizado de su plataforma con fines fraudulentos.

Análisis forense y contención de la amenaza

El equipo de respuesta a amenazas de Centurio International inició inmediatamente un análisis forense del dominio. Entre los hallazgos se incluyeron:

• Una interfaz clonada que replicaba el portal legítimo de EPM.
  
  
• El uso de kits de phishing alojados en servidores externos.
  
  
• Mecanismos de redireccionamiento que llevaban a los usuarios a pasarelas de pago desconocidas con nombres comerciales no verificables.

El sitio fraudulento aprovechaba la indexación de los motores de búsqueda para aparecer entre los primeros resultados de frases como «pagar factura EPM», lo que lo hacía especialmente peligroso para los usuarios que no verificaban el dominio.

Medidas de mitigación y ejecución del desmantelamiento

A las pocas horas de la detección, Centurio International inició el proceso de desmantelamiento a través de múltiples canales:

• Intervención del registrador del dominio: el dominio fue denunciado y suspendido por infringir las condiciones del servicio.
  
  
• Notificaciones al proveedor de alojamiento: se cerraron los servidores que alojaban el kit de phishing.
  
  
• Desindexación de los motores de búsqueda: el sitio falso fue eliminado de los resultados de los motores de búsqueda mediante informes de phishing de emergencia.
  
  
• Coordinación con las fuerzas del orden: se recopiló documentación y pruebas y se compartió con las unidades de delitos digitales pertinentes para apoyar investigaciones más amplias.

Como resultado, facturaepm.com quedó inoperativo, lo que impidió que se siguiera explotando.

Asistencia para la recuperación y reembolso financiero

Paralelamente, se guió al usuario afectado a través de los procedimientos de notificación de incidentes con su entidad financiera. Gracias a la rápida notificación y a los protocolos de detección de fraudes, el banco, Bancolombia, reconoció la transacción como relacionada con el phishing y tramitó el reembolso.

Lecciones clave en materia de seguridad y estrategias de prevención

Este incidente refuerza varias prácticas fundamentales tanto para las organizaciones como para los usuarios finales:

• Validar siempre los dominios: la similitud visual no es suficiente. Compruebe cuidadosamente las URL: los sitios oficiales suelen utilizar subdominios bajo dominios principales de confianza (por ejemplo, epm.com.co).
  
  
• Impartir formación contra el phishing: es fundamental educar a los usuarios sobre los indicadores del navegador, los certificados SSL y las señales de alerta comunes.
  
  
• Utilice aplicaciones oficiales o URL introducidas manualmente: evite hacer clic en enlaces patrocinados o confiar en las sugerencias de autocompletar de los motores de búsqueda.
  
  
• Denuncie el fraude inmediatamente: la detección temprana es clave para recuperar los fondos y evitar que la amenaza se propague.
  
  
• Asóciese con proveedores de ciberseguridad preparados para responder: contar con un equipo dedicado y preparado para actuar ante las amenazas garantiza una rápida contención.

Protección continua: el papel de Centurio International

En Centurio International, nuestra misión va más allá de la prevención. Actuamos con rapidez cuando se produce un fraude digital, ejecutando protocolos de mitigación, desmantelando infraestructuras maliciosas y protegiendo a otros de ataques similares. Desde el cierre de dominios hasta el apoyo forense y la reparación de incidentes, nos aseguramos de que su entorno digital permanezca seguro, incluso después de que comience un ataque.

Programe hoy mismo una consulta gratuita para evaluar la exposición de su organización al phishing y otras amenazas digitales.