Cada vez hay que poner más atención en todo lo que nos llega a los buzones, ya sea el de correo como el de los mensajes de texto: las estafas están a la orden del día. Y son cada vez mejores, incluso mirando con lupa parecen auténticas. Es el caso de uno de los últimos SMS de phising que me ha llegado al móvil: la web de Correos parece tan real que es muy fácil caer en la trampa.
No es la primera vez que recibo intentos de estafa por SMS, es habitual que a mi móvil lleguen desde alertas con paquetes que se encuentran en entrega y necesito pagar para recibirlos a supuestos mensajes de mi banco que me piden recuperar la clave introduciendo mis datos actuales. Como ya debería ser obvio, todo este phising mantiene una mecánica en la que una empresa real no entraría: jamás van a pedir ni claves personales ni dinero. A pesar de ello, incluso poniendo todos sentidos es fácil caer: las estafas están tan elaboradas que no se diferencian de las comunicaciones legales.
Una web de Correos calcada de la original
SMS falso de Correos con el número auténtico de Correos
Cada vez que recibo algún SMS sospechoso de estafa suelo abrir con cuidado las direcciones web para investigar desde la mecánica a la habilidad suplantando los sites auténticos. En cuestión de remitentes, el phising logra imitar los números fidedignos: he recibido cadenas de estafa bajo el teléfono de mi propio banco. Y lo mismo ocurre con las webs que actúan a modo de página de aterrizaje: como me demostró el SMS reciente del falso Correos, cuesta mucho distinguir la imitación de lo auténtico.
Todas las estafas de phising a través de SMS se sirven de un mecanismo de alerta para atraer la atención del usuario y que así pulse sobre el enlace del mensaje, otro elemento habitual. En el caso de la estafa reciente de Correos ocurre justo eso: el típico aviso de que hay un paquete pendiente de recoger con un enlace a la supuesta página de seguimiento.
Cuando abrí el enlace dudé. El grafismo de la página era idéntico al de Correos, todos los gráficos presentaban buena calidad, el estilo era el mismo y hasta los textos estaban bien elegidos y sin faltas de ortografía. Para colmo, la URL era muy similar a una auténtica de Correos, otro detalle que siempre conviene revisar para descartar el phising. En resumen: era demasiado fácil tomar el SMS como auténtico.
Le seguí el juego a la web introduciendo datos falsos en los formularios y siguiendo el proceso hasta que le quité la máscara a la estafa: me pidió que introdujera los datos de mi tarjeta para hacer un supuesto pago para recibir el paquete. Incluso esa pantalla parecía auténtica; por más que ni Correos ni ninguna otra empresa de transporte va a pedir nunca datos de pago para un envío que está pendiente.
Mismo diseño que la web original, URL muy parecida y sin faltas de ortografía. Da el pego
Esta estafa de Correos es susceptible de seguirse replicando cambiando las URLs y el texto de los SMS, por lo que hay que tener mucho cuidado y estar atentos. No sólo a nuestros teléfonos, especialmente a los de aquellas personas que nos rodean y que tienen menor relación con la tecnología: como he podido comprobar en mis carnes, resulta demasiado fácil caer en las redes de los estafadores.
Los consejos para evitar las estafas parecen obvios, pero conviene recordarlos
En mi caso, coincidió que estaba esperando un paquete, por lo que el mensaje captó mi atención y, pese a que siempre extremo las precauciones en todo lo que me llega, accedí a la supuesta web de Correos. Por eso hay que poner en duda todo lo que aparezca por la bandeja de SMS y correo electrónico: los estafadores se aprovechan de la curiosidad y de la impaciencia para captar el dinero. Y puede ser mucho: con los datos de la tarjeta pueden provocar un buen agujero en la cuenta bancaria.
Los siguientes consejos son los más obvios, pero nunca está de más echarles un buen repaso. Nuestra integridad económica y privacidad depende de ellos.
- Nunca te fíes de los SMS y correos que te lleguen, incluso aunque los recibas de remitentes auténticos. Es demasiado fácil falsear los números y las direcciones, ponlo todo en duda.
- Jamás te descargues nada. Ningún banco o empresa de transporte te hará descargarte una aplicación. Esto atañe especialmente a Android: nunca instales ningún archivo APK.
- Jamás de los jamases introduzcas tus credenciales de acceso en un enlace que recibas por SMS o email. Si es una verdadera comunicación bancaria accede directamente a la app de tu banco para comprobar si el aviso es auténtico.
- No debes pagar nunca nada, aunque te digan que es la única manera de resolver el problema. Ningún banco o empresa de transporte te mandará un enlace para que pagues directamente desde esa página: es una estafa seguro.
- Ante la más mínima duda ignora el mensaje. Las comunicaciones que recibas en tu móvil nunca serán un ultimátum, las empresas siempre contactarán por otras vías si verdaderamente urge; ya sea mediante una llamada telefónica o por carta postal con acuse de recibo. El mejor arma ante cualquier estafa es ignorar todos esos mensajes aunque intenten crearte alarma.
Imagen | Midjourney editado
En Xataka Móvil | Cómo evitar las estafas por SMS: guía para detectarlas y no caer en una
Ver 2 comentarios