El Instituto Nacional de Ciberseguridad alerta de la venta por Telegram de certificados Covid fraudulentos

El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado esta semana de la venta de certificados de vacunación covid-19 y PCR negativas fraudulentas a través de grupos de conversación en la red social Telegram. Según la Oficina de Seguridad del Internauta (OSI), que depende de INCIBE, los ciberdelincuentes piden unos 150 euros en criptomonedas. Estas estafas, de acuerdo con fuentes del organismo de ciberseguridad, “llevan varias semanas” ocurriendo; y han sido detectadas tanto por llamadas que han recibido como por el seguimiento que hace el Instituto en foros y redes. El fraude tiene lugar, además, cuando diferentes comunidades se plantean implementar el pasaporte covid como vía para facilitar el acceso a diferentes actividades y evitar restricciones.

“Es una estafa muy clásica entre los ciberdelincuentes”, señalan fuentes de INCIBE, que también describen cómo estos ofrecen certificados de vacunación “hechos a medida”: la estafa promete “que hasta puedas elegir la vacuna que supuestamente te han puesto”. Además, siempre según el Instituto, en ocasiones los estafadores también aseguran que pueden proporcionar una cobertura de seguro médico; aunque “estos datos son totalmente falsos, no avalan nada”. El pago siempre tiene que hacerse a través de criptomonedas. En concreto, de acuerdo con el comunicado de la OSI, a través de Bitcoins; y en caso de que el usuario no sepa cómo utilizarlas, los estafadores proporcionan instrucciones para hacerlo. Este es el “típico” método de pago entre los ciberdelincuentes –señala INCIBE– porque es más difícil de rastrear que una transferencia bancaria.

La publicación de la OSI también especifica que, tras contactar con el perfil de Telegram, los estafadores solicitan una serie de datos personales al usuario: nombre completo, fecha de nacimiento, número de seguridad social y correo electrónico. Posteriormente se envía una fotografía donde se observa un certificado “aparentemente legal”, que el estafador “ha podido obtener de manera ilícita”.

La OSI recomienda que, siempre que no se hayan proporcionado datos personales o realizado algún pago, se elimine la conversación y se bloquee al contacto. Sin embargo, si se han ofrecido datos personales, el ente tecnológico sugiere que se hagan búsquedas periódicas del propio nombre en Internet para saber si se están utilizando los datos de manera fraudulenta. De ser así, se puede solicitar la asistencia de la Agencia Española de Protección de Datos. Por otro lado, en caso de haber efectuado algún pago, se debe contactar con la entidad bancaria para informarles del hecho, además de monitorizar periódicamente los movimientos bancarios. Si se ha caído en la estafa, INCIBE apunta que “siempre hay que poner una denuncia”: “Nuestra capacidad es informativa, pero siempre hay una parte penal que tienen que llevar a cabo las Fuerzas y Cuerpos de Seguridad del Estado”.

Este tipo de fraudes tienen lugar cuando en muchas Comunidades Autónomas se medita si poner en marcha un pasaporte covid para sortear las restricciones, como se está debatiendo en Cataluña o como finalmente ha sucedido en Galicia, donde el Tribunal Supremo avaló exigir el pasaporte covid en la hostelería y el ocio nocturno de manera temporal y especialmente en los territorios con más contagios. Muchos de los usuarios que han entrado en contacto con la estafa, según las fuentes consultadas de INCIBE, “no tenían muy claro” cómo habían llegado a ella: “Muchos solamente querían el certificado de que se habían vacunado”.