Publicado en ,
10 minutos

El falso aviso de Raiola Networks

El falso aviso de Raiola Networks
Caso real de phishing suplantando a Raiola Networks mediante falsos avisos de renovación de dominio y correos con cuenta atrás.
Picture of Carlos Soriano
Carlos Soriano

Diseñador Web en WordPress

Tabla de Contenidos

El domingo 31 de mayo transcurría con esa calma breve que a veces tienen los días de descanso. Sin persianas que levantar, sin clientes entrando por la puerta, sin la rutina habitual del negocio marcando las horas. Una tarde luminosa, de esas en las que el móvil debería ser poco más que una presencia discreta en el bolsillo.

Entonces llegó el primer correo.

En la pantalla aparecía un aviso relacionado con su dominio. Un mensaje aparentemente serio, con el tono administrativo de quien no viene a conversar, sino a advertir. La idea era sencilla y eficaz: el dominio estaba cerca de caducar y había que actuar.

Para cualquiera que tenga una web, pocas cosas generan tanta inquietud como leer que su dominio puede perderse. Pero en este caso la preocupación tenía una capa más: aquella web no era un simple escaparate. Era una tienda online en PrestaShop, una parte activa de su actividad profesional y de su medio de vida. El dominio no era solo una dirección; era la puerta de entrada al negocio, el lugar al que llegan clientes, pedidos y consultas. Si algo fallaba ahí, la consecuencia no se quedaba en lo técnico.

El mensaje no llegó solo. Según me contaría después Jesús., comenzaron a entrar nuevos avisos. En cada uno parecía cambiar el número de días restantes, como una cuenta atrás. La urgencia iba ganando terreno poco a poco, con esa presión silenciosa que empuja a resolver el problema cuanto antes.

Pero en medio de esa incomodidad, mi cliente recordó una recomendación que suelo repetir a quienes confían en mí para gestionar o cuidar sus sitios web:

“Si te llega algún correo raro, antes de tocar nada, dame un toque.”

Y eso hizo.

La primera señal

El lunes 1 de junio me envió un audio y una captura de pantalla del correo. A simple vista, el mensaje tenía una apariencia muy similar a las comunicaciones que suele enviar Raiola Networks. Hablaba de una supuesta factura relacionada con un dominio próximo a vencer.

Todo parecía diseñado para que el destinatario no pensara demasiado. La posible pérdida del dominio, la referencia a una factura y la presión de los días restantes componían una pequeña trampa emocional: cuando una web forma parte de tu trabajo diario, cualquier aviso de caducidad pesa más.

Pero precisamente ahí estaba la clave del caso: Jesús no hizo clic. No introdujo datos. No intentó pagar. No siguió el camino que el mensaje parecía marcarle con luces de emergencia.

Se detuvo y preguntó.

Y en seguridad, a veces esa pausa lo cambia todo.

El falso aviso de Raiola Networks

El rastro técnico

Debido a los problemas que he tenido estos días con mí equipo principal, no pude revisar el caso con calma hasta más tarde. Pero cuando por fin me senté a investigarlo, lo primero fue acudir a la fuente legítima.

Accedí al área de cliente de Raiola Networks y revisé el apartado de facturación. Si el correo era real, debía existir algún cargo pendiente, alguna factura emitida o algún aviso relacionado con la renovación del dominio.

No había nada.

El dominio todavía no había alcanzado su fecha de vencimiento. La fecha real, que prefiero reservar por privacidad, tampoco encajaba con el momento en el que normalmente un proveedor de hosting enviaría avisos de renovación. Muchos proveedores suelen avisar con cierta antelación, pero el mensaje recibido por el cliente no cuadraba con esa lógica.

Había otra pieza fuera de lugar: el importe.

El supuesto aviso no coincidía con la información que aparecía en el panel real del cliente. Cuando un correo habla de dinero, vencimientos y urgencias, cualquier discrepancia en el importe es una señal de alarma. Puede parecer un detalle menor, pero en seguridad los detalles menores suelen ser la grieta por la que se ve el decorado.

