Después de que en los últimos días hayamos advertido sobre los dos casos de smishing que están circulando últimamente y suplantan la identidad de la Agencia Tributaria y de la Dirección General de Tráfico (DGT), el Instituto Nacional de Ciberseguridad (INCIBE) ha alertado de que los ciberdelincuentes también se están haciendo pasar por su entidad en otra campaña maliciosa que tiene el objetivo de robar datos personales.
Cómo funciona esta campaña que suplanta a INCIBE
En este caso, la campaña combina las técnicas de vishing y phishing, en este orden. Es decir, todo comienza con una llamada telefónica que, tal y como explica INCIBE, proviene de un teléfono móvil español y los ciberdelincuentes se hacen pasar por un bufete de abogados que supuestamente representa a su organismo para informar a sus destinatarios de que han sido víctimas de una presunta estafa. Con este pretexto, el falso representante de INCIBE engaña al usuario para que le facilite su dirección de correo electrónico y así continuar con el fraude.
Es en este momento cuando la campaña utiliza el método del phishing a través del envío de un correo electrónico que sigue la misma línea de la llamada. Dicho e-mail simula proceder de una oficina legal que trabaja para INCIBE e incita a los usuarios a proporcionar toda la información posible sobre el presunto fraude del que han sido víctimas con el fin de facilitarle soluciones legales y devolverles la suma de dinero que supuestamente les han retirado de sus cuentas bancarias.
⚠️ #INCIBEaviso | Si te llaman por teléfono o recibes un correo de un bufete de abogados representando a @INCIBE, no facilites tus datos personales, es un #fraude. Contrasta la información. #AvisosDeSeguridad #NextGenerationEU https://t.co/2EmtZfM5tf pic.twitter.com/V2A2h7ksSB
— Oficina de Seguridad del Internauta (@osiseguridad) October 4, 2023
En cuanto a este correo, INCIBE también recalca que su redacción es bastante deficiente, lo que podría deberse a que ha sido traducido literalmente de otro idioma, y que la dirección desde la que se envía aparentemente no ha sido reportada como maliciosa pero que, si se observa con detalle, se puede apreciar que no pertenece a INCIBE, sino a una página que se dedica a facilitar correos privados a usuarios.
"Por tanto, los datos que se envíen a este correo llegarán a la cuenta un usuario que no pertenece a la entidad suplantada, es decir a INCIBE. Por este motivo, una vez la víctima envíe los datos al supuesto correo, estos quedarán en posesión del ciberdelincuente y podrá utilizarlos para cometer otro tipo de ciberdelitos en nombre de la víctima", advierte el Instituto Nacional de Ciberseguridad.
Qué hacer si se es objetivo de esta campaña maliciosa. Y si se ha caído en la trampa
En el caso de haber recibido una llamada con las características mencionadas y no haber proporcionado ni la dirección de correo electrónico ni ninguna otra información, INCIBE insta a los usuarios a bloquear el número de teléfono.
Por otro lado, si se ha atendido la llamada, se ha facilitado la dirección de e-mail y se ha recibido el correo electrónico fraudulento pero no se ha respondido, indica que lo que se debe hacer es marcarlo como correo no deseado o spam y eliminarlo de la bandeja.
En el caso de haber proporcionado tanto la dirección de correo en la llamada, como los datos solicitados respondiendo al mismo, INCIBE señala que se deben seguir las siguientes pautas:
- Ponerse en contacto con el servicio 'Tu Ayuda en Ciberseguridad' de INCIBE a través del 017 o el resto de canales de contacto para informarles de lo ocurrido y que puedan facilitarte su ayuda.
- Recabar todas las evidencias posibles (registros de llamadas, correo electrónico, etc.) para denunciar el ataque ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). Puedes usar testigos online para certificar estas pruebas.
- En los próximos meses, permanecer atento y revisar periódicamente la información que hay publicada sobre ti en Internet para comprobar que no se esté haciendo un uso indebido de la misma. Esta práctica se conoce como egosurfing y si se detecta que hay información privada y se quiere solicitar su retirada, se puede recurrir al derecho al olvido.
- Mantenerse alerta y desconfiar de cualquier llamada o correo electrónico sospechoso. Contrastar siempre la información de cualquier notificación.
- Para otras campañas que impliquen que se hayan facilitado datos bancarios, INCIBE aconseja revisar frecuentemente los movimientos de la cuenta para impedir que se realicen cargos no autorizados. Si esto sucediese, apunta que lo más conveniente es ponerse en contacto con la entidad bancaria para informarles y así tomar las medidas necesarias.
Cómo protegerse de los ataques de ingeniería social
Finalmente, INCIBE recomienda seguir los siguientes consejos para prevenir ser víctima de este tipo de campañas maliciosas:
- Si recibes una llamada sospechosa, cuelga y confirma llamando al número oficial de la entidad que dice ser.
- No contestes a correos electrónicos sin contrastar la legitimidad del remitente.
- Ten precaución al seguir enlaces, aunque sean de contactos conocidos.