¿Correos te pide 1,79€ por SMS para entregarte un paquete? No piques, es una estafa

A veces, los cibercriminales se esfuerzan por crear timos nuevos que nadie conozca. Pero la mayoría de las veces reciclan una y otra vez los ya usados, a ver si cuelan. En octubre de 2019 os contamos una estafa bancaria que utilizaba la imagen de Correos para intentar sacar dinero a quien picase, a través de un email en el que Correos supuestamente te pedía que ingresaras una pequeña cantidad de dinero en concepto de “gastos de gestión de aduanas”,porque tenías un paquete pendiente de ser repartido que se había quedado en la aduana.

Ese mismo timo volvió en diciembre de 2019, a tiempo la Navidad, y luego en abril de 2020 y justo en noviembre del mismo año y a inicios de 2022. Y como ya parece un viejo conocido, lo tenemos de nuevo de vuelta.

La estafa de correos por 1,79 euros

El INCIBE, el Instituto Nacional de Ciberseguridad, vuelve a alertar sobre la campaña de envío de emails fraudulentos que suplantan la identidad del servicio de Correos. El objetivo es redirigir a la víctima a una página que simula ser la web legítima de Correos, pero que en realidad no lo es (phishing), la cual solicita al usuario realizar un pago de 1.79 euros por los costes del envío del paquete -el año pasado era de 2,99€, cómo se nota la crisis.

El email se envía desde una cuenta de correo electrónico que no pertenece al servicio legítimo de Correos y bajo varios asuntos distintos:

Ejemplo 1:

‘Su paquete no ha podido ser entregado, porque no se han pagado las tasas de aduanas (1,79€) puede pagar en el siguiente enlace: [URL maliciosa]’

Ejemplo 2:

‘Su paquete no se ha podido entregar el [XXX] porque no se han pagado las tasas de aduanas (1,79€). Siga las instrucciones: [URL maliciosa]’

Ejemplo 3:

‘[Correos] Su paquete no se ha podido entregar, no se han cobrado las tasas aduana (1,79€). Puede pagar en este enlace: [URL maliciosa]’

La estafa falsea el domino de Correos para dotar de mayor credibilidad al fraude. De esta forma, el usuario puede pensar que realmente es la entidad legítima la que le está enviando el correo electrónico -una práctica llamada Mail spoofing.

Hay que fijarse en el lenguaje utilizado en el mensaje, que aunque correcto no se detectan las palabras con tildes y añade símbolos raros. Es habitual encontrar faltas de ortografía y/o redacciones poco cuidadas debidas, en gran parte, al uso de traductores automáticos.

Un pago mínimo

La estafa funciona así:

Al pulsar sobre el botón “Encontrara datos aqui”, el usuario es redirigido a una página que intenta imitar a la legítima, donde se le indica que debe ingresar sus datos y pagar 1,79€ para recibir el paquete. Cabe destacar que los campos del formulario realizan acciones que intentan validar los datos introducidos por el usuario. El objetivo es dar veracidad a la web y no levantar sospechas en el usuario víctima.

Tras pulsar el botón de “Confirmar”, se redirige al usuario a una página que contiene un formulario donde se solicitan los datos de la tarjeta bancaria: titular, número de la tarjeta, caducidad y código de seguridad.

Tras pulsar en el botón “Pagar”, el usuario es redirigido a una página con un formulario donde se solicita un código que supuestamente le debería llegar por SMS. Esta estrategia se utiliza para dotar de mayor credibilidad al proceso de pago y, aunque el SMS nunca lo recibirá, los ciberdelincuentes ya han cumplido su objetivo, que es hacerse con sus datos de la tarjeta bancaria.

Y el pago que solicita, siendo así de mínimo de 1.79€, puede provocar “que más víctimas caigan en el engaño al no suponer un gran coste económico para el usuario”, sobre todo si está en verdad esperando un paquete de una compra online que haya hecho. ¿Qué sucede si se realiza el pago? No sólo le estarás dando a los cibercriminales tus datos personales, sino peor aún: también los bancarios.

Si estás pendiente del reparto de un paquete y además es con Correos, nunca pagues, porque ninguna empresa envía por correo electrónico solicitudes de pago donde se soliciten datos personales de sus clientes. Si no estás seguro, llama a Correos y pregúntales, y te confirmarán lo mismo que la OSI: que es una estafa.