Empresas Públicas de Medellín (EPM) Estudio de casos de phishing y suplantación de identidad (2024 - 2025)

Instantánea del incidente.

Cronología de los principales incidentes.

14 de junio de 2024: Clon masivo del portal "Factura Web"

En la noche del 14 de junio de 2024, EPM descubrió que unos delincuentes habían creado un clon casi perfecto de su página oficial de facturación (facturaweb.epm.com.co). Cuando los clientes introducían su número de contrato, veían la cantidad correcta a pagar y la fecha de pago, pero al enviar los detalles de pago, los fondos eran redirigidos a cuentas mulas controladas por los atacantes. EPM confirmó la suplantación de identidad el 15 de junio y advirtió inmediatamente a los usuarios de que solo pagaran a través de la página web principal, la aplicación "EPM Estamos Ahí" o el código QR de las facturas impresas.

23 de diciembre de 2024: "Regalo" navideño vía WhatsApp y SMS.

A finales de 2024, un nuevo fraude se propagó rápidamente: Los mensajes de WhatsApp y SMS prometían "regalos navideños" y reembolsos de 49 000 COP (≈ US $ 12) por recargos en el servicio. Los destinatarios eran dirigidos a un micrositio falso que solicitaba su número de contrato y los datos de su tarjeta. El 23 de diciembre, EPM había emitido un aviso público en el que advertía a los clientes de que estos mensajes eran fraudulentos y les instaba a verificar todos los enlaces y escribir manualmente la URL oficial. Cientos de quejas inundaron el centro de contacto de EPM durante las vacaciones, lo que motivó un boletín oficial.

Abril - Mayo 2025: Suplantación avanzada y sospecha de compromiso interno.

El 23 de mayo de 2025 se produjo otro incidente a gran escala. Los clientes que visitaron el legítimo sitio facturaweb.epm.com.co informaron que habían sido redirigidos a cuentas de terceros, perdiendo cantidades de hasta COP 500 000 (≈ US $ 130) mientras creían que estaban en el sitio oficial. En respuesta, EPM desactivó todos los canales de pago en línea -sitio web, módulo de facturación en la aplicación y pago por WhatsApp- el 24 de mayo e instruyó a los usuarios a pagar en persona hasta que se elimine la amenaza.

Varias víctimas insistieron en que habían accedido a facturaweb.epm.com.co directamente desde marcadores guardados, lo que sugiere un posible compromiso del back-end más que una simple suplantación de dominio. En foros técnicos se especulaba con la posibilidad de que los atacantes hubieran inyectado código malicioso en los scripts de pago de EPM, lo que permitía desviar transacciones legítimas sin alterar la URL visible.

Presión paralela de APT por parte de Blind Eagle (primavera de 2025)

Mientras tanto, las agencias de inteligencia informaron de que el grupo APT colombiano APT-C-36 (apodado "Blind Eagle") atacó empresas de servicios públicos en marzo-abril de 2025. Distribuían archivos adjuntos .URL maliciosos que explotaban CVE-2024-43451 (una vulnerabilidad de fuga de hash NTLM) para filtrar credenciales de VPN y del servicio de asistencia. Una vez que el intercambio de hash tuvo éxito, se entregaron implantes AsyncRAT a través de GitHub para mantener la persistencia en la red de EPM.

Tácticas y técnicas de ataque (MITRE Attack Summary)

1. Suplantación de identidad. Los ciberdelincuentes registraron dominios parecidos (typo-squatting) y replicaron el CSS, los logotipos y los flujos de usuarios de EPM para que los portales falsos fueran indistinguibles de los reales.
2. Phishing a través de enlaces maliciosos. Anuncios de pago en Instagram/Facebook en junio de 2024 y mensajes masivos de WhatsApp/SMS en diciembre de 2024 dirigían a los usuarios a páginas de obtención de credenciales.
3. Captura de credenciales con formularios falsos. Las páginas clonadas incluían formularios que recopilaban números de contrato, datos de tarjetas bancarias y credenciales de facturación sin ningún cifrado legítimo.
4. Exfiltración NTLM y Spear-Phishing. APT-C-36 distribuyó archivos URL que, una vez abiertos, exfiltraban hashes NTLMv2 a los servidores del atacante. Después, se desplegaba AsyncRAT para mantener el acceso remoto.
5. Persistencia mediante herramientas legítimas. AsyncRAT creaba claves de ejecución en el registro y tareas programadas para asegurarse de que volvía a conectarse a los servidores de mando y control, aunque el usuario cerrara la sesión.
6. Monetización mediante la redirección de pagos.
Los fondos destinados a facturas de servicios públicos se desviaban a cuentas controladas por atacantes, que luego los blanqueaban mediante micro transacciones o la compra de otros servicios.

