El equipo de PandaLabs, el Laboratorio de Panda Security, ha detectado una oleada de ciberataques en forma de phishing, en los que se suplanta la identidad de la Seguridad Social para robar a las víctimas de este engaño.
El timo se produce por medio de un email con el asunto “Devolución Seguridad Social” en el que los ciberdelincuentes urgen a sus víctimas a obtener la parte mal cobrada de un supuesto impuesto.
Todos los correos electrónicos coinciden en que van a devolver a sus víctimas la misma cantidad de 345,76€, y todos ellos utilizan la misma falsa referencia ES-A80105W. Para obtener la devolución, los ciberdelincuentes instan a sus víctimas a acceder a un enlace que las conduce a un sitio web que simula con precisión la identidad corporativa de la Seguridad Social.
Parte del éxito de este ciberataque reside en la llamada a la acción basada en la urgencia, porque el enlace tiene una fecha de caducidad muy cercana.
Se trata de una técnica muy utilizada entre los hackers para meter prisa a sus víctimas. Al igual que ocurre con las ofertas de marketing, cuando vemos que un enlace tiene caducidad, las personas tendemos a realizar la acción que se nos requiere de una forma un poco más impulsiva, ya que la prisa nos apremia. De este modo, al pensar que tenemos poco tiempo para cobrar lo que la Seguridad Social nos está supuestamente devolviendo, bajamos la guardia por unos segundos.
“Esa pequeña fracción de tiempo es la única que necesitan los hackers para robar de nuestra cuenta corriente y, probablemente, para hacerse con nuestros datos de acceso”, advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security. “Si a ello le sumamos el nerviosismo que están viviendo miles de personas afectadas por los ERTE, despidos y bajadas de sus ingresos como consecuencia de la crisis del coronavirus, hace que este timo sea todavía más efectivo”, añade.
Cómo detectar el timo
Otro de los factores que hacen que este engaño sea potencialmente muy ‘exitoso’ para los cibercriminales es que se sirven de la difícil URL (dirección web) que tiene la página de la Seguridad Social para despistar a sus víctimas. Los hackers han creado una página que podría parecer uno de los subdominios por los que estamos acostumbrados a navegar cuando queremos realizar un trámite administrativo por vía digital. Por ello, hay que tener en cuenta que la página web de la Seguridad Social es seg-social.es, mientras que la utilizada por los hackers apunta realmente a un dominio que termina en “.gob.es”
No obstante, es relativamente fácil localizar el engaño en este tipo de ataques de phishing en los que se suplanta a la Seguridad Social.
Por inverosímil que parezca en un país de la Unión Europea, la página web de la Seguridad Social española no dispone del protocolo de navegación segura “SSL” en todo su sitio. Este certificado, del que la Seguridad Social adolece en su página de inicio y la mayor parte de su navegación, sirve para hacer patente que la navegación entre nuestro dispositivo y el servidor de la Seguridad Social está cifrada. Sin embargo, la web a la que enlazan los ciberdelincuentes sí cuenta con el protocolo “https” que está visible al inicio del enlace que envían en su timo digital.
“A los expertos en ciberseguridad nos cuesta creer que la página web de un organismo público no cuente con medidas mínimas de seguridad como el certificado SSL que sí es obligatorio para cualquier pyme que quiera vender online. Por ello, creemos que ahora, más que nunca, debe crearse un consenso entre las empresas privadas y los organismos públicos para concienciar y predicar con el ejemplo de la ciberseguridad a toda la sociedad”, añade Hervé Lambert.
Otro de los puntos que nos debería hacer dudar de este email o de los que podamos recibir en un futuro es la forma en la que se dirigen a sus víctimas los delincuentes que suplantan la identidad de la Seguridad Social. Por lo general, un organismo público jamás llamará “cliente” a un ciudadano, que es justo la forma en la que el email saluda a sus destinatarios.
2 comments
La última frase de mi segundo párrafo no está correctamente redactada. Lo escribí desde el tablet y el corrector, a veces, cambia algunas cosas por su cuenta. Además, veo que tampoco lo había explicado bien del todo. Siento no haberlo visto antes. Esa frase debería aparecer así:
“ Es decir, que si este último dominio no pertenece a la Seguridad Social y es falso, entonces la web original está hackeada porque el enlace que aparece en la original te redirígeme hacia el supuesto dominio falso.
Perdón pero, salvo que la web original de la Seguridad Social haya sido hackeada, hay una parte de la explicación que no es correcta, que es la relativa al dominio “gob.es” donde se indica que es de los hackers.
Si en la web original de la Seguridad Social (seg-social.es) buscáis la entrada a la “sede electrónica” del organismo, que está por la parte de abajo, el enlace os va redirigir hacia la web “ sede.seg-social.gob.es”. Es decir, que si este último dominio no pertenece a la Seguridad Social y es falso, entonces la web original está hackeada porque si enlace te re dirige hacia aquí.
Por favor, corregid la información si el segundo dominio sí es de la Seguridad Social. Y si no es así deberíais indicar que la web original está hackeada y contiene enlaces a sitios fraudulentos, lo que sería gravísimo.
Gracias. Un saludo.