La Seguridad Social alerta de un nuevo correo fraudulento que suplanta notificaciones oficiales
La Tesorería General de la Seguridad Social ha emitido recientemente un aviso de ciberseguridad tras detectar la circulación de un nuevo correo electrónico fraudulento que suplanta notificaciones oficiales del organismo. Se trata de una campaña especialmente peligrosa, ya que afecta tanto a empresas como a ciudadanos y utiliza técnicas cada vez más sofisticadas para engañar a los destinatarios.
Un fraude cada vez más elaborado
Según ha informado la Seguridad Social, los correos detectados aparentan proceder de la Tesorería General de la Seguridad Social y contienen un archivo adjunto en formato HTML. Al abrir dicho archivo, el usuario accede a un falso portal de la Seguridad Social, visualmente muy similar al oficial, donde se le solicita que introduzca sus claves personales de acceso.
El objetivo final de este tipo de campañas es siempre el mismo: apoderarse de las credenciales del usuario para poder operar en su nombre, acceder a información confidencial o realizar gestiones fraudulentas ante la Administración.
Imagen obtenida de la web de la Seguridad Social
La dificultad de detectar el engaño
Uno de los aspectos más preocupantes de esta campaña es que el correo aparenta enviarse desde una dirección legítima de la Seguridad Social, concretamente desde el remitente utilizado habitualmente para las notificaciones telemáticas oficiales. Este detalle hace que el fraude resulte mucho más difícil de identificar, incluso para personas acostumbradas a gestionar comunicaciones administrativas de forma habitual.
Por este motivo, la propia Seguridad Social insiste en extremar la precaución y no confiar únicamente en la apariencia del mensaje o en el nombre del remitente.
A quién afecta esta campaña
La alerta emitida no se dirige a un colectivo concreto. Este tipo de correos se están enviando de forma masiva y pueden llegar tanto a empresas y autónomos como a ciudadanos particulares, lo que amplía notablemente el alcance del riesgo.
Cualquier persona que reciba notificaciones electrónicas de la Seguridad Social puede ser potencial destinataria de este intento de fraude.
Qué pretende el mensaje fraudulento
El contenido del correo suele apelar a la urgencia, solicitando al destinatario que valide un supuesto documento pendiente o que revise una incidencia que requiere actuación inmediata. Para ello, se invita a acceder al portal falso utilizando las credenciales habituales.
Conviene recordar que la Seguridad Social nunca solicita contraseñas, claves personales ni datos de acceso por correo electrónico ni mediante archivos adjuntos. Cualquier mensaje que requiera este tipo de información debe considerarse sospechoso.
Cómo identificar que se trata de un fraude
Aunque estos correos estén cada vez mejor elaborados, suelen presentar ciertos indicios que permiten detectarlos. Es habitual encontrar errores de redacción, frases incompletas, logotipos desactualizados o pixelados, plazos poco realistas para actuar y mensajes que generan sensación de alarma o presión. Además, el uso de archivos HTML adjuntos para acceder a supuestos portales oficiales no es un procedimiento habitual de la Administración.
Recomendaciones ante un correo sospechoso
Ante la recepción de una comunicación de estas características, la recomendación es no abrir archivos adjuntos ni introducir ningún tipo de credencial. En caso de duda, lo más prudente es eliminar el mensaje y contactar directamente con los canales oficiales de la Seguridad Social para confirmar si existe alguna notificación real pendiente.
Asimismo, la Seguridad Social recuerda que el Instituto Nacional de Ciberseguridad (INCIBE) dispone de recursos y asesoramiento para ayudar a ciudadanos y empresas a identificar y gestionar este tipo de fraudes.
Riesgos reales para empresas y autónomos
Acceder a estos enlaces fraudulentos puede tener consecuencias importantes, especialmente en el ámbito empresarial. El robo de credenciales puede derivar en suplantaciones de identidad, accesos no autorizados a datos laborales y de cotización, pérdidas económicas e incluso incumplimientos en materia de protección de datos, con las correspondientes responsabilidades legales.