Impacto operativo y en los usuarios

• Pérdidas de clientes: En junio de 2024, miles de clientes visitaron sin saberlo los portales clonados. Los bancos locales informaron de decenas de miles de intentos de pago redirigidos a cuentas fraudulentas. Durante esa primera oleada, cientos de familias perdieron entre COP 100.000 y 500.000 (≈ US $25 y US $130) cada una, lo que provocó un pánico generalizado y una afluencia de llamadas a las líneas de asistencia de EPM.
• Interrupción del canal digital:
Para proteger a los usuarios, EPM retiró su capacidad de pago en línea durante dos días en junio de 2024 y nuevamente del 24 al 30 de mayo de 2025. Más de 1,2 millones de clientes se vieron obligados a pagar en persona o a través de corresponsales bancarios. En la interrupción de mayo de 2025, se perdió aproximadamente el 35 % de los cobros diarios (unos 3 millones de dólares al día) debido a la exención de comisiones por demora y al retraso en el procesamiento.
• Sobrecarga del servicio de atención al cliente y daños a la reputación:
El centro de llamadas de EPM experimentó un aumento del 400 % en el volumen de llamadas en las 48 horas siguientes a cada oleada de phishing. Encuestas posteriores en julio de 2025 mostraron que solo el 62 % de los usuarios se sentían "seguros" utilizando las plataformas digitales de EPM, frente al 89 % antes de junio de 2024.
• Escrutinio regulatorio:
Tras el incidente de junio de 2024, la Superintendencia de Industria y Comercio (SIC) de Colombia abrió una investigación sobre los controles de ciberseguridad de EPM. En enero de 2025, el regulador nacional de energía exigió pruebas de las medidas defensivas en el portal de facturación.

Costes financieros aproximados

A continuación, figuran las principales categorías de costes, extraídas de declaraciones públicas y estimaciones sectoriales estándar:

• Junio 2024 Onda ("Factura Web" Clon):


• • Pagos de clientes desviados: ~COP 900 millones (≈ US $ 230.000)
  • Respuesta a incidentes y análisis forense: COP 2 300 millones (≈ US $ 580.000) para una empresa externa de IR, pago de horas extras y alertas masivas por SMS.
  • Pérdida de ingresos digitales (interrupción de dos días): COP 1.400 millones (≈ US 350.000) en concepto de exención de comisiones de demora y retrasos en los cobros.
  • Apoyo al cliente y créditos de buena voluntad: COP 900 millones (≈ US $ 230 000) por vales de factura y turnos adicionales en el centro de llamadas.
  • Costo total estimado para junio de 2024: COP 5 500 millones (≈ US $ 1,4 millones)

• Ola de diciembre de 2024 a marzo de 2025 (estafas navideñas e incidentes menores):

• • Pagos desviados a través de WhatsApp/SMS: ~ COP 400 millones (≈ US 100 000) antes de que las advertencias públicas detuvieran el flujo.
  • Prevención y comunicaciones: COP 200 millones (≈ US $ 50 000) para la creación de materiales educativos, boletines y publicaciones en medios sociales.
  • Mayor esfuerzo de atención al cliente: COP 350 millones (≈ US $ 90 000) para ampliar los turnos del centro de llamadas y la moderación de los medios sociales.
  • Coste total estimado para la ola de vacaciones: COP 950 millones (≈ US $ 240 000)

• Ola de mayo de 2025 (Posible violación del back-end y suplantación avanzada):

