La Oficina de Seguridad del Internauta ha emitido un aviso advirtiendo de una campaña de smishing (envío de mensajes SMS fraudulentos) con la que se pretende suplantar a la Seguridad Social. ¿El anzuelo utilizado? La supuesta necesidad de que actualicemos nuestra tarjeta sanitaria.
Según el contenido del mensaje de móvil, la potencial víctima (esto es, quien ha recibido el mensaje) está teóricamente obligada a actualizar los datos de la tarjeta si no quiere ver cómo pierde la cobertura que dicha tarjeta le ha venido ofreciendo.
Para evitar eso, el mensaje 'amablemente' nos ofrece un enlace web que nos redirigirá a un formulario online (con el sello del Ministerio de Empleo y Seguridad Social) desde el que podremos introducir nuestros datos personales del usuario (apellido, nombre, fecha de nacimiento y correo electrónico)…
…para que a continuación dichos datos nos sean robados con vistas a un futuro uso fraudulento. "Estos datos puede ser utilizados cara cometer futuros ataques dirigidos a personas concretas y de esta forma engañar fácilmente a la víctima".
Web maliciosa de la campaña en cuestión
¿Por qué podemos saber que es falso?
Uno de los aspectos en los que la OSI nos sugiere que nos fijemos para detectar el engaño es la redacción del mensaje:
"Los SMS que han sido reportados hasta ahora contienen errores ortográficos en su redacción, lo que hace sospechar de su veracidad".
Concretamente, los SMS incluyen textos como "Su tarjeta sanitaria requiere una actualización. Por favor actualícelo a través del sitio seguro para mantener sus servicios" o como "Su nueva tarjeta sanitaria está disponible. Para seguir beneficiándose de sus derechos, realice su solicitud a través de: [ENLACE]".
Otro detalle importante es que, hoy en día, el 'Ministerio de Empleo y Seguridad Social' no existe: sus competencias se hallan divididas entre el Ministerio de Trabajo y Economía Social y el Ministerio de Inclusión, Seguridad Social y Migraciones.
Más detalles sobre burocracia y competencias que hacen que el engaño sea evidente: ningún ministerio del Gobierno central es el responsable de expedir o actualizar las tarjetas sanitarias, puesto que es una competencia delegada a las comunidades autónomas. El SMS debería llegarnos, si la campaña fuera legítima, de alguna consejería autonómica.
Pero incluso así, debemos recordar (como hacemos a menudo) que las administraciones públicas no piden esta clase de datos mediante enlaces en mensajes SMS, sino animándonos a usar las webs/apps oficiales, o directamente solicitando que nos pasemos por alguna oficina pública.
¿Qué hacemos en caso de recibir el SMS?
Si has recibido el SMS, pero no has pulsado en el enlace, la mejor opción es eliminarlo de la bandeja de entrada. Por el contrario, si has entrado en el enlace y has rellenado el formulario, sigue las pautas que dejamos a continuación:
- Recopila evidencias del fraude, por si necesitas interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
- En los próximos meses, búscate a ti mismo en Internet, para localizar los datos que se hayan podido publicar sobre ti en la Red. En caso de que necesites que sean eliminados, recurre al derecho al olvido.
- Mantén vigilado tu correo electrónico o cuentas de las que hayas proporcionado información en el formulario para evitar posibles ataques de phishing.
Imagen | Basada en original de Gerd Altmann en Pixabay
En Genbeta | Qué es el typosquatting, cómo funciona y cómo puedes protegerte de este tipo de estafa
Ver 3 comentarios