La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) ha lanzado un aviso para advertir que últimamente está circulando una campaña de SMS fraudulentos que suplanta a la Seguridad Social con el objetivo de robar los datos personales de sus víctimas. Se trata, por tanto, de un ataque que utiliza la técnica conocida como smishing, basada en el envío masivo de SMS o mensajes de WhatsApp y similar al phishing y al vishing.
Las claves de esta campaña de smishing
En el caso de esta nueva campaña, los mensajes indican a los usuarios que su tarjeta sanitaria necesita ser actualizada y que para ello deben acceder al enlace que se adjunta, explica OSI, que también aporta unas capturas de dos SMS utilizados en esta campaña. En ellas, se observa que uno de ellos contiene algunos errores ortográficos, lo que es una clara señal de que no son legítimos, y que dictan lo siguiente:
"SEGURIDAD SOCIAL: Tu tarjeta sanitaria requiere una actualizacion. Actualizala para mantener tus servicios: [URL fraudulenta]".
"Seguridad Social: Su nueva tarjeta sanitaria está disponible. Para seguir beneficiándose de sus derechos realice su solicitud a través de: [URL fraudulenta]".
OSI no específica si el enlace es el mismo en ambos mensajes, pero advierte que si se pulsa en la URL ésta redirigirá a los usuarios a una web maliciosa en la que se les solicitará que rellenen un formulario proporcionando la siguiente información: nombre, apellido, fecha de nacimiento y correo electrónico. La Oficina de Seguridad del Internauta del INCIBE también aporta una captura de esta web maliciosa, encabezada por el logotipo del Ministerio de Empleo y Seguridad Social del Gobierno de España.
"Una vez introducida dicha información, el ciberdelincuente tendrá a su disposición dichos datos. Estos datos puede ser utilizados cara cometer futuros ataques dirigidos a personas concretas y de esta forma engañar fácilmente a la víctima", alerta OSI, y añade:
"No se descarta que existan otras campañas similares también a través de correos electrónicos solicitando la misma información".
La Guardia Civil también ha dado la voz de alarma sobre este ataque de smishing compartiendo esta publicación en su cuenta de Twitter.
⚠️ #AVISO ‼️ Detectada campaña de #smishing suplantando a la Seguridad Social. Solicitan actualizar la tarjeta sanitaria a traves de un enlace. #NoPiques el formulario pide datos personales para robarlos y utilizarlos de forma fraudulenta.https://t.co/TnyQo3JcdR pic.twitter.com/tpfjA7j7WH
— Guardia Civil (@guardiacivil) May 2, 2023
Qué hacer si se es víctima de esta campaña
Esta no es la primera vez que los ciberdelincuentes suplantan la identidad de la Seguridad Social para poner en marcha este tipo de ataques. De hecho, hace menos de menos de cinco meses la OSI también alertó de una campaña de smishing muy similar a la que se está difundiendo ahora pero que, además de tener como objetivo robar los datos personales de los usuarios, también trataba de conseguir sus datos bancarios. En Escudo Digital informamos al respecto e indicamos las medidas que insta a tomar OSI si se es víctima de este tipo de campañas.
