Hace relativamente poco subíamos una noticia similar a esta en la que alertábamos de las campañas de 'phishing' y SMS maliciosos que suplantan la identidad de servicios de paquetería como DHL, Amazon o Correos, o la más reciente, FedEx. En ellos se manda un mensaje con un link e indican al cliente que su pedido está próximo a su entrega o por el contrario retenido en su centro de envío, obteniendo así datos y estafando a las personas que lo reciben y pulsan.
A través del envío de un mensaje de texto al móvil sobre un supuesto envío, los estafadores introducen un enlace que redirige al usuario a la descarga de un APK, esto es, un paquete de instalaciones de Android.
"Hola: su paquete se ha retenido en nuestro centro de envio. Siga las instrucciones aqui". Este es el mensaje, sin tildes, que llega a los móviles de los usuarios, junto con un enlace. Los estafadores buscan instalar un malware en el smartphone para extraer información personal, como los datos bancarios.
Si se descarga, el APK pedirá los permisos necesarios, como ocurre con otras aplicaciones móviles, para llamar o ver contactos. Otro de los motivos de los atacantes es hacerse con la agenda telefónica para enviar el mensaje a más personas. Así es como se extiende la estafa.
Según la Oficina de Seguridad del Internauta (OSI), "con la excusa de hacer el seguimiento o rastreo de un envío, se insta al usuario a hacer clic en el enlace". Después, se redirige a una web falsa donde se indica que tiene que descargar una aplicación para el móvil e incluso los pasos para hacerlo.
¿QUÉ HAGO SI LO HE RECIBIDO? En el caso de haber sido víctima de una estafa de estas características y haber descargado la aplicación maliciosa, lo primero que hay que hacer es desinstalar la aplicación del dispositivo y escanear con un antivirus para comprobar si existen otras amenazas. Además, recuerdan desde la OSI, hay que acceder al gestor de archivos para encontrar el archivo .apk y eliminarlo.
Si has recibido el SMS malicioso pero no has descargado la aplicación, "simplemente debes eliminar el mensaje de tu bandeja de entrada para no instalarla por error".
Para evitar ser víctimas de una estafa de este tipo, la OSI ofrece algunas recomendaciones:
- No fiarse de los mensajes de usuarios desconocidos y eliminarlos de la bandeja de entrada.
- No contestar en ningún caso a estos mensajes.
- Tener el sistema operativo y el antivirus actualizado.
- Localiza siempre tu envío en la web oficial de la compañía.
- No facilites datos personales o bancarios en cualquier página.
- No accedas a un servicio en Internet que solicite información privada, como datos bancarios.
Cabe destacar que los mensajes siempre suelen tener faltas de ortografía, como en este caso que aparece sin tildes. Además, ninguna empresa de mensajería envía por mensaje de texto o correo electrónico solicitudes de pago que requieran el envío de la información bancaria.