La cuenta atrás

El falso aviso de Raiola Networks

Al hablar de nuevo con Jesús, apareció una segunda pista.

El cliente me explicó que el día anterior, el 31 de mayo, ya había empezado a recibir otros correos. En ellos se le indicaba que su dominio caducaba y que le quedaban determinados días para actuar. Según me comentó, los mensajes iban cambiando esa cifra, como si se tratara de una cuenta atrás.

En sus propias palabras:

“Hoy este. He observado que del 31 ha pasado al 4, va cambiando días, además creo que son extranjeros y este pone que es de Lugo.”

La frase es interesante por varios motivos. Por un lado, confirma que los atacantes estaban usando una técnica de presión temporal: reducir los días disponibles para que el usuario sienta que debe actuar rápido. Por otro, esa cuenta atrás parecía comportarse de forma extraña, pasando de un número a otro sin una lógica clara.

Ese tipo de incoherencias son habituales en campañas automatizadas de phishing. A veces los delincuentes usan plantillas mal adaptadas, traducciones pobres, variables dinámicas defectuosas o datos insertados sin demasiado cuidado. El correo intenta disfrazarse de comunicación oficial, pero deja costuras visibles.

También aparece otro detalle curioso: la posible contradicción entre la sensación de que el mensaje procedía de fuera y la mención a Lugo. No es una prueba definitiva de nada, pero sí forma parte de esas pequeñas señales que hacen que el usuario sospeche. En los fraudes digitales, muchas veces la primera defensa no es técnica, sino intuitiva: “algo aquí no me cuadra”.

El diagnóstico

Con los datos disponibles, la hipótesis más razonable era clara: estábamos ante una campaña de phishing suplantando a Raiola Networks.

El objetivo no parecía ser informar de una renovación real, sino inducir al cliente a hacer clic en un enlace, probablemente para capturar sus credenciales de acceso, datos personales o incluso información de pago. La táctica seguía un patrón muy reconocible:

  1. El disfraz: Primero, se utiliza una marca conocida para generar confianza.
  2. El anzuelo: Después, se introduce un elemento urgente, como la caducidad de un dominio.
  3. La presión: A continuación, se añade una cuenta atrás para reducir el tiempo de reflexión.
  4. El clic: Finalmente, se empuja al usuario hacia una acción rápida: pagar, acceder, verificar o renovar.

Este tipo de ataque no necesita romper la seguridad de WordPress. No necesita explotar una vulnerabilidad en un plugin. Ni siquiera necesita entrar en el servidor. Le basta con convencer al usuario de que entregue voluntariamente la llave.

Y esa llave puede ser muy valiosa.

Una cuenta de hosting comprometida puede dar acceso a dominios, facturación, servicios contratados, correos, bases de datos, instalaciones WordPress, tiendas online y herramientas administrativas. Pero el riesgo no termina ahí. Si el usuario llega a introducir los datos de pago en una página falsa, el problema puede extenderse también a su tarjeta bancaria, cuenta asociada o método de pago utilizado para la supuesta renovación. Por eso un correo falso sobre una renovación aparentemente rutinaria puede terminar convirtiéndose en un incidente mucho más serio.

La respuesta

Ante la sospecha, decidí abrir un ticket con el SAT de Raiola Networks. Les expliqué el caso y adjunté las capturas de los correos recibidos por el cliente. La intención era doble: confirmar si se trataba de una suplantación y permitir que el proveedor tuviera constancia directa del caso.

La respuesta de Raiola Networks fue clara. Confirmaron que ya tenían constancia de correos fraudulentos suplantando su identidad y que estaban tomando medidas al respecto.

También indicaron algo importante: si el usuario no había accedido al enlace ni introducido credenciales, bastaba con eliminar el correo. En cambio, si había introducido algún dato, recomendaban modificarlo cuanto antes por seguridad.

