La Seguridad Social sufre un ataque de suplantación de identidad: el nuevo “aviso de reembolso” es una estafa

El Instituto Nacional de Ciberseguridad (Incibe) ha elevado este miércoles una alerta de prioridad “alta” tras detectar una campaña de ataques de suplantación de identidad que afecta a la Seguridad Social. A través de una réplica falsa de su página web y correos electrónicos que simulan ser una comunicación oficial de la institución, los cibercriminales están tratando de robar la información bancaria de los ciudadanos con objetivo de extraer dinero de sus cuentas.

“La estafa avisa al usuario de que tiene derecho a un pago de la Seguridad Social, y para recibirlo ha de acceder a un enlace que simula ser una dirección web de la sede electrónica de la Seguridad Social, aunque en realidad enlaza a una página fraudulenta”, advierte el Incibe. “Además, se da al usuario un plazo de tiempo limitado para realizar el supuesto trámite, con la finalidad de acentuar su sensación de urgencia y facilitar el engaño”.

Este método de fraude se denomina 'phishing' y pese a su sencillez, sigue siendo muy efectivo para los cibercriminales. Estos envían los correos electrónicos de forma masiva y, aunque porcentualmente no engañen a muchos usuarios, el beneficio que pueden extraer de esas pocas víctimas es considerable. Los emails de esta campaña de ataques tienen el asunto “Se le envía un reembolso de Seguridad Social” y emplean una dirección de correo que se camufla como una comunicación oficial de este organismo.

Si el usuario pica y pincha en el enlace del correo electrónico, es redireccionado a una página donde se le pedirá que introduzca los datos de su tarjeta de crédito para proceder al reembolso. El correo electrónico y la página fraudulenta utilizan imágenes y logos oficiales de la Seguridad Social, mientras que la URL que se incluye en el texto del email también es una copia casi exacta de las que emplea el organismo.

En caso de haber introducido información en esta página fraudulenta o en cualquier otra que tras su revisión se considere sospechosa, la recomendación del Incibe es poner los hechos en conocimiento de la entidad bancaria de inmediato.

El Instituto de Ciberseguridad alerta, no obstante, que “no se descarta que puedan estar distribuyéndose, con el mismo propósito fraudulento, correos con otros asuntos o direcciones” además del ataque que afecta a la Seguridad Social. “En el contexto actual de crisis sanitaria debido a la Covid-19, con el cierre de la atención presencial en servicios como los de la Seguridad Social, unido a la toma de medidas extraordinarias por parte de las administraciones públicas, este tipo de fraudes pueden aumentar su credibilidad”.

Al comienzo de la pandemia los expertos ya alertaron de que se habían multiplicado los ataques que utilizan el coronavirus como gancho. Estos están afectando a empresas privadas pero también a cuerpos de seguridad como la Policía Nacional, a quien los cibercriminales intentan suplantar haciendo creer al usuario que debido a la restricción de movimientos por el confinamiento, debe hacer trámites online. Tanto la Policía como la Guardia Civil han avisado de que este tipo de procesos, como la renovación del DNI, se han suspendido y no solicitan nunca datos personales online.