La Seguridad Social ha advertido en sus redes sociales de un fraude por carta que se hace pasar por la entidad para estafar a los ciudadanos. En este documento, que incluye el logo de la Tesorería General, se solicitan datos bancarios a quienes lo reciben bajo el pretexto de una pérdida de información derivada, precisamente, de un ataque informático.
La misiva también hace alusión a una subida de las prestaciones que funciona como cebo para este anzuelo que, según advierten los expertos, no es el único caso de phishingaplicado a un formato físico. También explican que para detectar estos engaños se pueden utilizar las mismas técnicas que en el caso de los correos electrónicos fraudulentos.
Así, la carta pide que se envíen a una dirección de correo electrónico imágenes del DNI e información bancaria. Esto ya es de por sí un botín para el criminal, pero, además, abre una ventana de comunicación con la víctima -que cree que está hablando con la Administración- en la que se pueden conseguir otros datos o incluso el envío de dinero.
"Está hecho exactamente como un phishing", advierte Hervé Lambert, responsable de operaciones de consumo de Panda Security. Y cree que se trata de un "envío masivo" bastante bien pensado. "Mi madre estoy seguro de que hubiera caído", reconoce. Es más, considera que él mismo podría haber tenido sus dudas, aunque la ausencia de un teléfono o dirección física de contacto, unida a una dirección de correo que no tenía el dominio del Ministerio, sino de un tercero (Outlook, en este caso), terminó de disparar sus alarmas.
Salirse del circuito digital tiene, en cierto modo, sus ventajas para los estafadores, según este experto. Por un lado, una carta tiene un halo de oficialidad que el email no siempre consigue. Además, la población está más acostumbrada a desconfiar de las comunicaciones electrónicas y en caso de duda es más sencillo reenviarlas a una persona con más conocimientos que pueda detectar el engaño.
"O el tío ha sido superavispado y ha probado y le ha salido bien o detrás hay un estudio estructurado", explica Lambert. "Parece que el cibercriminal últimamente piensa mucho y busca las formas de conseguir un retorno mayor", continúa. Y el retorno no es necesariamente monetario, al menos de forma inmediata, sino que también puede ser la obtención de datos bancarios.
CÓMO DETECTAR UN TIMO
Lambert advierte que estamos en un momento "bastante complejo" en este ámbito porque los atacantes "hacen cosas que despiertan el interés de la gente en cuanto a respuesta". En este caso se ocultan tras una comunicación aparentemente oficial que, por un lado, solicita información para un organismo que debería tenerla y, por otro, alude a unas prestaciones -habla de la jubilación- que preocupan a los ciudadanos.
"Hay que cultivar la cultura un poco paranoica", resume el experto. Así, recomienda "verificar dos veces todos los pasos que damos" y leer en más de una ocasión estos correos en busca de faltas de ortografía o incoherencias.
"Normalmente las hojas tienen un formato un poco más profesional", explica, "pero eso lo vemos si nos paramos, respiramos y pensamos esas cosas". El membrete, por ejemplo, debería incluir una dirección física y un teléfono de contacto al que llamar en caso de duda. "Tenemos que pararnos, leer dos o tres veces la carta y buscar faltas de ortografía o cosas que nos llamen mucho la atención, como el dominio del email, y, sobre todo, no correr", añade.
"Nadie en un ministerio utiliza una dirección de correo de Outlook; el dominio es clave", añade Lambert. En este sentido, conviene recordar que los organismos oficiales están alojados en dominios .gob.es y nunca recurren a otros proveedores de servicios para el correo. Asimismo, "habría que mirar el sobre" y ver qué tipo de franqueo se ha utilizado y considerar que la Seguridad Social nunca va a mandar una carta pidiendo unos datos por correo electrónico. Ante cualquier duda, siempre conviene acudir presencialmente o llamar por teléfono a los números oficiales de atención al ciudadano.
[FUENTE DE LA NOTICIA DIARIO EL MUNDO.ES]
