- Phishing sofisticado suplanta la web de PyPI para robar credenciales de usuarios.
- Correos con asunto "[PyPI] Verificación de correo electrónico" usan un dominio casi idéntico al original.
- Las credenciales robadas son reenviadas al sitio legítimo, dificultando la detección del fraude.
- La administración de PyPI ha implementado avisos, investiga el ataque y recomienda extremar la precaución.
Un gran número de usuarios y desarrolladores del repositorio Python Package Index (PyPI) se están viendo afectados por una reciente ola de correos electrónicos fraudulentos que simulan la plataforma oficial. PyPI, reconocido como el principal punto de distribución de paquetes de Python, ha sido blanco de una sofisticada campaña de phishing, aunque la infraestructura de su sitio no ha sido comprometida.
El equipo de PyPI, encabezado por su administrador Mike Fiedler, ha informado que no existe una brecha en la seguridad del sistema. La campaña se basa en correos que aparentan ser del equipo oficial y que solicitan a los destinatarios verificar su dirección de correo electrónico mediante un enlace incluido en el mensaje.
El dominio casi idéntico: una técnica de fraude difícil de detectar
La estrategia principal consiste en emplear dominios que se parecen mucho al original: mientras la web oficial es pypi.org, los hackers utilizan direcciones como noreply@pypj.org, donde la única diferencia es la sustitución de la «i» por una «j», que pasa desapercibida a simple vista. El asunto del correo suele ser » Verificación de correo electrónico», lo que aumenta su apariencia de legitimidad.
Al hacer clic en el enlace del email, la víctima accede a una réplica casi exacta del sitio auténtico. Tras ingresar sus datos, estos son capturados por los atacantes y enviados al servidor legítimo de PyPI. De este modo, el usuario puede acceder a su cuenta sin notar que sus credenciales han sido comprometidas con éxito.
Ingeniería social y acciones de PyPI para detener el fraude
PyPI ha insistido en que la confianza de los usuarios es fundamental en la efectividad de estos ataques, que se apoyan en técnicas de ingeniería social para suplantar la identidad de la plataforma. Este tipo de fraude, conocido como «typosquatting», se basa en registrar dominios con ligeras variaciones para que pasen inadvertidos.
La administración de PyPI ha reactuado rápidamente, publicando avisos y banners de advertencia en su sitio para alertar a los usuarios. Además, ha contactado a proveedores de CDN y registradores de dominios para proceder al cierre de los sitios fraudulentos en la mayor brevedad posible.
Por ahora, no hay indicios de que los sistemas internos de PyPI hayan sido afectados, limitándose la campaña a una suplantación externa. Es crucial que los usuarios verifiquen cuidadosamente los dominios y sean cautelosos con los mensajes sospechosos para evitar la pérdida de credenciales.
Recomendaciones y posibles implicaciones
Desde la comunidad de seguridad y el equipo de PyPI, las indicaciones son claras: evitar hacer clic en enlaces de correos no solicitados y verificar siempre la URL en la barra del navegador antes de ingresar credenciales. En caso de que se hayan proporcionado datos en un sitio sospechoso, lo más recomendable es cambiar inmediatamente la contraseña y revisar la actividad de la cuenta en busca de accesos no autorizados.
Aunque aún no se conoce la cantidad exacta de usuarios o proyectos afectados o la identidad de los responsables, se recuerda que ataques similares han ocurrido en plataformas como npm, donde también se emplearon dominios casi iguales para engañar a los desarrolladores.
Este incidente en PyPI subraya la importancia de seguir buenas prácticas de seguridad digital y verificar siempre la autenticidad de los mensajes, especialmente cuando involucran recursos fundamentales del ecosistema Python. La colaboración de la comunidad y la rápida reacción del equipo han sido decisivas para reducir el impacto del ataque.
