Estafa de Correos por SMS: disfruta de tus libros de Sant Jordi sin problemas

El smishing aprovecha la inexperiencia de algunos usuarios, quienes desconocen el peligro real de estas campañas de phishing. Sin embargo, cualquiera puede morder el anzuelo porque es habitual confirmar entregas de pedidos a través de un PIN enviado a nuestro móvil, en forma de SMS convencional o por WhatsApp. Por otra parte, seguro que alguna vez has abierto un enlace enviado, en teoría, por Correos u otra empresa de mensajería para localizar tu paquete.

¿Tienes pensado hacer compras online este Sant Jordi? Con la llegada del Día Internacional del Libro, es frecuente ver grandes ofertas y la celebración de numerosas ferias. Quizá quieras que este año, Sonsoles Ónega, ganadora del Premio Planeta 2023, firme tu ejemplar de “Las hijas de la criada” que has pedido por internet. Para evitar caer en una estafa de Correos por SMS o de Amazon, presta atención a las señales a las que debes prestar atención.

Lo primero en la que debemos fijarnos para determinar si un SMS es fraudulento o no, es en el propio texto. INCIBE, junto a otras organizaciones especializadas en ciberseguridad, han advertido del modus operandi de los estafadores por SMS que se hacen pasar por correos. En numerosos casos, el engaño comenzaba con un mensaje que decía lo siguiente: “Su paquete se ha puesto en espera”. Para conseguir que la entrega se realizara en fecha, el usuario debía proporcionar una serie de datos personales que, según se afirmaban, por algún motivo no estaban ya recolectados.

Estos son dos ejemplos de los mensajes falsos que han estado circulando por los teléfonos de los españoles. Por supuesto, en ambos casos venía adjunto un enlace malicioso:

• Falta el número de calle en el paquete, su paquete se ha puesto en espera. Por favor, actualice la información de envío.
• La entrega de su paquete se ha suspendido debido a que falta un número de calle en el paquete. Por favor, actualícelo.

Correos, al igual que otras empresas como sucursales bancarias o la DGT, nunca se pondrán en contacto con los clientes por teléfono para clarificar información confidencial. Los detalles de una tarjeta de crédito o la contraseña de un perfil en línea son datos que no se deben proporcionar a través de una llamada telefónica o por mensaje de texto. Detrás de la cálida voz de un supuesto funcionario o empleado, podría estar un software vishing, listo para arruinar tu privacidad digital.

Si bien es frecuente recibir mensajes con códigos de verificación después de introducir una contraseña o un PIN que corresponde a un paquete que está de camino, a veces se incluye un link sospechoso.

¿A qué nos referimos con un “enlace probablemente malicioso”? Estos son algunos trucos para detectar mensajes falsos de Correos o de otra organización:

• Comprueba que el enlace adjunto sea real. Debes verificar que el dominio de la URL coincida en su totalidad con la entidad a la que dice estar asociada.
• Revisa los datos proporcionados. Un paquete con tus libros u otro tipo de artículo está asociado a un número de identificación, la cuenta de una plataforma como Amazon o AliExpress y tu nombre completo. Si no se menciona ninguno de estos datos, y el mensaje son tres escuetas frases que dicen poco, tal vez estés ante un intento de estafa a través de SMS.
• Los regalos envenenados usan un lenguaje de urgencia. Ya hemos mencionado la importancia de analizar con detenimiento el texto de un SMS, y esto incluye el estilo y el tono. Los anuncios de spam acostumbran a usar verbos en imperativo, exceso de exclamaciones y palabras como “ahora”, “no te lo pierdas” o “solo para ti”. Es posible que por Sant Jordi, un amigo quiera darte un regalo sorpresa, por ejemplo, “La sangre del padre” de Alfonso Goizueta (finalista del Premio Planeta 2023), pero la notificación por SMS para hacer entrega del pedido no debería tener este aspecto.
• Mira bien el número de teléfono del remitente. Los códigos del país desde el que se realiza la llamada o se envía el SMS tienen que tener relación con tu lugar de residencia. Si recibes un mensaje en el que se afirma que, para celebrar el Sant Jordi, un buen amigo ha encargado un ejemplar de “Juventud de cristal”, de Luis Mateo Díez (Premio Cervantes 2023), no encajaría que Correos usara el código +598 (Uruguay).
• Vigila las faltas de ortografía. Si una supuesta editorial está intentando contactar contigo para informarte de un error de impresión en tu libro, “La habitación de Nona” de Cristina Fernández Cubas (Premio Nacional de las Letras Españolas 2023), será poco probable que cometan faltas de ortografía. Ya se han registrado casos de estafas y engaños relacionados con la editorial Planeta, pero que en realidad era una trama de suplantación de la identidad. Esta es una “red flag” de la que también advertimos en el período de las rebajas o en famosas campañas, como Black Friday.

