Seguro que a ti o a alguien de tu entorno os ha pasado hace poco: abres el correo como cualquier otro día de la semana y ahí está, la Seguridad Social te avisa de una liquidación de impuestos o un trámite urgente. En tu cabeza, se enciende una alarma. Y claro, el primer instinto es preocuparse. Pero no es lo que parece: lamentablemente, estamos ante un aumento masivo de ciberdelincuentes que suplantan a este organismo fundamental en España con un único fin: robar tus credenciales, datos personales y, en el peor de los casos, acceder a tu banca online. ¿Hay escapatoria? Sí: para no caer en la trampa, combinar el sentido común con herramientas de ciberseguridad.

La nueva oleada de correos falsos: qué está pasando

Las autoridades, incluyendo el INCIBE y la propia Seguridad Social, han lanzado alertas sobre campañas de phishing muy agresivas. El modus operandi suele ser siempre el mismo: recibes un correo que te advierte de una «liquidación de impuestos» o un «último aviso». ¿La meta? Que te pongas nervioso y que hagas clic en un enlace o descargues un archivo adjunto (fichero comprimido o HTML). ¿Que picas el anzuelo? Pues los ciberdelincuentes te redirigen directamente a una web que calca la estética de la Sede Electrónica. Así buscan robarte el usuario y la contraseña o infectar tu dispositivo con malware para espiar lo que tecleas.

¿Por qué estos correos engañan a tanta gente?

Olvídate de esas estafas de hace años con traducciones automáticas y diseños chapuceros que se veían a la legua. El fraude actual ha evolucionado muchísimo. De hecho, no es que tú no entiendas de tecnología, es que los ciberdelincuentes han pulido tanto su técnica que incluso los usuarios con experiencia dudan si no se fijan en detalles sutiles.

• Diseño impecable: usan los logotipos correctos, la tipografía oficial y un tono administrativo («Estimado contribuyente») que da el pego totalmente.
• Remitentes camuflados: emplean técnicas de spoofing para que la dirección del remitente parezca legítima, con dominios como notificaciones.telematicas.giss@seg-social.es.
• Ingeniería social: juegan con el miedo a la burocracia. Nadie quiere tener una deuda con la Administración o perder una prestación, y la urgencia nos hace bajar la guardia.

Por si fuera poco, muchas señales de alerta clásicas, como las faltas de ortografía, casi han desaparecido. Para no caer, ahora hace falta método, pausa y herramientas de verificación.

De dónde salen tus datos: cómo consiguen información personal

Probablemente te estés preguntando: «¿Y cómo saben mi nombre o mi correo personal?». La realidad es incómoda, pero necesaria de entender. Los estafadores no disparan siempre a ciegas; muchas veces tienen bases de datos compradas en mercados de la dark web que vienen de filtraciones masivas de otros servicios online, donde te registraste hace tiempo.

Pero eso no es todo. A veces somos nosotros mismos quienes se lo ponemos fácil. ¿Te suena haber rellenado formularios web inseguros, haber usado ordenadores infectados previamente con malware o haber reutilizado contraseñas que facilitan que crucen datos? Pues bien, incluso la información pública que dejamos en redes sociales profesionales (como LinkedIn) sirve para personalizar el ataque, usando tu nombre completo o tu empresa para que parezca que el correo se dirige a ti. Cuanta más huella digital dejamos sin control, más vulnerables somos.

Cómo protegerte de estas estafas: hábitos, canales y VPN

La defensa contra este tipo de ataques requiere una mezcla de desconfianza sana y tecnología. Lo primero: nunca te precipites. La Administración no pide datos sensibles o contraseñas a través de un correo, y mucho menos te enviará archivos comprimidos (.zip) para una notificación. Pero hay más prácticas que te protegen todo lo posible a día de hoy:

• Desconfía sistemáticamente: si el correo te mete prisa, malo. No hagas clic en los enlaces. Abre el navegador y teclea tú mismo la dirección de la Sede Electrónica.
• Verifica por canales oficiales: si tienes dudas, entra en «Mi Carpeta Ciudadana» o en la DEHú. Si la notificación no está ahí, entonces ya sabes que el correo es falso.
• Higiene digital: usa contraseñas robustas y únicas para cada servicio, activa la verificación en dos pasos siempre que puedas y actualiza tu sistema operativo.

Además de estos hábitos, también necesitas barreras técnicas. Y entre ellas, el uso de la mejor VPN del mercado es una estrategia básica para cifrar tu conexión y mantener tus datos lejos de miradas ajenas. Una VPN seria garantiza una política de registros cero verificada, es decir, que no espía, almacena ni vende tu actividad a nadie. Al usarla, cifras tu conexión de extremo a extremo y proteges tu IP para dificultar el rastreo y la creación de perfiles sobre ti. Es algo vital si revisas tu correo o haces trámites en tus dispositivos, para evitar que terceros intercepten tus datos en tránsito.