Alarma ante las nuevas estafas: Mensajes engañosos del SEPE y QR falsos en servicios públicos

La suplantación a organismos e instituciones oficiales es uno de los métodos más comunes utilizado por los ciberdelincuentes para robar información personal. Recientemente, la Oficina de Seguridad del Internauta (OSI) ha publicado varias alertas por campañas de fraude que siguen este procedimiento. Por su parte, el Servicio Público de Empleo Estatal (SEPE) también ha notificado varios sucesos.

En los últimos días se ha difundido una campaña de smishing en la que, a través de un SMS, se solicita a la víctima acceder a una web fraudulenta que suplanta a la Agencia Tributaria y añadir fotografías privadas que comprometen la seguridad de sus datos, para supuestamente solucionar una incidencia en su declaración de la renta.

Parte de la estafa solicita a los usuarios fotografías de su DNI

Cada vez más, el smishing gana terreno a la seguridad digital. Este mecanismo de estafa combina las palabras SMS y phishing y busca obtener información confidencial de las personas, tales como contraseñas o datos de tarjetas de crédito, mediante un enlace fraudulento en el que el usuario hace clic.

Este método de ingeniería social que se hace pasar por la Agencia Tributaria comienza cuando la víctima recibe un SMS que incita al usuario a pulsar en el enlace adjunto. Hasta ahora, los SMS que se han identificado incluyen errores ortográficos y alertan al remitente de una sanción de 1059.75 euros, debido a una incidencia grave, como indica la OSI.

Ejemplo de mensaje fraudulento / Foto: Oficina de Seguridad del Internauta (OSI)

En el mensaje, se dice a la víctima que lo solucione pinchando en un enlace. Pero, en realidad, este enlace redirige a una web maliciosa que suplanta al organismo público. Una vez en la página falsa, la supuesta Agencia Tributaria comienza a solicitar al usuario datos personales.

La estafa primero pide a la víctima que se identifique mediante alguna de las opciones que ofrece la web falsa: “Identificación con DNI y fecha de caducidad”, “identificación con certificado digital” o “identificación con cl@ve”. A continuación, una nueva pantalla pedirá imágenes del DNI por ambas caras y, en una tercera, se solicitará una nómina reciente. Finalmente, la página web maliciosa mostrará una ventana de que los datos han sido cargados con éxito. Una vez completado todo el proceso el ciberdelincuente tendrá los datos personales de la víctima.

Suplantación al SEPE

Un caso similar ha tenido lugar con la manipulación de la imagen del Servicio Público de Empleo Estatal (SEPE). El organismo ha detectado comunicaciones fraudulentas donde se solicitan datos bancarios y documentos de identificación personal, mientras suplantan la identidad del SEPE. 

El mecanismo de estafa se inicia después de participar en una oferta de trabajo Infojobs, un portal de ofertas de empleo. Las víctimas recibían una oferta de la supuesta empresa contratante que se habría interesado por el perfil. A esto le sigue una petición para descargar y rellenar un formulario del SEPE con datos personales y el número de cuenta bancaria.

Los delincuentes tratan de captar a los usuarios, aprovechándose de quke se encuentran en búsqueda de empleo. Como indican en su portal, el SEPE “nunca solicitará información personal y confidencial si no ha sido previamente autorizado por la persona usuaria y en los canales puestos a disposición del organismo” y no pedirá información personal “hasta que no se formalice el contrato de trabajo”.

⚠ PROTÉGETE del phishing o intentos de fraude online ❗❗

📵El SEPE nunca te solicitará tus datos personales o bancarios por SMS, correo electrónico o Whatsapp.

🔻 No accedas a los enlaces ni descargues ficheros adjuntos.

🔷 Más información 👉 https://t.co/q4dqcpZE91 pic.twitter.com/pzuONChgkD

— SEPE (@empleo_SEPE) September 30, 2023

Así mismo, desde el organismo público avisan de que se ha de sospechar de correos electrónicos, mensajes de texto o de WhatsApp que contengan faltas de ortografía y/o un lenguaje no apropiado, que soliciten aportar la información bancaria sin que se haya firmado el correspondiente contrato o que requieran aportar copias del DNI, NIE, pasaporte o carnet de conducir sin haber terminado el proceso selectivo y sin haber firmado un contrato.

