Solicita una demo
Infraestructura en la nubeCiberseguridad para EndpointWeb Application Firewall (WAF)Antispam en la NubeCorreos en la NubeAutenticador del dominioFiltros WebGestión de VulnerabilidadesSecure Sockets Layer (SSL)Soluciones de VPNBackup para Microsoft 365Backup para Google WorkspaceGestión de TISoluciones de RMMAntivirus para EmpresasSoftware de Escritorio RemotoVer todas las soluciones →
XcitiumXcitioneDmarc ProtectVer todos los productos →

Ciberdelincuentes usan el nombre de SUTRAN y SAT en campañas de phishing

Por Equipo Inforland
7 de julio de 2026

Fraudes digitales que suplantan a la SUTRAN y el SAT de Lima para robar datos y dinero están en aumento en Perú. Cómo funcionan, cómo reconocerlos y qué hacer si recibes uno.

Los ciberdelincuentes no necesitan hackear sistemas: se hacen pasar por la SUTRAN o el SAT y basta con que el usuario haga clic antes de pensar.
Imagen del artículo

Smishing y phishing en nombre del Estado

Campañas masivas suplantan a la SUTRAN y el SAT de Lima para robar datos personales y bancarios mediante correos y SMS falsos. La SUTRAN presentó una denuncia ante el Ministerio Público tras recibir decenas de reportes en solo tres semanas.

3 semanas
tardó la SUTRAN en acumular decenas de reportes de fraude con su nombre
0 correos
la SUTRAN no notifica multas por email — cualquier mensaje así es fraude confirmado

En las últimas semanas se ha detectado una oleada de fraudes digitales en los que los atacantes se hacen pasar por la Superintendencia de Transporte Terrestre (SUTRAN) y el Servicio de Administración Tributaria (SAT) de Lima. El mecanismo es sencillo pero efectivo: mensajes que anuncian multas, papeletas o deudas inexistentes e incluyen enlaces fraudulentos diseñados para robar información sensible de la víctima.

Cómo operan las campañas que suplantan a la SUTRAN

Los correos falsos que imitan a la SUTRAN reproducen el logotipo institucional e incorporan botones como "Verificar la multa" e incluso códigos QR. Al hacer clic, el usuario es redirigido a un sitio web clonado que captura sus datos. La propia entidad confirmó que recibió decenas de reportes en apenas tres semanas y presentó una denuncia ante el Ministerio Público.

Un dato clave para reconocer el fraude: la SUTRAN no notifica infracciones por correo electrónico. Sus comunicaciones se realizan de forma presencial o a través de la casilla electrónica del MTC, a la que se accede con DNI y clave. Cualquier correo que solicite un pago inmediato por medio de un enlace debe considerarse sospechoso.

El SAT de Lima y los mensajes de texto fraudulentos

En el caso del SAT de Lima, el vector principal son los SMS falsos. Estos mensajes incluyen enlaces que dirigen a portales que imitan al sitio oficial para solicitar información bancaria. A diferencia del fraude, las comunicaciones legítimas del SAT son personalizadas e incluyen datos específicos del contribuyente, algo que los mensajes masivos no pueden replicar.

Ejemplo de mensaje de smishing que suplanta a la SUTRAN y el SAT de Lima para robar datos bancarios

Qué es el smishing y cómo reconocerlo

Esta modalidad se conoce como smishing, una variante del phishing en la que el atacante se hace pasar por una institución legítima mediante mensajes de texto. Las señales de alerta son consistentes:

  • Urgencia artificial: exigen un pago inmediato para no dar tiempo a verificar la información.
  • Enlaces sospechosos: URLs acortadas o con dominios desconocidos que simulan el portal oficial.
  • Errores de redacción: tildes mal colocadas, mayúsculas fuera de lugar o gramática deficiente.
  • Remitentes anónimos: números desconocidos y sin identificación institucional.

Ingeniería social: por qué funcionan estos fraudes

Estos ataques no vulneran directamente los sistemas informáticos: explotan el factor humano. Se trata de ingeniería social, una técnica en la que el delincuente induce a la persona a cometer un error en lugar de forzar una barrera tecnológica. Los responsables adquieren grandes bases de datos con correos y números telefónicos, y lanzan campañas masivas aprovechando temas de coyuntura —eventos deportivos, fechas tributarias o trámites vehiculares— para que sus mensajes resulten más creíbles.

Qué hacer ante un mensaje sospechoso

Frente a un correo o SMS de este tipo, la recomendación de los especialistas es clara:

  • No hacer clic en los enlaces ni escanear los códigos QR incluidos en el mensaje.
  • Verificar cualquier multa o deuda ingresando directamente a los portales oficiales, nunca desde el enlace recibido.
  • Si ya se abrió el enlace o se ingresaron datos: cerrar la página, cambiar las contraseñas de inmediato, revisar los movimientos bancarios y comunicarse con la entidad financiera.
  • Reportar el intento de fraude a la institución suplantada.

Para el correo corporativo, una solución de antispam en la nube filtra estos mensajes antes de que lleguen a la bandeja de entrada del colaborador. Los expertos advierten que estas campañas seguirán evolucionando y sumando nuevas entidades suplantadas, sobre todo en épocas de alta actividad digital. La mejor defensa combina atención a las señales de alerta con una cultura de ciberseguridad que anticipe el error humano, tanto en el ámbito personal como en el corporativo.

Conclusión

El smishing y el phishing que suplantan a entidades como la SUTRAN y el SAT no requieren conocimientos técnicos avanzados por parte del atacante: basta con generar urgencia y explotar la confianza que generan las instituciones del Estado. Reconocer las señales —urgencia artificial, enlace sospechoso, remitente anónimo— es la primera línea de defensa.

Para las empresas, el riesgo va más allá del colaborador individual. Un dominio de correo sin protocolos de autenticación como DMARC puede ser suplantado por cualquier atacante. Estas campañas, al igual que los grupos de ransomware activos en Perú, evolucionan con cada ciclo de noticias y no distinguen entre persona natural y empresa. Estar preparado hoy es más barato que responder mañana.

24 de mayo de 2026

Phishing en Perú 2026: protege tu empresa del BEC

Phishing en Perú 2026: tipos más comunes, casos reales de BEC y guía práctica para proteger tu empresa con tecnología y capacitación.

Leer artículo →
5 de julio de 2026

Una IA aprovecha la vulnerabilidad RCE de Langflow para secuestrar y destruir una base de datos

Un agente de IA aprovechó la vulnerabilidad RCE de Langflow (CVE-2025-3248) para secuestrar y destruir una base de datos sin intervención humana. Qué implica para las empresas en Perú y LATAM.

Leer artículo →
21 de junio de 2026

Roban credenciales de 86,000 firewalls y VPN de Fortinet

FortiBleed: una campaña masiva expuso credenciales de 86,644 firewalls y VPN Fortinet en 194 países. CISA emitió alerta urgente. Conoce cómo funciona el ataque y cómo proteger tu empresa.

Leer artículo →
Ver todas las noticias →