Cómo identificar estafas como el correo electrónico falso «HSBC - Detalles de la factura».

¿Qué es el correo electrónico fraudulento «HSBC - Detalles de la factura»?

Nuestro análisis muestra que se trata de un correo electrónico de phishing que se hace pasar por una factura de HSBC, una empresa de servicios financieros legítima. Al igual que la mayoría de los correos electrónicos de phishing, este está diseñado para engañar a los destinatarios y que compartan información personal en un sitio web falso. Estos mensajes deben ignorarse para evitar el secuestro de cuentas (y otros problemas).

Más información sobre el correo electrónico fraudulento «HSBC - Detalles de la factura»

Este correo electrónico fraudulento afirma ser una factura oficial del departamento de finanzas corporativas de HSBC. Incluye un importe de pago elevado, indica un cargo y afirma que la factura ya ha sido pagada mediante transferencia bancaria. El mensaje también incluye un número de factura, una marca de tiempo, datos de contacto y una referencia de pago para parecer legítimo.

Insta al destinatario a ver la factura o descargar un archivo adjunto a través de los enlaces proporcionados. Estos enlaces conducen a un sitio web falso diseñado para robar direcciones de correo electrónico y contraseñas. El sitio abierto imita la apariencia del proveedor de servicios de correo electrónico del destinatario (por ejemplo, imita Gmail si la dirección de correo electrónico del destinatario termina en @gmail.com).

El objetivo es robar cuentas de correo electrónico, que pueden utilizarse para enviar correos electrónicos fraudulentos (o malware) a otras personas, recopilar información personal o para otros fines maliciosos. Además, los estafadores pueden intentar acceder a redes sociales, juegos, cuentas bancarias u otras cuentas utilizando las credenciales de inicio de sesión robadas.

En general, las víctimas de esta estafa pueden sufrir el secuestro de sus cuentas, el robo de su identidad o la sustracción de su dinero, además de otros problemas. Por lo tanto, no se debe confiar en este tipo de correos electrónicos ni en otros similares, y se deben ignorar.

Conclusión

En general, este correo electrónico fraudulento se hace pasar por una factura pagada para atraer a los destinatarios a hacer clic en enlaces falsos que roban sus credenciales de inicio de sesión. Su único propósito es secuestrar cuentas y hacer un uso indebido de la información personal, por lo que debe ignorarse y eliminarse. A veces, estos correos electrónicos pueden utilizarse para distribuir software malicioso.

A continuación se muestran algunos ejemplos de correos electrónicos de phishing similares: «Estafa Change To The Webmail Access Interface », «Estafa Authenticate Your Email Address» y «Email Address Will Be Deactivated As A Security Measure correo electrónico».

¿Cómo infectan los ordenadores las campañas de spam?

El correo electrónico es una de las formas más comunes que utilizan los ciberdelincuentes para distribuir software malicioso. A menudo incluyen archivos infectados, como documentos, archivos comprimidos (por ejemplo, archivos ZIP o RAR), ejecutables o archivos de script. Si el destinatario abre estos archivos o habilita funciones como las macros, el malware puede infiltrarse en su sistema.

Los estafadores también utilizan correos electrónicos que contienen enlaces a sitios web no seguros. Estos sitios pueden intentar descargar malware tan pronto como se cargan o engañar a los visitantes para que lo descarguen manualmente. Un dispositivo solo se infecta después de que el destinatario interactúa con los archivos o enlaces maliciosos incluidos.

¿Cómo evitar la instalación de malware?

Manténgase alerta con los correos electrónicos o mensajes de remitentes desconocidos, especialmente cuando sean irrelevantes, inesperados y contengan archivos adjuntos o enlaces. Descargue aplicaciones y archivos solo de sitios web oficiales o tiendas de aplicaciones de confianza, y evite el software pirateado, los cracks y los generadores de claves.

Evita hacer clic en anuncios o ventanas emergentes en sitios web dudosos y rechaza sus solicitudes de notificación. Mantén tu dispositivo protegido realizando análisis periódicos con herramientas de seguridad de confianza y asegurándote de que tu sistema operativo y tus aplicaciones estén siempre actualizados.

