Ciberdelincuentes utilizan a la Agencia Tributaria y la Seguridad Social en medio de la crisis económica producida por el Covid-19, cuando abundan los expedientes temporales de regulación de empleo y las reducciones de jornada, para obtener información personal y bancaria por el método “phising”.
A través de esta estafa, los ciberdelincuentes suplantan entidades legítimas como puede ser un banco, una red social, un servicio o una entidad pública para que realicen alguna acción en la que van a poner en peligro sus datos. Fuentes de la Policía Nacional de Ciudad Real confirman que “es habitual la suplantación de entidades financieras y las estafas a través de compras online”.
Otra estafa parecida es el “spoofing”, de la que informó la semana pasada la Policía Nacional a través de su cuenta de Twitter a nivel nacional. En este caso, los ‘hackers’ falsifican la dirección de correo electrónico o la URL de una organización para hacerse pasar por ella, de manera que el receptor piense que la comunicación es legítima.
El timo
Esta misma semana, un empresario ha hecho llegar a la redacción de Lanza un correo electrónico que dice ser “una notificación oficial” sobre una investigación realizada por la Inspección de Trabajo y la Seguridad Social.
En concreto, la notificación, que incluye un enlace a la página web del Ministerio de Trabajo, Migraciones y Seguridad Social que no existe, advierte que ha recibido una “queja” por “la incapacidad de su empresa para adaptarse y respetar las legislaciones vigentes en este periodo”.
Esta misma notificación, apunta que de no regular la situación la empresa podrá recibir posibles sanciones “que pueden incluir la suspensión de la actividad”. Con este tipo de mensajes, donde amenazan a particulares con inspecciones, los ciberdelincuentes reclaman pagos o solicitan datos para realizar supuestas devoluciones.
Ninguna denuncia por “phising” que implique a la Agencia Tributaria en Ciudad Real
Fuentes de la Policía Nacional confirman que durante la crisis del Covid no ha habido ningún caso de “phishing” que implique a la Agencia Tributaria en Ciudad Real, aunque afirman que existen “muchos delitos relacionados con las nuevas tecnologías, muchas pequeñas estafas”.
La suplantación de entidades financieras es la más habitual. Así pues, los hackers piden el número de cuenta a la persona que recibe el mensaje o captan a personas para que abran cuentas ficticias.
Otra de las estafas en red más habituales son las “estafas de compras online”, en las que los compradores no reciben sus productos. Ocurre con las compras en páginas de internet desconocidas, pero también con otras que parecen seguras.
Desde la declaración del estado de alarma, “el número de estafas cibernéticas ha sido similar, no ha aumentado”, incluso han disminuido los timos de compras online porque la gente ha comprado menos por internet.
Trucos para detectar el “phishing”
Frente al “phishing”, la Oficina de Seguridad del Internauta da una serie de recomendaciones para no caer en las redes de la ciberdelincuencia. El primer paso para identificarlo es valorar el contenido del mensaje. Siempre el objetivo es “asustar” al usuario y utilizan una excusa, como, por ejemplo, “problemas técnicos o de seguridad” para solicitar datos del usuario, claves o acceso a las cuentas.
La OSI anima a ser precavido con mensajes “alarmistas o extraños” de servicios conocidos, como Dropbox, Facebook, Google Drive, Apple ID, Correos y Telégrafos o la Agencia Tributaria. Propone aplicar la ecuación: “solicitud de datos bancarios + datos personales = fraude”.
¿La escritura es correcta? Es otra de las preguntas que el receptor del mensaje tiene que responder. La OSI advierte que “los delincuentes que realizan las campañas de estafa, en ocasiones son extranjeros”, y por lo tanto introducen errores gramaticales al traducir sus mensajes en español. Así, pueden aparecer enes en lugar de eñes, ausencia de tildes o artículos como “el” o “la” intercambiados.
Si el delincuente quiere estafar a cientos de miles de personas, el mensaje no incluirá el nombre del receptor y utilizará fórmulas genéricas como “Estimado cliente”. Además, hay que sospechar si el remitente es una dirección de correo que no pertenece a la entidad.
“Si el mensaje te obliga a tomar una decisión de manera inminente o en unas pocas horas, es mala señal”, apuntan. Para comprobar si la urgencia es real, es bueno contactar con otras fuentes de información de confianza, como la Policía Nacional o la Guardia Civil.
Además, hay que tener cuidado con los enlaces fraudulentos, que llevan a páginas estéticamente iguales o parecidas, pero que no son la oficial. Para saber si es la verdadera dirección hay que situar el puntero encima del enlace y observar la verdadera dirección. Después hay que comprobar si corresponde con la URL del servicio legítimo.