La Seguridad Social advierte de un nuevo fraude a los autónomos que tiene que ver con sus prestaciones sociales
Si un autónomo recibe estos días en su negocio o domicilio una carta o correo electrónico de la Seguridad Social pidiendo que envíe documentación personal y bancaria es seguro que está ante un fraude. Así lo explicó la Administración en sus redes sociales ante la avalancha de casos en los que los emprendedores exponían una carta sospecha, advirtiendo que la Tesorería siempre se comunicará a través de los canales oficiales.
“Si recibes en tu domicilio alguna carta en nombre de la Seguridad Social solicitando envío de documentación a través de una dirección de email sospechosa, no remitas tus datos bancarios a dicha dirección ¡Es un fraude no piques!”, aseguró la SS. Con el asunto ‘cambios de datos bancarios’, el fraude tienta a los autónomos asegurando que, añadiendo información confidencial como su documento de identidad, extracto bancario y sus ingresos mensuales, podrán “incrementar las prestaciones y pensión de jubilación”.
‼️⚠️Si recibes en tu domicilio alguna carta en nombre de la Seguridad Social solicitando envío de documentación a través de una dirección de email sospechosa, NO remitas tus datos bancarios a esta dirección de email.
— Información TGSS (@info_TGSS) February 1, 2022
¡𝗘𝗦 𝗨𝗡 𝗙𝗥𝗔𝗨𝗗𝗘, 𝗡𝗢 𝗣𝗜𝗤𝗨𝗘𝗦!⚠️‼️ pic.twitter.com/8gaa3MFdoI
Este tipo de fraude se lleva produciendo desde hace meses y ahora, con la actualización de las pensiones, vuelve a cobrar fuerza, explicó la SS. Esta carta es un ejemplo de las muchas estafas, tanto digitales como analógicas, ante las que se enfrenta el tejido productivo. Los delincuentes, con el gancho de actualizar los datos personales prometen enviar entre 75 euros y 150 euros según el caso. Ante ello, la Tesorería explica que "Los datos personales se comunican a través de nuestra Sede Electrónica o el portal Importass, mediante identificación electrónica, o de no tenerla, enviando el modelo TA1 a través del servicio de Presentación de Otros Escritos”, añadió el organismo.
El Phising o suplantación de identidad es el fraude más extendido contra los autónomos
La suplantación de identidad o ‘Phising,’ es el delito electrónico por el cual se engañan a los usuarios para que compartan información confidencial. Amenaza que, por lo general, busca obtener contraseñas, tarjetas de crédito y otros datos personales susceptibles de fraude. En este sentido, el Instituto Nacional de Ciberseguridad (INCIBE) también detectó llamadas y mensajes de texto a autónomos y pequeños negocios en los que los delincuentes se hacían pasar por la Seguridad Social.
Ante ello, tanto el ministerio como la Policía Nacional advierten de un mensaje de texto que llega a los dispositivos móviles de los trabajadores por cuenta propia donde los delincuentes invitan acceder a la ‘Comunicación anual de vida laboral en la Sede Electrónica de la Seguridad Social’. A través de un enlace fraudulento, los ciberdelincuentes obtienen los datos de afiliación a la SS, DNI e incluso aquellos relacionados con la tesorería.
Asimismo, el organismo público señaló otros dos fraudes a través del teléfono móvil y correo electrónico. Por un lado, en una llamada se le envía al trabajador por cuenta propia un código de verificación para recibir la tercera dosis de la vacuna contra el coronavirus. Sin embargo se trata de un código que permite al infractor poder iniciar sesión de WhatsApp en otro dispositivo y así robar la información personal del autónomo.
En una segunda instancia, el organismo dependiente del Ministerio de Asuntos Económicos y Transformación Digital, advierte de un ‘phishing’ que suplanta la identidad de Correos. A través de un mensaje el delincuente envía acceso a un supuesto ‘chatbot’ o chat de texto para confirmar la entrega de un paquete. De este modo, el chatbot realiza preguntas a la víctima, de manera similar a una encuesta y, para finalizar, se ofrece al usuario o empresario un teléfono móvil por el precio de 1,50 euros. Para adquirirlo, deberá facilitar sus datos personales y los de su tarjeta de crédito.
Si algún autónomo o pequeño negocio ha sido víctima de estos fraudes o de algún otro, INCIBE ofrece un teléfono de atención para protegerse de los peligros de la red, además de atender vía Whatsapp o Telegram: 017.
Guía de cómo detectar y enfrentarse al ‘phishing’ o suplantación de identidad
A diferencia de otros tipos de amenazas de Internet, el phishing no requiere conocimientos técnicos especialmente sofisticados. De hecho, según Adam Kujawa, Director de Malwarebytes Labs, “el phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva. En este sentido, este ciberataque no busca romper ni acceder a tu ordenador, sino que sea el propio usuario el que le de los datos que necesita sin ningún tipo de acción técnica.
¿Cómo identificar un ataque de ‘phishing’?
