Logo El Cierre Digital
Captura de pantalla de mensajes de texto que parecen ser intentos de phishing, uno indicando que se ha registrado un nuevo dispositivo desde Francia y otro informando que el Token Móvil ha caducado, ambos con enlaces para verificar o activar.
SUCESOS

Estafas que proliferan en verano: SMS con links engañosos y copiado de voz por llamada

Hay que evitar decir 'SI, SI' al teléfono porque los delincuentes lo utilizan para hacer confirmaciones de pago

La Oficina de Seguridad del Internauta (OSI) continúa alertando de varias campañas de fraude que proliferan con la llegada de las vacaciones de verano. En una de ellas los delincuentes intentan suplantar a la empresa de paquetería Correos, empujando al usuario a introducir el número de su calle para recibir un supuesto paquete. El enlace que acompaña al mensaje tiene como objetivo robar los datos bancarios y personales de la víctima. Tras hacer clic en este, se redirigirá al usuario a la supuesta web de Correos, la cual mostrará un informe de seguimiento del supuesto paquete retenido. Todo ello es falso, aunque sea muy creíble en apariencia.

Cada vez más el smishing gana terreno a la seguridad digital. Este mecanismo de estafa combina las palabras SMS y phishing y busca obtener información confidencial de las personas, tales como contraseñas o datos de tarjetas de crédito, mediante un enlace fraudulento en el que el usuario hace clic. A diferencia del phishing, que funciona a través del correo electrónico, el smishing realiza el envío de mensajes de texto a través de teléfonos móviles, camuflándolos bajo la supuesta autoridad de una entidad legítima como bancos, tiendas u organismos estatales.

En caso de recibir este tipo de mensajes, la OSI nos explica que el procedimiento a seguir es marcarlo como spam o correo no deseado y eliminarlo de la bandeja de entrada, en el caso de no haber introducido ningún tipo de dato personal en el enlace. En el caso de haberlo hecho, es importante informar a la entidad bancaria con la que se trabaje para que puedan tomar las medidas necesarias, como desactivar las tarjetas.

Así mismo, recomiendan vigilar los movimientos de las cuentas y avisar de un posible cargo no autorizado. Tras recopilar las evidencias del fraude hay que acudir a las Fuerzas y Cuerpos de Seguridad del Estado para interponer una denuncia adjuntando las pruebas obtenidas y seguir el proceso conveniente.

Las autoridades también han alertado del auge de estafas por "copiado de voz a través de llamadas telefónicas". Los delincuentes graban la palabra 'sí'  que muchas veces pronunciamos al descolgar el teléfono y posteriormente la usan para aceptar pagos de la víctima o respaldarse en caso de denuncia.

Suplantación a entidades bancarias

Otro de los engaños más habituales mediante mensajes y enlaces falsos es el que suplanta a entidades bancarias como  CaixaBank, Santander, BBVA y Kutxabank. De nuevo, mediante una campaña de smishing, en los SMS fraudulentos se informa al usuario de que se ha realizado un cargo en su cuenta o que esta ha sido bloqueada, como explica la OSI. Para resolver la supuesta incidencia se adjunta un enlace que redirecciona a una web fraudulenta con el objetivo de robar las credenciales de acceso a la banca online de la víctima.

Pantalla de inicio de sesión con campos para NIF, NIE, Tarjeta o Pasaporte y Clave de acceso, con opciones para iniciar sesión, hacerse cliente y crear una clave de acceso.
Ejemplo de la página a la que dirige un link engañoso y que simula la página oficial del banco. | OSI

Al acceder al enlace adjunto, el usuario accederá a una página falsa que se asemeja mucho a la legítima, donde se le solicitará que ingrese sus credenciales de inicio de sesión. Una vez ingresadas las credenciales y pulsado el botón de iniciar sesión, los ciberdelincuentes ya habrán robado nuestros datos.

Suplantación de la Agencia Tributaria y delas Fuerzas y Cuerpos de Seguridad del Estado

Circulan también en Internet otros potenciales peligros. El primero es una campaña de suplantación de la Agencia Tributaria mediante el uso de la técnica de phishing. Esta pretende distribuir diversos tipos de malware o programas maliciosos.

