Hace menos de una semana en Escudo Digital informamos de las campañas de SMS maliciosos que están circulando actualmente en todo el mundo, según reveló una investigación de Bitdefender que también ponía en el punto de mira las de España, advirtiendo que suplantan a la Agencia Tributaria y a Correos.
No obstante, estas no son las únicas campañas de smishing que se están propagando últimamente por nuestro país. Así lo señala el último aviso que ha lanzado la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) para alertar que los ciberdelincuentes también se están haciendo pasar por la Seguridad Social en SMS fraudulentos que tienen el objetivo de estafar a los usuarios.
⚠️ #OSIaviso | No pagues por renovar tu tarjeta sanitaria, es un #smishing que suplanta a la #SeguridadSocial @inclusiongob. #AvisosDeSeguridad
— OSI Seguridad (@osiseguridad) December 20, 2022
👉 Más info: https://t.co/jT1VdffsPc
Si dudas, Tu Ayuda en #Ciberseguridad de @INCIBE: https://t.co/tepfiZVwwC pic.twitter.com/itdbHJqnFQ
Así es esta nueva campaña de 'smishing'
Según indica OSI, este fraude comienza con un SMS que simula proceder de la Seguridad Social y comunica a sus potenciales víctimas que sus tarjetas sanitarias han sido suspendidas y tienen que solicitar una nueva para seguir beneficiándose de la cobertura habitual, pudiendo pedirla a través de un enlace adjunto al mensaje.
Si el usuario pulsa en el enlace, será redirigido a una web que simula ser del Ministerio de Empleo y Seguridad Social y en la que aparece un formulario que deben rellenar introduciendo su nombre, apellido, fecha de nacimiento y correo electrónico. Tras rellenar estos datos y hacer clic en confirmar, se pasa a un nuevo formulario en el que se solicita una dirección, código postal y número de teléfono.
Una vez se ha completado y se ha pulsado en confirmar, se muestran las dos opciones de envío de la nueva tarjeta sanitaria –Correos o DHL– y se solicita que se abone una cantidad inferior a 4 euros para pagar este servicio de transporte. Para proceder al pago, se solicita completar un tercer formulario con los datos de la tarjeta bancaria. Concretamente, el titular, el número de la tarjeta, la fecha de caducidad y el código de seguridad CVV.
Una vez se confirma el pago, queda en carga la web autenticando el proceso. A continuación, aparece otro formulario que dice enlazar por Apple Pay, en el que se pide un código que se ha enviado al dispositivo móvil de la víctima a través de un SMS.
"Tras esto, aparecerá una ventana, en la cual te confirman que el pago ha sido validado, te dan los datos del importe y la identificación del envío, y explican cuándo recibirás la tarjeta, pero los ciberdelincuentes ya se habrán hecho con tus datos", apunta OSI.
Qué hacer si se ha caído en esta estafa
La Oficina de Seguridad del Internauta de INCIBE también explica las medidas que deben tomar los usuarios que hayan sido víctimas de este fraude, facilitando sus datos personales y/o bancarios.
- Contactar con su entidad bancaria para explicar lo ocurrido y que procedan a cancelar el importe y bloquear la tarjeta utilizada en el pago. Además, pueden comprobar si su cuenta tiene asociado algún tipo de seguro antifraude.
- Realizar capturas de pantalla del SMS y la web fraudulenta para poder adjuntarlas a una denuncia en caso de que sea necesario presentarla ante a las Fuerzas y Cuerpos de Seguridad del Estado. Presentar igualmente una copia de esta denuncia en su entidad bancaria para que tengan constancia de ello.
- Durante los próximos meses, es recomendable tener un control mayor al habitual de los movimientos de la cuenta asociada a la tarjeta.
- Al haber proporcionado datos personales y sensibles, también es aconsejable que los próximos meses se realice egosurfing, la práctica para conocer nuestra identidad digital y proteger nuestra privacidad.