ActualidadCiberseguridad

Cuidado, si recibes estos mensajes sobre la vacunación o el pasaporte COVID son una estafa

Como llevar el certificado COVID en el móvil

El Certificado COVID de la Unión Europea «Green pass»: todo lo que debes saber

El Ministerio de Sanidad nos recuerda: cómo actuar en caso de tener síntomas de COVID-19


Con un 70% de la población vacunada con al menos la primera dosis, la cita a través de un SMS para completar la pauta de vacunación llegará a miles de españoles cuando estén de vacaciones, pero cuidado: esto puede ser falso y formar parte de una estrategia de phishing.

Una nueva campaña de malware está utilizando la vacunación y el pasaporte Covid para hacerse pasar por las autoridades sanitarias.

Estos ataques tienen una doble finalidad:
  1. En primer lugar, el usuario recibe un SMS, cuyo autor es desconocido, pero finge ser un organismo oficial, a través del cual poder escoger la cita para esta segunda dosis. Eso sí, pulsando un enlace que en realidad lleva a una app maliciosa.
  2. El otro propósito, conocido como distribución secundaria, utiliza el terminal infectado para enviar SMS en segundo plano a sus contactos, utilizando sistemáticamente el mismo texto, pidiendo que acceda a un link que termina instalando el software malicioso en el teléfono móvil.

Esta sospechosa aplicación pedirá todo tipo de permisos, para poder extenderse sin control, como la ubicación, acceder a Internet, conocer el estado del teléfono, envío de SMS y el acceso a contactos.

Cómo actúa este malware

Conocido como SMS Worm, (SMS Gusano), este malware es capaz de descargar software en el teléfono sin que el usuario se dé cuenta.

Además, no sólo es un peligro por propagarse entre los contactos, este programa malicioso también es capaz de obtener datos personales del terminal para usos aún peores, como el robo de cuentas bancarias.

Otra forma de actuar es a través de un SMS en el que se indica directamente el día, la fecha y el centro asignado, invitando al usuario a responder con un ‘Si’ o un ‘No’ o, de nuevo, señalando que acceda a un link para confirmar cita, cancelarla o cambiarla.

Cómo está afectando esta estafa en el territorio español

Según alerta la Consejería de Sanidad y Consumo de Ceuta, desde finales de junio, esta ciberestafa está siendo cada vez más común en su territorio. Aprovechan para señalar que la Consejería es la que contacta directamente y que el formulario de vacunación está disponible en la página web de la Ciudad.

En el mensaje original sobre la convocatoria para ponerse la segunda dosis de la vacuna, en el caso de Ceuta, los únicos datos que aparecen son la hora y el día de la cita, el punto de vacunación y un localizador.

En otras zonas de España, como Comunidad Valenciana, en el mensaje sólo se indicarán las iniciales del usuario al que pertenece la cita, la marca de la vacuna que se le administrará, el puesto y su dirección, la fecha y un link con más información.

La Comunidad de Madrid, indica el nombre y directamente un link en el que comprobar el resto de detalles. “Al igual que ocurre con el enlace que incluye el SMS de vacunación de la Comunidad Valenciana, la dirección aparece completa, por lo que es relativamente fácil asegurarse de su veracidad.

En el caso de los mensajes falsos, las URLS aparecen acortadas para que la real no sea visible en el primer vistazo, antes de pulsarla”, advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security.

Recomendaciones ante este tipo de engaños

Estas campañas de phishing resultan menos creíbles si se pide dinero por la segunda dosis de la vacuna. Sin embargo, no todo el mundo sabe que tanto los certificados como la expedición del pasaporte Covid, son gratuitos.

Por lo que si recibes un SMS que te insta a entrar a una página para pagar el documento, es una estafa.

Otra de las recomendaciones ante los casos de fraude a raíz de la vacunación, es que no publiques tu tarjeta de vacunación en redes sociales, alguien podría utilizar la información para el robo de identidad o venderla a un tercero.

En la dark web se venden desde test de PCR y antígenos falsos, hasta certificados de vacunación y pasaportes Covid que han sido robados a otros usuarios, por ejemplo, a través de una fotografía en una red social.

Además, como cada país expide su documentación, algunos cuentan con un código QR más seguro y otros con certificados menos complejos y por supuesto, más vulnerables.

Cómo conseguir el pasaporte Covid

En España, cada Comunidad Autónoma es la encargada de distribuir el certificado, en coordinación con Sanidad. En la mayoría de ellas, se puede pedir a través del portal de salud o la aplicación concreta de ese territorio.

También es posible obtenerlo de forma presencial en los Centros de Salud o a través de una página del Ministerio de Sanidad que permite solicitar el Certificado Covid Digital de la Unión Europea, aunque para esta última opción, se necesita un certificado digital y tener acceso al sistema Cl@ve.

Cualquier situación de incertidumbre en la sociedad es buena para los cibercriminales, que no descansan y están siempre planificando estafas a gran escala o híper segmentadas.

Por eso, ante la crisis que ha generado la pandemia del Covid-19 y todas las nuevas circunstancias que se han generado en torno a ella, hay que estar siempre alerta ante estas oleadas de ciberataques y campañas de phishing.

Enlaces de interés

Tamara López

Graduada en Trabajo Social. Máster en Educación Social y Animación Sociocultural.
Botón volver arriba