Un nuevo ataque de smishing suplanta a la Seguridad Social: no han suspendido tu tarjeta sanitaria

Uno de los ciberataques más comunes es el de la suplantación de identidad de instituciones o empresas reconocidas para llevar a cabo una campaña de smishing, en estas últimas semanas se ha detectado una nueva estafa que suplanta a la Seguridad Social alegando que tu tarjeta sanitaria necesita una actualización.

Para los que no lo sepan, el smishing es una técnica que consiste en hacerse pasar por una institución o empresa y que a través de un mensaje de texto logran engañarte para que les des tus datos personales o bancarios.

La clave en este tipo de ataques está en que los delincuentes emplean la ingeniería social, también conocida como la manipulación psicológica que usan los ciberdelincuentes para salirse con la suya. En el caso detectado por la Oficina de Seguridad del Internauta, esta campaña de smishing se centra en suplantar a la Seguridad Social.

Al ser una institución gubernamental reconocida y con la que además no se suele tener mucha comunicación, es fácil que los usuarios caigan en la trampa. La víctima recibe un SMS, en el que se dice que su tarjeta sanitaria ha sido suspendida y que se necesita solicitar una nueva; en el mismo mensaje se incluye un enlace que supuestamente te lleva a la página oficial para que puedas renovarla.

Al pinchar en el enlace, se abre una pestaña en una página web que parece la oficial del Ministerio de Empleo y Seguridad Social, y automáticamente se abre un formulario que pide una serie de datos personales del usuario. Primero se pide nombre, fecha de nacimiento, email, después se solicita la dirección de tu casa y para acabar te piden los datos de tu tarjeta, alegando los gastos de envío de nueva tarjeta sanitaria.

Desde el principio hasta el final, el proceso emula a un proceso real con la Seguridad Social, cuando en realidad te acaban de robar todos tus datos personales y bancarios. Lo mejor es eliminar este mensaje nada más recibirlo, pero en el caso de que hayas caído víctima, lo primero será contactar con tu banco para informarles de lo ocurrido para después recopilar todas las pruebas que tienes sobre la estafa y presentarlas a los cuerpos de seguridad.

Por último, al cabo de unas semanas es recomendable que practiques "egosurfing" para descubrir si tus datos personales están publicados en algún lugar de Internet en el que no quieres que esté.