En la última semana, se ha detectado una oleada de correos electrónicos de phishing donde los estafadores se hacían pasar por la identidad de la Policía Nacional. El pretexto utilizado en el email para conseguir datos personales de las víctimas era una investigación abierta y en curso a la que se les pedía su participación activa.
La estafa ha sido confirmada por el Incibe, que ha alertado sobre ella en su Oficina de Seguridad del Internauta, y por la Policía Nacional, que ha publicado un tweet advirtiendo a los usuarios de esta campaña fraudulenta:
Este nuevo envío masivo de emails con la intención de cometer phishing se ha estado llevando a cabo a través de la extorsión de los usuarios, incitándoles a que contestasen y accedieran a todas sus peticiones. El asunto del mail avisaba sobre “Crimen” o “Encuesta rápida”.
Hervé Lambert, Global Consumer Operations Manager de Panda Security alerta: “Como hemos visto en otras estafas de spoofing haciéndose pasar por Hacienda o la Guardia Civil, los hackers siguen apostando por organismos públicos. Cada vez mejoran más su técnica y los pequeños detalles para hacer que el usuario caiga en la trampa. Tenemos constancia de que va a seguir produciéndose y con mayor medida, dado el contexto de crisis social y económica en el que estamos. Los comunicados sobre falsas citas de vacunación por el COVID-19 son solo algunos de los muchos delitos que están perfeccionando”.
El anzuelo: una investigación falsa sobre contenido pornográfico. El mecanismo para articular el fraude por spoofing.
Ni más ni menos que en un supuesto comunicado oficial en el que se avisa al receptor del mail de estar implicado en una investigación por posesión de contenido pornográfico en cualquiera de sus dispositivos.
- En primer lugar, suplantan la identidad de un organismo oficial, una autoridad que confiere respeto a la víctima para intentar hacer el fraude más verídico.
- El contenido que servirá como amenaza: se notifica al receptor de estar en posesión de contenido pornográfico y de la intención de ejecutar un procedimiento legal en su contra por pedofilia, exhibicionismo y ciber pornografía.
- A través de la extorsión, se le solicita al usuario que coopere en la investigación y envíe documentos con los requerimientos que se le exige en un plazo máximo de 48 horas. En caso de no cumplir con la fecha límite, se le amenaza con una posible orden de arresto.
- A través de ingeniería social introducen una serie de técnicas para hacer parecer más realista el engaño. En este caso, la información venía contenida dentro de un archivo PDF donde viene el logotipo y la firma de la Policía Nacional, así como la marca de agua logo del Sindicato Unificado de Policía (SUP) en otros, tratando de imitar un comunicado de corte oficial.
¿Cómo podemos detectar que se trata de un fraude?
Aunque sus técnicas están mejorando, el primer matiz en el que hay que fijarse es la dirección de la cuenta de correo electrónico desde donde se ha enviado el mail. Normalmente suele tener un nombre que nada tiene que ver con la institución policial.
Otro de los detalles en los que debemos fijarnos son las faltas de ortografía a lo largo del texto. El mensaje suele contener palabras mal escritas o que no guardan relación unas con otras. Parece una tontería, pero otro rasgo común es que utilizan estilemas, es decir, señales que delaten al autor en su intención o identidad.
Si, por el contrario, has contestado a alguno de estos emails, todavía no es tarde y quedan mecanismos para evitar caer en el fraude. Lo primero será acudir ante la Policía Nacional para interponer una denuncia. Para ello, será necesario aportar el máximo de pruebas y referencias que tengas a tu disposición. También recopilar todos los datos personales facilitados para poder comprobar si están intentando venderlos por la dark web o aparecen en algún sitio de internet sin tu consentimiento.
Comprobar si tus datos se han filtrado en la deep web es sencillo. Nuestra herramienta Dark Web Scanner registra la red y te alerta en caso de que tu información personal, cuentas, contraseñas, etc., se hayan filtrado. Puedes acceder, aunque no seas cliente, desde My Panda. Si no tienes una cuenta, puedes registrarte de forma gratuita y disfrutar de éste y otros servicios.
Por otro lado, contacta con tu entidad bancaria para que devuelvan el pago o cancelen la transferencia.
¿A qué organismos o administraciones puedes acudir para pedir ayuda?
Aunque el primer paso sea denunciarlo antes las autoridades y Fuerzas de Seguridad del Estado, también existen otras entidades que pueden servir de gran ayuda. Unas no son excluyentes de las otras, por lo que estarás más protegido cuanto más informado estés.
Puedes contactar con la empresa o servicio implicado. En este caso con el servidor de correo electrónico. Puedes poner una denuncia y avisar del fraude del que has sido víctima para que su equipo informático empiece a trabajar al respecto y alertar a sus demás usuarios. A su vez, sería adecuado que cambiaras todas tus contraseñas y reforzaras la privacidad y seguridad de tu cuenta en el sitio.
Por otro lado, puedes acudir a la Oficina Municipal de Información al Consumidor (OIMC), donde orientan y guían a los consumidores en cualquiera de sus dudas. Además, cuentan con servicios de especialización legal para llevar a cabo tramitaciones y/u otras reclamaciones.
Ponte en contacto con El Instituto Nacional de Ciberseguridad de España (INCIBE), registran toda actividad informática de dudosa legitimidad y dan orientación a particulares y empresas sobre todo tipo de temas relacionados con servicios de ciberseguridad.