¡Cuidado con el phishing! Nueva modalidad para robar datos con mensajes falsos del Gobierno de la CDMX

El sábado por la noche recibí en el celular un mensaje de texto que llamó mi atención, ya que estaba a nombre del Gobierno de la Ciudad de México, aunque el remitente era foráneo, pues la lada 334 es de Guadalajara, Jalisco. Al abrirlo pude leer lo siguiente:

Lo primero que pensé fue: “Es un mensaje falso, esa no es la página del gobierno”, por lo que no abrí el enlace, tomé una captura de pantalla y lo reporté como spam. Después en X subí la foto y arroba tanto al Gobierno de la CDMX y a la Secretaría de Seguridad Ciudadana de la Ciudad de México, como a sus titulares Martí Batres Guadarrama y Pablo Vázquez Camacho.

Afortunadamente, la respuesta llegó de inmediato y, en efecto, se trataba de un mensaje falso, por lo que la Unidad de Contacto del secretario de Seguridad Ciudadana me recomendó contactar a la Policía Cibernética de la CDMX al teléfono 55 52425100 ext. 5086 o en el correo electrónico policia.cibernetica@ssc.cdmx.gob.mx; también me compartieron el número 55 5242 5034 de la Dirección General de Atención a Casos de Extorsión donde podrían brindar asesoría.

Al contactar a la corporación, ésta envía los avisos de privacidad a fin de proteger tus datos personales, ya que para dar seguimiento al correo o llamada te solicita nombre completo, edad y alcaldía o municipio donde resides, así como mayores detalles del delito cibernético que quieres reportar. Una vez que los das, la Policía Cibernética ampliará la atención al caso.

La sorpresa vino después, pues en X mi publicación no era la única reportando esta situación: mismo mensaje, mismo link (que no abre), aunque no con el mismo remitente, pues el que a mi me llegó era de Guadalajara (33 4755 1344), pero a otros usuarios les escribieron desde Tlaxcala (246 517 4068), Puebla (220 6556 446) y de la CDMX (55 9590 1408 y 55 9590 1304). El común denominador también es que todos recibimos ese mensaje el sábado 20 de julio.

“@SSC_CDMX recibí este mensaje el día de hoy 20 de julio a las 7:07 pm. No tengo ningún adeudo y claramente parece un mensaje para estafar”, “@UCS_GCDMX página falsa cobrando multas de la cdmx, pueden dar de baja por fa Link: https://cdmx-multa.com/info.php” y “Me acaba de llegar este, metí dos placas y en ambas arroja multa por invadir pase peatonal, siento que es falsa”, son algunos de los mensajes que encontré en dicha red social.

Como periodista conozco los dominios de las páginas oficiales pero ¿qué pasa con los ciudadanos que ante la preocupación de tener una multa con recargos dan clic en el enlace e ingresa sus datos personales?

Por ello, es importante precisar que un portal de cualquier gobierno o dependencia de México, sin importar si es el federal, estatal, capitalina, municipal o de alguna alcaldía, siempre va a terminar con .gob.mx. Si la página en cuestión tiene el nombre oficial pero acaba en .com, .com.mx, .net u otro, es muy probable que se trate de un fraude.

Por otro lado, las personas que reportaron este mensaje en X coincidieron en que, en efecto, viven en la Ciudad de México y tienen automóvil, por lo que la duda también es de dónde obtienen los ladrones estos datos específicos de las personas.

Ahora bien, si al recibir un mensaje así surge la pregunta de si tenemos infracciones o no, lo más importante es no presionar el enlace y mejor verificarlo directamente ya se en la APP CDMX o en la página de la Secretaría de Finanzas de la Ciudad de México donde el único dato que piden es la placa e ingresar el captcha; si ingresamos a otro sitio y nos piden más datos, también podría tratarse de un posible robo de datos.

De acuerdo con la Policía Cibernética de la Ciudad de México, este es uno de los muchos casos de phishing que ciudadanos reportan con frecuencia en sus canales oficiales. En ellos, los estafadores suelen enviar mensajes o correos electrónicos que parecen provenir de empresas legítimas (o en este caso de entidades de gobierno) para robar información personal como contraseñas, datos personales o bancarios e incluso números de tarjetas.

Ante este panorama, la corporación cuenta con una serie de recomendaciones para evitar en este tipo de engaños:

• No hacer clic en enlaces desconocidos o proporcionar información personal a través de mensajes no verificados
• Antes de realizar cualquier transacción, asegurarse de que el sitio web tenga una dirección URL segura que comience con “https” y que exhiba un candado en la barra de direcciones
• No realizar pagos anticipados sin verificar la autenticidad del remitente
• Verificar la identidad del remitente antes de responder a mensajes urgentes o solicitudes inesperadas
• Mantenerse informado sobre las estafas comunes y las técnicas que utilizan los estafadores para estar alerta
• Utilizar bloqueo y denuncia en las aplicaciones de mensajería para reportar mensajes sospechosos o de phishing

En caso de ya haber sido víctima de phishing, la empresa de ciberseguridad Kaspersky recomienda tomar una serie de medidas para mitigar los daños y así evitar que otros sean víctimas de la estafa y para no volver a ser atacados, tales como:

• Averiguar qué pasó, analizar cuál podría ser el fin de la estafa en que caímos y verificar cuáles de nuestros datos pudieron quedar comprometidos, así como revisar si hay alguna actividad sospechosa en nuestras cuentas o tarjetas, pues muchos de estos ataques derivan también en el robo de identidad para obtener beneficios o llevar a cabo delitos
• Denunciar el ataque ante las autoridades, en primer lugar para recibir asistencia, pero también para alertar a quienes están siendo suplantados y a otros usuarios para que no caigan en la estafa
• En algunos casos, el phishing se ejecuta con ayuda de programas maliciosos, por ello recomiendan deshabilitar la conexión Wi-Fi del dispositivo y restablecer la red para que este malware no se sida transmitiendo
• Actualizar todas contraseñas que pudieron verse comprometidas durante el ataque