- SMS con enlaces fraudulentos que toman el control de tu celular y roban tus datos bancarios: así funciona esta modalidad de estafa
- Apps contra la inseguridad: El Comercio probó seis plataformas públicas y privadas y evaluó sus fortalezas y desafíos
En los últimos días, ciberdelincuentes han suplantado la identidad de distintas entidades públicas mediante mensajes de texto (SMS) y correos electrónicos con el objetivo de robar información personal, principalmente datos bancarios, de los ciudadanos. Entre las instituciones afectadas se encuentran la Superintendencia de Transporte Terrestre de Personas, Carga y Mercancías (Sutran) y el Servicio de Administración Tributaria (SAT) de Lima.
Los estafadores envían mensajes haciéndose pasar por estas entidades para exigir el supuesto pago de multas e incluyen enlaces fraudulentos que, al ser abiertos, pueden facilitar el robo de información financiera de las víctimas.
Engaño mediante correo
La Sutran alertó a este Diario que ciberdelincuentes vienen enviando correos electrónicos a ciudadanos haciéndose pasar por la entidad. En estos mensajes amenazan con incautar sus vehículos por una supuesta deuda pendiente vinculada al pago de una multa.

Los correos incluyen el logotipo institucional y un botón con la frase “Verificar la multa”. Sin embargo, al hacer clic en ese enlace, los usuarios quedan expuestos al robo de su información personal y bancaria.
En diálogo con El Comercio, el vocero de la Sutran Carlos Brusso informó que, desde hace tres semanas, la entidad ha recibido 32 reportes de usuarios sobre esta modalidad de estafa. “Los conductores reciben correos con nuestros colores institucionales en los que se les informa sobre una supuesta infracción. Además, incluyen enlaces, botones o códigos QR para que realicen el pago. Sin embargo, la Sutran no trabaja de esa manera”, afirmó.
Brusso precisó que la entidad no notifica infracciones por correo electrónico. “Las notificaciones se realizan de dos formas; de manera presencial, mediante una comunicación enviada al domicilio del usuario, o a través de la casilla electrónica del Ministerio de Transportes y Comunicaciones (MTC). No se trata de un correo electrónico, sino de una plataforma virtual a la que el ciudadano accede con su DNI y su clave para revisar las notificaciones que pueda emitir la Sutran”, explicó.
Asimismo, aclaró que la Sutran no tiene facultades para emitir órdenes de captura o incautación de vehículos, como señalan algunos de los correos fraudulentos. “El usuario puede verificar si realmente registra una infracción ingresando, desde cualquier buscador, al récord de infracciones de la Sutran y colocando el número de placa de su vehículo”, indicó.

El vocero recordó que la entidad sí cuenta con un canal oficial de atención mediante el correo comunicate@sutran.gob.pe, pero únicamente para que los ciudadanos envíen consultas. “Las personas pueden escribirnos desde su correo personal a nuestro correo institucional y nosotros les responderemos por ese mismo medio”, señaló.
Brusso informó que la Sutran ya presentó una denuncia ante el Ministerio Público por esta modalidad de fraude.
Para solicitar información o realizar consultas, los ciudadanos también pueden comunicarse a la central telefónica (01) 200 4555, de lunes a viernes, entre las 8:30 a. m. y las 5:30 p. m.
SMS
El Servicio de Administración Tributaria (SAT) de la Municipalidad de Lima también alertó a la ciudadanía sobre la circulación de mensajes de texto fraudulentos enviados por ciberdelincuentes que buscan engañar a los contribuyentes mediante enlaces falsos que simulan dirigir a la página web institucional.

La entidad informó a El Comercio que estos mensajes notifican supuestas multas, papeletas o deudas pendientes e incluyen enlaces que redirigen a sitios web fraudulentos con el pretexto de realizar pagos en línea. Sin embargo, su verdadero objetivo es obtener información personal y bancaria de los usuarios.
“El SAT de Lima recomienda a la población no abrir los enlaces contenidos en estos mensajes sospechosos. Antes de realizar cualquier consulta o pago, los ciudadanos deben verificar la información únicamente a través de los canales oficiales. Para ello, deben ingresar directamente al portal oficial del SAT de Lima (www.gob.pe/satlima) y comprobar si realmente registran alguna papeleta, deuda o procedimiento pendiente”, señaló la entidad.
Asimismo, precisó que todas las comunicaciones que emite el SAT, ya sea mediante mensajes de texto o correos electrónicos, son personalizadas e incluyen información específica del contribuyente o administrado.
Finalmente, exhortó a la ciudadanía a reportar cualquier comunicación sospechosa que utilice indebidamente el nombre de la institución a través de Aló SAT, al teléfono (01) 315-2400, o escribiendo al correo asuservicio@sat.gob.pe. También pueden hacerlo mediante sus redes sociales oficiales (@SATdeLima).

