Desde el d¨ªa 27 de diciembre, varios clientes de la compa?¨ªa de mensajer¨ªa MRW, est¨¢n recibiendo un SMS en el m¨®vil para que abonen unos falsos gastos de env¨ªo, especificando albar¨¢n y la tienda donde compr¨®, seguida de un enlace en el que la persona debe pinchar para que se complete la estafa. Todos estos datos coinciden con los del usuario del n¨²mero de tel¨¦fono, que justamente est¨¢ esperando recibir un pedido online tramitado mediante esta empresa de env¨ªos. La ¨²nica parte que no pueden comprobar mediante los datos de su pedido es el enlace final, donde se solicitan que depositen 0,99 euros para recibir el env¨ªo.

Mediante este enlace, la red fraudulenta se apropia de las credenciales bancarias del cliente de MRW para retirar el dinero de su cuenta. Esta estrategia es habitual, de forma peri¨®dica, con alguna de las empresas que trabajan con pedidos o ventas de forma online, de hecho, clientes de la empresa de mensajer¨ªa Sending tambi¨¦n han sufrido una operaci¨®n fraudulenta del mismo estilo.

Estas estrategias, seg¨²n se?alan varios expertos en ciberseguridad, se dan con mayor frecuencia en campa?as de ventas de gran volumen, como es Navidad o Black Friday, ya que existe una mayor cantidad de compradores online no habituales, que no est¨¢n acostumbrados a los procedimientos de estas empresas, y resulta m¨¢s f¨¢cil que un mayor porcentaje de usuarios pique en esta treta.

Un caso de mayor complejidad

Lo extraordinario y m¨¢s peligroso de esta ocasi¨®n, es que la trama responsable de la estafa, ten¨ªa datos concretos de los env¨ªos que solo la empresa de mensajer¨ªa deber¨ªa tener, como la tienda donde se realiz¨® la compra, e inclusive el n¨²mero de env¨ªo que asigna la propia empresa. Seg¨²n los indicios, esta situaci¨®n tan comprometida se podr¨ªa haber dado a causa de una filtraci¨®n desde dentro de la propia empresa por alguien con acceso a este tipo de datos.

Al comenzar esta situaci¨®n, y ser conocedora de varios casos, la empresa de paqueter¨ªa emiti¨® un mensaje en redes, alertando de un posible fraude v¨ªa SMS bajo su identidad corporativa, pero sin apuntar a las causas finales que han permitido que esto ocurra. Pese a las sospechas de esa posible filtraci¨®n de informaci¨®n, no hay una revelaci¨®n oficial del procedimiento que ha desembocado en esta estafa.

?Qu¨¦ hacer para prevenir estos fraudes o en caso de ser v¨ªctima de ellos?

Este caso, como bien mencion¨¢bamos antes, entra?a una complejidad mayor para los usuarios y los organismos de ciberseguridad, puesto que varias de las recomendaciones que realizan las autoridades no funcionan en este caso concreto. Principalmente, se recomienda a los clientes cuando reciben mensajes durante el proceso de env¨ªo, que se cercioren de haber realizado el pedido con dicha empresa y en los plazos concretados, y que posteriormente se aseguren que las credenciales ofrecidas en el momento de recibir un SMS o cualquier alerta, coinciden con las que se muestran en el momento de realizar la compra.

Ante este caso, la mejor y m¨¢s r¨¢pida forma de detectar el fraude es identificar el dominio que se aporta en el SMS, ya que en este caso era "envios-mrw.com", en lugar de "mrw.es", que es el oficial registrado por la empresa y con el que operan en la relaci¨®n con sus clientes. El dominio fraudulento, seg¨²n se ha podido comprobar, se cre¨® tan solo unas horas antes de comenzarse a enviar los mensajes que han denunciado varias personas.

Por otro lado, para todas las personas afectadas por este fraude, la Oficina de Seguridad del Internauta marca unas pautas a seguir para minimizar da?os dentro de lo posible: ¡°los afectados deben contactar lo antes posible con la entidad bancaria para informarles de lo sucedido y cancelar posibles transacciones que se hayan podido efectuar, as¨ª como bloquear el acceso a las cuentas y tarjetas, y actualizar las credenciales de acceso a los servicios de banca en l¨ªnea. Adem¨¢s, los ciudadanos y empresas afectados por incidentes de ciberseguridad tienen a su disposici¨®n el n¨²mero de ayuda gratuito del Incibe, 017", dicta la web del organismo.