La Tresoreria General de la Seguretat Social ha advertit d’un nou intent de frau que afecta tant empreses com a particulars. No tot el que arriba amb aparença institucional mereix confiança, encara que el remitent sembli el correcte.

La Seguretat Social ha detectat una campanya de correus electrònics que suplanten la seva identitat. A simple vista, aquests missatges semblen autèntics: utilitzen un remitent que coincideix amb l’adreça legítima de notificacions i reprodueixen l’estètica habitual dels avisos oficials.

El problema apareix en obrir l’arxiu adjunt. En lloc d’un document informatiu, es mostra un fals portal de la Seguretat Social que sol·licita les claus personals d’accés de l’usuari.

Aquest és el veritable objectiu de l’enviament: captar credencials.

Que el correu sembli oficial no significa que ho sigui, fins i tot encara que el remitent coincideixi amb un de real.

1. Com es duu a terme l’engany

El mecanisme és senzill, però eficaç. El correu arriba amb un to seriós i aparentment administratiu, indicant que hi ha un document pendent de validar o una actuació urgent per fer.

L’arxiu adjunt sol ser un fitxer HTML. En obrir-lo, l’usuari accedeix a una pàgina que imita el portal oficial de la Seguretat Social i se li demana que introdueixi les seves dades d’accés habituals.

En aquest moment, les claus ja no estan en mans de l’usuari.

La Seguretat Social no utilitza arxius HTML adjunts per a demanar identificacions ni validacions.

2. A qui van dirigits aquests correus

Aquesta campanya no discrimina. Els correus s’envien tant a empreses com a ciutadans particulars, fet que amplia considerablement l’abast del frau.

De fet, les empreses solen ser un objectiu prioritari, ja que l’accés a les seves credencials pot permetre gestions indegudes, consultes de dades confidencials o fins i tot actuacions en nom de l’entitat.

Un sol accés compromès pot afectar diverses gestions administratives de l’empresa.

3. Què persegueixen amb aquesta mena de missatges

El contingut del correu sol apel·lar a la urgència: terminis breus, advertiments genèrics o suposades incidències que requereixen intervenció immediata.

Aquesta sensació d’urgència no és casual. Es busca que el destinatari actuï sense comprovar, sense contrastar i sense detenir-se a pensar si la comunicació té sentit.

La finalitat última és suplantar la identitat de l’usuari una vegada obtingudes les seves claus.

L’Administració rares vegades exigeix actuacions immediates sense notificació prèvia per canals habituals.

4. Què recomana la Seguretat Social

La recomanació és clara: desconfiar de qualsevol correu que sol·liciti contrasenyes o claus d’accés, encara que aparentment provinguin de la Seguretat Social.

L’Administració recorda que mai sol·licita el correu electrònic ni la contrasenya com a mètode d’identificació. L’accés als seus serveis es fa per mitjans oficials i coneguts, com els certificats digitals, Cl@ve o sistemes equivalents.

Si un correu demana contrasenyes, no és una comunicació legítima de la Seguretat Social.

5. Pistes habituals per a detectar el frau

Encara que alguns missatges estan ben elaborats, molts presenten senyals que haurien d’encendre una alerta: faltes d’ortografia, frases mal construïdes, logos antics o de baixa qualitat, terminis irreals o missatges excessivament alarmistes.

El to sol ser més agressiu que informatiu i cerca provocar una reacció ràpida.

La urgència injustificada sol ser un dels principals senyals de frau.

6. Què fer en cas de dubte

Davant qualsevol sospita, el més prudent és no interactuar amb el correu: no obrir arxius, no fer clic a enllaços i no facilitar dades.

La Seguretat Social recomana contactar directament a través dels seus telèfons oficials per confirmar si existeix realment alguna notificació pendent. També es pot consultar la informació publicada per l’Institut Nacional de Ciberseguretat (INCIBE), que disposa de recursos específics per a aquesta mena de situacions.

Verificar per canals oficials sempre és més ràpid que solucionar un accés fraudulent després.

Aquest tipus de campanyes es repeteixen periòdicament i cada vegada estan més ben dissenyades. Per això, més enllà d’aquest avís concret, convé mantenir una actitud prudent i desconfiada davant qualsevol comunicació que demani dades confidencials. La Seguretat Social comunica, informa i notifica, però no demana contrasenyes.

Quan es tracta de credencials, la precaució mai és exagerada.

Es poden posar en contacte amb aquest despatx professional per qualsevol dubte o aclariment que puguin tenir sobre aquesta qüestió.

Una salutació cordial,