Según Malwarebytes, reconocer un ataque de ‘phishing’ no siempre es sencillo. La empresa de software antivirus recomienda a los autónomos y emprendedores no “dejarse llevar” por algo raro o inusual en su correo electrónico o dispositivo móvil. Por ello, la empresa de software enumera algunas de las señales a tener en cuenta cómo intento de ‘phishing’:
El correo electrónico, llamada o mensaje de texto hace una oferta demasiado buena para ser verdad. Podría decir que ha ganado la lotería, un premio caro o alguna otra cosa con un valor muy elevado.
En el caso de que el emprendedor reconozca al remitente, pero habitualmente no tenga contacto con él, puede tratarse de otro caso de fraude. Especialmente cuando el contenido del correo o mensaje no tiene nada que ver con las responsabilidades laborales habituales. Lo mismo ocurre si aparece en copia en un correo electrónico a personas a las que ni siquiera conoce, o quizá un grupo de colegas de departamento con los que no tiene relación.
Otro tipo de fraude puede existir si el contenido suena alarmante o aterrador para crear un sentido de urgencia, instándole al autónomo a que haga clic y “actué ahora” antes de que “se elimine su cuenta”. Es importante destacar que las organizaciones nunca solicitan estos detalles personales a través de Internet.
Los autónomos nunca deben abrir un mensaje que contenga archivos adjuntos inesperados o extraños. Estos adjuntos pueden contener algún tipo de virus o alguna otra amenaza online que puede afectar nuestros dispositivos.
¿Cómo protegerse del ‘‘phishing’?
Como se ha indicado previamente, el ‘phishing’ es una amenaza que ofrece “igualdad de oportunidades”,, capaz de aparecer en ordenadores de escritorio, portátiles, tabletas y teléfonos móviles. La mayoría de los navegadores de Internet disponen de formas de comprobar si un enlace es seguro, pero la primera línea de defensa contra el phishing es el buen criterio de usuario.
En este sentido, Kujawa propone algunas de las prácticas más importantes para mantenerse a salvo:
- No abrir correos electrónicos de remitentes que no le sean familiares.
- No hacer clic en un enlace dentro de un correo electrónico a menos que sepa exactamente a dónde le lleva.
Para aplicar esa capa de protección, si recibe un correo electrónico de una fuente de que la que no está seguro, navegue manualmente hasta el enlace proporcionado escribiendo la dirección legítima del sitio web en su navegador.
Busque el certificado digital del sitio web.
Si el corre pide que proporciones información confidencial, compruebe que la URL de la página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” significa “seguro”. No es una garantía de que un sitio sea legítimo, pero la mayoría de los sitios legítimos utilizan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos, son vulnerables para los hackers.
Finalmente, si sospechas que un correo electrónico no es legítimo, seleccione un nombre o parte del texto del mensaje y llévalo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos.
Estos son los tipos de ataques más frecuentes
A pesar de sus muchas variedades, el denominador común de todos los ataques de ‘phishing’ es el uso de un pretexto fraudulento para adquirir datos valiosos. Algunas categorías principales incluyen:
Spear ‘phishing’
Mientras la mayoría de las campañas de ‘phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigido. Spear phishing ataca a una persona u organización específica, a menudo con contenido personalizado para la víctima o víctimas. Requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correos electrónicos y similares. Los hackers buscan en Internet para relacionar esta información con lo que han averiguado sobre los colegas profesionales del objetivo, junto con los nombres y las relaciones profesionales de los empleados clave en sus organizaciones. Con esto, el autor del phishing crea un correo electrónico creíble.
Según ejemplifica Malwarebytes, un estafador podría crear un ataque de spear phishing a un empleado cuyas responsabilidades incluyen la capacidad de autorizar pagos. El correo electrónico aparenta proceder de un ejecutivo en la organización, que exige al empleado que envíe un pago sustancial al ejecutivo o a un proveedor del negocio.
‘Phishing’ de clonación
En este ataque, los delincuentes hacen una copia, o clonan, correos electrónicos legítimos enviados anteriormente que contienen un enlace o un archivo adjunto. Luego, el autor del phishing sustituye los enlaces o archivos adjuntos con contenido malicioso disfrazado para hacerse pasar por el auténtico. Los usuarios desprevenidos hacen clic en el enlace o abren el adjunto, lo que a menudo permite tomar el control de sus sistemas. Luego el autor del phishing puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.
‘Phishing’ telefónico
Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o ‘vishing’, el atacante llama afirmando representar a su banco local, la policía o incluso la Agencia Tributaria. A continuación, le asustan con algún tipo de problema e insisten en que lo solucione inmediatamente facilitando su información de cuenta o pagando una multa. Normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.
Asimismo, el ‘phishing’ vía SMS, o ‘smishing’, es muy similar al ‘vishing’, que realiza el mismo tipo de estafa (algunas veces con un enlace malicioso incorporado en el que hacer clic) por medio de un mensaje de texto SMS.
