La Tesorería General de la Seguridad Social ha advertido de un nuevo intento de fraude que afecta tanto a empresas como a particulares. No todo lo que llega con apariencia institucional merece confianza, aunque el remitente parezca correcto.
La Seguridad Social ha detectado una campaña de correos electrónicos que suplantan su identidad. A simple vista, estos mensajes parecen auténticos: utilizan un remitente que coincide con la dirección legítima de notificaciones y reproducen la estética habitual de los avisos oficiales.
El problema aparece al abrir el archivo adjunto. En lugar de un documento informativo, se muestra un falso portal de la Seguridad Social que solicita las claves personales de acceso del usuario.
Ese es el verdadero objetivo del envío: captar credenciales.
Que el correo parezca oficial no significa que lo sea, incluso aunque el remitente coincida con uno real.
1. Cómo se lleva a cabo el engaño
El mecanismo es sencillo, pero eficaz. El correo llega con un tono serio y aparentemente administrativo, indicando que existe un documento pendiente de validar o una actuación urgente por realizar.
El archivo adjunto suele ser un fichero HTML. Al abrirlo, el usuario accede a una página que imita el portal oficial de la Seguridad Social y se le pide que introduzca sus datos de acceso habituales.
En ese momento, las claves ya no están en manos del usuario.
La Seguridad Social no utiliza archivos HTML adjuntos para pedir identificaciones ni validaciones.
2. A quién van dirigidos estos correos
Esta campaña no discrimina. Los correos se envían tanto a empresas como a ciudadanos particulares, lo que amplía considerablemente el alcance del fraude.
De hecho, las empresas suelen ser un objetivo prioritario, ya que el acceso a sus credenciales puede permitir gestiones indebidas, consultas de datos sensibles o incluso actuaciones en nombre de la entidad.
Un solo acceso comprometido puede afectar a varias gestiones administrativas de la empresa.
3. Qué persiguen con este tipo de mensajes
El contenido del correo suele apelar a la urgencia: plazos breves, advertencias genéricas o supuestas incidencias que requieren intervención inmediata.
Esa sensación de premura no es casual. Se busca que el destinatario actúe sin comprobar, sin contrastar y sin detenerse a pensar si la comunicación tiene sentido.
La finalidad última es suplantar la identidad del usuario una vez obtenidas sus claves.
La Administración rara vez exige actuaciones inmediatas sin notificación previa por canales habituales.
4. Qué recomienda la Seguridad Social
La recomendación es clara: desconfiar de cualquier correo que solicite contraseñas o claves de acceso, aunque aparente provenir de la Seguridad Social.
La propia Administración recuerda que nunca solicita el correo electrónico ni la contraseña como método de identificación. El acceso a sus servicios se realiza por medios oficiales y conocidos, como certificados digitales, Cl@ve o sistemas equivalentes.
Si un correo pide contraseñas, no es una comunicación legítima de la Seguridad Social.
5. Pistas habituales para detectar el fraude
Aunque algunos mensajes están bien elaborados, muchos presentan señales que deberían encender una alerta: faltas de ortografía, frases mal construidas, logos antiguos o de baja calidad, plazos irreales o mensajes excesivamente alarmistas.
El tono suele ser más agresivo que informativo y busca provocar una reacción rápida.
La urgencia injustificada suele ser una de las principales señales de fraude.
6. Qué hacer en caso de duda
Ante cualquier sospecha, lo más prudente es no interactuar con el correo: no abrir archivos, no pinchar enlaces y no facilitar datos.
La Seguridad Social recomienda contactar directamente a través de sus teléfonos oficiales para confirmar si existe realmente alguna notificación pendiente. También puede consultarse la información publicada por el Instituto Nacional de Ciberseguridad (INCIBE), que dispone de recursos específicos para este tipo de situaciones.
Verificar por canales oficiales siempre es más rápido que solucionar un acceso fraudulento después.
Este tipo de campañas se repiten periódicamente y cada vez están mejor diseñadas. Por eso, más allá de este aviso concreto, conviene mantener una actitud prudente y desconfiada ante cualquier comunicación que pida datos sensibles. La Seguridad Social comunica, informa y notifica, pero no pide contraseñas.
Cuando se trata de credenciales, la precaución nunca es exagerada.
Pueden ponerse en contacto con Asesoría Morlán para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,
