Una nueva estafa suplanta a Correos para acceder a las tarjetas de crédito de los usuarios

La recta final del año es una etapa realmente intensa en términos de compras. El Black Friday y el Cyber Monday de noviembre se suman a la inminencia de la navidad, provocando que los usuarios no paren de ojear ofertas apetitosas que les permitan hacer regalos a sus seres queridos o darse algún capricho. Este fenómeno se ha intensificado en su vertiente online debido a las restricciones de aforo y distanciamiento que piden las autoridades por la crisis sanitaria, lo que ha aumentado las compras en la red y por tanto, los intentos de ciberataques a los ciudadanos.

De hecho, este miércoles la compañía internacional de seguridad informática Kaspersky ha alertado de la existencia de una nueva estafa en Internet. Sus investigadores han detectado una campaña de phishing que suplanta la identidad de Correos. El método de phishing consiste en robar información sensible para los usuarios haciéndose pasar por una persona de confianza o una empresa que se comunica en la red con las víctimas.

En esta nueva campaña de phishing, los ciberdelicuentes envían correos electrónicos fraudulentos suplantando a Correos. Su objetivo, obviamente, es engañar a los usuarios para acceder a los datos de su tarjeta de crédito. Para ello, le informan del retraso de un supuesto pedido que debe entregarle la empresa pública de repartos.

Email fraudulento enviado a un usuario. / Kaspersky

Estos emails son enviados con títulos como su envío está en camino, lo que incita a la víctima a pulsar en el correo. Una vez dentro, aportan un enlace al que el texto invita a clicar para obtener más información sobre el inexistente pedido. El link contiene, en realidad, un malware (virus informático) que se infiltra en el dispositivo de los usuarios. Si se presta atención, se puede comprobar que la dirección del remitente no coincide con la oficial de Correos.

Si el usuario decide pinchar en el enlace, accede a una nueva página en la que se le pide que pague unos gastos para realizar otro intento de entrega. Si accede, entrará a otra en la que se simula la validación de la información de la tarjeta bancaria. De esta forma, los ciberdelincuentes ya habrían conseguido los datos de la tarjeta de crédito y habrán concluido con éxito la estafa.

Lo cierto es que es un timo con una apariencia muy realista, por lo que puede engañar a más de un usuario desprevenido. El correo fraudulento emula casi a la perfección el típico email de seguimiento de un pedido, aportando elementos como un falso localizador del paquete. Las páginas web de los link también están muy bien recreadas, con el logo y los colores corporativos de Correos.

Páginas con falsa apariencia legal a la que llevan los enlaces del email. / Kaspersky

Pero no se trata de una estafa que se practica a algún usuario ocasional. Kaspersky informa de que sus sistemas de seguridad han detectado entre el 25 y el 28 de noviembre más de 930 mensajes de esta clase, un número realmente elevado en un período de tiempo tan corto. Para Dani Creus, analista senior de seguridad del equipo de Investigación y Análisis de la empresa, esto no es casualidad. “Los ciberdelincuentes están aprovechando el crecimiento de las compras online realizadas durante estos días con motivo del Black Friday y el Cyber Monday para recopilar información personal y bancaria de los compradores más ingenuos”, ha expresado.

El analista ha advertido que caer en una estafa como esta, abre la caja de pandora de los malwares: “La cantidad de ataques crece constantemente. Caer en la trampa de este tipo de estafas abre la puerta a diversas operaciones maliciosas, desde el robo de dinero a poner en riesgo las redes corporativas si se hace desde el correo de la empresa”.

Asimismo, si bien la técnica predilecta para los ciberataques es el envío de correos electrónicos fraudulentos, la empresa de seguridad advierte que también es posible que se dirijan al usuario mediante mensajes SMS. Por otro lado, es muy habitual que suplanten a una compañía de mensajería como Correos, dada la alta temporada de compras en la que nos encontramos.

Una estafa más a la lista

Esta técnica de phishing se une a una larga lista de estafas que se aprovechan de los ciudadanos. Timos como la clásica ‘carta nigeriana’ han vuelto, empleando técnicas más sofisticadas al llegar ahora las misivas por email. También han mejorado las traducciones para otorgarles más realismo y que el usuario pique. En tiempos de crisis económica, es muy fácil que cualquiera caiga ante la promesa de recibir miles e incluso millones de dólares de una herencia de alguien desconocido al otro extremo del mundo.

En este caso, la persona que escribe se encuentra, supuestamente, en Burkina Faso y su identidad es la de "gerente del departamento de auditoría" de un conocido banco que nos pide infinidad de datos personales para poder mandarnos una cantidad de dinero que habríamos heredado de alguien a quien no conocemos. Pero como la avaricia es un mal endémico, algunos ingenuos pican y ceden todos sus datos.

Nuevamente, esta estafa se basa en la técnica del phishing, vendiendo los datos personales del usuario a una tercera organización que puede usarlos para falsificar documentación, abrir cuentas bancarias en cualquier lugar del mundo e incluso cometer delitos que puedan ser atribuidos al incauto que facilite esta información confidencial.