El Instituto Nacional de Ciberseguridad (INCIBE) ha lanzado un nuevo aviso a la ciudadanía para alertar sobre una nueva campaña de SMS fraudulentos (smishing) en los que se presentan supuestos códigos de verificación suplantando la identidad del servicio financiero Oney.
"En estos mensajes, se informa al usuario sobre un código de verificación para confirmar su número de teléfono móvil, remitiéndole a un enlace para 'más información' en caso de no poder responder al código", indica el INCIBE en su aviso, calificado de alta importancia (nivel 4 sobre 5) y en el que aporta las siguientes capturas de dos SMS que han sido reportados por usuarios afectados.
Según el INCIBE, por el momento se desconoce el objetivo de esta campaña de smishing, "pudiendo tratarse de una mala gestión de los datos personales de alguna de las bases de datos propiedad de los colaboradores de esta empresa, según lo observado por varios usuarios afectados". No obstante, apunta que todo parece indicar que el propósito de los ciberdelincuentes es recopilar datos personales y, potencialmente, obtener acceso a información confidencial de los usuarios.
Además, destaca que en los mensajes no se han detectado enlaces que redirijan a sitios externos al oficial de Oney solicitando la realización de alguna acción adicional como la introducción de credenciales, por lo que podría tratarse de un intento de fraude más elaborado.
Cómo actuar frente a esta campaña de smishing
En su aviso, el INCIBE también explica qué se debe hacer tanto si se es objetivo de esta campaña como si se ha caído en la trampa.
En caso de que se reciba el SMS, pero no se haya accedido al enlace, aconseja bloquear al remitente, eliminar el mensaje de la bandeja de entrada y reportarlo "de inmediato" a su buzón de incidentes.
Por otro lado, si se ha accedido al enlace y se han facilitado datos personales y/o bancarios, el INCIBE recomienda seguir los siguientes pasos:
- Reúne todas las evidencias que puedas durante el proceso fraudulento.
- Realiza periódicamente la práctica de egosurfing para comprobar si se ha filtrado la información que has facilitado a los responsables de esta campaña.
- Contacta con la Línea de Ayuda en Ciberseguridad de INCIBE para informar sobre el fraude y recibir asesoramiento sobre el plan de actuación.
- Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado aportando todas las pruebas previamente recopiladas.
- Si tienes dudas sobre la autenticidad de un SMS recibido, verifica la información en la página web oficial de Oney o contacta con ellos directamente en su perfil de X, asegurándote de contrastar todas las notificaciones por SMS u otros medios a través de fuentes oficiales.