Alerta de estafa en Navidad: recibes un mensaje falso a nombre de Estafeta y te roban tu dinero

Un mensaje de texto con signos de smishing está circulando entre los usuarios mexicanos, quienes son alertados de un supuesto pedido que se perdió en el camino. De esta forma, los ciberatacantes consiguen que sus víctimas entren a un link en el que aparece una página señuelo de Estafeta, empresa de logística mexicana.

Este tipo de estrategias maliciosas pueden afectar a los consumidores que harán sus compras navideñas en línea. Cabe destacar que, en 2024, el 80% de los mexicanos declararon que recurrirían tiendas digitales en Navidad, según el reporte “Pulso del Consumidor Mexicano“.

Así es este posible fraude con un mensaje de texto

Un reportero de Unotv.com recibió un mensaje este martes 2 de diciembre con el siguiente texto:

“No podemos contactar al destinatario y su pedido no se puede entregar. Por favor, verifique inmediatamente para evitar retrasos”.

Fragmento del SMS

Al final del texto, se encuentra un link que incluye la palabra “estafeta“, es decir, la reconocida empresa de logística mexicana.

Cuando el usuario abre el enlace, es redirigido a una página con el logo y diseño de Estafeta, específicamente al apartado de “Rastrear mi paquete“.

Para poder rastrear el supuesto paquete, el usuario tiene que ingresar su dirección de correo electrónico. De esta forma, se promete acceder a la información actual del paquete y la fecha de entrega estimada.

El reportero de Uno TV ingresó a la página oficial de Estafeta, en donde sí existe un apartado de “Rastrear mi paquete“; sin embargo, el sitio real no pide el correo electrónico.

Para rastrear un paquete en la empresa de logística, el usuario debe introducir su número de guía o número de rastreo.

Una señal para advertir que se trata de una página falsa es que el usuario no puede acceder a ninguno de los apartados o menús del sitio.

Estafeta advierte por mensajes fraudulentos

A través de su sitio web oficial, Estafeta advierte por mensajes falsos a nombre de la empresa mexicana, asegurando que no se trata de su servicio.

“Le pedimos tener mucho cuidado con mensajes SMS que están circulando y no provienen de Estafeta. Para la entrega de su envío, no pedimos pagos a través de enlaces ni solicitamos información personal adicional”.

Estafeta

Sin embargo, Estafeta también advierte: “Durante la temporada de fin de año, debido al incremento en el volumen de envíos, es posible que haya ajustes en los tiempos de entrega“.

Debido a este contexto, los cibercriminales han aprovechado para engañar a sus víctimas con pedidos demorados.

¿Qué es el smishing?

El smishing es una variante de phishing, a través de mensaje de texto, en el que los atacantes engañan a las víctimas para que compartan información confidencial, según la empresa de ciberseguridad Kaspersky.

Este tipo de ataques pueden estar respaldados por malware o sitios web fraudulentos, explotando la confianza humana como cualquier ataque de ingeniería social.

¿Cómo se ven estos fraudes? A través de mensajes de texto, los ciberdelincuentes buscan robar datos personales, que luego pueden usar para cometer fraude u otros ciberdelitos como el robo de datos o dinero. Para ello, usan un URL de dos formas:

1. El vínculo podría engañar a la víctima para que descargue malware, el cual se instala en el celular. Este software malicioso puede disfrazarse de apps legítimas, engañar para escribir información confidencial y enviar esos datos a ciberdelincuentes.
2. El link podría llevar a un sitio web falso que solicite el ingreso de información personal confidencial. Los ciberdelincuentes utilizan sitios maliciosos personalizados, diseñados para imitar sitios reconocidos, facilitando el robo de información.

Cabe destacar que, en el smishing, los atacantes suelen hacerse pasar por el banco de la víctima y solicitan información personal o financiera, como número de cuenta o número secreto de cajero automático.

“Si proporcionas la información, es como si entregaras a los ladrones la clave de tu cuenta bancaria”, advirtió Kaspersky.

¿Cómo protegerte de este tipo de estafas?

El mensaje de Estafeta tiene diversos signos de smishing, incluyendo la URL maliciosa que pide información personal. Para evitar caer en este tipo de estafas, Kaspersky ofrece los siguientes consejos:

• No respondas: Incluso las solicitudes de responder a mensajes con la palabra “STOP” para anular una suscripción pueden ser una estafa para identificar números de teléfono activos. Los atacantes dependen de la curiosidad o ansiedad que te genere la situación, pero siempre puedes negarte a participar.
• Si un mensaje es urgente, tranquilízate y tómate tu tiempo: Considera las actualizaciones de cuenta urgentes y las ofertas por tiempo limitado como indicios de advertencia de posible smishing. Mantén el escepticismo y actúa con cautela.
• Si tienes alguna duda, llama al banco o al comerciante directamente: Las instituciones legítimas no solicitan actualizaciones de cuenta o información de inicio de sesión a través de mensajes de texto. Asimismo, puedes verificar cualquier notificación urgente de manera directa en tus cuentas en línea o a través de una línea de asistencia telefónica oficial.
• Evita usar cualquier vínculo o información de contacto incluidos en el mensaje: Evita usar vínculos o información de contacto incluidos en mensajes que te generen incomodidad. Siempre que puedas, utiliza directamente canales de contacto oficiales.
• Verifica el número de teléfono: Los números raros, como los de cuatro dígitos, pueden ser evidencia de servicios de correo electrónico a mensaje de texto. Esta es una de las muchas tácticas que utilizan los estafadores para enmascarar su número de teléfono real.
• Elige no guardar nunca números de tarjetas de crédito en el teléfono: La mejor manera de evitar que roben información financiera de un monedero digital es nunca guardarla allí.
• Usa autenticación de varios factores (MFA): Una contraseña expuesta puede ser inútil para un atacante de smishing, siempre que la cuenta a la que quiera acceder requiera una segunda “clave” de verificación. La variante más habitual de la MFA es la autenticación de dos factores (2FA), que suele usar un código de verificación que se envía por mensaje de texto.
• Nunca envíes por mensaje de texto una contraseña ni un código de recuperación de cuenta: Tanto las contraseñas como los códigos de recuperación que se envían por mensaje de texto en la autenticación de dos factores (2FA) pueden poner en riesgo la cuenta si caen en las manos equivocadas. Nunca compartas esta información con nadie y úsala solo en los sitios oficiales.
• Descarga una aplicación antimalware: Los productos como Kaspersky Mobile Security pueden brindar protección frente a aplicaciones maliciosas, así como frente a los propios vínculos de mensajes de SMS de phishing.
• Informa todos los intentos de phishing de SMS a las autoridades designadas: Recuerda que, al igual que el phishing por correo electrónico, el smishing es una estafa que se basa en engañar a la víctima para que coopere haciendo clic en un vínculo o proporcionando información.

“La medida de protección más simple contra estos ataques es no hacer nada. Si no respondes, un texto malicioso no puede hacer nada”, remató Kaspersky.

Si tienes una denuncia, reporte o inquietud, comunícate al WhatsApp de Uno TV: +52 55 8056 9131. Estamos para escucharte y darle voz a tu historia.

Sigue a Uno TV en Google Discover y consulta las noticias al momento.