Parece que Correos es uno de los mejores «ganchos» para las campañas de phishing de los ciberdelincuentes. Aunque tampoco el espectacular auge del comercio electrónico y los envíos de paquetería son inocentes del todo. El caso es que la Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad (Incibe), ha alertado de la circulación de una campaña de envío de correos electrónicos fraudulentos (conocido como phishing) que simulan ser de la empresa de mensajería Correos.

El mensaje contiene el enlace a un chatbot que solicita la confirmación de la entrega de un paquete. Dicho chatbot realiza preguntas a los usuarios sobre dicha entrega. Al finalizar la conversación, el bot oferta un teléfono móvil por 1,50 euros y, para adquirirlo, la víctima debe facilitar sus datos personales y los de su tarjeta de crédito. Una vez rellenados los datos, los estafadores extraen el dinero de la cuenta bancaria.

El organismo indica que el correo fraudulento se envía bajo los asuntos «#Tu-paquete-ha_llegado!#«, «Tu-paquete-ha_llegado!!!«, «[usuario],Tu-paquete-ha_llegado!«, y «[usuario]…..Tu-paquete-ha_llegado!«, aunque no se descartan otros. El mensaje inicialmente indica que el usuario debe pagar 4,95 euros para poder recoger el paquete, aunque dicho precio no se vuelve a mencionar.

Ejemplo del correo fraudulento. | Imagen: Osi.

Al acceder al enlace que contiene, el usuario contacta con el chatbot para concretar una nueva fecha de entrega, donde se le indica que los gastos de recogida serán menos de 3 euros y, al acabar de hablar con el bot, redirige a la oferta por el smartphone.

Ejemplo del chatbot. | Imagen: Osi.

Ejemplo del chatbot. | Imagen: Osi.

Si decide adquirir el supuesto móvil por 1,5 euros, será redirigido a una falsa pasarela de pago utilizada por los ciberdelincuentes para conseguir la información y, si el usuario decide pagar, será redirigido a una ventana que simula ser la de autenticación de la aplicación bancaria. Esta autenticación realmente nunca se producirá, ya que en este momento los estafadores ya tienen los datos de la víctima.

Los usuarios pueden detectar que se trata de un correo fraudulento debido a la incoherencia de datos. Primero se habla de un pago de 4,95 euros, que posteriormente baja a menos de 3. Finalmente, no se vuelve a mencionar ningún tipo de gastos de envío. Al contrario que en otros casos de phishing, la redacción de éste es correcta y sin faltas de ortografía -bastante habituales en las estafas digitales debido al uso de traductores automáticos, principalmente-.