Estafa de phishing del Home Office dirigida a patrocinadores de inmigración en Reino Unido

Puntos Clave

1. La Oficina del Interior avisó a patrocinadores el 10 de julio de 2025 sobre phishing dirigido al Sistema de Gestión de Patrocinios.
2. Mimecast informó cerca de 8.000 correos en primera quincena de julio y 2.500 entre el 1–6 de agosto de 2025.
3. Los atacantes roban credenciales SMS para emitir CoS falsos, extorsionar y vender paquetes de visado por £15,000–£20,000.

Una campaña de phishing está suplantando a la Oficina del Interior y apunta a los patrocinadores del Reino Unido que usan el Sistema de Gestión de Patrocinios. El ataque, calificado como sofisticado por investigadores, robó credenciales del SMS para emitir de forma fraudulenta Certificado de Patrocinio, extorsionar organizaciones y vender cuentas comprometidas. Mimecast y la prensa de seguridad confirmaron la magnitud: cerca de 8.000 correos relacionados en la primera quincena de julio de 2025 y otros 2.500 en los primeros seis días de agosto, lo que muestra una escalada temprana en agosto.

Computer Weekly documentó que los atacantes buscan cuentas de SMS usadas por patrocinadores en categorías Worker, Temporary Worker, Student y Child para crear CoS falsos, vender credenciales o montar estafas que cobran a migrantes entre £15,000–£20,000 por paquetes inexistentes de empleo y visado.

Canales legítimos y advertencias oficiales

La Oficina del Interior dejó claro qué canales son legítimos y cuáles no. Los avisos oficiales solo provienen de direcciones que terminan en @homeoffice.gov.uk, @fco.gov.uk o @fcdo.gov.uk, del portal de gestión de cuentas (AMP) o del tablón de mensajes del SMS.

• La Oficina nunca pedirá que verifique su ID o contraseña del SMS.
• La Oficina nunca enviará un enlace para iniciar sesión en el SMS por correo.

Si recibe un correo con un enlace para entrar al SMS, no lo use; acceda directamente a la página oficial del sistema en GOV.UK.

Detalles técnicos y alcance

Los correos de cebo suelen usar asuntos como:
– “A new message has been posted to your Sponsorship Management System”
– “Message Notification from SMS”

Presentan un tono de urgencia sobre cumplimiento o suspensión de licencia.

• Los atacantes envían gran parte del correo a buzones generales recogidos en las webs de las empresas, no siempre a los contactos clave nombrados en el SMS.
• La ruta de ataque incluye URLs con CAPTCHA que filtran víctimas humanas y redirigen a páginas de inicio de sesión clonadas que imitan elementos del sitio GOV.UK con pequeñas modificaciones para capturar credenciales.

Motivaciones económicas y métodos de abuso:
– Reventa de cuentas comprometidas en foros.
– Emisión de Certificado de Patrocinio falsos para dar apariencia de patrocinio.
– Extorsión a empleadores.
– Creación de ofertas de trabajo fraudulentas que defraudan a migrantes por sumas elevadas.

Investigadores instan a tratar esta campaña como un riesgo persistente dada la rentabilidad para los ciberdelincuentes y la facilidad para integrar credenciales robadas en esquemas de fraude migratorio en 2025.

Qué deben hacer los patrocinadores ahora

La Oficina del Interior y asesores legales recomiendan medidas concretas y urgentes. A continuación, pasos prácticos que las empresas y centros educativos deben aplicar ya:

1. Verificar canales de comunicación
   • Instruya al personal para aceptar mensajes oficiales solo desde @homeoffice.gov.uk / @fco.gov.uk / @fcdo.gov.uk, el AMP o el tablón del SMS.
   • Nunca use enlaces en correos para acceder al SMS; escriba la dirección oficial en el navegador.
2. Mejorar defensas de correo y navegador
   • Active controles anti-phishing avanzados y detección de dominios similares.
   • Implemente reglas para reescribir o bloquear URLs sospechosas.
   • Bloquee dominios detectados vinculados a esta campaña y supervise cadenas de redirección con CAPTCHA.
3. Controlar el acceso al Sistema de Gestión de Patrocinios
   • Aplique contraseñas fuertes y únicas para usuarios Nivel 1 y Nivel 2.
   • Cambie contraseñas con regularidad.
   • Desactive cuentas de usuarios que dejan la organización o cambian de puesto.
   • Mantenga al menos uno o dos usuarios Nivel 1 activos en todo momento.
4. Auditar y registrar
   • Revise con frecuencia los registros de actividad del SMS en busca de asignaciones inesperadas de Certificado de Patrocinio o mensajes extraños.
   • Documente cualquier anomalía y notifíquela a la Oficina del Interior.
5. Formación y pruebas
   • Haga campañas de concienciación para equipos de RR.HH., compliance y responsables de buzones compartidos sobre los asuntos y técnicas actuales.
   • Ejecute simulacros de phishing centrados en mensajes del SMS.
6. Reducir exposición pública
   • Elimine u oculte correos genéricos en páginas públicas.
   • Asegure que los datos de contacto en el SMS sean los del personal clave.

