INCIBE advierte a los autónomos de una estafa que les anuncia el estado del envío de un paquete de Correos

El Instituto Nacional de Ciberseguridad (INCIBE) ha emitido una advertencia que merece la atención en especial de los autónomos. El organismo ha identificado una campaña de suplantación de identidad bajo el nombre de la empresa pública Correos.

En esta ocasión, se despliega un mensaje engañoso tanto a través de SMS como de correo electrónico, con el objetivo de obtener acceso a la información más confidencial de aquellos usuarios que caen en la trampa de los estafadores. Este intento de fraude busca no solo la captura de datos personales, sino también la información bancaria de los autónomos.

El mensaje falso de Correos asegura tener un paquete a la espera de ser entregado y pide a la víctima pagar 50 euros a través de una plataforma de pago falsa. Este fraude puede exponer a los autónomos especialmente debido a que son muchos los profesionales por cuenta propia los que adquieren mercancía y productos de otros países para su propio negocio. 

“Tienes un paquete que espera ser entregado”

El modus operandi de los ciberdelincuentes inicia con un mensaje a través del e-mail de la víctima o un SMS que hacen despertar su curiosidad al mencionar la existencia de un paquete pendiente de entrega. 

Usan frases persuasivas como "tienes un paquete esperando ser entregado"; estas comunicaciones buscan incitar a los destinatarios a realizar acciones que, en apariencia, están relacionadas con la gestión de un envío.

En el caso de los correos electrónicos, se solicitan pagos bajo el concepto de aduana, generando un sentido de urgencia y presionando a las víctimas para que proporcionen información confidencial para poder ‘desbloquear’ el paquete. Por otro lado, en los mensajes de texto, se utiliza la estrategia de informar que hay un defecto en la dirección de entrega, lo cual motiva a los destinatarios a "corregir" su información.

Cuando la víctima entra a los enlaces incrustados en los mensajes es el momento en el que la estafa empieza a cobrar forma, pues lo redirigen a sitios web falsos meticulosamente diseñados, que simulan ser la plataforma oficial de Correos. A través de esta interfaz fraudulenta, se solicitan datos confidenciales, como el número de tarjeta de crédito, la fecha de caducidad y el código CVV.

Al pinchar en el enlace, se informa a la víctima que el paquete está bloqueado en aduanas y para poder arreglar la situación es necesario pagar 50 euros a través de la plataforma de pago Paysafecard.

El pago nunca se completa y siempre se redirecciona a la misma página donde se solicitan nuevamente todos los datos de la tarjeta, bajo el pretexto de un supuesto fallo durante el proceso. 

Existen ciertas características que ayudan a identificar una estafa

Este caso es conocido en la actualidad como phishing, que consiste en una técnica de envío de correos electrónicos que suplantan la identidad de compañías u organismos y solicitan información personal y bancaria al usuario. 

Desde INCIBE recuerdan que este tipo de estafas ha estado circulando por Internet desde 2020 y es fácil de identificar a través de algunas señales de advertencia típicas de este tipo de fraudes.

• Petición de pago poco común: La solicitud de adquirir un código PIN de Paysafecard (un método de pago prepagado) y enviarlo a una dirección específica es, para ser más suaves, inusual en el caso de una empresa legítima como Correos. En general, las empresas auténticas no suelen requerir pagos a través de tarjetas prepagadas debido a la falta de rastreabilidad y seguridad asociada a este método.
• Presión y urgencia: La táctica de generar una sensación de urgencia, como la necesidad de realizar un pago rápidamente para recibir un paquete, es una estrategia común en el phishing que busca forzar a las víctimas a actuar sin pensarlo dos veces.
• Información legal confusa o incorrecta: Hacer referencia a leyes y regulaciones aduaneras, como el "Artículo 134-1 y II-1º del CGI" y la "LEY nº 2012-1510 de 03 de mayo de 2017 - Art.68", parece ser un intento de otorgar legitimidad al mensaje. Sin embargo, estas referencias resultan confusas y no suelen vincularse a ninguna legislación real.
• Falta de personalización: El correo se dirige a "Estimado cliente" en lugar de utilizar el nombre del destinatario, lo cual resulta inusual en comunicaciones oficiales relacionadas con transacciones específicas.

Los pasos que deben seguir los autónomos si reciben la comunicación falsa

La entidad de Ciberseguridad también ofrece una serie de consejos a llevar a cabo en caso de haber recibido el mensaje de los estafadores 

Es importante señalar que si llega un mensaje de texto o correo electrónico que aparentemente proviene de la empresa de servicios de mensajería Correos, pero no has hecho clic en los enlaces adjuntos ni proporcionado tu información, lo más recomendable es marcarlo como spam, bloquearlo y eliminarlo de la bandeja de entrada.

Por otra parte, si ya se ha accedido a esos enlaces y proporcionado la información solicitada, es importante seguir las siguientes acciones para resguardar tu seguridad:

• Datos Bancarios: En el caso de haber compartido información bancaria, es crucial ponerse en contacto de inmediato con la entidad financiera. De esta manera, podrán tomar medidas de seguridad necesarias, como cancelar la tarjeta utilizada para prevenir posibles transacciones no autorizadas.
• Vigilancia en Internet: En los meses siguientes, se recomienda realizar búsquedas de uno mismo en la web para verificar si los datos personales han sido expuestos. 
• Verificación de Paquetes: Si el autónomo tiene dudas acerca de la ubicación o el estado de un paquete, INCIBE insta a acceder a la página oficial de Correos y verificar la información utilizando el número de seguimiento proporcionado. 

Es fundamental recordar no abrir enlaces adjuntos en mensajes de correo electrónico o SMS no solicitados y evitar proporcionar tus datos personales de manera precipitada.