Modus operandi
En diálogo con El Comercio, el especialista en ciberseguridad y cibercrimen Gustavo Vallejo explicó que los delincuentes actualizan constantemente sus campañas de fraude digital. Estas campañas consisten en aprovechar temas de actualidad o situaciones que generan interés o preocupación entre la población para hacer que sus mensajes resulten más creíbles y aumentar las probabilidades de engañar a las víctimas.
“Tienen una base de datos que compran en el mercado negro y, a partir de ella, lanzan una campaña. La gente suele confiar y no se toma el tiempo de revisar detenidamente la URL. Los ciberdelincuentes imitan la página de una entidad y así capturan los datos de los usuarios”, explicó.
Vallejo señaló que el principal objetivo de estas estafas es obtener la información de las tarjetas bancarias para sustraer dinero. Posteriormente, buscan recopilar otros datos personales con el fin de suplantar la identidad de la víctima.
“Los ciudadanos deben eliminar por completo estos correos y mensajes. Ahora, por el Mundial, lo más probable es que aparezcan nuevas campañas de fraude. Siempre surgirán nuevas modalidades; esto no se va a detener. Por eso, si una persona quiere verificar si tiene una multa o una deuda, debe ingresar directamente a la página oficial de la entidad correspondiente”, recomendó.

Por su parte, la abogada especialista en ciberseguridad y privacidad María del Pilar Segura explicó que esta modalidad de estafa se conoce como smishing. “Es una variante del phishing en la que los delincuentes se hacen pasar, en este caso, por una entidad pública a través de mensajes de texto (SMS) o correos electrónicos. La principal señal de alerta es cuando el mensaje exige realizar un pago de manera inmediata e incluye enlaces acortados o con dominios desconocidos”, señaló.
“Además, estos mensajes suelen presentar errores de redacción, como tildes mal colocadas o el uso de mayúsculas donde no corresponde. En el caso de los SMS, generalmente provienen de números desconocidos”, agregó.
Segura destacó que el contenido de estos mensajes suele estar acompañado de amenazas o advertencias sobre supuestas sanciones. “Cuando un mensaje busca que la persona actúe con urgencia, probablemente lo que pretende es que no tenga tiempo para pensar y verificar si la información es real”, expresó.
La especialista indicó que, si una persona ingresa al enlace fraudulento, las consecuencias dependerán del dispositivo desde el cual accedió. “Si fue desde un teléfono celular, lo primero es salir inmediatamente del enlace, no seguir interactuando con la página y cambiar las contraseñas almacenadas en el dispositivo. También es recomendable eliminar temporalmente aplicaciones sensibles, como las bancarias. Si además se proporcionaron datos financieros, se debe comunicar el hecho al banco y revisar de inmediato los movimientos de la cuenta”, explicó.

“Cuando el acceso se realiza desde una computadora, el panorama es un poco más complicado, porque normalmente el riesgo no está solo en hacer clic en el enlace, sino también en descargar algún documento y ejecutarlo”, advirtió.
Segura añadió que este tipo de estafas constituye un caso típico de ingeniería social. “No hackean directamente el sistema, sino que inducen a la persona a cometer el error. Normalmente, la selección de víctimas es arbitraria; recopilan grandes bases de datos con correos electrónicos o números de teléfono y envían los mensajes de forma masiva, sin que estén dirigidos a una persona en particular”, explicó.
Finalmente, sostuvo que este tipo de fraude continuará evolucionando. “No solo seguirán suplantando al SAT o a la Sutran, sino también a otras entidades. Por eso es fundamental que los ciudadanos aprendan a reconocer las señales de alerta”, concluyó.
Fuente: elcomercio.pe