El mensaje que ha empezado a enviarse a varios usuarios españoles se hace pasar por Correos y solicita el pago de una pequeña cantidad en concepto de aduanas. A pesar de que este tipo de campañas se producen de forma casi constante desde hace ya tiempo, el estar inmersos en plena temporada de compras navideñas y habiendo incorporado nuevas medidas relacionadas con la compra de artículos en el extranjero desde este verano puede hacer que no pocos usuarios le den veracidad a este mensaje, avisa Josep Albors, director de investigación y concienciación de la firma de ciberseguridad ESET.

Además, el teléfono desde el cual se envía este mensaje pertenece a un número español, lo que ayuda a que algunos usuarios bajen la guardia y realmente crean estar ante una comunicación oficial de Correos. Tal y como es habitual en este tipo de mensajes, al final del mismo se nos adjunta un enlace acortado que no nos deja ver a dónde se nos quiere redirigir realmente.

En caso de pulsar este enlace acortado se envía a la víctima a una web que muestra una plantilla con la supuesta cantidad que hay que abonar, utilizando los colores corporativos y el logo de la empresa suplantada, con la opción de realizar el pago o cancelar la operación. Esta plantilla lleva bastante tiempo siendo utilizada y, a pesar de esto, no parece que los delincuentes detrás de estas campañas tengan la intención de actualizarla.

Este caso de suplantación de identidad o phishing depende de que se convenza al usuario para que introduzca los datos relacionados con su tarjeta de crédito. Para ello se presenta un formulario donde introducir datos como el nombre del titular de la tarjeta, el número de la tarjeta, su caducidad, el código de seguridad y, como novedad con respecto a campañas anteriores, el código PIN.

Una vez los delincuentes obtienen estos datos ya pueden tratar de realizar operaciones fraudulentas con la tarjeta robada, como, por ejemplo, realizar compras a cargo de la víctima o sacar dinero de un cajero automático una vez se clona la tarjeta.

Sin embargo, para autorizar algunas de estas operaciones se requiere un código de verificación enviado por el banco, código que los delincuentes no tienen ningún problema en solicitar a la víctima en el siguiente paso.

Los delincuentes no se han preocupado demasiado en evitar dejar rastro y en la misma web a la que se redirige el usuario tras pulsar sobre el enlace enviado por SMS se ve una carpeta donde se aloja la plantilla usada para suplantar la identidad de correos. La fecha de la última modificación sirve como indicio para saber desde cuándo podría estar usándose en este tipo de ciberataques

Es muy probable que este kit de creación de webs suplantando a Correos sea utilizado por varios grupos de delincuentes y que éstos cuenten con una estructura encargada de vaciar el saldo disponible en las tarjetas de crédito robadas y enviarlo a cuentas controladas por atacantes, aunque la solicitud del código PIN en esta campaña también hace pensar que han optado por una aproximación más directa y que les permita sacar dinero directamente de los cajeros automáticos con tarjetas clonadas.

A pesar de estar ante un caso de phishing sobradamente conocido y que lleva en España bastante tiempo, los delincuentes siguen confiando en que conseguirán nuevas víctimas ahora que estamos en plena vorágine de compras prenavideñas y muchas personas están a la espera de recibir paquetes. Por ese motivo, «es importante que permanezcamos alerta ente este tipo de amenazas e informemos a nuestros familiares y conocidos para que ellos tampoco caigan en esta trampa», concluye Josep Albors.