Alerten d’una estafa amb SMS falsos de la targeta sanitària a Catalunya

L’Agència de Ciberseguretat de Catalunya ha emès una alerta sobre una nova modalitat d’estafa que està circulant actualment. Els ciberdelinqüents estan enviant missatges SMS fraudulents que suplanten la identitat de la Seguretat Social, instant els ciutadans a actualitzar les dades de la seua targeta sanitària mitjançant un enllaç maliciós que els redirigeix a una pàgina web falsa. Aquesta campanya de phishing utilitza com a pretext la suposada caducitat de la targeta sanitària per enganyar els usuaris i obtenir informació personal sensible.

Segons informa l’agència catalana, els missatges de text rebuts pels ciutadans contenen un enllaç que condueix a un web clonat que simula ser l’oficial del Ministeri de Treball i Seguretat Social. Una vegada en aquesta pàgina fraudulenta, se sol·licita a les víctimes que introdueixin dades personals com a nom complet, direcció, número de DNI, dades bancàries i informació confidencial. Els experts en ciberseguretat adverteixen que aquesta informació pot ser utilitzada posteriorment per cometre diversos tipus de fraus, des de suplantacions d’identitat fins operacions bancàries no autoritzades.

Com funciona l’estafa d’SMS de la targeta sanitària

El modus operandi d’aquesta campanya fraudulenta és relativament simple però efectiu. Els ciberdelinqüents envien missatges massius a telèfons mòbils de tot Espanya simulant procedir d’organismes oficials de la Seguretat Social. En aquests SMS, alerten el receptor sobre una suposada caducitat imminent de la seua targeta sanitària, generant així una sensació d’urgència que impulsa molts usuaris a actuar sense reflexionar.

"Els estafadors han perfeccionat les seues tècniques i ara utilitzen una comunicació que imita perfectament el llenguatge formal de les administracions públiques", explica un portaveu de l’Agència de Ciberseguretat catalana. "A més, els enllaços maliciosos dirigeixen pàgines web que repliquen amb gran exactitud el disseny, logotips i estructura de les pàgines oficials, el que dificulta que el ciutadà mitjà pugui detectar l’engany a simple vista."

L’objectiu final és la recopilació de dades personals i bancàries que posteriorment poden ser utilitzades per cometre fraus financers, accedir a comptes bancaris o fins i tot vendre aquestes dades en mercats il·legals de la dark web, on altres delinqüents poden adquirir-los per a diferents propòsits il·lícits.

Recomanacions per evitar ser víctima del frau

Les autoritats en ciberseguretat han emès una sèrie de recomanacions perquè els ciutadans puguin protegir-se davant aquest tipus d’estafes:

- Desconfiar de comunicacions no sol·licitades: La Seguretat Social i altres organismes oficials no solen sol·licitar actualitzacions de dades personals mitjançant SMS o correus electrònics.

- Verificar l’autenticitat: Davant de qualsevol comunicació sospitosa, el recomanable és contactar directament amb l’organisme oficial a través dels seus canals oficials, mai mitjançant els enllaços rebuts en el missatge dubtós.

- Revisar acuradament les URL: Les pàgines oficials solen tenir dominis que acaben en ".gob.es" o de similars. Qualsevol variació, per mínima que sigui, ha de ser motiu de sospita.

- No facilitar informació sensible online: Evitar introduir dades personals, especialment bancàries, en pàgines web a les quals s’ha accedit a través d’enllaços rebuts per SMS o correu electrònic.

- Mantenir actualitzats els dispositius: Tenir sistemes operatius i antivirus actualitzats proporciona capes addicionals de seguretat davant enllaços maliciosos.

L’auge del phishing sanitari a Espanya

Aquesta campanya fraudulenta no és un cas aïllat, sinó que s’emmarca en una tendència creixent d’atacs cibernètics dirigits al sector sanitari espanyol. Des de l’inici de la pandèmia de COVID-19, els experts en ciberseguretat han detectat un increment significatiu en les estafes que utilitzen pretextos relacionats amb la salut i els serveis sanitaris.

"L’àmbit sanitari resulta especialment atractiu per als ciberdelinqüents perquè genera confiança en els ciutadans i perquè mou informació molt sensible i valuosa", assenyala un especialista de l’Institut Nacional de Ciberseguretat (INCIBE). "A més, la població general sol reaccionar amb més urgència davant de qualsevol comunicació relacionada amb la seua salut o els seus serveis sanitaris, el que augmenta l’efectivitat d’aquests enganys."

Les dades recollides per diverses organitzacions de ciberseguretat indiquen que el 2023 es van registrar més de 15.000 intents de phishing relacionats amb serveis sanitaris a Espanya, la qual cosa suposa un augment del 47% respecte a l’any anterior.

Què fer si ja has estat víctima?

Si un usuari ha introduït les seues dades personals en alguna d’aquestes pàgines fraudulentes, els experts recomanen actuar amb rapidesa:

1. Canviar immediatament les contrasenyes dels comptes que puguin haver-se vist compromesos.

2. Contactar amb l’entitat bancària si s’han facilitat dades de targetes o comptes perquè puguin prendre mesures preventives.

3. Presentar una denúncia davant de la Policia Nacional o la Guàrdia Civil, preferentment a través de les seues unitats especialitzades en delictes telemàtics.

4. Monitorar regularment els moviments bancaris per detectar possibles operacions fraudulentes.

5. Notificar els fets a l’Agència Espanyola de Protecció de Dades (AEPD), especialment si se sospita que hi ha hagut una filtració de dades personals.

Com identificar un SMS fraudulent de la targeta sanitària

Existeixen diversos indicadors que poden ajudar a identificar si un SMS relacionat amb la targeta sanitària és fraudulent:

- Errors ortogràfics o gramaticals: Encara que cada vegada són menys freqüents, molts missatges fraudulents contenen petits errors que no serien presents en comunicacions oficials.

- Remitents sospitosos: Els organismes oficials solen utilitzar remitents clarament identificables, no números de telèfon desconeguts o amb formats estranys.

- To urgent: Els estafadors solen pressionar per obtenir una resposta immediata, mentre que les comunicacions oficials tendeixen a establir terminis raonables.

- Enllaços escurçats: La utilització d’escurçadors d'URLs és poc comuna en comunicacions oficials i ha de generar sospites.

- Sol·licitud d’informació excessiva: Cap organisme oficial no sol·licitarà dades bancàries completes o contrasenyes a través de formularis web vinculats a missatges SMS.

L’Agència de Ciberseguretat de Catalunya ha posat a disposició dels ciutadans un canal de comunicació per reportar aquest tipus d’intents de frau i rebre assessorament sobre com procedir en cas d’haver estat víctima. Les autoritats recorden que la col·laboració ciutadana és fonamental per combatre aquestes campanyes de phishing i protegir la seguretat digital de tots els espanyols.