Una nueva oleada de ataques de 'phishing' que suplantan a la Seguridad Social está robando los datos de la tarjeta de crédito de los internautas bajo la promesa de una falsa devolución de impuestos. Así lo denuncia la compañía de ciberseguridad Panda Security, que explica que el timo se produce por medio de un correo electrónico con el asunto 'Devolución Seguridad Social'.
Los ciberdelincuentes instan a sus víctimas a obtener 345,76 euros supuestamente mal cobrados de un impuesto, con la falsa referencia ES-A80105W. Para obtener la devolución, les invitan a acceder a un enlace que conduce a un sitio web que simula con precisión la identidad corporativa de la Seguridad Social. El éxito de esta maniobra de ciberataque reside en gran medida en que es una llamada a la acción basada en la urgencia, porque el enlace tiene una fecha de caducidad muy cercana, haciendo bajar la guardia a los usuarios.
"Esa pequeña fracción de tiempo es la única que necesitan los 'hackers' para robar de nuestra cuenta corriente y, probablemente, para hacerse con nuestros datos de acceso", advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security. La compañía de ciberseguridad ha recordado que la página web real de la Seguridad Social es seg-social.es, mientras que la utilizada por los hackers apunta a un dominio que termina en '.gob.es'.
Otra forma de diferenciar este enlace es que el correo llama 'clientes' a los ciudadanos y que la web a la que enlazan los ciberdelincuentes cuenta con el protocolo 'https', que está visible al inicio del enlace, mientras que paradójicamente, la web real de la Seguridad Social no tiene certificado de seguridad SSL.
Las estafas del tipo 'phishing' han aumentado mucho durante el confinamiento. Los delincuentes, suplantando la identidad de marcas, bancos y organismos oficiales, hacen un reenvío masivo de correos en busca de víctimas que crean el mensaje. La mayoría funcionan igual. La víctima recibe una comunicación, por ejemplo un e-mail o un SMS, de un remitente supuestamente oficial que le invita a pinchar sobre un enlace. Dicho link apunta, aparentemente, a la página web de la compañía, aunque en realidad se trata de una copia.
Una vez en la web, el objetivo es que la víctima introduzca sus datos, normalmente financieros, o realice algún pago. Si caemos en la trampa, lo más probable es que perdamos dinero o nos suplanten la identidad. Para no caer en la trampa lo más recomendable es no dar nunca nuestros datos, ni personales ni bancarios, en un enlace que nos remitan por correo.
También es importante detectar el tono del mensaje. Si el contenido es alarmista e inesperado y nos insta a llevar a cabo una acción, por ejemplo introducir nuestros datos bancarios en una web so pena de que nuestras cuentas queden bloqueadas, es phishing. Y también hay que prestar atención a la forma en la que está escrito el mensaje. Si parece una mala traducción y está repleto de errores sintácticos y ortográficos, es phishing. No olvidemos que una comunicación oficial de una compañía reconocida como un banco estará cuidada.