“Reclama tu devolución de 431,78 euros”: si pinchas en este mensaje, pierdes tu dinero
Las técnicas de ingeniería social que usan los ciberdelincuentes siguen evolucionando. Suplantan todo tipo de organismos y entidades para tener más opciones de confundir a sus víctimas y que estas caigan en la trampa.
Se ha detectado en esta ocasión una nueva campaña de smishing que promete un reembolso en tus impuestos, pero lo que acabará haciendo es vaciar tus cuentas corrientes.
Alerta por nueva campaña de smishing
En esta ocasión, el timo comienza con la recepción de un mensaje SMS el que presumiblemente se puede reclamar el reembolso anual de los impuestos 2022-2023 en una supuesta página del Gobierno. Los formatos que se han reportado suelen ser del tipo «Aún no ha recibido el reembolso anual de impuesto para las fechas 2022-2023, reclame su devolución de 431,78 euros a través del enlace facilitado». Cabe destacar que se envía desde un número de teléfono particular, sin identificación oficial.
En caso de hacer clic en dicho enlace, nos lleva a una página web en la que se suplanta a La Moncloa y posteriormente da a elegir entre diferentes bancos como Bankia, CaixaBank, BBVA y Santander para tramitar dicho reembolso de impuestos.
Evidentemente, estamos ante un caso más de smishing, un tipo de ingeniería social en la que los ciberdelincuentes alcanzan a sus víctimas mediante el envío de un SMS que suplanta a otras entidades u organismos.
Como podemos ver, en la página web de Moncloa no se nos permite una correcta navegación, sino que solamente se permite interactuar con la ventana emergente. En esta, alarma a la víctima indicándole que ya se han enviado dos correos de esta notificación, pero no se ha recibido respuesta y, por ello, le piden que complete el procedimiento de reembolso inmediatamente. Si no se realiza este proceso, el reembolso caducará.
Crear sensación de urgencia es una de las tácticas más frecuentes en estas estafas de ingeniería social, pues se consigue que la víctima baje la guardia y sea más vulnerable de cara a la estafa en curso. Es por eso que conocer cómo operan estos ciberdelincuentes te puede ayudar a prevenir caer en estos delitos telemáticos.
Las URLs a las que se redirige al pulsar sobre las imágenes de las entidades bancarias no varía mucho del enlace de la web principal. Todos se encuentran en el mismo dominio, un indicativo de que no se trata del enlace oficial de la entidad bancaria. Si se sigue el proceso, solicitará las credenciales de la cuenta y se mantiene en un proceso de carga que nunca finaliza, otra señal más de que ya se han hecho con lo que querían: los datos de tu cuenta bancaria.
Cómo reportar estas suplantaciones
Este caso de smishing, que ha sido comunicado por la Oficina de Seguridad del Internauta (OSI), debe ser reportado cuanto antes a las entidades financieras afectadas. Si recibes un mensaje del estilo del que hemos compartido más arriba, comunícate con tu banco cuanto antes.
- BBVA: contacta con la entidad para informar del incidente o consultar dudas y revisa su portal de información.
- Santander: reporta el incidente e infórmate a través de su portal de información.
- Bankia y CaixaBank: Ponte en contacto con atención al cliente y revisa el portal de información para mantenerte informado.