La Tesorería General de la Seguridad Social ha lanzado un aviso por una campaña de phishing que llega por correo electrónico y suplanta a la institución. Los mensajes, enviados desde direcciones como aviso@sede.com, aseguran que tienes una “notificación” pendiente y tratan de que actúes con prisa.
El gancho es la urgencia: se indica que solo hay dos días para acceder a la supuesta notificación. Al pulsar en el enlace, el usuario termina en una página que imita la Sede de la Seguridad Social para pedir credenciales e incluso datos bancarios. La TGSS recalca que no utiliza esa cuenta y sugiere verificar que el canal es oficial antes de pinchar.
Qué ha alertado la TGSS
Desde sus perfiles informativos, la TGSS ha advertido de estos correos y ha pedido no abrirlos ni interactuar con ellos. Subrayan que los avisos legítimos no se envían desde esa dirección fraudulenta y que hay que revisar con atención remitente y dominio antes de hacer clic en cualquier vínculo.
El texto del mensaje suele afirmar que “tienes comunicaciones disponibles” y fija un límite de 2 días naturales para consultarlas, junto a un botón para “acceder ahora”. Esta presión temporal es un recurso clásico del fraude por suplantación para provocar respuestas impulsivas.
Cómo funciona la estafa y qué persigue
Según las pautas del INCIBE, el phishing consiste en el envío de mensajes que se hacen pasar por entidades legítimas con el objetivo de robar información, dinero o infectar dispositivos, y existen variantes como el QRishing. En esta campaña, los enlaces dirigen a páginas fraudulentas que replican logotipos y aspecto oficial.
En esas webs falsas se piden credenciales de acceso e incluso datos financieros (número de tarjeta, IBAN o claves de banca). Si se facilitan, los atacantes pueden tomar control de cuentas, realizar cargos o vaciar saldos, un riesgo que guarda relación con la estafa del carding sin que la víctima se percate de inmediato.
- Remitente sospechoso o dominio que no coincide con los oficiales.
- Mensajes con urgencia inusual y amenazas de bloqueo o rechazo.
- Enlaces acortados o direcciones que no empiezan por https.
- Faltas de ortografía y peticiones de datos personales o bancarios.
Qué hacer si recibes el correo
Si te llega un mensaje de estas características, lo más seguro es no abrir archivos adjuntos ni enlaces, y eliminarlo. Revisa el remitente y, ante la mínima duda, accede a la Sede de la Seguridad Social escribiendo la dirección en el navegador en lugar de usar lo que te envían.
- Reporta el intento a INCIBE 017 y, si procede, a Policía Nacional o Guardia Civil.
- Activa alertas y doble factor en tus cuentas para dificultar accesos no autorizados.
- Si has hecho clic o dado datos, cambia contraseñas, avisa a tu banco y monitoriza movimientos.
- Pasa un análisis antimalware actualizado en el dispositivo afectado.
Canales y prácticas seguras con la Seguridad Social
Para trámites y notificaciones, utiliza únicamente la Sede Electrónica de la Seguridad Social y el portal Importass, accediendo con Cl@ve, certificado digital o DNIe. Consulta tus avisos entrando por tu cuenta o desde buzones oficiales como Carpeta Ciudadana o DEHú, nunca desde enlaces recibidos por correo.
Recuerda que la Seguridad Social no solicita contraseñas ni datos bancarios por correo. Desconfía de mensajes que pidan “resolver incidencias” con prisas, y guarda como favoritos los enlaces legítimos para evitar confusiones con sitios clonados.
La clave para no caer pasa por reconocer la urgencia falsa, validar el remitente y entrar siempre por vías oficiales; si algo no cuadra, mejor parar, verificar y pedir ayuda a INCIBE o a las fuerzas de seguridad antes de dar un solo clic.
