El INCIBE (Instituto Nacional de Ciberseguridad Español) ha lanzado un aviso acerca de una nueva campaña de phishing que pretende suplantar a Correos, la empresa pública de mensajería y paquetería. Los estafadores, utilizando correos electrónicos y SMS fraudulentos, recurren a la falsa pretensión de confirmar datos de envío o efectuar pagos aduaneros para —como es común en estos casos— obtener información bancaria y personal.

¿Cómo funciona este fraude?

Las víctimas reciben un correo electrónico o un SMS con mensajes como "tienes un paquete esperando ser entregado". Estos mensajes instan a los usuarios a realizar pagos por aduana (en el caso del e-mail) o actualizar información de entrega debido a que "falta un número de calle en el paquete" (en el caso del SMS).

Los enlaces adjuntos llevan a sitios web fraudulentos que imitan el logotipo y la interfaz de Correos, lo que aprovecha para solicitar datos como el número de tarjeta, fecha de caducidad, y código CVV. La estafa culmina cuando nos convencen de acceder a una falsa pasarela de pago que captura todos estos datos y se los hace llegar a los estafadores.

El pago nunca se completa (no es que hubiera nada real por lo que pagar, claro) porque, inevitablemente, siempre nos redireccionarán a una nueva página donde se solicitan nuevamente todos los datos de la tarjeta, bajo el pretexto de un supuesto fallo durante el proceso.

En el caso del email de phishing que cita el INCIBE (que, con muy leves …