Ya sea porque algunas personas están esperando recibir la documentación para poder votar por correo y poder irse de vacaciones o bien porque aprovecharon los descuentos del Prime Day de hace unos días y están a punto de recibir sus compras, no son pocos los que están a la espera de recibir algún tipo de información de estos envíos. Esto lo saben bien los delincuentes, quienes aprovechan esta circunstancia para lanzar, de nuevo, una campaña suplantando a la empresa estatal de Correos y tratar así de robarnos información personal y relacionada con nuestras tarjetas de crédito.
Notificación por SMS
Muchas de las campañas similares que llevamos analizando desde hace años han tenido cierto éxito por haber utilizado los mensajes SMS como medio de propagación. Acostumbrados como estamos a recibir por esta vía únicamente comunicados de entidades de confianza como nuestro banco o algún organismo oficial, no es extraño que muchos usuarios le den más credibilidad a las notificaciones que les llegan por este medio que por otro como, por ejemplo, el correo electrónico.
Así las cosas, campañas maliciosas usando SMS de todo tipo se han ido propagando durante los últimos años por nuestro país, varias de ellas protagonizadas por Correos y otras empresas de mensajería, utilizando como gancho supuestos pagos aduaneros o entregas pendientes de paquetes. En esta ocasión vemos como nos indican en el SMS que falta información para poder entregar el paquete, proporcionándonos un enlace que trata de hacerse pasar por legítimo.
Lo primero que revisamos es el dominio usado por los delincuentes detrás de esta estafa con suplantación de identidad de Correos. Si lo analizamos, comprobaremos que se registró el pasado 20 de junio de 2023, con una validez de un año. Los delincuentes también aprovecharon para obtener un certificado gratuito de conexión segura mediante el servicio Let’s Encrypt, aunque este solo hasta el 18 de septiembre.
La obtención de este certificado es importante y algo muy extendido actualmente (de hecho, ya cuesta encontrar páginas de phishing que no lo utilicen) y otorga una falsa sensación de seguridad a los visitantes de esta web fraudulenta. En cuanto al diseño de la misma, vemos que los delincuentes han usado una plantilla que se asemeja a la imagen corporativa actual de Correos, usando sus colores y símbolos, así como redirigiendo la mayoría de los enlaces presentes a la web oficial.
Llegados a este punto, es bastante probable que algunos de los usuarios que hayan recibido este SMS y estén esperando un paquete o carta enviado por Correos piensen que están ante una web legítima y pulsen sobre la opción “Programa tu entrega”, pensando que así podrán recibir su envío en breve.
Este enlace redirige a un apartado de la web donde se nos solicitan los datos personales como el nombre, los apellidos, la dirección postal, el número de teléfono y el correo electrónico. Estos datos pueden ser usados por los delincuentes para realizar campañas más personalizadas contra nosotros o incluso venderlos a otros criminales. Sin embargo, la información que realmente andan buscando se solicita a continuación.
Llegados a este punto es cuando se solicita el pago de una pequeña cantidad para proceder al supuesto envío del esperado paquete, por lo que se solicita la introducción de los datos de nuestra tarjeta de crédito para poder realizar este pago. Obviamente, con esta información en su poder, los delincuentes pueden proceder a realizar compras y pagar servicios online con cargo al saldo de nuestra tarjeta, algo que, dependiendo de la entidad emisora y la configuración de la protección ante este tipo de frades, podrá causarnos más o menos daño.
Además de desconfiar de este tipo de mensajes y de evitar introducir datos privados como los solicitados por los delincuentes en esta campaña, es importante activar las medidas de protección (en caso de que no vengan ya por defecto) que evitan que los delincuentes puedan hacer uso de nuestra tarjeta de crédito si nos roban sus datos. Activar las notificaciones de datos de cualquier importe, una verificación adicional por SMS o aplicación móvil a la hora de realizar cualquier pago y ser capaz de cancelar la tarjeta tan pronto como detectemos algo anómalo nos pueden salvar de tener que reclamar cientos o incluso miles de euros a la entidad emisora de nuestra tarjeta de crédito, algo que tampoco garantiza la devolución de todo lo robado.
Conclusión
Les delincuentes se sienten muy cómodos realizando este tipo de campañas y tan solo buscan el momento y gancho adecuado para tratar de maximizar sus ganancias. En nuestras manos está impedírselo, desconfiando de este tipo de comunicaciones no solicitadas e incorporando medidas de seguridad y de verificación de pagos a nuestras tarjetas y dispositivos móviles.