Suplantan la identidad de la Administración

Seguridad Social advierte a los autónomos de correos fraudulentos que les avisan de deudas pendientes

La Seguridad Social avisa a los autónomos y demás contribuyentes de un email fraudulento que se hace pasar por la Administración para recordar deudas pendientes o liquidaciones impagadas. 
Los perfiles más demandados por el ecommerce en 2022.
Seguridad Social avisa de un email fraudulento que suplanta su identidad
Seguridad Social advierte a los autónomos de correos fraudulentos que les avisan de deudas pendientes

El año pasado se saldó con un récord en ciberataques a autónomos y pequeños negocios. Según alertó el Instituto Nacional de Ciberseguridad de España (INCIBE), en 2020 se registraron más de 133.000 incidencias, y los trabajadores por cuenta propia tuvieron que pagar una media de entre 300 y 500 euros a los ciberdelincuentes, para que éstos liberasen la información que les habían robado o no hiciesen públicos los datos personales del negocio. La imaginación de estos delincuentes es cada ves más creativa, no obstante, hay señuelos para engañar a los pequeños negocios que siempre están a la orden del día, como suplantar la identidad de Seguridad Social o Hacienda.

De hecho, esa técnica, denominada phising, ha hecho saltar las alarmas de nuevo en la sede de Seguridad Social con un correo electrónico suplantando al organismo. Ha sido el propio Ministerio el que ha alertado a los contribuyentes a través de sus redes sociales de la existencia de un e-mail fraudulento que recuerda pagos pendientes o liquidaciones tributarias impagadas. El mensaje incluye todo tipo de elementos para hacerlo creíble, como el logo del Ministerio de Inclusión, Seguridad Social y Migraciones y el de la Sede Electrónica. Además, redirige a los receptores del correo a un enlace para descargar un supuesto informe donde figuran los impagos. La Administración advirtió de no descargar ninguna aplicación, ni pinchar en los enlaces o archivos adjuntos, "podrías ser víctima de fraude de pishing".

Los ciberdelincuentes llevan años poniendo su foco sobre los pequeños negocios al tener "menos capacidades que las grandes compañías para elevar su ciberseguridad, y contar con unos recursos económicos mucho más limitados". De hecho, a falta de publicar la cuantía de profesionales afectados por la delincuencia online, el INCIBE ya aseguró que "sin ninguna duda, se trata del colectivo más atacado". Y es que, tal y como dijo el experto, "los autónomos dedican todo su esfuerzo y dinero en poner en marcha su negocio, por lo tanto, no les queda mucha capacidad que destinar a proteger sus actividades de los cibercriminales".

Los señuelos más comunes para timar a autónomos

Uno de los aspectos en los que hizo hincapié el responsable de servicios de ciberseguridad para empresas de INCIBE es en el hecho de que los ciberataques no son siempre los mismos, y que los autónomos deben estudiar detenidamente los correos que reciben, antes de abrir o descargar cualquier documento adjunto. “Los argumentos que utilizan para estafar evolucionan en función de la situación”, aseguró.

Por norma general, los ciberdelicuentes utilizan el método phising para engañar al colectivo. Esta técnica consiste en que el estafador se hace pasar por una persona o empresa de confianza y, mediante un correo electrónico, un SMS o cualquier tipo de sistema de mensajería, intenta sustraer información privada de la víctima como, por ejemplo, sus datos bancarios. Según explicó a este digital Lozano, “hay muchos señuelos y cada vez son más elaborados. Los ciberdelincuentes van evolucionando y diseñando nuevos argumentos para hacer que sus víctimas, en este caso los autónomos, caigan en la trampa”.

De hecho, contó que éstos aprovechan cualquier tipo de circunstancia social para engañar a las personas y obtener sus datos, estafarles económicamente o infectarles con un malware. A pesar de que los timos van cambiando, hay algunos que son muy frecuentes y, con casi total probabilidad, se repetirán en los próximos meses:

  • Suplantación de la Agencia Tributaria: es habitual que los ciberdelincuentes se hagan pasar por Hacienda y hagan creer al autónomo o bien que tienen pendiente un cobro o que le sale la declaración a devolver. También es habitual que les hagan pensar que han sido sancionados y que tienen que abonar cierta cuantía.
  • Suplantación del SEPE: mediante un SMS les hacen creer que se ha aprobado el ERTE de su empresa y le solicitan información bancaria.
  • Suplantación del Ministerio de Trabajo y Economía Social o del Ministerio de Seguridad Social, Inclusión y Migraciones: son varias las campañas fraudulentas que se han realizado en los últimos meses usurpando la identidad de los ministerios. Éstos iban desde la concesión de una ayuda, hasta la realización de una Inspección de Trabajo, pasando por una denuncia o un proceso de trabajo extrajudicial (con el asunto: ‘Fwd: Urgente - Proceso de trabajo Extrajudicial’).
  • Correos: le hacen creer a través del envío de un correo electrónico con el siguiente asunto: ‘RE: Envío número 1-ES196 **** 726’, que tiene un paquete que no se pudo entregar y le invitan a que complete los datos para volver a realizar el envío.
  • Empresas privadas: lo más habitual en estos casos es que se hagan pasar por entidades bancarias o empresas de logística.

Cómo evitar a los ciberdelincuentes

Lo cierto es que, si bien hay medidas para protegerse de los ataques, "no existe ninguna 100% eficaz y que garantice toda la seguridad a un negocio. Ningún tipo de respaldo tecnológico puede asegurar una protección total”, aseguró el responsable en ciberseguridad de INCIBE.

No obstante, Marco Lozano insistió en que "en España aún queda mucho por camino por recorrer en cuanto a la seguridad en internet. Hace 15 años comenzamos a hacer recomendaciones básicas a los autónomos para evitar estos ataques: copias de seguridad, actualizar los sistemas operativos, utilizar contraseñas robustas etc. Y hoy, después de tantos años, nos encontramos con que estas recomendaciones tan sencillas siguen sin implantarse y son, en la mayoría de los casos, de lo que se aprovechan los ciberdelincuentes".

Desde INCIBE resaltaron que hay dos tipos de medidas básicas que un autónomo o dueño de negocio debe conocer y aplicar en sus procesos informáticos:

  • Medidas preventivas y detectivas: es importante contar con un antivirus y un sistema operativo y aplicaciones actualizadas. “Son las ‘medicinas’ que van a permitir que el negocio sea un foco más remoto del que los delincuentes puedan aprovechar sus vulnerabilidades”.
  • Medidas reactivas: “una política de copia de seguridad, que es lo más sencillo y a la vez una de las medidas más efectivas para protegerse de los ciberataques”. Es muy recomendable hacer uso de un disco duro sobre otro soporte en el que ir almacenando la información del negocio para, en caso de ser atacado, poder restaurar el sistema con una mínima pérdida.

Además, de cara a los empleados, el experto señaló que es importante que conozcan todas las tecnologías con las que trabajan día a día, y los riesgos a los que está expuesta la información que manejan.  "Un mal uso de las herramientas sin ninguna medida que se lo ponga difícil a los ciberatacantes compromete directamente al negocio".