Cada vez los métodos de estafa que tienen los ciberdelincuentes son, sino más sofisticados, por lo menos sí más variados. Justo en unos días en los que se ha dado a conocer un caso de vishing sufrido por un vecino de Valladolid, Sacyl ha advertido de intentos de smishing en los cuales la identidad del servicio público de Salud de Castilla y León está siendo suplantada. Aunque se trata en realidad de una campaña de prevención a nivel nacional, Sacyl indica la manera en la que los cacos intentan hacerse con el dinero ahorrado por sus víctimas a través de este método de engaño.
El smishing es un tipo de estafa mediante el cual los ciberdelincuentes hacen llegar a los usuarios (en este caso del servicio sanitario de Castilla y León) mensajes vía SMS con textos en los que se refieren a validez de su tarjeta sanitaria, tratando así de generar una duda o una confusión por la que esos usuarios puedan picar y seguir sus instrucciones. Así, con esos mensajes de texto fraudulentos, en los que se hacen pasar por una entidad pública, intentan acceder a informaciones de carácter sensible, como por ejemplo, pidiendo que se envíe un correo electrónico a una dirección de email que proporcionan en el mensaje con datos personales o bancarios.
Como ha alertado la Consejería de Sanidad de la Junta de Castilla y León, el smishing es una práctica ilegal y fraudulenta mediante la cual se simulan comunicaciones de apariencia legítima con la intención de comprometer la seguridad de esos dispositivos desde los que se accede o bien de tratar de acceder a ese tipo de información consideraba de carácter estrictamente privado y sensible. Con el fin de garantizar la seguridad de esos dispositivos tecnológicos, así como de la información personal, se recomienda no entrar en los enlaces que los mensajes pudieran contener ni descargar archivos de ningún tipo; mucho menos, ofrecer esa información mediante un canal alternativo.
La alerta de Sacyl sobre el smishing
«Sacyl recuerda que NO solicita nunca la renovación de la tarjeta sanitaria ni envía enlaces en mensajes SMS incitando a realizar algún tipo de acción», es el mensaje con el que el sistema de Salud de Castilla y León ha tratado de alertar a todos los vecinos de la comunidad de lo que que NO deben hacer -así, con mayúsculas, está escrito el mensaje original- si no quieren exponer su información personal, ya sea contraseñas, documentos nacionales de identidad, números de cuenta bancaria u otros con los que los estafadores les pueden hacer pasar un mal rato.
Asimismo, Sacyl deja bien claro que los mensajes (de smishing) que se están recibiendo son «intentos de engaño pertenecientes a campañas conocidas por las autoridades en ciberseguridad», y que no tienen absolutamente nada que ver con comunicaciones ni de la Gerencia Regional de Salud dependiente de la Junta de Castilla y León ni tampoco, si fuera el caso, del Sistema Nacional de Salud que depende del Ministerio de Sanidad del Gobierno de España. Es por ello que es rotundo a la hora de recomendar no hacer «ningún tipo de interacción» con dichos mensajes; esto es, ni abrirlo siquiera ni, en caso de hacerlo, abrir un eventual enlace o responder. Así, lo idóneo será bloquear el número y marcarlo como spam.
En aquellos supuestos en los que se haya caído en la práctica de smishing, la recomendación primera es ponerlo en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado, así como de la entidad bancaria de turno, cambiar las contraseñas de acceso a todos los servicios a los que se suele acceder en el dispositivo de acceso y activar el doble factor de autenticación en todos aquellos servicios que lo permitan. De manera preventiva, y como destaca el Sacyl, conviene prestar atención al uso de mensajes de urgencia (como «en 48 horas» o «su cuenta quedará suspendida») o tener en cuenta que Sanidad nunca solicita datos personales, «especialmente» los datos bancarios, y menos mediante esta vía.
