“Tu pedido esta guardado en nuestro almacen debido que no no se han realizado los pagos para el envio correctamente. Haga click aqui (sic)”, señala un SMS que aparenta ser de GLS sobre el que ha alertado la Policía Nacional a través de su cuenta oficial de Twitter, donde pide ignorar y eliminar el mensaje. Y es que el enlace dirige a una web que busca hacerse con los datos del usuario.
También ha alertado de este mensaje la Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad (INCIBE), que insiste en no fiarse de mensajes de usuarios desconocidos y no contestar nunca a sus mensajes. En este caso, el phishing suplanta la identidad de la empresa de paquetería GLS a través de un SMS fraudulento.
El falso SMS de GLS sobre el supuesto pedido redirige a la víctima a una página que simula ser la web legítima de la empresa de mensajería, la cual solicita al usuario realizar un pago de 1,50 euros en concepto de gastos de envío del paquete, pero es un timo.
Desde GLS explican que su empresa “nunca solicitará a los destinatarios por email el pago de ninguna cantidad mediante una plataforma de pago online, tarjetas de crédito o transferencia bancaria”, al tiempo que destacan que “los destinatarios de estos mensajes deben informar a GLS inmediatamente”.
Como recoge un comunicado en su web oficial, la empresa GLS pide a sus clientes que “bajo ninguna circunstancia” atiendan los requerimientos de pago o datos personales en este SMS con el falso pedido.
El phishing vía SMS: smishing
A esta forma de phishing ejercida a través de SMS se le ha llamado smishing, que es una palabra compuesta por SMS y phishing. En estos casos, el ciberdelincuente suele suplantar la identidad de alguna persona o entidad de confianza para su víctima con el objetivo de engañarla y conseguir que comparta información personal, realice un pago o haga clic en un enlace malicioso o se descargue un archivo adjunto.
Los casos de phishing se caracterizan, precisamente, por imitar la identidad de una empresa o institución, de forma que el objetivo ─el usuario─ crea que se trata de una comunicación real. En este caso, los ciberdelincuentes pretenden hacer creer al receptor del SMS que no ha podido recibir un paquete, que dicen se encuentra en un almacén, por haber efectuado mal un pago, pero es falso.
Las faltas de ortografía y expresiones poco profesionales son sospechosas
Hay casos de phishing que saltan a la vista, ya que contienen mensajes con faltas de ortografía o se expresan mal, como ocurre con este SMS falso de GLS sobre el supuesto pedido. Contiene importantes faltas y la redacción es bastante pobre, algo que puede hacer sospechar de que no se trata de una comunicación oficial de una empresa real.
Sin embargo, hay otros mensajes fraudulentos que consiguen emplear un lenguaje corporativo similar al que utilizaría una corporación real y usan sus logos e imagen corporativa. A esta imitación profesionalizada de una empresa para cometer fraude y robo de datos se le ha llamado spoofing.
[Los diez mandamientos para evitar el ‘phishing’]
Hace unos días alertábamos de otro caso de phishing con una web que aseguraba que Samsung “celebra su 50 aniversario ofreciendo un televisor 4K por 1,99 euros”. Pedía al usuario que rellenara una encuesta para acceder a la compra del producto, pero el objetivo era hacerse con los datos de contacto y de la tarjeta bancaria de los usuarios engañados.
¿Qué hago si soy víctima y he recibido el SMS falso de GLS sobre el pedido?
Siguiendo las recomendaciones del Instituto Nacional de Ciberseguridad (INCIBE), si una persona sospecha haber sido víctima de uno de estos fraudes debe hacer cuantas capturas de pantalla como sea posible, así como apuntar los datos de contacto e información personal que haya podido compartir con los ciberdelincuentes.
Estas evidencias deben ser presentadas ante las Fuerzas y Cuerpos de Seguridad del Estado en forma de denuncia. También se pueden reportar estos hechos directamente a través de la web de la Oficina de Seguridad del Internauta (OSI).
Además, si creemos que se ha vulnerado la seguridad de nuestras cuentas, será fundamental que procedamos a cambiar las credenciales de acceso, por ejemplo, de nuestro banco, correo electrónico o redes sociales. Asimismo, el INCIBE dispone de un teléfono gratuito para consultas sobre ciberseguridad (017).