Además, recordaron una comprobación básica pero muy útil: sus notificaciones legítimas proceden de direcciones terminadas en @raiolanetworks.es, y cualquier información sobre facturación o servicios puede verificarse entrando directamente al área de clientes.

Esta respuesta cerraba una parte importante del expediente. No estábamos ante una confusión aislada ni ante un simple malentendido. Raiola ya conocía la existencia de esta campaña de suplantación.

En mi experiencia

Lo más importante de este caso no fue encontrar una vulnerabilidad sofisticada, sino comprobar cómo una buena costumbre evitó un posible problema.

Jesús recibió un correo inquietante. El mensaje hablaba de un dominio, una factura y una supuesta caducidad. Es decir, tres ingredientes perfectos para generar preocupación en cualquier propietario de una web. Pero en lugar de actuar bajo presión, decidió consultar antes.

Ese gesto cambia por completo la historia.

Cuando revisé el área de cliente real, no había cargos pendientes. La fecha no encajaba. El importe tampoco. Después, el SAT de Raiola confirmó que se trataba de una suplantación conocida. La cadena de verificación funcionó.

Este caso también demuestra algo que suelo repetir a mis clientes: cuando un correo intenta obligarte a correr, probablemente es el momento de frenar. Los ciberdelincuentes no solo atacan sistemas; atacan rutinas, prisas, miedo a perder un dominio, preocupación por una factura o desconocimiento técnico.

La seguridad no siempre empieza con una herramienta compleja. A veces empieza con una pregunta: “¿Esto es real?”

Qué puedes hacer si recibes un correo parecido

Si recibes un aviso de renovación, factura pendiente o caducidad de dominio, no accedas desde el enlace del correo si tienes dudas. Entra directamente escribiendo la dirección oficial del proveedor en el navegador o usando un marcador guardado previamente.

Revisa el remitente real, no solo el nombre visible. Comprueba si la dirección pertenece al dominio legítimo de la empresa. En este caso, Raiola Networks recordó que sus comunicaciones oficiales proceden de direcciones @raiolanetworks.es.

También conviene comparar el aviso con la información del área de cliente. Si el correo dice que hay una factura pendiente, esa factura debería aparecer en el panel. Si habla de una renovación próxima, la fecha debería coincidir. Si el importe es diferente, mala señal.

Y, sobre todo, no introduzcas credenciales ni datos de pago si el mensaje te genera dudas. Si ya lo has hecho, cambia la contraseña cuanto antes, revisa los accesos recientes si el proveedor lo permite y contacta con el soporte oficial.

Conclusión

Este caso de phishing suplantando a Raiola Networks no terminó en desastre porque el cliente hizo lo correcto: se detuvo, pidió ayuda y permitió verificar la información antes de actuar.

No hubo que recuperar una web caída. No hubo que limpiar malware. No hubo que restaurar una copia de seguridad. Y precisamente por eso merece contarse. Porque muchos incidentes de seguridad se evitan antes del golpe, en ese instante mínimo en el que alguien decide no confiar ciegamente en un correo urgente. Si recibes un aviso sospechoso relacionado con tu dominio, hosting, facturación o acceso a tu web, no lo ignores, pero tampoco actúes con prisa. Comprueba la información desde el área oficial del proveedor y, si tienes dudas, puedes escribirme para revisarlo contigo antes de hacer clic.

Este sitio funciona con Hostinger. ¿Quieres un Alojamiento Web para tu WordPress?
Facebook
Twitter
LinkedIn
WhatsApp
Telegram

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no se publicará. Los campos requeridos están marcados con *

Sobre tu privacidad

  • Responsable: Carlos Soriano ()
  • Finalidad: Gestionar y Moderar tus comentarios para evitar spam.
  • Legitimación: Tu legítimo consentimiento.
  • Comunicación de datos: No se cederán datos a terceros destinatarios, salvo por obligación legal.
  • Derechos: Acceder, rectificar, limitar y suprimir tus datos.

Publicar comentario

Más Tutoriales