La Oficina de Seguridad del Internauta (OSI) ha detectado una campaña de envío de correos electrónicos falsos que suplantan la identidad de la Seguridad Social. Con la excusa de recibir un supuesto reembolso, redirigen a la víctima a una página falsa (phishing) simulando ser la legítima de la Seguridad Social, donde hacerse con los datos de su tarjeta de crédito.
En estos casos que se supone que las personas reciben un mensaje de la Tesorería General de la Seguridad Social, donde se les solicita ingresar datos personales para poder acceder al supuesto reembolso. Pero se trata de un caso claro de phishing.
El Instituto Nacional de Ciberseguridad (INCIBE) y el Instituto Nacional de la Seguridad Social (INSS) han detectado varias estafas de este tipo, que utilizan el reembolso como una estrategia para hacerse con los datos de las tarjetas de crédito.
El dominio del enlace no se corresponde con la web oficial de la Seguridad Social
El mensaje que reciben los usuarios nos dice que vamos a recibir un reembolso de la Seguridad Social, pero es falso. Para acceder a este supuesto reembolso, añade un enlace en el que tenemos que hacer click: "https://t.co/sDY...". Sin embargo, este dominio no coincide con el oficial de la Seguridad Social, que es: " https://www.seg-social.es/wps/portal/wss/internet/Inicio ".
Al hacer click, nos pide introducir nuestro nombre y nuestro DNI. Una vez completado este paso, nos redirige a otra pantalla, en la que directamente nos pedirá introducir nuestro número de tarjeta de crédito. Así es como los ciberdelincuentes se hacen con nuestros datos bancarios.
La Agencia Tributaria no te pedirá introducir información bancaria a través de un SMS o correo electrónico con la excusa de un reembolso
En la web de la revista de la Seguridad Social, podemos encontrar un apartado donde se informa sobre este tipo de prácticas y se recomienda el uso de canales oficiales para consultas y trámites administrativos. Como bien aclara la web de la Seguridad Social, este tipo de estafas simulan proceder de empresas o administraciones y ofrecen enlaces imitando sus direcciones web. Es aconsejable tener cuidado ya que los y las ciberdelincuentes van modificando sus técnicas cada vez utilizan métodos más avanzados.
En cualquier caso, es importante remarcar que la Seguridad Social nunca solicita por SMS o correo electrónico información personal y/o bancaria. En la página web de la revista oficial de la Seguridad Social aparecen diferentes ejemplos de intentos de phishing que ha detectado el INCIBE.
¿Cómo podemos evitar ser victimas de casos de 'phishing'?
A continuación ofrecemos una serie de propuestas por si te encuentras en esta situación :
- Presta atención a la dirección del correo electrónico, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para asegurarte, recomendamos fíjarse en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- Contrasta con las fuentes antes de dar tus datos o pulsar un enlace.
Recuerda que siempre puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE), preguntar a la propia compañía y/o administración, a la Policía o a la Guardia Civil.