Investigadores de Group-IB acaban de hacer público un hallazgo preocupante: una operación de phishing bautizada "GitBait" lleva más de tres años suplantando a por lo menos 24 bancos e instituciones financieras que operan en México, robando credenciales de acceso, números de tarjeta y datos de identificación de clientes. La campaña sigue activa.
Lo que distingue a GitBait de un phishing común es su nivel de sofisticación operativa. Los atacantes construyeron un panel de control modular, como si fuera un producto de software, donde seleccionan el banco que quieren suplantar y generan automáticamente una página falsa con el logo, la interfaz y los colores de esa institución, optimizada para funcionar igual en celular que en computadora.
¿Por qué es tan difícil de detectar?
Toda la operación vive en GitHub Pages, un servicio legítimo y confiable que viene con certificado HTTPS por defecto. La mayoría de los filtros de seguridad empresariales no bloquean GitHub. Cuando alguien comparte el enlace falso por WhatsApp, Telegram o SMS, la vista previa muestra el nombre y logo real del banco gracias a etiquetas Open Graph manipuladas. Al mismo tiempo, las páginas están marcadas con "noindex" para no aparecer en Google, lo que dificulta que sean detectadas por rastreos masivos.
Después de que la víctima ingresa sus datos, aparece una pantalla falsa de "verificación en proceso" que mantiene la confianza mientras las credenciales se envían en tiempo real a hojas de cálculo de Google controladas por los atacantes, a través de un servicio legítimo llamado SheetBest. No hay un servidor central que las autoridades puedan incautar: es una operación completamente sin infraestructura propia.
Los registros de desarrollo muestran que esta no es obra de un aficionado: 66 commits de código, tres cuentas de operadores coordinados, y más de 200 dominios identificados con rutas como "/cancelacion/" y "/soporte/" diseñadas para parecer secciones reales de un banco. Group-IB reportó toda la infraestructura a GitHub.
Qué hacer ahora:
Establece una regla clara en tu empresa esta semana: nadie accede a la banca corporativa desde enlaces recibidos por WhatsApp, SMS o correo electrónico. La única forma segura es escribir la dirección del banco directamente en el navegador o usar la aplicación oficial.
Activa el doble factor de autenticación en todas las cuentas bancarias corporativas. Aunque un empleado entregue su contraseña en una página falsa, el segundo factor bloquea al atacante. Y si tu empresa nunca ha medido qué tan vulnerable es tu equipo a este tipo de engaños, un ejercicio de simulación de phishing puede darte esa respuesta antes de que un ataque real lo haga.
¿Quieres saber qué tan preparado está tu equipo contra ataques como GitBait? Agenda un diagnóstico gratuito de 30 minutos en codigovigia.com/contactanos sin compromisos, sin tecnicismos.
Fuentes:
- Group-IB, "GitBait: Phishing the Mexican Financial Sector" — group-ib.com, junio 2026
- Cyber Security News, "GitBait Phishing Campaign Abuses GitHub Pages to Attack Financial Institutions" — cybersecuritynews.com, junio 2026
- Infosecurity Magazine, "Serverless Phishing Kit on GitHub Targets Mexican Banks" — infosecurity-magazine.com, junio 2026
Código Vigía · Ciberseguridad empresarial · Culiacán, Sinaloa, México · codigovigia.com