El Servicio Público de Empleo Estatal ha lanzado una advertencia sobre una campaña de phishing que usurpa su portal ‘Empléate’.
Debido al gran auge de los ciberataques y amenazas sucedidas a las organizaciones públicas y gubernamentales de España, el escrutinio sobre las actividades en torno a las mismas es mayor que nunca. Prácticamente cada semana nos encontramos con una campaña de SMS o de correos electrónicos que se hacen pasar por estas instituciones para estafar a sus víctimas. La última en sufrir dicho destino es el Servicio Público de Empleo Estatal (SEPE).
Sí, el mismo SEPE que sufrió hace ya un tiempo un importantísimo ataque hacker que afectó a su rendimiento durante meses enteros. El propio SEPE ha detectado lo que ellos califican de “comunicaciones fraudulentas” que suplantan al servicio ‘Empléate’, que aúna ofertas de trabajo de los servicios públicos de empleo y algunos portales privados.
Según el Servicio Público, esta campaña se ha producido en SMS, correos electrónicos y WhatsApps, lo que ha obligado al organismo a publicar un comunicado en el que no solo pide que no se atiendan a estas comunicaciones, sino que recuerda la forma que tiene la entidad de comunicarse con los usuarios en caso de que sea necesario.
El SEPE advierte
En el comunicado publicado el pasado 20 de abril, se detallaba cómo el SEPE había detectado estas campañas de phishing, en las que los atacantes se hacen pasar por los responsables del portal Empléate. En estos correos, SMS y WhatsApps, según se deduce del comunicado, se ofrecen reembolsos de dinero a los usuarios a la espera de que estos sean reclamados.
Los correos, WhatsApps y demás usan el modus operandi clásico de estas campañas de phishing: se le pide al usuario que introduzca sus datos bancarios en una página web falsa que imita la de Empléate. Los hackers aseguran que para poder inscribir a estos usuarios en sus anuncios es necesaria dicha información, sobre todo si quieren cobrar ese reembolso.
El SEPE es claro: nunca se solicitará información personal y confidencial si no se ha dado la pertinente autorización por parte del usuario, y siempre en los canales de comunicación a disposición del organismo. Además, advierten que estas oleadas de mensajes falsos suelen estar repletos de errores ortográficos, enlaces falsos o peticiones que van desde acceder a una web hasta abrir un archivo adjunto.
Este mismo consejo se puede aplicar a todos los organismos públicos de esta misma índole. Ni el SEPE ni la Seguridad Social solicitan estos datos, y mucho menos por correo o SMS. Tampoco envían documentos o envían enlaces, además de pedir los datos bancarios. Queda en la mano del usuario realizar los trámites necesarios para hacer las gestiones que él requiera.
De esto ya habló el SEPE el pasado 13 de abril, en el que relataba los problemas principales del phising. No obstante, apuntaba que existían casos en los que el usuario sí que podía recibir comunicaciones del SEPE. En tal caso, si el usuario tiene dudas, debe tener en cuenta ciertas consideraciones.
Por ejemplo, el SEPE pide al usuario que recuerde si tiene trámites pendientes con el SEPE y si el correo electrónico recibido tiene una extensión llamada ‘sepe.es’. Es decir, que si recibes un correo electrónico que sirva para confirmar una gestión, el correo siempre debe usar ese formato, ‘sepe.es’.
Además, el email en el que recibes el correo debe ser el que has proporcionado al SEPE para completar solicitudes o presolicitudes. En cualquier caso, el Instituto Nacional de Ciberseguridad (INCIBE) tiene a disposición de los usuarios un número de consulta gratuito, el 017 para asesoramiento técnico, psicosocial y legal.