Un grupo delictivo orientado a obtener beneficios económicos, identificado por los investigadores como Diesel Vortex, ha montado una campaña sofisticada de phishing dirigida a operadores del transporte y la logística en Estados Unidos y Europa. Según el análisis publicado por la plataforma de monitorización de typosquatting Have I Been Squatted, la operación arrancó en septiembre de 2025 y empleó al menos 52 dominios para su infraestructura fraudulenta, con un total de casi 3.500 pares de credenciales capturadas y 1.649 credenciales únicas comprometidas.
Los blancos no fueron empresas tecnológicas conocidas por su seguridad, sino plataformas y servicios que el sector del transporte utiliza a diario: intercambios de carga, foros de flotas, sistemas de tarjetas de combustible y portales de gestión de transporte. Entre las víctimas identificadas aparecen nombres del sector como DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka y Electronic Funds Source (EFS). Estas plataformas están en la intersección entre alto volumen de transacciones y un colectivo de usuarios —conductores, agentes y corralones— que, con frecuencia, no figura en el foco principal de los programas tradicionales de seguridad empresarial.
La investigación comenzó cuando los expertos de Have I Been Squatted tropezaron con un repositorio expuesto que contenía una base de datos SQL perteneciente a un proyecto de phishing bautizado por sus autores como “Global Profit” y comercializado entre delincuentes como “MC Profit Always”. En ese repositorio también había registros de webhooks de Telegram que dejaron a la vista comunicaciones internas del servicio, lo que permitió a los analistas reconstruir partes importantes de la operación.
Los detalles técnicos que describen los investigadores muestran una cadena de engaño cuidadosamente diseñada. Los correos maliciosos se enviaban desde un mailer integrado en el kit de phishing utilizando servicios de SMTP legítimos como Zoho y Zeptomail, y recurrían a trucos de homógrafos en cirílico dentro del remitente y el asunto para sortear filtros. Al clicar en el enlace, la víctima era dirigida a una página HTML mínima en un dominio “.com” que cargaba en pantalla completa un iframe con el contenido verdadero del phishing, y a continuación se aplicaba un proceso de cloaking en hasta nueve etapas sobre dominios del sistema (.top/.icu) para ocultar el origen real.
Las páginas fraudulentas no eran descuidos estéticos: eran réplicas a nivel de píxel de las plataformas atacadas. Dependiendo del objetivo, esas páginas podían capturar no solo usuario y contraseña, sino también datos sensibles de permisos, números MC/DOT, credenciales RMIS, PINs, códigos de autenticación de dos factores, tokens de seguridad, importes y beneficiarios de pagos, o números de cheques. En resumen, acceso y materiales suficientes para secuestrar operaciones logísticas o desviar envíos.
La operatoria del grupo aparenta estar altamente organizada. Los investigadores encontraron un mapa mental enlazado desde el proyecto en el que se detallaba una estructura con call center, soporte por correo, programadores y personal dedicado a localizar choferes, transportistas y contactos de logística. Ese esquema describía canales de adquisición como mercados de cargas, campañas por correo, y tácticas de fraude en confirmación de tarifas, además de un modelo de ingresos por niveles. La evidencia apunta a que las credenciales capturadas no solo se vendían, sino que se usaban para operaciones posteriores: suplantación de fletes, compromiso de buzones y esquemas de doble corretaje o desviación de cargas.
El doble corretaje consiste en usar identidades de transportistas robadas para contratar servicios de transporte y, una vez que la carga está en tránsito, redirigirla a puntos de recogida fraudulentos donde desaparece. El impacto real no es solo digital: hablamos de mercancías robadas, pagos que nunca llegan a quien corresponde y una cadena de frustraciones y pérdidas para propietarios de carga y transportistas.
Otra faceta preocupante de la campaña fue el uso de canales de voz para engañar a personas (vishing) y la infiltración en canales de Telegram populares entre profesionales del transporte, lo que facilitaba tanto el reclutamiento de víctimas como la coordinación operativa. Los operadores del phishing controlaban el flujo de ataque en tiempo real mediante bots de Telegram que permitían aprobar fases, solicitar contraseñas adicionales o incluso bloquear a la víctima a mitad de sesión según se desarrollaba el engaño.
La investigación, además de la pieza central de Have I Been Squatted, contó con la colaboración de la firma de tokenización y OSINT Ctrl-Alt-Intel, que trazó conexiones entre operadores, infraestructura y entidades comerciales usando inteligencia de fuentes abiertas. Parte del nexo incluía la aparición de un mismo correo electrónico en registros corporativos rusos vinculados a empresas dedicadas al comercio al por mayor, transporte y almacenaje, lo que sugiere vínculos entre la infraestructura de phishing y actores en la economía real relacionados con el mismo sector objetivo.
La respuesta coordinada al descubrir la operación permitió intervenir y desmontar buena parte de la infraestructura: paneles, dominios y repositorios alojados en plataformas como GitLab fueron neutralizados tras la colaboración entre GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike y el Microsoft Threat Intelligence Center. Aun así, la naturaleza distribuida del fraude y el uso de dominios temporales y servicios legítimos para envío de correos dejan claro que el riesgo no desaparece con una sola acción de contención.
Para empresas y profesionales del transporte la lección es doble: por un lado, la principal vulnerabilidad es humana y está en procesos y usuarios que manejan la operativa diaria; por otro, la sofisticación técnica de los ataques exige medidas técnicas robustas. En términos prácticos conviene reforzar los controles de correo con políticas anti-phishing avanzadas, exigir métodos de autenticación resistentes (como claves hardware o soluciones FIDO) en lugar de SMS, segmentar y limitar privilegios de acceso, monitorizar accesos inusuales a cuentas y endpoints, y tener procedimientos claros para verificar cambios en instrucciones de pago o puntos de entrega. Microsoft ofrece guías prácticas sobre protección frente a phishing y buenas prácticas de seguridad para correos corporativos que pueden servir como referencia: documentación de protección anti-phishing de Microsoft.
Si su empresa opera en el sector del transporte o utiliza plataformas de intercambio de cargas, es recomendable revisar los indicadores de compromiso (IoC) y detalles técnicos publicados por los investigadores. Have I Been Squatted incluye en su informe la lista de IoC —redes, dominios, Telegram, emails y direcciones de criptomoneda— que permiten a equipos de seguridad realizar búsquedas, bloquear artefactos conocidos y ajustar reglas en gateways de correo y firewalls: informe y IoC de Have I Been Squatted. La investigación de Ctrl-Alt-Intel aporta además contexto OSINT sobre los enlaces entre operadores y empresas del sector: análisis OSINT de Ctrl-Alt-Intel.
En definitiva, Diesel Vortex es un recordatorio de que el cibercrimen evoluciona hacia operaciones cada vez más integradas con actividades delictivas fuera del mundo digital. No se trata solo de robar una contraseña, sino de poner en marcha una cadena que puede traducirse en mercancías desaparecidas, fraudes por millones y pérdida de confianza en un sector crítico para la economía global. La mejor defensa será combinar controles técnicos, formación continua de las personas que forman parte de la cadena logística y cooperación estrecha entre proveedores, plataformas y equipos de respuesta a incidentes.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...