Cuando recibas un SMS sospechoso, o que claramente sepas que es un timo, no te apresures y ten en cuenta estos consejos para no caer en la trampa:

• Evita hacer clic sobre mensajes sospechosos. Descarta la posibilidad de abrir enlaces acortados, ya que es una técnica habitual de los ciberdelincuentes, o con caracteres extraños.
• Envía el SMS directamente a la carpeta de “correo no deseado”. Es aconsejable no abrir los mensajes sospechosos, así como aquellos que se ven son falsos, sin ninguna duda. Al abrirlo, por error, puedes darle a un enlace malicioso, permitiendo que los hackers accedan a tu dispositivo.
• No sigas avanzando si aterrizas en una página web poco fiable. Otra señal que no deja lugar a dudas, estás ante una estafa online, es un link que te lleva a una plataforma desconocida que nada tiene que ver con Correos.
• Elimina directamente los mensajes de usuarios desconocidos que carezcan de sentido. Imagina que este Sant Jordi, como parte de una supuesta campaña para promover la lectura entre los más jóvenes, una ONG te solicita un donativo a través de SMS. Si sospechas que es un intento de estafa, similar a la del príncipe nigeriano, elimina directamente el mensaje. Por último, cabe preguntarse cómo han conseguido tu número de teléfono.
• No contestes para solicitar más información. En caso de tener serias dudas sobre la legitimidad de un mensaje de texto, intentar ponerse en contacto para obtener un mayor contexto, no es lo más recomendable. La respuesta que teclees puede significar el inicio del acoso digital que te quitará el sueño.
• No descargues archivos adjuntos en un mensaje con aspecto fraudulento. Si Correos te envía un mensaje de texto este 23 de abril, en el que adjunta en ePub el primer capítulo de un libro que alguien te va a regalar, no intentes descargarlo. Detrás de ese fichero Kindle, se encuentra escondido el malware que puede vulnerar las medidas de seguridad de tus dispositivos electrónicos, sobre todo si no has instalado la Protección contra amenazas de NordVPN.

Los hackers no se toman vacaciones, además conocen bien nuestras costumbres y las fechas más importantes del calendario. Este Sant Jordi, podrías encontrarte con un intento de estada de Correos relacionado con libros, por eso es urgente que conozcas los puntos débiles de estos ciberdelincuentes para que descubras a tiempo el engaño, evitando así perder dinero o datos confidenciales. Se ha demostrado que en determinados días del año, como la víspera de las elecciones generales de julio del 2023, los ataques phishing aumentan.

El Círculo de Lectores, fundado por la editorial Planeta en 1962, llevó los libros a las casas españolas. Hasta su cierre en 2019, lectores residentes en las grandes ciudades o en los pueblos más pequeños de nuestra geografía, disfrutaron de obras clásicas y otras historias más innovadoras. Gracias a la suscripción mensual, conseguían precios más asequibles por los libros o las enciclopedias. Somos muchos los que nos aficionamos a la lectura gracias a las visitas de estos comerciales a domicilio, que nos permitían elegir títulos de un catálogo.