Texto presentado en el correo electrónico «HSBC - Detalles de la factura»:

Subject: Invoice INV-2025-001 – Status: PAID

INVOICE

HSBC — Corporate Finance Department

Billed To:
Client Name

Reference Role:
Generalist Manager

Invoice #:
INV-2025-001

Date:
12/4/2025 12:29:12 a.m.
Invoice Details
Description Role Amount (USD)
Service Fee Generalist Manager $130,000.00
Total:
$130,000.00

Payment Method: Bank Transfer

Payment Reference: PAY-2025-09-10-001
View Invoice Download Attachment
HSBC - Corporate Finance Department | support@hsbc.com | +44 20 7991 8888
Thank you for your business.

Sitio web falso utilizado en esta estafa:

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

• ¿Qué es HSBC - Invoice Details correo electrónico de phishing?
• Tipos de emails maliciosos.
• ¿Cómo detectar un email malicioso?
• ¿Qué hacer si cayó en una estafa por email?

Tipos de emails maliciosos:

Emails Phishing

Por lo general, los ciberdelincuentes utilizan emails engañosos para engañar a los usuarios de Internet para que revelen su información privada confidencial. Oor ejemplo, información de inicio de sesión para varios servicios online, cuentas de email o información bancaria online.

Estos ataques se denominan phishing (suplantación de identidad). En un ataque de phishing, los ciberdelincuentes generalmente envían un mensaje por email con algún logotipo de servicio popular (por ejemplo, Microsoft, DHL, Amazon, Netflix), crean urgencia (dirección de envío incorrecta, contraseña caducada, etc.) y colocan un enlace esperando que sus potenciales víctimas hagan clic en el.

Después de hacer clic en el enlace presentado en dicho email, las víctimas son redirigidas a una página web falsa que se ve idéntica o extremadamente similar a la original. Luego se les pide a las víctimas que ingresen su contraseña, los detalles de la tarjeta de crédito o alguna otra información que sea robada por los ciberdelincuentes.

Emails con Archivos Adjuntos Maliciosos

Otro vector de ataque popular son los emails spam (correos no deseado) con archivos adjuntos maliciosos que infectan las computadoras de los usuarios con malware. Los archivos adjuntos maliciosos suelen llevar troyanos capaces de robar contraseñas, información bancaria y otra información confidencial.

En tales ataques, el objetivo principal de los ciberdelincuentes es engañar a sus víctimas potenciales para que abran un archivo adjunto infectado en el email. Para lograr este objetivo, los mensajes de email generalmente hablan de facturas, faxes o mensajes de voz recibidos recientemente.

Si una víctima potencial cae en la trampa y abre el archivo adjunto, su computadora se infectan y los ciberdelincuentes pueden recopilar mucha información confidencial.

Si bien es un método más complicado para robar información personal (los filtros de spam y los programas antivirus generalmente detectan tales intentos), si logran tener éxito, los ciberdelincuentes pueden obtener una gama mucho más amplia de datos y recopilar información durante un período de tiempo prolongado.

Emails de sextorsión

Este es un tipo de phishing. En este caso, los usuarios reciben un email alegando que un ciberdelincuente podría acceder a la cámara web de la víctima potencial y tiene una grabación de video de su masturbación.

Para eliminar del video, se les pide a las víctimas que paguen un rescate (generalmente usando Bitcoin u otra criptomoneda). Sin embargo, todas estas afirmaciones son falsas: los usuarios que reciben dichos emails deben ignorarlos y eliminarlos.

¿Cómo detectar un email malicioso?

