Este fin de semana, el Instituto Nacional de Ciberseguridad (INCIBE) ha alertado sobre una campaña de smishing que intenta suplantar a los 'Servicios Sociales' (sin indicar de qué administración), lo que aprovecha para solicitar a las víctimas que han recibido el SMS que les envíen tanto fotos de su Documento Nacional de Identidad (DNI) como una 'selfie'.
¿Qué es el 'smishing'?
El smishing, un término derivado de la combinación de "SMS" y "phishing", busca engañar a los usuarios convenciéndoles de que cedan datos privados sensibles pensando que el remitente es alguna entidad que inspire confianza: un banco, las fuerzas de seguridad, Hacienda o, como en este caso, una administración pública.
Normalmente, se aporta alguna supuesta razón por la que atender lo antes posible la petición del SMS sería positivo para la víctima: comprobar si alguien ha entrado en tu cuenta bancaria (irónicamente, sólo lo harán si caes en la trampa), evitar una multa, etc…
¿Cómo funciona esta estafa?
La estafa se desarrolla de la siguiente manera: los usuarios reciben un SMS en el que se les solicita enviar tres fotografías al supuesto correo electrónico de los Servicios Sociales. Estas imágenes deben incluir dos fotos del DNI (una de cada lado) y un selfie del rostro del individuo. La premisa es que estas fotos son necesarias para "confirmar su expediente".
El objetivo final de esta estafa es obtener información personal para llevar a cabo nuevas actividades ilícitas, como el robo de identidad u otros fraudes financieros; esto no sólo puede ayudar a que te sustraigan dinero, sino que en el futuro podrías aparecer tú mismo como responsable de algún otro intento de fraude involuntariamente, con los problemas legales que eso generaría.
No suena bien, ¿cómo puedo evitar caer?
En primer lugar, nunca contestes a algo si no tienes claro quién te lo manda y a qué se refiere. Hay distintas entidades públicas vinculadas a los 'servicios sociales': a nivel municipal, autonómico, nacional… así que, piensa…
¿Tienes algún expediente abierto en alguna de ellas? ¿No? Entonces, ¿por qué te has planteado ni tan siquiera responder al SMS?
Sin embargo, incluso si tu respuesta es positiva, hay un par de detalles que ponen en evidencia la falsedad de este mensaje en concreto.
- Los errores de redacción y ortografía presentes en el SMS son una clara señal de alerta; además, el tono del lenguaje cambia en un momento de formal a coloquial, lo cual es inusual en comunicaciones oficiales.
- Otra pista que delata que estamos ante una estafa es la dirección de correo electrónico proporcionada para el envío de las fotos. Las instituciones legítimas suelen tener dominios específicos para sus correos corporativos, y no dominios genéricos utilizados por los estafadores, como "gmail.com" o "hotmail.com".
Para prevenir caer no sólo en esta estafa, sino también en otras similares, los expertos en ciberseguridad aconsejan seguir algunas pautas:
- Confía en tu instinto: Si algo te parece sospechoso, es importante investigar más antes de actuar.
- Verifica la fuente: Comprueba la autenticidad de las notificaciones y solicitudes que recibes. Las entidades oficiales tienen canales de contacto claros y bien establecidos.
- Cuidado con los errores: Los mensajes con errores de redacción y ortografía suelen ser una señal de alerta.
- No compartas información personal por SMS o correo electrónico: Las entidades legítimas rara vez solicitarán información sensible por estos medios: para eso están las webs oficiales, las apps (también oficiales) o las oficinas.
- Mantente alerta: Revisa siempre los dominios del correo electrónico y de los enlaces que te remitan para asegurarte de que coinciden con los genuinos.
Ya he caído en el timo, ¿qué hago?
En caso de haber recibido este SMS, es fundamental tomar medidas rápidas: si no se ha compartido la información solicitada, bloquea al remitente y borra el mensaje…
… pero si la información personal ya se ha enviado, se recomienda guardar todas las pruebas posibles y presentar una denuncia ante las autoridades correspondientes. Además, notificárselo al INCIBE y realizar egosurfing (es decir, buscarte a ti mismo en la red) durante los próximos meses puede ayudarte a mitigar los posibles daños.
Vía | INCIBE
En Genbeta | 26 trámites con la administración que puedes hacer por internet sin moverte de casa