Una nueva campaña de estafas está circulando con bastante fuerza entre los usuarios de móviles en España, esta vez utilizando como gancho los avisos meteorológicos de la Agencia Estatal de Meteorología (AEMET). La AEMET ha tenido que salir a advertir sobre un fraude que se lleva a cabo mediante la suplantación de su identidad a través de mensajes de texto (SMS).
En este engaño, los ciberdelincuentes envían un SMS aparentando ser la AEMET e informando de una supuesta y falsa tormenta severa en la región del destinatario. A continuación, el mensaje insta a los usuarios a descargar una aplicación para «mantenerse a salvo». Sin embargo, el enlace proporcionado no dirige a una aplicación oficial, sino a una web maliciosa que podría robar información confidencial de los usuarios o comprometer sus dispositivos.
Este esquema de estafa se conoce como smishing, una variante del phishing en la que los estafadores utilizan mensajes SMS para engañar a las víctimas y empujarlas a realizar acciones peligrosas, como proporcionar datos personales o instalar malware.
Cómo operan los ciberdelincuentes
Este fraude en particular se aprovecha de la confusión y el miedo que pueden generar situaciones climatológicas extremas, especialmente tras episodios recientes como la DANA que ha afectado a varias zonas de España. El mensaje fraudulento avisa a los usuarios de una inminente tormenta severa y les invita a descargar una aplicación para seguir las alertas meteorológicas.
En el engañoso SMS, los delincuentes incluso se las ingenian para que el remitente parezca «AEMET», lo que aumenta la credibilidad a ojos de las víctimas menos precavidas. Esto tiene el fin de que el receptor del mensaje baje la guardia y acceda al enlace que acompaña el texto. Pero una señal clave de alerta es que la AEMET no envía SMS.
De modo que, si recibes un mensaje de estas características, el consejo es claro: no abras el enlace. La AEMET solo difunde sus alertas y recomendaciones mediante sus canales oficiales, como su página web, redes sociales y su aplicación oficial disponible en las tiendas de Google Play y Apple. Además, como el propio organismo ha señalado recientemente en sus redes sociales, nunca envían SMS para alertar a la población.
El repunte de las estafas digitales
El Instituto Nacional de Ciberseguridad (Incibe) ha advertido que este tipo de fraudes mediante SMS son cada vez más comunes, ya que los mensajes de texto suelen percibirse como más fiables que un correo electrónico. Esto hace que las estafas mediante smishing sean especialmente efectivas. Por este motivo, el Incibe recomienda ser muy cauteloso y no seguir nunca enlaces recibidos de remitentes desconocidos o sospechosos.
Los mensajes fraudulentos suelen tener en común ciertos elementos que pueden ayudar a identificarlos. Entre las características más comunes están las faltas de ortografía y el tono de urgencia con el que tratan de alarmar al destinatario. En este caso, los ciberdelincuentes apelan al miedo de los ciudadanos ante fenómenos meteorológicos normalmente peligrosos, como las tormentas severas o inundaciones.
Cómo protegerse de estos fraudes
Para evitar caer en este tipo de fraudes, es importante tomar precauciones elementales. En primer lugar, nunca hacer clic en enlaces enviados a través de SMS, especialmente si estos provienen de un remitente desconocido. En el caso específico de alertas meteorológicas y avisos de emergencia en España, es esencial recordar que Protección Civil, y no la AEMET, es la entidad encargada de enviar estas notificaciones a los móviles de los ciudadanos.
Además, en caso de duda, siempre es recomendable verificar la fuente de los mensajes. Uno puede acceder directamente a la página web oficial de la AEMET o a su aplicación, que solo está disponible en las tiendas de aplicaciones oficiales. También es útil mantener el sistema operativo y las aplicaciones del móvil actualizados, lo que puede ayudar a proteger el dispositivo frente a posibles ataques de malware.
Si ya has caído en la trampa y has facilitado información confidencial o descargado una aplicación maliciosa, será fundamental que tomes acción inmediatamente. Cambiar cualquier contraseña que hayas vinculado a esa información, contactar con tu banco si crees que han robado tus datos bancarios, y denunciar el incidente a la Policía son pasos cruciales para minimizar los daños. Además, el Incibe ofrece una ayuda inmediata a través de su teléfono de contacto 017 o su línea de WhatsApp 900 116 117.
Estafas relacionadas con las emergencias
Este tipo de estafas no son algo nuevo. En momentos de crisis, como las catástrofes naturales, los ciberdelincuentes suelen aprovechar el miedo y la confusión que estas situaciones generan en la población para lanzar sus ataques. No es raro que usen el nombre de entidades oficiales como la AEMET, la DGT o incluso bancos para engañar a las personas y robarles información personal o bancaria.
Una técnica muy similar a la del caso de la AEMET es la utilizada en fraudes que suplantan a entidades bancarias o a empresas de paquetería. En todos estos casos, los delincuentes usan el nombre de una institución fiable para atacar a los ciudadanos más desprevenidos. La recomendación general es desconfiar de cualquier mensaje que pida información personal o que pida una acción urgente, especialmente si esta acción incluye hacer clic en un enlace o descargar un archivo.
Aunque las alertas de emergencia reales llegan de forma directa a los móviles sin necesidad de descargar ninguna aplicación extra ni seguir enlaces. Protección Civil las envía automáticamente mediante el sistema ES-Alert, que está operativo en todo el país. A través de este sistema, los ciudadanos reciben las notificaciones adecuadas en sus móviles de forma segura y sin necesidad de manipulaciones adicionales.
Lo importante es estar siempre alerta y no bajar la guardia ante este tipo de engaños cada vez más comunes. Los ciberdelincuentes aprovechan cualquier cosa para tratar de acceder a nuestros datos y es nuestra responsabilidad mantenernos informados y actuar con precaución.
En caso de duda, siempre es mejor verificar dos veces antes de realizar cualquier acción.