Respuesta ante un posible compromiso

Si cree que una cuenta fue comprometida:

• Cambie la contraseña del SMS de inmediato.
• Pida a todos los usuarios Nivel 1 y 2 que roten sus credenciales.
• Revise la actividad desde la fecha sospechosa y revoque cualquier Certificado de Patrocinio no autorizado.
• Informe sin demora a la Oficina del Interior por estas vías oficiales (indicadas en el aviso del 10 de julio de 2025):
  • Empleadores: [email protected] y 0300 123 4699
  • Centros educativos: [email protected]

Impacto en migrantes y en cumplimiento

El riesgo no es solo administrativo. Migrantes y agentes de contratación pueden encontrarse con ofertas creíbles apoyadas en CoS falsos, lo que alimenta cadenas de fraude que reportan pérdidas de £15,000–£20,000 por víctima.

Además, los patrocinadores afectados pueden sufrir escrutinio regulatorio: actividades no autorizadas detectadas bajo una licencia pueden desencadenar auditorías o revisiones, aunque la acción inicial provenga de atacantes. Es vital documentar los incidentes y el reporte inmediato para mitigar consecuencias regulatorias.

Perspectivas de seguridad

Expertos piden que:
– Proveedores de correo y equipos de seguridad actualicen reglas para detectar imitaciones de marca gubernamental.
– Se detecten cadenas de redirección y páginas con HTML clonado.

VisaVerge.com informa que las campañas orientadas al Sistema de Gestión de Patrocinios elevan el valor de las credenciales comprometidas y facilitan fraudes complejos contra migrantes y empresas.

El alcance ya reportado y la rentabilidad para los atacantes sugieren que la campaña seguirá evolucionando. Los patrocinadores deben:
– Revisar comunicaciones en el SMS y el AMP con regularidad para nuevas alertas.
– Colaborar con su proveedor de seguridad para incorporar indicadores de compromiso compartidos por firmas como Mimecast y los análisis publicados en prensa especializada.

Fuentes oficiales y recursos

• Acceda de forma segura al Sistema de Gestión de Patrocinios y a la guía para empleadores en GOV.UK: https://www.gov.uk/uk-visa-sponsorship-employers
• Para reportes y asistencia online:
  • Empleadores: [email protected] / 0300 123 4699
  • Educadores: [email protected]

Aprende Hoy

Sistema de Gestión de Patrocinios (SMS) → Portal del gobierno británico donde los patrocinadores gestionan licencias, asignan Certificados de Patrocinio y revisan actividad.
Certificado de Patrocinio (CoS) → Documento electrónico que asigna el patrocinador y que el solicitante usa para tramitar su visado.
Nivel 1/Nivel 2 → Niveles de permiso en SMS: Nivel 1 controla la licencia; Nivel 2 realiza tareas administrativas de patrocinio.
Redirección con CAPTCHA → Paso de redirección que usa CAPTCHA para filtrar humanos y mostrar páginas clonadas de inicio de sesión.
Detección de dominios similares → Control de seguridad que identifica dominios visualmente parecidos a sitios gubernamentales legítimos.

Este Artículo en Resumen

Una campaña de phishing de 2025 suplanta a la Oficina del Interior y ataca el Sistema de Gestión de Patrocinios. Patrocinadores deben verificar canales oficiales, aplicar contraseñas fuertes, auditar CoS y reportar compromisos inmediatamente para evitar fraudes y pérdidas económicas a migrantes.
— Por VisaVerge.com