El INCIBE (Instituto Nacional de Ciberseguridad Español) ha lanzado un aviso acerca de una nueva campaña de phishing que pretende suplantar a Correos, la empresa pública de mensajería y paquetería. Los estafadores, utilizando correos electrónicos y SMS fraudulentos, recurren a la falsa pretensión de confirmar datos de envío o efectuar pagos aduaneros para —como es común en estos casos— obtener información bancaria y personal.
¿Cómo funciona este fraude?
Las víctimas reciben un correo electrónico o un SMS con mensajes como "tienes un paquete esperando ser entregado". Estos mensajes instan a los usuarios a realizar pagos por aduana (en el caso del e-mail) o actualizar información de entrega debido a que "falta un número de calle en el paquete" (en el caso del SMS).
Los enlaces adjuntos llevan a sitios web fraudulentos que imitan el logotipo y la interfaz de Correos, lo que aprovecha para solicitar datos como el número de tarjeta, fecha de caducidad, y código CVV. La estafa culmina cuando nos convencen de acceder a una falsa pasarela de pago que captura todos estos datos y se los hace llegar a los estafadores.
El pago nunca se completa (no es que hubiera nada real por lo que pagar, claro) porque, inevitablemente, siempre nos redireccionarán a una nueva página donde se solicitan nuevamente todos los datos de la tarjeta, bajo el pretexto de un supuesto fallo durante el proceso.
En el caso del email de phishing que cita el INCIBE (que, con muy leves cambios, lleva dando vueltas por Internet desde 2020), resulta fácil detectar varias señales de alerta que son comunes en este tipo de estafas:
- Solicitud de pago inusual: La solicitud de comprar un código PIN de Paysafecard (un método de pago prepagado) y enviarlo a una dirección específica es, siendo suaves, atípica para una empresa legítima como Correos. Las empresas oficiales normalmente no solicitan pagos mediante tarjetas prepagadas debido a la falta de trazabilidad y seguridad.
- Urgencia y presión: La técnica de crear urgencia, como la necesidad de pagar rápidamente para poder recibir un paquete, es una táctica común en el phishing para presionar a las víctimas a actuar sin pensar.
- Información legal confusa o incorrecta: La referencia a leyes y regulaciones aduaneras, como el "Articulo 134-1 y II-1º del CGI" y la "LEY nº 2012-1510 de 03 de mayo de 2017 - Art.68", parece ser un intento de añadir legitimidad al mensaje. Sin embargo, estas referencias son confusas y no parecen hacer referencia a ninguna ley real.
- Falta de personalización: El correo se dirige a "Estimado cliente" en lugar de utilizar el nombre del destinatario, lo que es inusual para comunicaciones oficiales relacionadas con transacciones específicas.
- Solicitud de información sensible: Pedir el envío de un código PIN de 16 dígitos es una señal de alarma. Los códigos PIN son datos sensibles y su solicitud por correo electrónico es un claro indicio de fraude.
La falsa web de Correos
Medidas de prevención
- Marcar como spam / bloquear todos aquellos mensajes (de móvil o de correo electrónico) que resulten sospechosos.
- No acceder a enlaces no solicitados ni compartir información personal.
- Comprobar la legitimidad de las comunicaciones a través del portal oficial de Correos.
- En caso de haber proporcionado datos bancarios, contactar inmediatamente con el banco.
- Realizar egosurfing —esto es, buscarte a ti mismo— regularmente para detectar posibles exposiciones de datos personales.
Imagen | Marcos Merino mediante IA
En Genbeta | Hay un nuevo timo en Wallapop y Vinted, y es súper fácil que te estafen: así puedes evitarlo
Ver 1 comentarios