El SEPE también informa de que para obtener asesoramiento técnico, psicosocial y legal los usuarios cuentan con el número 017, que está puesto a disposición de la ciudadanía por el Instituto Nacional de Ciberseguridad (INCIBE). Este es un servicio gratuito y confidencial que funciona en horario de 9 de la mañana a 9 de la noche los 365 días del año.

¿Qué hacer en caso de haber caído en la estafa?

Para evitar posibles estafas, la Policía Nacional siempre recomienda que se verifique la legitimidad del mensaje a través de los propios canales oficiales de los organismos, que no se faciliten los datos bancarios y personales, y que se revisen los enlaces antes de usarlos. Es recomendable desconfiar de alertas que solicitan reaccionar de inmediato. Así mismo, ninguna institución financiera o estatal te enviará mensajes de texto pidiéndote datos con un simple enlace.

Por su parte, la Oficina de de Seguridad del Internauta explica que en caso de haber recibido el mensaje mencionado, pero no haber facilitado ninguna información, este se debe catalogar como SPAM y borrarlo de la bandeja de entrada. Sin embargo, si se han introducido los datos personales o de la tarjeta de crédito en el formulario del enlace, es necesario ponerse en contacto con la entidad bancaria para exponer la situación y tomar las medidas necesarias.

Otras pautas que la OSI recomienda seguir son recopilar las evidencias del fraude (mensajes y capturas de pantalla del proceso), ponerse en contacto con las Fuerzas y Cuerpos de Seguridad del Estado, aportando las evidencias, y denunciar los hechos. Además, se deben seguir los movimientos de la cuenta bancaria para identificar posibles cargos.

Es importante desconfiar de correos electrónicos y mensajes SMS que parezcan fraudulentos ya que, sobre todo en la actualidad, suponen una amenaza activa y abundante que puede acarrear desde pequeños quebraderos de cabeza a auténticos robos de datos personales.

Códigos QR fraudulentos

El uso de códigos QR es una técnica cada vez más extendida para facilitar todo tipo de operaciones: desde consultar una carta en un restaurante, hasta validar una entrada para un concierto o simplemente identificarnos. Es por ello que también ha sido un medio perfecto para que los ciberdelincuentes lleven a cabo sus estafas.

Este modelo de fraude recibe el nombre de QRshing, resultado de la unión de QR con phishing. Consiste en la suplantación de identidad de un organismo o empresa de confianza para el usuario, que solicita que se escanee un código QR. Una vez que la víctima lo hace, accede a una web o aplicación fraudulenta que sustrae sus datos privados y, en algunos casos, también dinero, o instala un software malicioso en el dispositivo.

Los QR no dejan de ser códigos de barras que han evolucionado para poder ser escaneados de manera rápida con la cámara de un dispositivo móvil, lo que lleva a determinada información ubicada en la red o en una base de datos. A diferencia de los hipervínculos, al pasar por encima de un código QR en muchos casos no se muestra la URL de destino, por lo que resulta más sencillo caer en la trampa de escanear un código desconocido.

Es por ello que los ciberdelincuentes buscan formas llamativas para despertar el interés de la población con anuncios que contengan sus códigos QR fraudulentos. Ya sea ofreciendo sorprendentes ofertas de productos de plataformas como Amazon, u ofertando servicios como clases particulares. Los delincuentes suplantan a empresas y entidades reales para hacer pasar su anuncio por una muy buena oportunidad real.

Clases particulares en colegios de Madrid

El pasado mes varios padres fueron víctimas de QRishing tras escanear un código QR en la puerta de los colegios de sus hijos. El anuncio estaba pegado en los tablones informativos de los centros y ofrecía supuestas clases extraescolares para los jóvenes. Fueron al menos 6 los progenitores que acabaron introduciendo sus datos personales y bancarios en el enlace.

Después de hacerlo, recibieron un mensaje en su correo electrónico que les informaba de un cargo de 39 euros de cuota mensual y un comunicado dándoles la bienvenida a un servicio de streaming de series y películas al que nunca se habían suscrito.

Los códigos QR redirigían a la inscripción para unas clases particulares inexistentes

Los usuarios estafados intentaron cancelar esos servicios. Sin embargo, al no conseguirlo se vieron obligados a anular la tarjeta y la cuenta bancaria utilizada para bloquear futuros cobros inesperados. Así mismo, interpusieron una denuncia ante la Policía, añadiendo el caso a la larga lista de este tipo de delitos.