Si bien los ciberdelincuentes intentan que sus emails trampas parezcan confiables, aquí hay algunas cosas que debe tener en cuenta cuando intente detectar un email phishing:

• Verifique la dirección email del remitente ("de"): coloque el mouse sobre la dirección "de" y verifique si es legítima. Por ejemplo, si recibió un email de Microsoft, asegúrese de verificar si la dirección de email es @microsoft.com y no algo sospechoso como @m1crosoft.com, @microsfot.com, @account-security-noreply.com, etc.
• Compruebe si hay saludos genéricos: si el saludo en el email es "Estimado usuario", "Estimado @su_email.com", "Estimado cliente", debería generar sospechas. Por lo general, las empresas lo llaman por su nombre. La falta de esta información podría indicar un intento de phishing.
• Verifique los enlaces en el email: coloque el mouse sobre el enlace presentado en el email, si el enlace que aparece parece sospechoso, no haga clic en él. Por ejemplo, si recibió un email de Microsoft y el enlace del email muestra que dirige a firebasestorage.googleapis.com/v0..., no debe confiar en él. Es mejor no hacer clic en los enlaces de los emails, sino visitar la página web de la empresa que le envió el email en primer lugar.
• No confíe ciegamente en los archivos adjuntos de email: por lo general, las empresas legítimas le pedirán que inicie sesión en su página web y vea los documentos desde allí. Si recibió un email con un archivo adjunto, es una buena idea escanearlo con una aplicación antivirus. Los archivos adjuntos de email infectados son un vector de ataque común utilizado por los ciberdelincuentes.

Para minimizar el riesgo de abrir emails phishing y maliciosos, le recomendamos utilizar Combo Cleaner Antivirus para Windows.

Ejemplo de email spam:

¿Qué hacer si cayó en una estafa por email?

• Si hizo clic en un enlace en un email de phishing e ingresó su contraseña: asegúrese de cambiar su contraseña lo antes posible. Por lo general, los ciberdelincuentes recopilan credenciales robadas y luego las venden a otros grupos que las utilizan con fines maliciosos. Si cambia su contraseña de manera oportuna, existe la posibilidad de que los delincuentes no tengan tiempo suficiente para hacer ningún daño.
• Si ingresó la información de su tarjeta de crédito: comuníquese con su banco lo antes posible y explique la situación. Es muy probable que deba cancelar su tarjeta de crédito comprometida y pedir una nueva.
• Si ve algún signo de robo de identidad: debe comunicarse de inmediato con la Federal Trade Commission. Esta institución recopilará información sobre su situación y creará un plan de recuperación personal.
• Si abrió un archivo adjunto malicioso: su computadora probablemente esté infectada, debe escanearla con una aplicación antivirus confiable. Para ello, le recomendamos utilizar Combo Cleaner Antivirus para Windows.
• Ayude a otros usuarios de Internet: informe los emails de phishing a Anti-Phishing Working Group, FBI’s Internet Crime Complaint Center, National Fraud Information Center y U.S. Department of Justice.

Preguntas frecuentes (FAQ)

¿Por qué he recibido este correo electrónico?

Los correos electrónicos de phishing suelen enviarse a muchas personas a la vez (no son personalizados). Los estafadores recopilan direcciones de correo electrónico a partir de fugas de datos, páginas de registro falsas y otras fuentes, y luego envían sus estafas de forma masiva.

He facilitado mi información personal tras ser engañado por este correo electrónico, ¿qué debo hacer?

Si los estafadores obtuvieron tus datos de inicio de sesión, cambia inmediatamente las contraseñas de cualquier cuenta que pueda estar en riesgo. Si no puedes iniciar sesión en una cuenta, ponte en contacto con su equipo de asistencia para que te ayuden a recuperar el acceso.

He descargado y abierto un archivo malicioso adjunto a un correo electrónico, ¿mi ordenador está infectado?

El riesgo de infiltración de malware depende del tipo de archivo. Los archivos ejecutables, como los .exe, pueden inyectar malware tan pronto como se abren. Los archivos de documento suelen ser menos peligrosos, pero si las macros están activadas, pueden ejecutar malware.

He leído el correo electrónico, pero no he abierto el archivo adjunto. ¿Mi ordenador está infectado?

Leer un correo electrónico suele ser seguro. Un dispositivo solo se vuelve vulnerable si el usuario hace clic en un enlace peligroso o abre un archivo adjunto malicioso.

¿Combo Cleaner eliminará las infecciones de malware que estaban presentes en los archivos adjuntos de correo electrónico?

Combo Cleaner puede encontrar y eliminar la mayoría del malware. Cabe destacar que realizar un análisis completo del sistema es la mejor manera de asegurarse de que no queden amenazas ocultas.