¿Esperando un paquete? Ten cuidado que no te engañen con una falsa notificación de entrega

Durante estas semanas no es extraño que el volumen de paquetes entregados por empresas de logística sea elevado, ya que, tras las Navidades, llegan las rebajas, siendo uno de los periodos del año donde el comercio online realiza una importante facturación. Por ese motivo, no es tampoco extraño que lleguen a nuestros buzones de correo emails con la intención de confundirnos y tratar de obtener datos personales utilizando la conocida estrategia del paquete pendiente de entrega.

Un Paquete Express pendiente de entrega

Sabiendo que es habitual que muchos usuarios reciban paquetes a domicilio y más en estas fechas, no es extraño encontrarnos con correos que afirman tener una entrega pendiente de un supuesto pedido. En esta ocasión vemos como no se intenta suplantar directamente a una empresa de logística, aunque se haya usado una foto de stock de la empresa FedEx para darle más veracidad al mensaje.

El correo es directo y claro, y nos indica que hay un paquete pendiente de entrega que debemos reclamar, puesto que no se pudo entregar por no haber nadie en la dirección especificada cuando, supuestamente, pasó el repartidor. Si somos precavidos, revisaremos el historial de pedidos que tenemos pendientes y comprobaremos en las tiendas donde hayamos comprado si hay información relacionada con los envíos y las entregas.

Sin embargo, la mayoría de usuarios no toma tantas precauciones antes de pulsar sobre los enlaces que vienen en un correo de este tipo, y si tienen pendiente alguna entrega, lo más probable es que pulsen para comprobar cuál es su estado. Eso lo saben muy bien quienes preparan estas campañas y lo primero que hacen es preparar una web de bienvenida que muestra lo que muchos usuarios quieren ver.

Hay un mensaje pendiente de esta misteriosa empresa de logística que se identifica simplemente como “Express” y que usa la imagen y colores corporativos de FedEx. Todo correcto, ¿no? Pues por si hay algún usuario que empiece a sospechar en este punto, en la parte inferior de la web vemos un pie de página con información indicando que se trata de una encuesta independiente (¿no estábamos ante la entrega de un paquete?) y que la web que estamos visitando no está afiliada ni respaldada por las marcas registradas que se muestran en ella.

Esta información es muy interesante y nos debería hacer sospechar, puesto que es una manera de quitarse responsabilidades por parte de los creadores de esta campaña de correos, que si bien puede estar en una zona gris dentro del apartado legal, también puede causar problemas con sus tarjetas de crédito a aquellos que sigan los pasos indicados.

Siguiendo las instrucciones para recibir el paquete

Como ya hemos indicado, las empresas de mensajería son uno de los ganchos preferidos tanto por delincuentes como por empresas de dudosa reputación para atraer a usuarios incautos. Desde hace tiempo vemos cómo suplantan a empresas como DHL, TNT, GLS, FedEx o la propia Correos usando, por ejemplo, emails con adjuntos maliciosos o mensajes SMS que redirigen a webs de phishing diseñadas para robar datos personales.

En esta ocasión vemos como se nos solicita programar una entrega para el paquete que tenemos pendiente de recibir y que no pudo ser entregado anteriormente. Incluso se proporciona un falso número de seguimiento para hacer más creíble el engaño y conseguir que la víctima siga avanzando en el falso proceso de reclamación.

Tras este paso, se muestra una serie de ventanas donde primero se nos indica que la entrega del paquete está bloqueada en un centro de distribución y que podemos desbloquearla por solo 1,95€. También nos preguntan dónde queremos que se realice la entrega del paquete y el tiempo estimado de entrega, todo para seguir haciendo más creíble este proceso.

Una vez seguidos todos estos pasos llegamos al punto final y que realmente interesa a quien ha preparado esta campaña, y que no es otro que la obtención de nuestros datos personales, más concretamente, los de nuestra tarjeta de crédito. Huelga decir que estos datos no debemos entregarlos alegremente sin antes verificar que estamos ante un comercio o servicio que los gestionará adecuadamente.

Una vez obtenidos estos datos, los creadores de esta campaña pueden realizar compras a cargo de la tarjeta de crédito obtenida, venderla junto a otras en paquetes que se ofrecen entre grupos de delincuentes o suscribirnos a servicios que nos cargarán periódicamente una cantidad en nuestra cuenta sin que nosotros lo hayamos aceptado de forma explícita, por poner solo unos ejemplos.

Conclusión

Aunque este tipo de correos son fáciles de detectar aplicando un poco de sentido común, nunca debemos bajar la guardia, puesto que solo hace falta que nos distraigamos un momento para pulsar donde no debemos y proporcionar información personal que nos puede traer más de un quebradero de cabeza. Por eso es recomendable desconfiar de correos no solicitados aunque vengan con asuntos que parezcan importantes y contar con soluciones de seguridad que nos avisen cuando nos encontramos ante una posible suplantación de identidad.

Josep Albors

Estos son los principales riesgos de ciberseguridad asociados a la telemedicina