La Seguridad Social informa sobre la carta que pide el cambio de datos bancarios

La misiva, titulada 'Cambio datos bancarios Seg Social', pide al destinatario que envíe a una dirección de correo electrónico una serie de documentos para poder beneficiarse de un incremento de pensiones de jubilación de entre 75 y 150 euros. El pretexto para solicitar esta información es que un reciente ataque informático a los sistemas de Hacienda y Seguridad Social ha borrado datos de miles de ciudadanos. Los estafadores solicitan una foto de ambas caras del DNI o NIE, una foto del extracto bancario «donde usted aparezca como titular u autorizado en una entidad bancaria», y la «última cantidad que cobró el mes pasado, una estimación».

El Ministerio de Inclusión, Seguridad Social y Migraciones ha advertido, a través de su servicio de atención a la ciudadanía en las redes sociales, de que esta carta es un fraude. «Si recibes en tu domicilio una carta solicitando Cambio de datos bancarios Seg Social a través de una dirección de email sospechosa: es un FRAUDE», reza el mensaje lanzado en Twitter. Otro tanto ha hecho la Policía Nacional a través de la misma red social. «¿De verdad crees que #Hacienda te va a solicitar datos bancarios por #email? NOO. Y si tienes dudas, contrasta con el organismo oficial», advierte.

Los consejos del Incibe

El Instituto Nacional de Ciberseguridad (Incibe) ofrece algunos consejos para identificar una campaña de ' phishing'. Con este término se conoce a los fraudes cometidos generalmente a través del correo electrónico -aunque también se pueden utilizar otros medios como mensajes SMS ('smishing'), redes sociales, aplicaciones de mensajería instantánea o llamadas telefónicas ('vishing')- y cuyo objetivo principal es robar información confidencial y credenciales de acceso.

Una de las características de este tipo de mensajes fraudulentos es que contiene errores ortográficos o gramaticales, como ocurre en la carta enviada a nombre de la Tesorería General de la Seguridad Social. «Una auténtica comunicación de cualquier entidad no contendrá errores ortográficos o gramaticales, ya que la comunicación con sus clientes es un aspecto muy cuidado», advierte el Incibe.

Otra pista que nos debe hacer sospechar es el carácter impersonal de las comunicaciones. Las enviadas por entidades legítimas suelen referirse a su destinatario utilizando nombre y apellidos. «Por el contrario, los ciberdelincuentes no suelen conocer esos datos personales, por lo que las comunicaciones son impersonales», aclara el instituto de ciberseguridad.

En el caso de los correos electrónicos fraudulentos, en ocasiones contienen remitentes que no coinciden con la organización a la que supuestamente representan. Otras veces los ciberdelincuentes usan la técnica del 'email spoofing', que consiste en falsear el remitente haciendo que parezca proceder de la entidad legítima. Además, muchas veces estas comunicaciones buscan generar una sensación de urgencia, con ganchos como la cancelación del servicio o cuenta, multas, o sanciones por no acceder en tiempo y forma a la página web o enlace fraudulento.

En ocasiones estos 'links' suelen aparentar que corresponde a la página web verdadera, o simplemente contienen un texto haciendo referencia que sea seleccionado. Para comprobar a dónde apunta realmente ese enlace se puede situar encima el ratón del ordenador, y ver el cuadro de diálogo que figura en la parte inferior de la pantalla con la verdadera dirección, o utilizar herramientas 'online'.