Para ello se envían dos tipos de mensaje, como indica la OSI: uno que alerta al usuario sobre un error debido a documentación inválida que aprovechaba la campaña de la declaración de la renta, y otro que pretende ser un reembolso de impuestos del pasado año fiscal.  En estos correos electrónicos se añade un enlace que descarga un archivo fraudulento comprimido con un ejecutable (.msi).

Para reconocer estos mensajes existen varios indicios de falsedad. Por un lado, el dominio del remitente no guarda ninguna relación con el de la Agencia Tributaria. Por otro, se percibe un tono de urgencia que presiona a la víctima. Además, el texto del correo electrónico suele presentar errores de ortografía y de redacción.

También circulan correos electrónicos fraudulentos que buscan suplantar la identidad de la Policía Nacional y la Guardia Civil –como ya advirtió elcierredigital.com–. El objetivo es extorsionar a la víctima y para ello se le apremia para que conteste al correo donde se le acusa de cometer una serie de delitos relacionados con pornografía.

CITACIÓN AL TRIBUNAL Para los requisitos de una acusación judicial Sra María Gámez Gámez, Directora General de la Guardia Civil y responsable de la cooperación policial internacional. A raíz de una incautación cibernética en colaboración con el Centro Nacional de Análisis de Pornografía Infantil e Imágenes Cibernéticas (CNAIP) de la República Francesa, así como con el servicio de análisis de la Organización Internacional de Policía Criminal (INTERPOL), me pongo en contacto con usted para informarle de que es objeto de varios procedimientos judiciales en vigor, entre ellos *PORNOGRAFÍA INFANTIL *SITIOS WEB PORNOGRÁFICOS *CIBERPORNOGRAFÍA *PEDOFILIA *EXHIBICIONISMO Le rogamos que haga oír su voz enviándonos sus justificaciones por correo electrónico para que puedan ser examinadas y verificadas con el fin de evaluar las sanciones; esto en un plazo estricto de 72 horas. Transcurrido este plazo, nos veremos obligados a remitir nuestro informe a la Sra. Dolores Delgado, Fiscal General del Estado encargada de su caso, para establecer una orden de detención contra usted. Al final de este procedimiento, se le incluirá en la lista de delincuentes sexuales. Su caso también se enviará a los medios de comunicación para darle publicidad y evitar que vuelva a delinquir y también para disuadir a otros de hacerlo. Estás avisados. Le saluda atentamente Sra. María Gámez Gámez Director General de la Guardia Civil
Carta falsa de la Guardia Civil que acusa de delitos de pornografía al receptor. | El Cierre Digital

Además, se presiona a la víctima para que responda en un plazo limitado con una justificación y se le amenaza con una posible orden de detención en caso de no hacerlo. Algunos asuntos de los correos detectados hasta el momento son “su invitación” o “Justicia Nacional la pruebas información en su contra”. La incorrección gramatical o las posibles faltas ortográficas nos pueden hacer dudar rápidamente de su veracidad.

Ante el bombardeo de estafas, la Oficina de Seguridad del Internauta ofrece frecuentemente en sus redes sociales y en su página web consejos y avisos para mejorar la seguridad y solucionar vulnerabilidades en la red. Además, cuenta con vídeos explicativos, cuestionarios y portales de preguntas para formar a la ciudadanía y evitar la ciberdeliencuencia.

Consejos para protegerte del smishing

Para evitar posibles estafas, la Policía Nacional siempre recomienda que se verifique la legitimidad del mensaje a través de los propios canales oficiales de las empresas, que no se faciliten los datos bancarios y personales y que se revisen los enlaces antes de usarlos.

Es recomendable desconfiar de ofertas o descuentos que te solicitan reaccionar de inmediato. Así mismo, ninguna institución financiera o estatal te enviará mensajes de texto pidiéndote datos con un simple enlace.

Desde BBVA aconsejan no responder nunca los correos electrónicos que soliciten dinero, envíos de giros, datos bancarios, contraseñas o datos de tarjetas de crédito y no hacer clic en los enlaces de estos mensajes.

En caso de creer que el mensaje puede ser verdadero y que proviene, por ejemplo, de su banco, debe acceder al sitio web de la institución escribiendo la dirección directamente en la barra del navegador para evitar hacerlo en alguna página web realizada por el atacante.

➡️ Tecnología ➡️ Sucesos

Más noticias: