La nueva estafa vía SMS que suplanta a la Seguridad Social

Esta campaña de 'smishing' trata de engañar a los usuarios para que realicen un pago y faciliten sus datos personales y bancarios.

Guardar

Los ataques de smishing (SMS) no cesan
Los ataques de smishing (SMS) no cesan

Hace menos de una semana en Escudo Digital informamos de las campañas de SMS maliciosos que están circulando actualmente en todo el mundo, según reveló una investigación de Bitdefender que también ponía en el punto de mira las de España, advirtiendo que suplantan a la Agencia Tributaria y a Correos.

No obstante, estas no son las únicas campañas de smishing que se están propagando últimamente por nuestro país. Así lo señala el último aviso que ha lanzado la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) para alertar que los ciberdelincuentes también se están haciendo pasar por la Seguridad Social en SMS fraudulentos que tienen el objetivo de estafar a los usuarios.

Así es esta nueva campaña de 'smishing'

Según indica OSI, este fraude comienza con un SMS que simula proceder de la Seguridad Social y comunica a sus potenciales víctimas que sus tarjetas sanitarias han sido suspendidas y tienen que solicitar una nueva para seguir beneficiándose de la cobertura habitual, pudiendo pedirla a través de un enlace adjunto al mensaje.

SMS de 'smishing' que suplanta a la Seguridad Social (Fuente: OSI)
SMS de 'smishing' que suplanta a la Seguridad Social (Fuente: OSI)

Si el usuario pulsa en el enlace, será redirigido a una web que simula ser del Ministerio de Empleo y Seguridad Social y en la que aparece un formulario que deben rellenar introduciendo su nombre, apellido, fecha de nacimiento y correo electrónico. Tras rellenar estos datos y hacer clic en confirmar, se pasa a un nuevo formulario en el que se solicita una dirección, código postal y número de teléfono.

Una vez se ha completado y se ha pulsado en confirmar, se muestran las dos opciones de envío de la nueva tarjeta sanitaria –Correos  o DHL– y se solicita que se abone una cantidad inferior a 4 euros para pagar este servicio de transporte. Para proceder al pago, se solicita completar un tercer formulario con los datos de la tarjeta bancaria. Concretamente, el titular, el número de la tarjeta, la fecha de caducidad y el código de seguridad CVV.

Página web fraudulenta de la campaña de 'smishing' que suplanta a la Seguridad Social (Fuente: OSI)
Página web fraudulenta de la campaña de 'smishing' que suplanta a la Seguridad Social (Fuente: OSI)

Una vez se confirma el pago, queda en carga la web autenticando el proceso. A continuación, aparece otro formulario que dice enlazar por Apple Pay, en el que se pide un código que se ha enviado al dispositivo móvil de la víctima a través de un SMS.

"Tras esto, aparecerá una ventana, en la cual te confirman que el pago ha sido validado, te dan los datos del importe y la identificación del envío, y explican cuándo recibirás la tarjeta, pero los ciberdelincuentes ya se habrán hecho con tus datos", apunta OSI.

Qué hacer si se ha caído en esta estafa

La Oficina de Seguridad del Internauta de INCIBE también explica las medidas que deben tomar los usuarios que hayan sido víctimas de este fraude, facilitando sus datos personales y/o bancarios.

  • Contactar con su entidad bancaria para explicar lo ocurrido y que procedan a cancelar el importe y bloquear la tarjeta utilizada en el pago. Además, pueden comprobar si su cuenta tiene asociado algún tipo de seguro antifraude.
  • Realizar capturas de pantalla del SMS y la web fraudulenta para poder adjuntarlas a una denuncia en caso de que sea necesario presentarla ante a las Fuerzas y Cuerpos de Seguridad del Estado. Presentar igualmente una copia de esta denuncia en su entidad bancaria para que tengan constancia de ello.
  • Durante los próximos meses, es recomendable tener un control mayor al habitual de los movimientos de la cuenta asociada a la tarjeta.
  • Al haber proporcionado datos personales y sensibles, también es aconsejable que los próximos meses se realice egosurfing, la práctica para conocer nuestra identidad digital y proteger nuestra privacidad.