Informe Estratégico-Ejecutivo: Campaña de Smishing Suplantando SEUR

01Resumen Ejecutivo

Se ha detectado una campaña activa de smishing (phishing por SMS) que suplanta la identidad de SEUR, uno de los principales servicios de paquetería en España (grupo DPD). La campaña utiliza un kit de phishing profesional con capacidad de interceptación de códigos OTP bancarios en tiempo real, lo que permite al operador realizar transacciones fraudulentas de forma inmediata mientras la víctima interactúa con el sitio falso.

El dominio malicioso seurtjm.cv fue registrado el mismo día del ataque (12/03/2026 a las 08:41 UTC) utilizando el ccTLD de Cabo Verde (.cv), una jurisdicción con menor monitorización que los TLD convencionales. El kit identificado como k468_es_post_seur_index presenta características de Phishing-as-a-Service (PhaaS): numeración de versión, soporte multi-idioma (vue-i18n), y soporte para la red de pago rusa MIR. La investigación de atribución realizada (ver Sección 06) confirma el modelo PhaaS y establece una inferencia razonable de origen rusoparlante, pero no ha sido posible identificar al actor específico con fuentes abiertas.

La sofisticación del ataque es notable: el sitio solo responde a dispositivos móviles (devuelve 404 a navegadores de escritorio), simula el flujo completo de 3D Secure con animaciones de legitimidad, y el operador controla el flujo en tiempo real mediante WebSocket, pudiendo solicitar códigos adicionales, forzar reintentos o bloquear a la víctima. El mensaje de error "esta tarjeta no admite esta transacción, por favor intente con otra tarjeta" está diseñado para capturar múltiples tarjetas de la misma víctima.

02Evaluación de la Amenaza

Nivel de amenaza

Crítico

Tipo

Smishing + PhaaS con interceptación OTP en tiempo real

Sector objetivo

Consumidores españoles, clientes de servicios de paquetería

Marca suplantada

SEUR (grupo DPD)

Plataforma afectada

Dispositivos móviles (Android / iOS)

Modelo del atacante

PhaaS — kit numerado (k468), operación en tiempo real

Datos exfiltrados

PII completa + tarjetas de crédito + códigos OTP/3DS

Impacto financiero

Inmediato — transacciones fraudulentas en tiempo real

03Contexto de la Campaña

Pretexto: "SEUR le informa que el repartidor no ha podido dejar su paquete 563999998 en su buzón debido a su tamaño"
Vector: SMS con enlace a seurtjm.cv/es
La campaña aprovecha la alta frecuencia de compras online y la confianza generalizada en las notificaciones de seguimiento de paquetería.
Dominio registrado horas antes del ataque, lo que dificulta el bloqueo por listas negras convencionales.
El uso del ccTLD de Cabo Verde (.cv) evita los controles habituales de dominios sospechosos asociados a TLDs genéricos o nacionales europeos.

Kill Chain Simplificada

Fase 1 SMS fraudulento

➞

Fase 2 Página tracking falsa SEUR

➞

Fase 3 Formulario datos personales

➞

Fase 4 Formulario tarjeta de crédito

➞

Fase 5 Simulación 3D Secure / OTP

➞

Fase 6 Operador intercepta OTP en tiempo real

➞

Fase 7 Transacción fraudulenta

04Impacto Potencial

$

Pérdida financiera directa

Transacciones fraudulentas inmediatas usando los OTPs interceptados en tiempo real por el operador del kit.

ID

Robo de identidad

Captura completa de PII: nombre, dirección postal, correo electrónico y número de teléfono móvil.

++

Compromiso de múltiples tarjetas

El diseño del kit incentiva a la víctima a introducir varias tarjetas mediante mensajes de error falsos.

⚠

Daño reputacional a SEUR/DPD

Uso de branding corporativo robado (logotipo, estilos CSS y fuentes tipográficas corporativas).

↻

Escalabilidad del ataque

El kit PhaaS es reutilizable y permite lanzar campañas repetidas contra otras marcas de paquetería o servicios.

2FA

Evasión de 2FA / 3D Secure

La interceptación en tiempo real de códigos OTP anula la protección de autenticación de doble factor bancaria.

05Indicadores Clave

Indicador	Valor
Dominio malicioso	`seurtjm.cv`
IP del servidor	`50.114.184.241`
Registrador	Dynadot (San Mateo, CA)
Hosting	Ace Data Centers / IPXO LLC
Fecha de registro	`12/03/2026 08:41 UTC`
Kit ID	`k468_es_post_seur_index`
Path oculto panel	`/CNIXMQnPlR/`

Consultar el documento STIX/TAXII — IOCs adjunto para la lista completa de indicadores de compromiso en formato estructurado.

07Recomendaciones Estratégicas

Notificar inmediatamente a SEUR/DPD del uso fraudulento de su marca para coordinar acciones legales y de takedown.
Reportar el dominio seurtjm.cv al registrador Dynadot y solicitar suspensión inmediata.
Reportar la IP 50.114.184.241 a los contactos de abuse (abuse@ipxo.com, ipabuse@acedatacenter.com, report@abuseradar.com).
Alertar a las entidades bancarias afectadas sobre la interceptación de OTPs en tiempo real.
Si la víctima ha introducido datos: bloqueo inmediato de tarjetas y cambio de credenciales asociadas.
Emitir alerta interna sobre campañas de smishing suplantando servicios de paquetería.
Implementar filtrado de SMS a nivel organizacional para detectar dominios con ccTLDs inusuales.
Considerar la implementación de DMARC/DKIM/SPF si la marca propia es susceptible de suplantación.
Monitorizar el Kit ID k468 y el path /CNIXMQnPlR/ para detectar otras instancias activas del mismo kit.
Compartir IOCs con CERTs nacionales (INCIBE-CERT, CCN-CERT) y el sector bancario.

