Comprar online cualquier día y a cualquier hora sin tener que moverse de casa es lo normal. Tanto es así, que el gasto medio realizado por los españoles en compras online alcanzó los 3.476 euros en 2023, lo que supone un 10% más en comparación con el año anterior. Ante este escenario, no es de extrañar que a nuestra vivienda lleguen cientos y cientos de paquetes y que los delincuentes aprovechen su llegada para intentar estafarnos.

La empresa de transporte, mensajería y paquetería DHL ha estado varias veces bajo el punto de mira de los estafadores, y esta vez, ha vuelto a estarlo. La Oficina de Seguridad del Internauta (OSI) ha detectado una campaña utilizando la técnica de "phishing", es decir, de envío masivo de correos electrónicos fraudulentos donde suplanta la identidad de la compañía. A través de estos se informa al usuario de que un paquete ha sido devuelto y le indican deberá abonar un coste de envío de 2,65 euros si no quiere que su paquete se devuelva al remitente.

Aunque la dirección del remitente no tiene ningún tipo de relación con la compañía, los ciberdelincuentes han añadido su logotipo en el correo para darle "más credibilidad".

Para hacer el pago, se incluye un enlace en el mensaje que abrirá un sitio web que suplanta a DHL. "Además, en el enlace se observa un dominio que simula ser el legitimo de DHL (www.dhl.com) aunque faltan las www. Igualmente, al pulsar sobre el enlace la página redirige a otro dominio que nada tiene que ver con el oficial", explican.

Tras pulsar en el link, se abre una página que simula ser la oficial de DHL donde aparece un formulario en el que se solicita al usuario que introduzca datos personales como nombre y apellidos, correo electrónico, dirección de envío, ciudad, número de teléfono, crear contraseña y confirmar contraseña.

Una vez se han introducido todos los datos y se pulsa sobre confirmar, emerge una nueva pantalla en la que aparece otro formulario con diferentes campos de datos bancarios: nombre del titular de la tarjeta, número de la tarjeta, fecha de expiración y código de seguridad. Al pulsar de nuevo en confirmar, el usuario ve en su pantalla un proceso de carga del pago y finalmente le aparece que debe introducir un código SMS que supuestamente ha recibido en su teléfono para realizar un pago seguro.

"Si se introduce dicho código se podrá observar cómo se visualiza una nueva pantalla en la que se indica que el código ha caducado. El proceso no se llega a finalizar, pero los ciberdelincuentes ya estarán en posesión de los datos de la víctima y los podrán utilizar para cometer futuros fraudes", aseguran desde la OSI.

¿Qué debo hacer si he sido estafado?

En el caso de haber caído en la trampa de los delincuentes, desde la Oficina de Seguridad del Internauta recomiendan que se tengan en cuenta las siguientes pautas:

• Comprobar en los próximos meses los movimientos de nuestra cuenta bancaria afectada, para que, en caso de detectar cargos no autorizados, se pueda reportar a la entidad bancaria de inmediato.
• Recopilar todas las evidencias posibles –correo electrónicos o capturas– y, para ello, se pueden utilizar testigos online.
• Contactar con las Fuerzas y Cuerpos de Seguridad del Estado, entregándoles todas las pruebas que se hayan podido recopilar y presentar una denuncia.
• Practicar el "egosurfing" para verificar si nuestros datos personales o bancarios han sido expuestos y, de ser así, solicitar su eliminación, ejerciendo el derecho al olvido.
• Si no se está seguro sobre la autenticidad de una notificación de DHL, se puede enviar esta a través del correo electrónico al equipo específico de la empresa para que comprueben su veracidad.