El número de estafas que atacan desde detrás de una pantalla aumentan cada vez más. La Oficina de Seguridad del Internauta (OSI) publica periódicamente las nuevas amenazas que circulan por nuestros teléfonos y correos electrónicos. En este caso, el enorme crecimiento de plataformas de steaming ha hecho que los ciberdeliencuentes suplanten a Netflix para intentar estafar a sus usuarios.

El reciente caso de engaño consiste en una campaña de phishing que tiene como objetivo obtener información de tu tarjeta de crédito y tus datos personales. Los estafadores envían un correo malicioso afirmando que la suscripción a Netflix de la víctima ha expirado y que esta se puede extender de forma gratuita durante 90 días.

Correo electrónico malicioso que suplanta a Netflix / Foto: OSI

Sin embargo, al intentar renovarla, se requiere proporcionar datos personales y bancarios en un formulario. A modo de supuesta fidelización, la oferta va acompañada de un enlace en el que se pedirá la vinculación de una tarjeta de crédito para hacerla efectiva, asegurando que no se le aplicará ningún cargo a esta.

Cada vez más, el smishing y phishing ganan terreno a la seguridad digital. Estos mecanismos de estafa buscan obtener información confidencial de las personas, tales como contraseñas o datos de tarjetas de crédito, mediante un enlace fraudulento en el que el usuario hace clic.

Concretamente, el phishing funciona a través del correo electrónico y el smishing por medio del envío de mensajes de texto a teléfonos móviles. Ambos se camuflan bajo la supuesta autoridad de una entidad legítima como bancos, tiendas u organismos estatales.

Cómo identificar fraudes en los correos electrónicos

Para poder identificar los correos fraudulentos que suplantan a Netflix, hay que poner atención en los asuntos que utilizan. Entre ellos destacan "_extiende-tu..CuentaGratis. ", "confirmation" o "disfruta de una extensi n gratuita de 90 d as de Netflix", como indica la Oficina de Seguridad del Internauta.

Se debe sospechar de mensajes que presenten una mala redacción del mensaje, que contenga faltas de ortografía y fallos en el formato. Además, en los correos fraudulentos se percibe que el remitente no corresponde a ninguna dirección oficial de la plataforma y el dominio no pertenece a España.

Aviso fraudulento cuya imagen pretende ser como la de Netflix

Una vez que la víctima acceda al enlace adjunto, se muestran los logos de Netflix y la misma oferta mencionada en el correo, así como un botón de “Extiende gratis” para captar la atención del usuario y que proceda a introducir los datos de la tarjeta de crédito para supuestamente validar la cuenta de usuario.

La URL de la web que se observa en el correo electrónico tampoco corresponde a la página oficial de Netflix. Por lo que a pesar de que el enlace comience por “https”, este no es necesariamente seguro o verdadero, como explica la OSI.

50 GB gratis en iCloud

Otro potencial peligro para nuestros datos personales sobre el que está alertando la OSI es, también, una campaña de phishing que suplanta la identidad de iCloud. El procedimiento de estafa pasa por una serie de correos electrónicos fraudulentos que notifican al destinatario que ha excedido su capacidad de almacenamiento en el servicio de la nube iCloud.

En el mensaje se incluye un enlace que, supuestamente, ofrece 50 GB de almacenamiento adicional como parte de un programa de fidelización, totalmente gratuito. Sin embargo, este enlace redirige a un formulario en el que se solicitan detalles personales y bancarios con la intención de robar esta información.

Correo electrónico falso que pretende suplantar a iCloud

El remitente del correo electrónico no corresponde a ningún dominio asociado a iCloud, y parece ser de generación aleatoria. Así mismo, a diferencia del caso de Netflix, el formato del logo no es el correcto, ya que pone “Cloud”. La redacción del mensaje de la web combina el vocabulario coloquial y formal.

Una vez el usuario entra en el enlace, una ventana solicitan los datos de contacto de la persona, entre ellos: nombre, apellidos, dirección, código postal, ciudad, número de teléfono y email. Al pulsar en el botón “Continuar”, se le redirigirá a otra ventana en la que solicitan datos bancarios y se muestra que se realizará un cargo de 2 euros o 1.99 euros, dependiendo de la versión del correo, en la cuenta de la víctima, como informa la OSI.

Ventana de pago falsa

Al pulsar en el botón de “Pagar”, se borrarán algunos datos introducidos y no habrá más cambios en la web. Los asuntos con los que opera esta estafa son muy variados, pero destacan algunos como "reciba un almacenamiento en la nube adicional de hasta 50 GB", "tus fotos y videos ser n eliminados, toma medidas!" o “tu cuenta icloud está cerrada". Apelan a una supuesta urgencia para crear preocupación en la víctima.

¿Qué hacer en caso de caer en la estafa?

Para evitar posibles estafas, la Policía Nacional siempre recomienda que se verifique la legitimidad del mensaje a través de los propios canales oficiales de las empresas, que no se faciliten los datos bancarios y personales, y que se revisen los enlaces antes de usarlos.

Es recomendable desconfiar de ofertas o descuentos que te solicitan reaccionar de inmediato. Así mismo, ninguna institución financiera o estatal te enviará mensajes de texto pidiéndote datos con un simple enlace.

Por su parte, la Oficina de de Seguridad del Internauta explica que en caso de haber recibido el correo mencionado, pero no haber facilitado ninguna información, este se debe marcar como spam y borrar de la bandeja de entrada.

Sin embargo, si se han introducido los datos personales o de la tarjeta de crédito en el formulario del enlace, es necesario ponerse en contacto con la entidad bancaria para exponer la situación y tomar las medidas necesarias, como la cancelación de la tarjeta introducida.

Otras pautas que la OSI recomienda seguir son revisar regularmente los movimientos de la cuenta para cancelar posibles cargos no autorizados; recopilar las evidencias del fraude (correos y capturas de pantalla del proceso); ponerse en contacto con las Fuerzas y Cuerpos de Seguridad del Estado, aportando las evidencias, y denunciar los hechos, o realizar egosurfing para comprobar si se han expuesto tus datos personales o bancarios y solicitar su eliminación por medio de la supresión al olvido, siguiendo el proceso que proporciona la Agencia Española de Protección de Datos (AEPD).

Como explica la OSI, el Reglamento General de Protección de Datos dicta que cualquier persona tiene derecho a solicitar, bajo ciertas condiciones, que los enlaces a sus datos personales no figuren en los resultados de búsqueda en Internet realizada por su nombre.

Esto es lo que comúnmente se conoce como “ejercer el derecho al olvido” y por lo que se obliga a los buscadores de Internet, como Google, a dar todas las facilidades para suprimir de la Red cualquier dato personal con cuya publicación no esté de acuerdo la persona interesada.

Es importante desconfiar de correos electrónicos y mensajes SMS que parezcan fraudulentos ya que, sobre todo en la actualidad, suponen una amenaza activa y abundante que puede acarrear desde pequeños quebraderos de cabeza a auténticos robos de datos personales.