06Análisis de Atribución del Threat Actor

Nota: Esta sección distingue explícitamente entre hechos confirmados por evidencia directa, inferencias razonables con nivel de confianza indicado, y elementos desconocidos.

Modelo Operativo — CONFIRMADO

El kit opera bajo un modelo Phishing-as-a-Service (PhaaS): identificador numérico k468 (kit versionado en catálogo), soporte multi-idioma vía vue-i18n, y path de panel por instancia (/CNIXMQnPlR/).
Existe separación entre desarrollador del kit y operador de la campaña. El desarrollador provee la plataforma; el operador configura dominio, marca suplantada y gestiona víctimas en tiempo real.

Origen del Kit — INFERENCIA RAZONABLE (confianza alta)

El kit incluye soporte para la red de pago MIR (sistema ruso creado tras sanciones de 2014, uso casi exclusivo en Rusia/CEI). No tiene sentido técnico incluir MIR en un kit dirigido a víctimas españolas — indica que el desarrollador opera desde o para el ecosistema rusoparlante.
La distribución probablemente se realiza a través de canales de Telegram rusoparlantes, vector principal documentado para kits PhaaS de este ecosistema.

Descarte de Actores Conocidos

Actor / Plataforma	Resultado	Razón
Smishing Triad / Lighthouse (chino)	ELIMINADO	TLDs diferentes (.top/.xin), hosting en Tencent/Alibaba, origen chino incompatible con MIR
V3B (UE)	ELIMINADO	Usa framework uAdmin, no Vue.js/Vite
GXC Team (hispanohablante)	ELIMINADO	Modelo Android malware + bots Telegram, no web-only con WebSocket C2
Scama marketplace	NO CONCLUYENTE	Modelo genérico PhaaS encaja, pero sin coincidencia específica con k468

Identificadores Únicos — SIN COINCIDENCIAS OSINT

Identificador	Tipo	Resultado
`k468`	Kit ID	Sin coincidencias en repositorios públicos ni reportes de TI
`CNIXMQnPlR`	Ruta de panel	Sin coincidencias — string aleatorio por instancia
`k468_es_post_seur_index`	ID completo	Sin coincidencias — estructura: kit/idioma/método/marca/página
`50.114.184.241`	IP servidor	Sin coincidencias en feeds públicos de threat intelligence

Lo que NO sabemos — DESCONOCIDO

Identidad real del desarrollador del kit
Identidad real del operador de esta campaña
Canal de Telegram o foro de distribución del kit
Precio del kit o modelo de licencia
Número total de víctimas
Otros dominios del mismo operador (el bloque IP es sospechoso pero sin evidencia directa)
Relación con otros kits de la serie (k1–k467, k469+)

Conclusión de atribución: Sabemos qué hizo el actor y cómo lo hizo, pero no sabemos quién es. La atribución definitiva requeriría acceso a fuentes cerradas (Telegram HUMINT, datos del registrador vía orden judicial, o feeds de TI comerciales).

08Clasificación de Fuentes (Admiralty Code)

Fuente	Fiabilidad	Credibilidad	Código
Análisis técnico directo (mirror del sitio, código JS descompilado)	A — Completamente fiable	1 — Confirmada por evidencia directa	A1
WHOIS / Registros DNS públicos	A — Completamente fiable	1 — Confirmada por evidencia directa	A1
Captura de pantalla del sitio de phishing	A — Completamente fiable	1 — Confirmada por evidencia directa	A1
Registros de hosting (IPXO / Ace Data Centers)	A — Completamente fiable	1 — Confirmada por evidencia directa	A1
Registros del registrador (Dynadot)	A — Completamente fiable	1 — Confirmada por evidencia directa	A1
MITRE ATT&CK Framework	A — Completamente fiable	1 — Confirmada por la comunidad	A1

Sistema de Evaluación Admiralty (NATO): El código Admiralty es un sistema estandarizado de evaluación de inteligencia utilizado por la OTAN y servicios de inteligencia aliados. Evalúa dos dimensiones independientes: la fiabilidad de la fuente (escala A-F, donde A es completamente fiable) y la credibilidad de la información (escala 1-6, donde 1 es confirmada por otras fuentes o evidencia directa). Un código A1 representa el nivel máximo de confianza en ambas dimensiones.

Todas las fuentes de este informe son de análisis directo de primera mano (A1). Los datos técnicos se obtuvieron mediante mirror completo del sitio, análisis estático del código fuente JavaScript, consultas WHOIS/DNS y captura de pantalla del sitio activo.

09Referencias

Mirror completo del sitio: ./site-mirror/seurtjm.cv/
Análisis del bundle JavaScript: assets/index-284bfe89.js (466 KB, Vue.js 3 + lógica de phishing)
WHOIS seurtjm.cv — Dynadot, registro 2026-03-12T08:41:00Z
MITRE ATT&CK — https://attack.mitre.org/
INCIBE — Instituto Nacional de Ciberseguridad de España
Captura del sitio de phishing activo (captura web.jpeg)