Suena una notificación en tu teléfono móvil: es un SMS. Entras, y te encuentras con el siguiente texto:

"Su paquete ha sido puesto en espera debido a que falta un numero de calle en el paquete. Por favor actualice la informacion de entrega:https://is.gd/correESKK".

Un lector nos ha remitido esta muestra de nueva campaña de phishing

Quizá creas que sabe a qué paquete se refiere, porque hace poco encargaste algo en Amazon. O quizá no tengas ni idea, pero no te extrañe porque pienses que tu hijo o pareja lo habrá pedido. Así que, ante el miedo a perder el paquete, entras en el enlace adjunto…

…y ves que se trata de una web con la tradicional imagen corporativa de Correos. Ahí, el localizador de envíos nos muestra las etapas que ha ido recorriendo el paquete y un botón para 'Programar tu entrega'.

El 20 de agosto aparece entre el 15 y el 16. Vaya 'timeline' más poco cronológico, parece de Twitter.

Pues bien, acabas de cometer un error.

Un vistazo a… ¡QUE NO TE ENGAÑEN! Los principales TIMOS en COMPRAS ONLINE y CÓMO EVITARLOS

¿Un error? ¿Por qué?

Hoy en día, no es difícil encontrarse con mensajes fraudulentos muy bien redactados (la irrupción de ChatGPT y compañía ha ayudado), pero normalmente, cuando un SMS o e-mail que dice proceder de una gran compañía o institución nos escribe con faltas de ortografía, una vocecita debería empezar a sonar en su cabeza: '¡Te están timando, te están timando!'.

Pues bien, con este mensaje en particular, te están timando: faltan dos tildes y una coma. Y eso no es todo. Porque, ¿qué te decimos siempre cuando abordamos esta clase de timos?

"No pulses en URLs cuyo dominio no se corresponda con el oficial del servicio". Pues bien, 'Is.gd' es un acortador de URLs gratuito… y la URL que proporciona nos conduce a "https://correos.es.aeno.top/site/home.html". Que no te engañe la referencia a 'correos'. Ahí, el dominio es 'aeno.top', todo lo demás son sucesivos subdominios.

Será muy 'top', pero no es la buena

¿Te has convencido ya a estas alturas de que no se trata de un SMS legítimo de Correos? Pues bien, una prueba más:

Echa otro vistazo a esa web tan bien hecha a la que te ha conducido el SMS. En la barra superior tiene el logotipo de Correos, que debería llevarte a la portada de la web, tres rayas horizontales que deberían desplegar un menú y enlaces a 'Particular', 'Empresa' e 'Iniciar sesión'.

Pulsa uno de ellos. Cualquiera. Habrás comprobado que o bien no son enlaces en modo alguno… o bien que irremediablemente conducen a la misma página en la que estás. Qué casualidad. Ah, y el formulario de 'Realizar una nueva búsqueda' tampoco funciona.

No, en el 'footer' tampoco funciona ningún enlace. Y no será por falta de ellos.

Ojo: en algunos casos los estafadores serán más hábiles y lo que harán será enlazar a las secciones correspondientes de la web real que tratan de suplantar… para que, una vez hecha la comprobación, vuelvas sobre tus pasos y accedas al formulario que ellos crearon. En esos casos, lo que tienes que hacer es mirar con detenimiento la barra de la URL, para ver si el dominio cambia o no.

Vale, ya ha quedado claro que la web del mensaje es claramente una estafa, pero… ¿Qué hubiera pasado si no nos hubiéramos dado cuenta? Pues bien, comprobémoslo pulsando el botón de 'Programar tu entrega'.

Sorpresa. No querían entregarte un paquete

Primero, te piden todos tus datos de contacto. Eso puede no extrañarnos, dado que tratan de enviarnos a nuestro domicilio un paquete, pero… ¿Entonces, por qué nos vuelven a pedir el teléfono, que ha sido justo el método que han usado para avisarnos?

Espera, ¿qué chapuza de formulario es esta?

Dejemos de lado tales dudas existenciales, e introduzcamos un montón de datos totalmente aleatorios. Ok, nueva pantalla, ahora nos piden los datos de nuestra tarjeta bancaria, porque "Para el reenvío, la oficina de correos cobrará algunas tarifas de servicio" (0,80 céntimos).

Tus datos personales. Tus datos bancarios. Es decir, todo lo que necesitan para un robo de identidad digital y para dejarte a cero la cuenta bancaria. Y todo por un paquete que ni te aseguraste de estar esperando realmente. Mal negocio.

Vaya, todo chapuzas, pero esta comprobación sí que la hacen bien. Qué cosas.

Si este aviso te ha llegado a tiempo, borra el mensaje recibido y bloquea al remitente. En caso contrario (si ya caíste en el timo, vamos), no borres: avisa a tu banco, anula la tarjeta cuyos datos proporcionaste y presenta una denuncia ante las fuerzas de seguridad.

Imagen | Logotipo oficial de Correos (vía Wikipedia) + Imagen generada mediante IA por Marcos Merino

En Genbeta | Las enormes sumas de dinero que explican por qué hay tantas estafas phishing por SMS y mail en España