En las últimas semanas se ha detectado una oleada de fraudes digitales en los que los atacantes se hacen pasar por la Superintendencia de Transporte Terrestre (SUTRAN) y el Servicio de Administración Tributaria (SAT) de Lima. El mecanismo es sencillo pero efectivo: mensajes que anuncian multas, papeletas o deudas inexistentes e incluyen enlaces fraudulentos diseñados para robar información sensible de la víctima.
Cómo operan las campañas que suplantan a la SUTRAN
Los correos falsos que imitan a la SUTRAN reproducen el logotipo institucional e incorporan botones como "Verificar la multa" e incluso códigos QR. Al hacer clic, el usuario es redirigido a un sitio web clonado que captura sus datos. La propia entidad confirmó que recibió decenas de reportes en apenas tres semanas y presentó una denuncia ante el Ministerio Público.
Un dato clave para reconocer el fraude: la SUTRAN no notifica infracciones por correo electrónico. Sus comunicaciones se realizan de forma presencial o a través de la casilla electrónica del MTC, a la que se accede con DNI y clave. Cualquier correo que solicite un pago inmediato por medio de un enlace debe considerarse sospechoso.
El SAT de Lima y los mensajes de texto fraudulentos
En el caso del SAT de Lima, el vector principal son los SMS falsos. Estos mensajes incluyen enlaces que dirigen a portales que imitan al sitio oficial para solicitar información bancaria. A diferencia del fraude, las comunicaciones legítimas del SAT son personalizadas e incluyen datos específicos del contribuyente, algo que los mensajes masivos no pueden replicar.
Qué es el smishing y cómo reconocerlo
Esta modalidad se conoce como smishing, una variante del phishing en la que el atacante se hace pasar por una institución legítima mediante mensajes de texto. Las señales de alerta son consistentes:
- Urgencia artificial: exigen un pago inmediato para no dar tiempo a verificar la información.
- Enlaces sospechosos: URLs acortadas o con dominios desconocidos que simulan el portal oficial.
- Errores de redacción: tildes mal colocadas, mayúsculas fuera de lugar o gramática deficiente.
- Remitentes anónimos: números desconocidos y sin identificación institucional.
Ingeniería social: por qué funcionan estos fraudes
Estos ataques no vulneran directamente los sistemas informáticos: explotan el factor humano. Se trata de ingeniería social, una técnica en la que el delincuente induce a la persona a cometer un error en lugar de forzar una barrera tecnológica. Los responsables adquieren grandes bases de datos con correos y números telefónicos, y lanzan campañas masivas aprovechando temas de coyuntura —eventos deportivos, fechas tributarias o trámites vehiculares— para que sus mensajes resulten más creíbles.
Qué hacer ante un mensaje sospechoso
Frente a un correo o SMS de este tipo, la recomendación de los especialistas es clara:
- No hacer clic en los enlaces ni escanear los códigos QR incluidos en el mensaje.
- Verificar cualquier multa o deuda ingresando directamente a los portales oficiales, nunca desde el enlace recibido.
- Si ya se abrió el enlace o se ingresaron datos: cerrar la página, cambiar las contraseñas de inmediato, revisar los movimientos bancarios y comunicarse con la entidad financiera.
- Reportar el intento de fraude a la institución suplantada.
Para el correo corporativo, una solución de antispam en la nube filtra estos mensajes antes de que lleguen a la bandeja de entrada del colaborador. Los expertos advierten que estas campañas seguirán evolucionando y sumando nuevas entidades suplantadas, sobre todo en épocas de alta actividad digital. La mejor defensa combina atención a las señales de alerta con una cultura de ciberseguridad que anticipe el error humano, tanto en el ámbito personal como en el corporativo.
Conclusión
El smishing y el phishing que suplantan a entidades como la SUTRAN y el SAT no requieren conocimientos técnicos avanzados por parte del atacante: basta con generar urgencia y explotar la confianza que generan las instituciones del Estado. Reconocer las señales —urgencia artificial, enlace sospechoso, remitente anónimo— es la primera línea de defensa.
Para las empresas, el riesgo va más allá del colaborador individual. Un dominio de correo sin protocolos de autenticación como DMARC puede ser suplantado por cualquier atacante. Estas campañas, al igual que los grupos de ransomware activos en Perú, evolucionan con cada ciclo de noticias y no distinguen entre persona natural y empresa. Estar preparado hoy es más barato que responder mañana.
Solicita una demo