Se ha detectado una campaña de envío de correos electrónicos falsos que suplantan la identidad de la Seguridad Social. Con la excusa de recibir un supuesto reembolso, redirigen a la víctima a una página falsa (phishing) simulando ser la legítima de la Seguridad Social, donde hacerse con los datos de su tarjeta de crédito.

Recursos afectados

Cualquier usuario que haya recibido un correo electrónico de este tipo y haya introducido sus datos en la página falsa.

Solución

Si has recibido un correo electrónico de estas características, has accedido al enlace y facilitado tus datos personales y los de tu tarjeta bancaria, contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido.

Evita ser víctima de fraudes tipo phishing siguiendo nuestras recomendaciones:

  • No te fíes de los correos electrónicos de usuarios desconocidos o que no hayas solicitado, elimínalos de tu bandeja de entrada.
  • No contestes en ningún caso a estos correos.
  • Ten precaución al seguir enlaces y descargar ficheros adjuntos de correos, aunque sean de contactos conocidos.
  • Revisa la URL de la página web. Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
  • Ten siempre actualizado el sistema operativo y el antivirus de tu dispositivo. En el caso del antivirus, además se debe comprobar que está activo.
  • En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.

Además, ten siempre en cuenta los siguientes consejos:

  • Escribe directamente la URL de la organización en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros, en correos electrónicos o mensajes de texto. En este caso en concreto, deberás acceder a la web oficial de la sede electrónica de la Seguridad Social para obtener información de servicios, trámites y prestaciones en el ámbito de la Seguridad Social.
  • Puedes igualmente contactar con la Seguridad Social a través de sus teléfonos de contacto.
  • No facilites tus datos personales (número de teléfono, nombre, apellidos, dirección o correo electrónico) en cualquier página. Infórmate previamente y lee los textos legales de la página para descartar un posible mal uso de tus datos.
  • No accedas a ningún servicio online que requiera intercambio de información privada o realizar trámites bancarios desde dispositivos públicos o que estén conectados a redes wifi públicas.
  • En caso de acceder a un servicio desde una app de la organización, revisa que tengas instalada la aplicación legítima, y comprueba los permisos proporcionados.

De manera adicional, recomendamos prestar especial atención a todos los correos y mensajes que podamos recibir durante estos días, ya que los ciberdelincuentes están aprovechándose del estado de alarma que está viviendo el país para engañar a los usuarios con fraudes que utilizan cualquier pretexto relacionado con el COVID-19.

Detalles

Los correos electrónicos detectados en esta campaña tienen como asunto “Se le envía un reembolso de Seguridad Social”, y la dirección de correo del remitente simula pertenecer a la propia Seguridad Social, aunque no se descarta que puedan estar distribuyéndose, con el mismo propósito fraudulento, correos con otros asuntos o direcciones.

La estafa avisa al usuario de que tiene derecho a un pago de la Seguridad Social, y para recibirlo ha de acceder a un enlace que simula ser una dirección web de la sede electrónica de la Seguridad Social, aunque en realidad enlaza a una página fraudulenta. Además, se da al usuario un plazo de tiempo limitado para realizar el supuesto trámite, con la finalidad de acentuar su sensación de urgencia y facilitar el engaño.

En el contexto actual de crisis sanitaria debido al Covid-19, con el cierre de la atención presencial en servicios como los de la Seguridad Social, unido a la toma de medidas extraordinarias por parte de las administraciones públicas, este tipo de fraudes pueden aumentar su credibilidad.

Ejemplo de correo electrónico fraudulento suplantando a la Seguridad Social

Ejemplo de correo electrónico fraudulento suplantando a la Seguridad Social.

Al pulsar sobre el enlace que simula corresponder a la sede electrónica de la Seguridad Social, el usuario es redirigido a una página fraudulenta con la imagen institucional de la Seguridad Social, donde se solicitan sus datos personales en un supuesto formulario de reembolso.

Página web fraudulenta suplantando la identidad de la Seguridad Social, solicitud de datos personales

Página web fraudulenta suplantando la identidad de la Seguridad Social, solicitud de datos personales.

Si se completan los datos personales, y se hace clic sobre el botón “Realizar reembolso”, se solicitan los datos de la tarjeta bancaria.

Página web fraudulenta suplantando la identidad de la Seguridad Social, solicitud de datos bancarios

Página web fraudulenta suplantando la identidad de la Seguridad Social, solicitud de datos bancarios.

Tras hacer clic en el botón de “Siguiente”, los ciberdelincuentes ya habrían obtenido nuestros datos personales y bancarios.