Varios usuarios han recibido por SMS un mensaje, atribuido falsamente a la empresa de paquetería MRW, por el que les solicitan pagar unos “gastos de envío” por un pedido que habrían realizado. Este contenido resulta creíble para algunas personas, puesto que el SMS incluye la dirección de una página web en la que aparecen datos personales de la víctima e incluso el nombre de la empresa donde habría comprado recientemente. Pero se trata de un sofisticado caso de phishing o ciberestafa.
El supuesto SMS de MRW dice lo siguiente: “Estimado/a [nombre del usuario], debe abonar los gastos de envío [número al azar] de [nombre de una empresa]”. A continuación encontramos una página web con un diseño muy parecido al de MRW pero que no corresponde a la compañía. Allí aparecen una serie de datos personales: nombre, dirección, localidad, provincia y nombre de una plataforma en la que hayamos comprado recientemente.
Tanto MRW como el Instituto Nacional de Ciberseguridad (INCIBE) han alertado del intento de estafa en relación a los “gastos de envío”, que utiliza como cebo una compra real del usuario para obtener datos bancarios y una cantidad de dinero de las víctimas. Además, el uso de datos personales en el fraude se debe a una “brecha de seguridad” que ya ha solucionado la empresa, como informa en un comunicado.
MRW ha informado del intento de estafa por SMS en relación al pago de “gastos de envío”
Después de que distintos usuarios y comercios electrónicos denunciaran el caso de ‘phishing’ por redes sociales, la empresa de paquetería decidió actuar para solucionar el problema. El 27 de diciembre informaron a sus clientes por Twitter de que estaban circulando “mensajes susceptibles de ser un fraude”. También mostraron una captura de pantalla del SMS fraudulento, en el que destacaban que la página web “no coincide con la de MRW”.
El enlace era “envios-mrw.com”, URL que ya no está disponible gracias a la denuncia de la empresa ante las autoridades, según ha informado MRW en un comunicado. La web, como podemos comprobar en herramientas como DonDominio, fue creada el 27 de diciembre, el día que comenzó el envío de los SMS. El dominio de la estafa fue registrado en Charlestown, en la nación caribeña de San Cristóbal y Nieves, nada que ver con el origen de MRW, empresa española con URL “mrw.es”.
La empresa ha dado más información de lo sucedido en un comunicado este 29 de diciembre. En concreto, el enlace fraudulento contaba “con una apariencia y contenido muy similar a la página web oficial de MRW”, lo que hacía que los clientes creyeran que se trataba de una comunicación de la compañía. Así, el objetivo era “que el destinatario pagase unos supuestos gastos adicionales por el envío”.
Pero MRW no solicita directamente ningún pago a clientes que realizan pedidos online, sino que estos se gestionan entre el comercio electrónico y el usuario. La empresa ha detallado que los gastos de transporte son “los estipulados en la contratación del servicio” (por ejemplo, cuando un usuario envía un paquete) o “en la transacción económica que hubiera realizado el destinatario, en la compraventa de un producto”.
El sofisticado intento de ‘smishing’ que utiliza datos de los usuarios para hacer creíble la estafa
Los SMS suplantando a MRW con la excusa del pago de “gastos de envío” han provocado que varios usuarios lamenten en redes sociales que han “caído” en la estafa. Esto se debe a que contiene varios elementos que lo hacen creíble.
Como destaca el INCIBE en declaraciones a Newtral.es, “estos mensajes no llegan de forma aleatoria a cualquier usuario, sino que están llegando a aquellos que han realizado una compra recientemente”. El organismo también añade que los estafadores van haciendo evolucionar sus intentos de fraude, utilizando tácticas como el smishing en periodos de compras como Navidad.
El smishing, como ya explicamos en Newtral.es, es el envío de un SMS por parte de un ciberdelincuente a un usuario, simulando ser una entidad legítima, con el objetivo de robarle información privada o realizarle un cargo económico. ¿Y cómo obtienen los ciberestafadores nuestro número de teléfono? Por ejemplo, con filtraciones de datos como la ocurrida con el caso de MRW.
Como ha confirmado la empresa de paquetería, su plataforma ha sufrido una “brecha de seguridad”, lo que ha provocado que los datos de los pedidos que estaban esperando numerosos clientes se hayan visto expuestos (nombre, dirección, provincia y nombre del comercio electrónico). Esta información personal es la que se ha utilizado para hacer creer a las víctimas que se trataba de una página web oficial.
Por otra parte, MRW ha alertado de lo sucedido ante la Agencia de Protección de Datos, informando de que los datos que se han visto expuestos son “de carácter identificativo” o “de contacto”, sin verse afectada otra información. También, la empresa “ha adoptado las medidas, técnicas y organizativas, oportunas destinadas a la contención del incidente”.
Qué hacer si has sido víctima de un ‘phishing’ como el de los SMS de MRW
Como hemos explicado anteriormente, una filtración de datos ha sido la causante del caso de estafa que denuncian los usuarios por redes sociales. Pero en principio, nuestros datos bancarios no están expuestos a no ser que hayamos accedido a facilitarlos con el intento de fraude.
Si este es el caso y has caído en la estafa, es probable que incluso hayas recibido algún cargo en tu cuenta bancaria, como han lamentado algunas víctimas. En esta situación puedes rechazar cualquier tipo de cargo, e incluso bloquear la tarjeta si fuera necesario. También puedes informar a tu entidad de lo sucedido. De hecho, compañías como Banco Sabadell también han alertado a sus clientes de este SMS que suplanta a MRW.
Y si todavía tienes dudas, puedes consultar más información con el INCIBE o La Oficina Municipal de Información al Consumidor (OMIC) de su localidad, o denunciar la situación ante las autoridades. En Newtral.es tienes más consejos sobre cómo actuar si has sido víctima de este u otros casos de phishing.
