"Tienes un paquete esperando ser entregado": cómo funciona la nueva estafa que suplanta a Correos

El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado alertado de una campaña de suplantación a Correos, en la que mediante SMS fraudulentos y correos electrónicos, se roba información bancaria y personal del usuario con la excusa de necesitar confirmación de datos de envío o el pago de aduanas.

Según explica el INCIBE en un comunicado, la víctima recibe un correo electrónico bajo el asunto "tienes un paquete esperando ser entregado". En él se indica que hay un paquete que Correos no puede entregar debido a que no se ha realizado el pago pertinente por los costes de aduana. En la comunicación se solicita al usuario que compre un código PIN en la plataforma Paysafecard y lo envíe a una dirección. En este caso, la estafa se puede detectar porque contiene algunas faltas de ortografía y porque el dominio, aunque intenta ser el mismo que el de Correos, es algo diferente.

También se ha detectado que esta campaña utiliza los SMS con un fin similar, bajo la excusa de necesitar confirmar datos de la dirección de entrega del paquete: "Su paquete ha sido puesto en espera debido a que falta un numero de calle en el paquete. Por favor actualice la información de entrega". La URL nos direcciona a una ventana de navegador, en la que podemos ver que la página imita el logotipo de Correos simulando la original, y nos indica que hay una fecha límite para recibir la entrega, y que podemos hacer un pago de gastos para que hagan un nuevo intento de entrega, junto con un botón de “RECIBIR”. Tras pulsar en el botón, en la siguiente ventana nos indicarán un código de envío, nos informarán del importe a pagar, y nos solicitarán una serie de datos: “Nombre de la tarjeta”, “Número de tarjeta”, “Fecha de caducidad” y “Código CVV”.

La web redireccionará hacia una supuesta pasarela de pago donde los ciberdelincuentes podrán obtener tus datos bancarios. Una vez redireccionado a la pasarela de pago, te pedirá el factor de doble autenticación con clave SMS. A continuación, la pasarela solicitará el PIN de la tarjeta de crédito para confirmar el supuesto pago. Tras la acción anterior, se redireccionará a una nueva página donde se solicitan nuevamente todos los datos de una tarjeta de crédito o débito para finalizar el pago solicitado, bajo el pretexto de un supuesto fallo durante el proceso.

En caso de haber recibido este mensaje y no haber entrado en ninguno de los enlaces y tampoco haber proporcionado los datos que se solicitan, hay que "marcarlo como spam o bloquearlo y elimínalo de tu bandeja de entrada", recomienda el centro tecnológico. Si, por el contrario, ya se ha accedido y proporcionado información, "ponte inmediatamente en contacto con tu banco para que se tomen las medidas de seguridad necesarias, como cancelar la tarjeta utilizada", pide la institución. Además, el INCIBE insta a las víctimas a realizar "búsquedas" de si mismo en Internet" durante los "próximos meses" para comprobar que no se han expuesto tus datos personales -lo que se conoce como 'egosurfing'- y, en caso de encontrar algo, ejercer el derecho al olvido para eliminarlos de la red.

INCIBE añade que si se tienen dudas sobre la ubicación de un paquete o su estado, se acceda a la página oficial de Correos y s compruebe con el número de seguimiento. También se puede comprobar si la comunicación es oficial a través de su enlace de verificación de email.