La Tesorería General de la Seguridad Social ha lanzado una advertencia clara: no todo correo que parece oficial lo es. En los últimos días se ha detectado una campaña de fraude dirigida tanto a empresas como a particulares, basada en correos electrónicos que imitan con gran precisión las comunicaciones institucionales.
El riesgo no está solo en el mensaje, sino en lo que ocurre cuando el destinatario interactúa con él.
Un correo que parece auténtico
Los mensajes detectados reproducen elementos habituales de las notificaciones reales:
- Remitentes que coinciden con direcciones legítimas.
- Diseño similar al de las comunicaciones oficiales.
- Tono administrativo y aparentemente formal.
Esta apariencia de normalidad es precisamente lo que hace que el fraude resulte eficaz. El problema surge al abrir el archivo adjunto.
El engaño: un falso portal de la Seguridad Social
El archivo adjunto suele ser un fichero HTML. Al abrirlo, el usuario accede a una página que imita el portal oficial de la Seguridad Social y en la que se solicita la introducción de credenciales personales de acceso.
Ese es el objetivo real del envío: captar claves y contraseñas.
La Seguridad Social ha sido tajante en este punto: nunca utiliza archivos HTML adjuntos para pedir identificaciones ni validaciones, ni solicita contraseñas por correo electrónico.
Empresas y particulares, ambos en el punto de mira
La campaña no se dirige a un perfil concreto. Afecta tanto a ciudadanos como a empresas, aunque estas últimas resultan especialmente atractivas para los estafadores.
El acceso indebido a credenciales empresariales puede permitir:
- Consultas de datos sensibles.
- Gestiones administrativas no autorizadas.
- Actuaciones en nombre de la empresa ante la Administración.
Un solo acceso comprometido puede tener consecuencias relevantes.
La urgencia como herramienta de presión
Los correos fraudulentos suelen apelar a la urgencia: documentos pendientes, incidencias que deben resolverse de inmediato o advertencias genéricas sobre posibles consecuencias.
Esta presión temporal busca que el destinatario actúe sin verificar la autenticidad del mensaje. Sin embargo, la propia Administración recuerda que las actuaciones urgentes no se comunican de esta forma, ni sin notificación previa por los canales habituales.
Qué recomienda la Seguridad Social
La recomendación es clara y sencilla:
- Desconfiar de cualquier correo que solicite contraseñas o claves.
- No abrir archivos adjuntos sospechosos.
- No pinchar enlaces incluidos en estos mensajes.
El acceso a los servicios de la Seguridad Social se realiza únicamente a través de medios oficiales y conocidos, como certificado digital, Cl@ve u otros sistemas equivalentes.
Señales que deben encender la alerta
Aunque algunos correos están bien elaborados, muchos presentan indicios claros de fraude:
- Errores ortográficos o frases mal construidas.
- Logos desactualizados o de baja calidad.
- Plazos irreales o mensajes excesivamente alarmistas.
La urgencia injustificada es una de las señales más habituales.
Qué hacer ante la duda
Ante cualquier sospecha, lo más prudente es no interactuar con el correo.
La propia Seguridad Social recomienda verificar cualquier comunicación a través de sus canales oficiales o consultar los recursos del Instituto Nacional de Ciberseguridad (INCIBE).
Comprobar antes siempre es más sencillo que solucionar las consecuencias de un acceso fraudulento después.
Estas campañas no son nuevas y se repiten periódicamente, cada vez con mayor nivel de sofisticación. Por eso, más allá de este aviso concreto, conviene mantener una actitud constante de prudencia.
La Seguridad Social comunica, informa y notifica, pero no pide contraseñas. Cuando se trata de credenciales, la precaución nunca es exagerada.
En GRA Consultores recomendamos extremar la vigilancia y concienciar tanto a equipos internos como a particulares sobre este tipo de fraudes digitales.