Como adelantó El Confidencial, el responsable escondido detrás de la trama es una empresa fantasma llamada Pulsler, que ofrece supuestos servicios de streaming de música, películas, videojuegos y audiolibros pero, en realidad, se trata de un “fraude que solo busca dar de alta a usuarios para luego dificultar su baja lo máximo”, pudiendo cobrar varias cuotas improcedentes.

Estafa bajo la imagen de Bicimad

El mes pasado también se hizo público un caso similar, el de un usuario de Bicimad, un servicio de alquiler de bicicletas públicas, que descubrió varias pegatinas falsas en algunas de las bicicletas que ofrece la empresa. Estas se encontraban en las estaciones de la plaza Jacinto Benavente, cerca de la Puerta del Sol, así como en el paseo Imperial.

El contenido de las pegatinas eran códigos QR falsos. En el caso de abrir el código QR falso desde la aplicación, los usuarios encontraban un mensaje de advertencia que indicaba que el enlace era falso: “QR inválido, por favor, use la aplicación oficial de Bicimad para desbloquear la bicicleta”.

🔴Mucho 👀

⚠️Atención⚠️

Vuelven a aparecer Qr falsos en algunas bicicletas sueltas de Bicimad.

Estación de bicis T65.

Ese QR ha sido eliminado. pic.twitter.com/mRNPQ6PKo4

— BICIMAD EN LUCHA (@BicimadL) October 2, 2023

Si el QR falso se abría desde la cámara del teléfono móvil, redirigía al usuario a una página web de alquileres por horas, donde se requería el pago en libras esterlinas en lugar de euros. Esto supuso un peligro sobre todo para los turistas que no acostumbran a utilizar esta clase de servicios.

El Ayuntamiento de Madrid tomó medidas una vez que se desveló y denunció el presunto intento de estafa ante la Policía Nacional. Además, fuentes del área de Movilidad del Ayuntamiento de Madrid avisaron a los usuarios de Bicimad de lo sucedido y los instaron a utilizar siempre la aplicación oficial para escanear los códigos QR de las bicicletas.

Multas falsas en Madrid

A finales del pasado año se hizo público un caso en el que los delincuentes distribuyeron denuncias de tráfico falsas entre varios vehículos de Madrid. Se contabilizaron un total de 80 sanciones que se sabe que se repartieron por las calles, según informó Inmaculada Sanz, delegada de Seguridad y Emergencias y portavoz municipal.

Se trataba de un papel que simulaba ser una multa impuesta por Tráfico. En la parte superior aparecía el logotipo del Ayuntamiento de Madrid, a continuación, la clave de infracción, el hecho denunciado, el precepto infringido, la cuantía en cuestión y la reducción del 50 por ciento. Por último, un código QR a escanear con una referencia. Cuando se escaneaba el QR,  se redirigía a la víctima a la página web del Ayuntamiento “sin que el receptor pudiera realizar el abono”, según la Policía Municipal.

🔴ALERTA.DENUNCIAS FALSAS🔴

Hemos detectado un fraude consistente en fotocopias que simulan ser multas de tráfico colocadas en los parabrisas de algunos vehículos de la capital.

En este link informamos de las claves para evitarlo: https://t.co/68pldET8R6 pic.twitter.com/T5b8h019KF

— Ayuntamiento Madrid (@MADRID) December 10, 2022

Como declaró a elcierreditigal.com una de las víctimas, la multa corresponde a una denuncia por estacionar "sobre o junto a refugios, isletas, medianas de protección o elementos canalizadores del tráfico", y la cuantía de la sanción era de 100 € que quedaba reducida a la mitad por pronto pago. 

“Te redirige a una página del Ayuntamiento, parece que la página del Ayuntamiento es original pero realmente luego el dinero se va por otro lado”, comentan afectados a elcierredigital.com. Sin embargo, se comprobó que el QR no remite a ninguna página web donde pueda tramitarse un pago, creando una situación de confusión para los afectados.

El Ayuntamiento de Madrid explicó que “ningún boletín de denuncia de Policía Municipal, Agentes de Movilidad o controladores del Servicio de Estacionamiento Regulado (SER) incorpora códigos QR. Además, en los boletines se incluyen otros apartados más detallados que los que se muestran en la falsa sanción". Cualquier notificación de sanción impuesta por agentes de la autoridad se envía por correo certificado o por la dirección electrónica vial.