Un mensaje advirtiendo del error en la entrega de un pedido es la puerta de entrada para robar datos bancarios
24 may 2023 . Actualizado a las 05:00 h.Los términos que rodean a los ciberataques se multiplican. Primero llegó el phishing, la estafa más común, que consiste en enviar correos electrónicos fraudulentos. Pero las técnicas se han ido perfeccionando y al ataque por mensaje de texto —SMS o aplicaciones de mensajería— suplantando la identidad de bancos y organizaciones de confianza, se le conoce como smishing. Es precisamente de lo que alerta el Instituto Nacional de Ciberseguridad (Incibe), que advierte de una nueva campaña de ciberestafa que consiste en suplantar a la empresa de paquetería Correos.
«La entrega de su paquete ha sido suspendida debido a que falta un número de calle», es el comienzo de un mensaje que pretende hacerse con los datos personales y bancarios de las posibles víctimas. El remitente simula ser Correos y el SMS va acompañado de un enlace a una web que precisamente suplanta a la oficial de la empresa de paquetería. La primera señal de que puede tratarse de un timo —en este y en otros muchos casos— es que la redacción de los mensajes contiene faltas de ortografía. Además, por regla general, hay que desconfiar de todos aquellos SMS alarmantes que tengan tono de urgencia.
¿Qué sucede al pinchar en el enlace? El usuario será dirigido a una página web falsa, que simula un informe de seguimiento de un supuesto paquete retenido. Un formulario pide introducir datos como el nombre, el primer y segundo apellido, la dirección, el código postal y hasta el número de teléfono.
Una vez rellenados los diferentes campos y aceptado el formulario, el usuario pasa a una segunda ventana. En esta se solicita a través de un nuevo formulario los datos bancarios de la víctima, para que —supuestamente— se pueda realizar el reenvío del paquete. Una operación que tiene un coste de ochenta céntimos. La cantidad es tan pequeña precisamente para facilitar la estafa, porque supone un gasto tan bajo que no hace sospechar a nadie.
Sin embargo, los delincuentes pueden obtener así el número de tarjeta, la fecha de caducidad y el CVV o número de seguridad. Una vez enviada dicha información, la página se quedará bloqueada, pero el estafador ya estará en posesión de los datos personales y bancarios de la víctima. Y el timo está completado.
Hace solo unas semanas, el mismo Incibe alertaba también de otro caso de smishing, cuyo gancho era la Seguridad Social. Los delincuentes suplantaban su identidad para enviar un mensaje advirtiendo de la necesidad de actualizar la tarjeta sanitaria. Para renovarla el modus operandi era el mismo: había que pagar.
Con ignorar este tipo de mensajes es suficiente, incluso aunque se haya accedido al enlace, en estafas de este tipo no habría consecuencias. Sin embargo, los expertos del instituto advierten de que en caso de haber facilitado datos a través del formulario, es indispensable ponerse en contacto inmediatamente con la entidad bancaria de cada quien, para desactivar la tarjeta. Además, recomiendan vigilar los movimientos de la cuenta bancaria en los meses siguientes y llegado el caso, recopilar evidencias del fraude para después interponer una denuncia.