Uno de los intentos de phishing más comunes últimamente es el de la supuesta empresa de mensajería que nos pide pinchar en un enlace para confirmar datos, desbloquear un envío o hacer un pago. Las compañías del sector, las más afectadas por esta práctica.

El gran foco del mundillo del phishing está pasando de la banca a la mensajería. Aunque es cierto que sigue habiendo multitud de mensajes falsos de entidades financieras, seguramente la bandeja de spam de la mayoría de nosotros tendrá tres o cuatro veces más correos haciéndose pasar por Seur, Amazon o GLS que pretenden hacernos creer que hay un paquete que requiere nuestra atención -y que pinchemos en un enlace o metamos nuestros datos-.

Y es que el boom del comercio electrónico, especialmente en momentos de gran crecimiento de la demanda y de las compras online, como el black friday o la campaña de Navidad, ha hecho que los envíos a domicilio se multipliquen tanto que sea rara la semana en que no esperemos algún paquete. Los ciberdelincuentes lo saben y lo aprovechan. Nos dirán que hay un envío a nuestro nombre, que no pueden entregarlo hasta que realicemos un pago o que, si no respondemos rápidamente, lo devolverán al remitente. “Hablamos de los casos de phishing a través del correo electrónico, pero este tipo de amenazas se están dando también, y mucho, por vía telefónica. Os sorprendería saber cuántas personas siguen hoy día ‘picando’ en estafas de este tipo”, afirma Hervé Lambert Global Consumer Operations Manager de Panda Security.


A esa práctica más común de enviar mensajes de spam de forma masiva con un asunto del estilo: ‘tiene usted un paquete pendiente’, se suman los casos más flagrantes y difíciles de detectar en que el ciberdelincuente tiene, de verdad, los datos de usuarios que sí esperan un paquete.


Modalidades de fraude

Como decimos, la el modo más habitual de llevar a cabo esta práctica es el envío masivo de emails, pero también hay otros modos a los que los usuarios deben prestar atención, como:

  • SMS: Aunque sea un canal ya un poco en desuso, lo cierto es que sigue siendo utilizado por muchas empresas para enviar códigos de confirmación o avisos, por lo que estos fraudes por smishing (sí, hasta tiene un nombre propio) no siempre son fácilmente detectables.
  • Pedir la descarga de un app: Casi todas las empresas grandes del sector disponen de una aplicación con la que el usuario puede hacer seguimiento de su paquete o realizar otras operaciones. En esta modalidad de fraude, se nos enviará un link para descargarla directamente (pueden utilizar el nombre de Correos, de la tienda o de una compañía logística). El problema, claro, es que ese link no nos llevará a la aplicación real, sino a una falsa en la que, sin saberlo, introduciremos todos nuestros datos para regocijo de los malhechores o donde, sencillamente, se descargará un malware en nuestro dispositivo que luego podrán utilizar para acceder al resto de nuestras aplicaciones, incluyendo las bancarias.

Robo de datos muy real

Por otro lado, a esa práctica más común de enviar mensajes de spam de forma masiva con un asunto del estilo: ‘tiene usted un paquete pendiente’, se suman los casos más flagrantes y difíciles de detectar en que el ciberdelincuente tiene, de verdad, los datos de usuarios que sí esperan un paquete. Ya ha habido casos. Por ejemplo, la propia UPS ha tenido que admitir y avisar de que puede haber ciberdelincuentes que roben datos de su herramienta de seguimiento de envíos para enviar mensajes de phishing, con el nombre y apellidos del usuario e incluso números de seguimiento ‘reales’. “Este tipo de fraude, claro, es mucho más difícil de detectar por el usuario, que en realidad sí espera su paquete y puede temer que haya habido alguna incidencia”, explica Lambert. “No está de más recordar que una empresa de mensajería nunca va a solicitar un pago y que, en caso de duda, siempre es mejor ir a la página oficial y comprobar, desde ahí, si la incidencia es real, en lugar de pinchar en ningún enlace recibido por email”. 

“No está de más recordar que una empresa de mensajería nunca va a solicitar un pago y que, en caso de duda, siempre es mejor ir a la página oficial y comprobar, desde ahí, si la incidencia es real, en lugar de pinchar en ningún enlace recibido por email”.

Es lo que piden las propias compañías, como Seur, en sus mensajes hacia los usuarios. Además de las fechas o el tipo de envío que estemos esperando, nos recomiendan prestar atención en el nombre de la empresa a la que supuestamente pertenece el pedido, y a la URL proporcionada. Los mensajes ‘gancho’ tienden a incluir enlaces poco fiables y fácilmente reconocibles como falsos. 

También, y no menos preocupante, ese robo de datos (recordemos, con nombre y dirección) puede hacer que los malhechores se presenten directamente en la puerta de casa haciéndose pasar por un mensajero para, en los casos más graves, tratar de entrar a robar.

Algunos consejos de mensajería

Desde Panda Security nuestro principal consejo al recibir un email (o SMS, o llamada) de este tipo sería no precipitarnos y, seguidamente, prestar atención a lo siguiente:

    • Lo primero, ¿realmente esperas un paquete?: Parece obvio, pero te sorprenderías de la cantidad de veces que ‘la curiosidad mata al gato’. Si no esperas ningún envío, con total seguridad el mensaje es spam, así que bórralo directamente para evitar tentaciones.
    • El mail de remite: muchas veces va oculto con un ‘sobrenombre’ que emula al de la compañía suplantada, pero si lo abrimos veremos la dirección de correo completa, que muchas veces, si es falsa, suele tener un dominio de otro país o estar compuesta de letras y números aleatorios. 
    • Tus datos son tuyos: Si ya hemos pinchado en el enlace en un impulso, lo mejor es cerrarlo cuanto antes, borrar el mensaje y, sobre todo, nunca introducir datos personales (si la empresa es legítima, ya los tendrá, no te los pediría).
    • Pregunta a la fuente: Si te quedan dudas, lo mejor es llamar al teléfono de atención al cliente de la empresa con la que supuestamente estás tratando. Ellos podrán, con tu número de pedido verificar si realmente hay un problema con el envío.
    • No pagar. Nunca. Nada: seguramente te intentarán convencer con amenazas como que, si no pagas en 24h, tu paquete será devuelto al origen o algo similar. Como hemos dicho, las empresas legítimas nunca piden un pago ‘en medio del proceso’. Si es así, muy probablemente sea falso.
    • Utilizar antivirus: Un sistema profesional y verificado detectará, antes que el ojo humano, que determinado enlace es peligroso. Además, tratemos de tener siempre actualizados nuestros dispositivos, las empresas fabricantes están contínuamente investigando y reparando brechas de seguridad.