Con la llegada de internet a los hogares, así como el cambio en nuestros hábitos de consumo, los pedidos online fueron sustituyendo la compra por catálogo. Sin embargo, el Círculo de Lectores sigue vivo en la memoria de muchos, también en la de los estafadores. Recientemente, la Unión de Consumidores de Aragón (UCA) ha denunciado los intentos de estafas de individuos que se hacen pasar por comerciales de esta reconocida organización, ya desaparecida.

Como se dio a conocer en prensa, las víctimas afirmaron que los impostores, que se hacían pasar por comerciales, llegaron a visitar algunas casas identificándose como empleados del Círculo de Lectores. Acto seguido, les ofrecieron diversos artículos con descuento, insistiendo en que, de no hacerlo, perderían sus puntos acumulados y que llevaban congelados muchos años. En caso de no ser un antiguo cliente, hablaban de los grandes descuentos que estaban aplicando en ese momento.

La estada del Círculo de Lectores podría resumirse de la siguiente manera:

• Se realiza una llamada telefónica avisando de que hay un pedido con libros que está siendo tramitado. El audio, gracias a los avances en tecnología, podría estar manipulado por inteligencia artificial y hacer más complicada la tarea de identificar el engaño.
• La persona o bot que llama, en ningún momento se identifica con credenciales concretas, simplemente hacen comentarios propios de un transportista intentando encontrar el domicilio de la persona a la que va el paquete que tiene en su itinerario. Este truco les servía para conseguir datos como: direcciones postales, nombres completos, horarios de entrega, etc.
• Al llegar a la casa de una posible víctima de estafa, y bajo una identidad de comercial del Círculo de Lectores, intentaban vender libros que sacaban de un maletín, así como otros que enseñaban en un catálogo, a la vieja usanza. A veces también les entregaba ejemplares de muestra, por ejemplo, los primeros capítulos impresos de una conocida novela.
• Una vez el cliente aceptaba la oferta, el estafador le entregaba un albarán que debía firmar. Para realizar el pago, en dicho documento, se dejaba constancia del número de cuenta.

La UCA, junto a otras organizaciones de otros lugares de España, advierten del peligro de esta estafa relacionada con la editorial Planeta. Este método fraudulento pone en peligro la privacidad de terceras personas, no solo por el posible robo de parte del saldo de sus cuentas bancarias, sino porque es probable que sus credenciales se filtren a la dark web y terminen en las manos de hackers que diseñen timos más sofisticados.

La primavera de Cataluña es especial por diversos motivos, pero llama poderosamente la atención la celebración de Sant Jordi. Es una fiesta popular que conmemora el Día del Libro, la ocasión perfecta para encontrar libros a precios más económicos o tener un detalle con un amigo. Y hay más, los catalanes combinan el Día del Libro con el día de los enamorados. Las parejas suelen intercambiar regalos: los hombres reciben un libro y las mujeres una rosa.

Por supuesto, los tiempos están cambiando, y Sant Jordi puede ser la excusa perfecta para recibir a domicilio un paquete con rosas y un ejemplar de “Las niñas del naranjel”, de Gabriela Cabezón Cámara (Premio Ciutat de Barcelona de Literatura 2023). La leyenda dice que Sant Jordi venció al dragón que atemorizaba al pueblo y la princesa, pero la literatura nos ha enseñado que nosotras no siempre tenemos que ser rescatadas. Podemos acabar con las bestias y que de sus cuerpos broten rosas rojas, tal y como hizo el caballero del siglo XV.

Eso sí, para que tu Sant Jordi no sea turbulento, ten en cuenta que los hackers podrían aprovechar tus ganas de recibir un buen libro por correo y engañarte con una de sus campañas smishing. Este Sant Jordi, no descuides tu ciberseguridad, incluso si eres de los que les gusta el olor de los libros físicos y no piensan aficionarse al Kindle.