Se multiplican denuncias de smishing que suplantan servicios de correos

Cientos de usuarios en redes sociales han compartido mensajes relativos a una estafa que está llegando a sus dispositivos telefónicos desde la semana pasada, la mayoría de los cuales indican un problema con un supuesto envío retenido en Correos de Chile, ChileExpress y FedEx.

Este tipo de incidente, conocido como smishing (una variante del phishing que se realiza por mensaje de texto), está utilizando la imagen corporativa de las empresas de envíos para engañar a las personas que reciben el mensaje, haciéndoles creer que se trata del sitio legítimo de alguna de estas empresas.El mensaje específico de la estafa, en la mayoría de los casos, indica lo siguiente: “La entrega de su paquete ha sido suspendida debido a que falta un numero de calle en el paquete.por favor actualice”.

Junto con el mensaje de smishing, los atacantes disponen de un enlace a un sitio que utiliza la imagen de corporativa de Correos de Chile donde persuaden a las víctimas para ingresar información confidencial con la cual ejecutan su estafa.Haciendo eco de las denuncias, el CSIRT de gobierno ha publicado varias alertas de ciberseguridad relativas a la creación de estos sitios fraudulentos y campañas de phishing, los que principalmente suplantan la identidad de Correos de Chile, pero también de FedEx y de ChileExpress. En el caso de esta última, la campaña de phishing adjunta un programa malicioso (malware) que podría infectar a los dispositivos de las personas que lo descargan.

En las últimas horas algunos medios de comunicación extranjeros han advertido que otras empresas de envíos de encomiendas están siendo suplantadas para enviar phishing alrededor del mundo, entre las cuales figura el servicio postal de los Estados Unidos (USPS). El mensaje que utilizan los atacantes en esas campañas es muy similar al que se ha reportado en nuestro país, aludiendo a información incompleta o errónea para la entrega del paquete, creando así el incentivo para utilizar el enlace adjunto.

Frente a la intensa campaña de smishing que está llegando a los dispositivos telefónicos de miles de usuarios en el país, Fernando Lagos, CEO de NIVEL4, comentó que el phishing sigue siendo la mayor amenaza para la ciberseguridad de las personas y de las organizaciones.

“Un phishing representa, por una parte, una amenaza a nivel personal, porque puede robar los datos sensibles de una persona y, dependiendo del uso que se haga de esa información, también podría dañar su reputación y a su entorno, iniciando otros ataques similares. Pero también este tipo de ataque podría escalar y afectar incluso a las organizaciones de las que forman parte, especialmente si involucra un malware que puede llegar a infectar su dispositivo, así como los de su entorno de trabajo si no cuenta con la protección adecuada”, indicó el especialista.

En general, el 91% de los incidentes conocidos se inician porque usuarios desprevenidos ingresan a enlaces fraudulentos o descargan programas maliciosos insertos en un phishing. De acuerdo a cifras compartidas por NIVEL4 y extraídas de un análisis de phishing test realizados en las industrias financieras, tecnológicas y de gobierno en Chile durante el año 2022, el 23% de las personas que recibieron un phishing abrieron el correo para ver el mensaje fraudulento, un 4% utilizó el enlace adjunto y un 2% entregó datos o descargó malware.

Fernando Lagos y los especialistas de NIVEL4 compartieron una serie de consejos para evitar caer en este tipo de estafas, como por ejemplo, revisar el sitio en el que se está interactuando y que éste coincida con el nombre de la organización que dice ser.

Las siguientes son las recomendaciones que los especialistas nos entregan sobre este tipo de ciberataque en particular:

• Tome su tiempo y lea con atención el mensaje que le ha llegado. Si usted no recuerda haber solicitado un paquete a través de algún servicio de correos, no interactúe ni responda este tipo de mensajes.

• Revise el sitio en el que se está interactuando y que éste coincida con el nombre de la organización.

• Nunca entregue información que le ha sido solicitada a través de enlaces (como contraseñas o números de recuperación).

• Si no reconoce al remitente, absténgase de abrir o responder el mensaje.

• Utilice doble factor de autenticación en correos y redes sociales.

• No guarde sus contraseñas en los navegadores.

• Utilice contraseñas distintas en sus cuentas (no reutilice contraseñas).

• No haga clic apresurados en un enlace o en un archivo adjunto.

• No responda apresuradamente correos que dicen ser “urgentes”. Toma su tiempo y revise bien de qué se trata.

• Si un mensaje habla de un asunto que no está claro o está mal escrito, sospeche de un fraude.