Una nueva oleada de ciberataques está suplantando la identidad del Ministerio de Sanidad para robar datos personales y bancarios de miles de ciudadanos. El Instituto Nacional de Ciberseguridad (INCIBE) y el propio Ministerio han emitido una alerta de importancia “Alta” sobre esta campaña fraudulenta que llega a través de correos electrónicos y, principalmente, mensajes de texto (SMS).
El engaño es simple, pero efectivo: el mensaje alerta a la víctima de que su Tarjeta Sanitaria Individual (TSI) ha caducado o debe ser sustituida obligatoriamente por un “nuevo sistema de verificación”. Los ciberdelincuentes instan a realizar la gestión a través de un enlace, amenazando con la pérdida del acceso a los servicios sanitarios si no se completa el trámite en un corto periodo de plazo.
Así funciona la estafa de la tarjeta sanitaria paso a paso
El Ministerio de Sanidad ha confirmado que no está solicitando ninguna renovación masiva de tarjetas sanitarias por esta vía. Se trata de una estafa de phishing diseñada para crear una falsa sensación de urgencia y robar información sensible.
El modus operandi de los estafadores es muy sofisticado:
- El cebo (SMS o email): la víctima recibe un mensaje con errores gramaticales evidentes (como “Actualiza su TSI” o “Renovacion” sin tilde) o desde un remitente sospechoso (un número de teléfono extraño o un dominio de correo que no es el oficial: sanidad.gob.es).
- La web falsa: al pulsar el enlace, el usuario es redirigido a una página web que imita visualmente a la perfección el portal del Ministerio de Sanidad. Incluso puede incluir logotipos falsificados (sin el fondo amarillo oficial) o un paso de “verificación humana” (como un cálculo simple) para generar confianza.
- La personalización: la web fraudulenta solicita a la víctima que seleccione su Comunidad Autónoma. Al hacerlo, la página se personaliza con el logo oficial de la Consejería de Sanidad correspondiente, haciendo el engaño aún más creíble.
- El robo de datos: tras solicitar el DNI o NIE, la web presenta el paso final: el pago de una pequeña cantidad (generalmente 2,99 euros) en concepto de “gastos de envío” para la nueva tarjeta. Esta es la única opción que ofrece la página.
- El formulario final: el usuario es dirigido a un formulario donde debe introducir sus datos personales completos y, finalmente, los datos de su tarjeta bancaria (número, fecha de caducidad y CVV).
- Falsa verificación: tras introducir los datos bancarios, la web simula una “autenticación segura”, pidiendo un código que supuestamente llegará al móvil. En este punto, los ciberdelincuentes ya tienen toda la información necesaria para operar con la tarjeta de la víctima.
¿Qué hago si he recibido el mensaje?
Si has recibido esta notificación, pero no has introducido ningún dato, la solución es sencilla:
- No pulses en el enlace bajo ningún concepto.
- Bloquea al remitente del mensaje o correo.
- Elimina la notificación inmediatamente.
- Reporta: puedes reenviar la información al buzón de incidentes de INCIBE o contactar con el número 017, la línea de Ayuda en Ciberseguridad, si tienes cualquier duda.
¿Qué hago si he caído en la trampa?
Si has accedido al enlace y has proporcionado tus datos personales y bancarios, el tiempo es crucial. Actúa de inmediato:
- Contacta con tu banco: llama inmediatamente a tu entidad bancaria para informar del fraude, cancelar la tarjeta afectada y bloquear cualquier pago sospechoso.
- Recopila pruebas: guarda todas las evidencias posibles: capturas de pantalla del SMS, de la web falsa, de los formularios rellenados y cualquier correo de confirmación.
- Denuncia: presenta una denuncia formal ante las Fuerzas y Cuerpos de Seguridad del Estado (Policía Nacional o Guardia Civil) aportando todas las pruebas que has recopilado.
- Vigila tu identidad: realiza egosurfing (busca tu nombre y DNI en Google) periódicamente para comprobar si tus datos han sido filtrados o están siendo usados sin tu consentimiento en la red.
Las autoridades recuerdan que ningún organismo público solicitará jamás datos bancarios, contraseñas o información personal sensible a través de SMS o correo electrónico. Cualquier gestión oficial que requiera identificación se realiza siempre a través de la sede electrónica oficial y mediante sistemas seguros como Cl@ve, DNI electrónico o certificado digital. Si una supuesta web oficial no te solicita estos métodos de acceso, desconfía: es un fraude.