Ni se te ocurra abrir este email: es una estafa que ya ha vaciado miles de cuentas

Los ciberdelincuentes utilizan métodos cada vez más sofisticados para engañar a los usuarios con el objetivo de robar sus datos personales y bancarios. Recientemente, el Instituto Nacional de Ciberseguridad (INCIBE) ha alertado de una campaña fraudulenta que utiliza la identidad visual y el nombre de una conocida empresa de mensajería para llevar a cabo una estafa dirigidas a usuarios desprevenidos.

La estrategia consiste en enviar correos electrónicos simulando ser GLS, una empresa de paquetería muy popular. En el mensaje, los ciberdelincuentes informan a la víctima de que no han podido entregarle el paquete, y que para resolver el problema debe hacer clic en un enlace y completar un formulario. Lo que parece un simple trámite para recibir un envío termina siendo una trampa cuidadosamente diseñada.

Una estafa disfrazada de notificación de entrega

Este tipo de fraude, conocido como phishing, no es nuevo, pero ha evolucionado en cuanto a su presentación y nivel de detalle. El correo electrónico que reciben las víctimas aparenta ser completamente legítimo. Se utilizan logotipos, colores corporativos e incluso el tono habitual de GLS en sus comunicaciones, lo que hace mucho más difícil identificar la estafa. El mensaje informa que hay un paquete en tránsito, pero que no puede ser entregado debido a que los datos están incompletos.

El supuesto «problema de entrega» se convierte en el pretexto perfecto para que el usuario acceda al enlace facilitado en el mensaje. En ese momento, se abre una página web que imita la apariencia de la página oficial de GLS. Aunque hay pequeñas diferencias, éstas suelen pasar desapercibidas para quien no esté acostumbrado a verificar la autenticidad de los sitios web.

El procedimiento que siguen los delincuentes es muy meticuloso. Una vez el usuario entra en el sitio falso, se le presenta un formulario inicial con campos aparentemente inofensivos, como nombre completo, dirección o número de teléfono. A medida que avanza en el proceso, se solicitan datos más sensibles: número de tarjeta de crédito, fecha de caducidad, código de seguridad e incluso claves para confirmar supuestos pagos.

La web está diseñada para generar confianza. Puede incluir mensajes como «verificación segura», «encriptación de datos» o logos de entidades bancarias. Muchos usuarios, ante el temor de perder su paquete o por desconocimiento, completan el proceso sin sospechar que están entregando su información a estafadores.

En ocasiones, al final del formulario, se solicita un pequeño pago, lo que puede parecer un coste administrativo para la entrega del paquete. Éste pequeño cargo sirve como excusa para obtener los datos de la tarjeta, pero la verdadera intención no es cobrar una cantidad simbólica, sino tener acceso total a la cuenta bancaria del usuario.

¿Cómo actuar?

Ante la posibilidad de recibir este tipo de mensajes, el INCIBE recomienda no precipitarse. Si has recibido un correo así pero no has hecho clic en el enlace ni proporcionado información, lo más recomendable es marcarlo como spam o correo no deseado y eliminarlo inmediatamente.

No respondas al mensaje ni abrir ningún archivo adjunto que pueda contener virus o software malicioso. Además, es recomendable revisar el remitente del correo y comprobar si la dirección es legítima. Muchas veces, estos mensajes provienen de cuentas con nombres extraños o con dominios que no corresponden con los oficiales de las empresas.

También es fundamental no acceder a enlaces incluidos en correos electrónicos si no se está completamente seguro de su origen. En caso de duda, es preferible entrar directamente al sitio web de la empresa desde el navegador, escribiendo la dirección manualmente, y verificar si hay algún aviso o notificación pendiente.

¿Has caído en la trampa?

Si has introducido tus datos personales o bancarios en uno de estos sitios fraudulentos, es importante actuar de inmediato. El primer paso es contactar con tu banco para informar de lo ocurrido. Ellos podrán tomar medidas urgentes como bloquear la tarjeta, evitar operaciones no autorizadas y emitir una nueva si es necesario.

Además, el INCIBE recomienda revisar minuciosamente los movimientos de la cuenta durante los días y semanas posteriores. En ocasiones, los cargos fraudulentos no se producen de inmediato, sino que los ciberdelincuentes esperan a que la víctima baje la guardia para actuar. Si se detecta cualquier operación sospechosa, se debe reportar al banco cuanto antes.

Otro paso crucial es recopilar todas las evidencias posibles del intento de estafa: guardar capturas de pantalla del correo, del formulario, de la URL del sitio fraudulento, y cualquier otra prueba que pueda servir en una denuncia. Con esta información, se debe acudir a las Fuerzas y Cuerpos de Seguridad del Estado.

La estafa que suplanta a GLS es sólo un ejemplo más del ingenio y persistencia de los ciberdelincuentes. Las técnicas que emplean evolucionan constantemente y están dirigidas a aprovechar cualquier descuido. Por ello, es fundamental mantener una actitud preventiva, desconfiar de los mensajes sospechosos y proteger los datos personales y bancarios.