La interacción entre los ciudadanos y las administraciones públicas es cada vez menos presencial y más digital, pues realizar los trámites requeridos de forma telemática suele ser mucho más ágil y cómodo. Ahora bien, este uso generalizado de las nuevas tecnologías es campo abonado para la acción de los ciberdelincuentes, que tratan de aprovechar cualquier medio para estafar a los usuarios.
De entre todos ellos, los autónomos y las pequeñas y medianas empresas representan la gran mayoría del tejido empresarial español, por lo que es fácil entender que sean blanco habitual de los ciberataques.
Dentro de las técnicas fraudulentas que los ciberdelincuentes utilizan, el llamado phishing es una de las más comunes. Tal como recuerdan desde la Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad (INCIBE), el phishing consiste en obtener información personal y bancaria de los usuarios. Para ello, los delincuentes entran en contacto con ellos y les envían mensajes suplantando a una entidad legítima, como puede ser un banco, una red social, un servicio o una institución pública, para engañarles y manipularles a fin de que acaben realizando alguna acción que ponga en peligro sus datos.
Llamadas y SMS ‘en nombre’ de la Seguridad Social
El INCIBE ha advertido hace poco a los autónomos de un nuevo ciberataque que suplanta la identidad de la Seguridad Social. Este organismo público ha detectado llamadas y mensajes de texto SMS a autónomos y pequeños negocios en los que los ciberdelincuentes se hacen pasar por esta institución. Dichos mensajes llegan a los dispositivos móviles y en ellos los cibercriminales les invitan a acceder a la ‘Comunicación anual de vida laboral en la Sede Electrónica de la Seguridad Social’. Para ello, incluyen un enlace fraudulento con el que pueden acceder a los datos de afiliación a la Seguridad Social y al DNI del usuario, e incluso a los relacionados con la tesorería.
Asimismo, también se han detectado llamadas a usuarios que suplantan la identidad de la Seguridad Social para solicitarles un código recibido a través de SMS en sus terminales. En dicha llamada se indica al usuario que es un código de verificación para recibir la tercera dosis de la vacuna contra la COVID-19, pero en realidad es un código que permite al delincuente iniciar sesión de WhatsApp en otro dispositivo y robar la información personal del autónomo.
Cartas falsas de la Seguridad Social
A la hora de suplantar a las entidades públicas, los estafadores recurren en ocasiones a fórmulas mixtas. Es lo que ha sucedido también con el envío masivo de cartas en nombre de, supuestamente, la Tesorería General de la Seguridad Social.
La misiva, titulada ‘Cambio datos bancarios Seg Social‘, solicita al destinatario que envíe a una dirección de correo electrónico una serie de documentos con el pretexto de que un reciente ataque informático a los sistemas de Hacienda y Seguridad Social ha borrado datos de miles de ciudadanos.
Bajo el pretexto de que va a haber un incremento de las prestaciones por jubilación, pide a los ciudadanos que envíen al email que se facilita en la carta una fotocopia del DNI por ambas caras, un extracto bancario en el que el usuario aparezca como titular o persona autorizada de una cuenta y la cantidad que ha cobrado en el último mes.
El Ministerio de Inclusión, Seguridad Social y Migraciones ha advertido de que se trata de un fraude: “Si recibes en tu domicilio una carta solicitando Cambio de datos bancarios Seg Social a través de una dirección de email sospechosa: es un fraude”. El objetivo es hacerse con los datos personales y bancarios de quienes reciban tales misivas.
Consejos para combatir el phishing
Hasta ahora, el principal medio de propagación del phishing era el correo electrónico. Sin embargo, con el tiempo los ciberdelincuentes han ido sumando técnicas nuevas y más perfeccionadas para que el usuario caiga en la trampa, como los engaños a través de SMS o de llamadas telefónicas.
En este sentido, para evitar ser víctima de este tipo de fraudes, la OSI recomienda:
- No facilitar la información requerida ni contestar bajo ningún concepto a los mensajes. En caso de duda, hay que consultar a la empresa o servicio supuestamente representados a través de sus canales oficiales.
- No acceder a los enlaces facilitados en los SMS, ni descargar ningún documento adjunto que pueda contener un correo electrónico sospechoso recibido, pues podría tratarse de malware.
- Lo mejor es eliminar los emails y alertar a los contactos sobre la estafa para que ellos no sean tampoco víctimas de la misma.
- Aplicar siempre la ecuación: solicitud de datos bancarios + datos personales = fraude.
Imágenes | bruce mars (Unsplash) | Jim Reardan (Unsplash) | Guardia Civil