• • Pagos desviados: ~ COP 260 millones (≈ US 65 000) antes de la detección.
  • Respuesta a incidentes e investigación: COP 3 200 millones (≈ US $ 800 000) para auditorías forenses, refuerzo de cortafuegos y restablecimiento de credenciales en toda la red.
  • Ingresos digitales perdidos (interrupción de seis días): COP 7 200 millones (≈ US $ 1,8 millones) en tarifas renunciadas y cobros retrasados.
  • Compensaciones a clientes: COP 700 millones (≈ US $ 175 000) en reembolsos parciales de facturas y campañas especiales de servicio en persona.
  • Costo total estimado para mayo de 2025: COP 11 350 millones (≈ US $ 2,3 millones)

En todo el periodo de 18 meses, EPM gastó 17.800 millones de COP (≈ 4 millones de USD) en costes directos para contener el fraude, restablecer los servicios y compensar parcialmente a los clientes, antes de tener en cuenta los daños a la reputación a largo plazo o las posibles multas reglamentarias.

Lecciones aprendidas y recomendaciones defensivas

1. Tratar el portal de facturación como una infraestructura crítica: La plataforma Factura Web debe ejecutarse en una arquitectura aislada con autenticación multifactor entre niveles de servidor. Despliega un cortafuegos de aplicaciones web (WAF), aplica comprobaciones de integridad de archivos (por ejemplo, mediante sumas de comprobación) y supervisa continuamente las bibliotecas de terceros en busca de vulnerabilidades (como CVE-2024-43451).
2. Supervisión continua de dominios y marcas: Antes de cada periodo de facturación alta (fin de mes, subvenciones, vacaciones), escanea los registros DNS y las redes sociales en busca de dominios y anuncios sospechosos. La coordinación con Meta y Google para retirar anuncios maliciosos redujo el tráfico a sitios falsos en aproximadamente un 30% durante el incidente de junio de 2024.
3. Comunicaciones y alertas automáticas: Durante el fraude de diciembre de 2024, un único boletín en las redes sociales redujo en un tercio los clics maliciosos en 48 horas. Automatice los mensajes SMS y WhatsApp para notificar a los clientes cada vez que se detecte un nuevo dominio de suplantación de identidad.
4. Implementar la facturación electrónica con tokenización y MFA:La "Resolución 008 de 2024" de Colombia para la facturación electrónica debería utilizarse para implementar tokens de un solo uso vinculados a los números de identificación nacional de los usuarios. Esto evita que los atacantes paguen facturas con sólo un número de contrato visible.
5. Reforzar la ciberinteligencia y la respuesta a las APT: El robo de NTLM por parte de Blind Eagle en abril de 2025 demuestra que los servicios públicos son objetivo de ataques como los bancos o las aerolíneas. Invierta en un Centro de Operaciones de Seguridad (SOC) dedicado con analistas certificados CISA y despliegue detección y respuesta de puntos finales (EDR) en todos los servidores críticos.
6. Proteger el ecosistema de terceros y los entornos aislados de pago: Dado que los atacantes se aprovecharon de los sitios WordPress/Joomla comprometidos en 2024 e inyectaron código en 2025, audita regularmente todos los sistemas de gestión de contenidos (CMS) y aloje los servicios de pago en un entorno aislado, separado del de producción.

Conclusión

La trayectoria de EPM -desde un simple clon de su sitio web en junio de 2024 hasta un presunto compromiso del back-end que hizo caer su portal de facturación en mayo de 2025- pone de manifiesto una realidad latinoamericana más amplia: los proveedores de servicios públicos son objetivos de gran valor, y los actores de las amenazas iteran a la velocidad de un Startup. Lo que empezó como un simple fraude por error tipográfico se convirtió en un apagón de seis días de los pagos online y terminó con una sofisticada campaña de robo de hash NTLM por parte de Blind Eagle.

Para cualquier organización en América Latina -especialmente las que prestan servicios esenciales- el imperativo es claro: asumir que sus portales y su marca ya están siendo objeto de abuso y actuar con la urgencia de horas, no de semanas. Los retiros continuos de dominios, la autenticación robusta del correo electrónico (SPF/DKIM/DMARC), los protocolos heredados reforzados (desactivar la apertura automática de .URL/. SCF) y la gobernanza estricta de los proveedores forman la base de una defensa que mantiene las luces encendidas y la confianza de los clientes.

El caso de EPM no es un hecho aislado. Descubre cómo este patrón de fraude se repite en proveedores de infraestructura crítica, y qué está haciendo Centurio International para contener su propagación y proteger a las víctimas.