Este email sobre las bolsas de empleo de Correos es un error, no phishing

Hemos recibido en nuestro WhatsApp (659 800 555) aviso de un email enviado por Correos que contiene un enlace con apariencia de phishing y hace referencia a datos provisionales de sus bolsas de empleo. El sindicato CC.OO. llegó a prevenir a sus afiliados contra el posible carácter malicioso del envío, pero la compañía asegura que se ha tratado de un error.

El asunto del correo electrónico dice “Correos. Convocatoria Bolsas Empleo. Anulación de reclamación 69”. En el texto aparece un enlace precedido de las palabras “para reclamar los datos provisionales de Bolsas de Empleo, vuelva a presentarla. Inf.” El envío tiene la apariencia clásica de un phishing o fraude digital, pero en esta ocasión no es ninguna ciberamenaza.

¿Cómo investigamos los presuntos phishings que nos enviáis? Entre otros pasos, en este caso hemos analizado la cuenta de envío (publicaciones.web@correos.com) para comprobar que es una dirección real del servicio público postal. La herramienta https://emailrep.io/ la encuentra vinculada al dominio oficial correos.com y no relacionada con actividad maliciosa. Es decir, la cuenta parece real.

Hemos introducido el enlace que se incluye en el mensaje en el recurso https://urlscan.io/ para comprobar qué hay detrás de él (solemos recomendarte esta herramienta para que la utilices antes de abrir enlaces sospechosos). En el resultado, que puedes ver en esta captura, se descubre la url real de destino, que es “https://bedatosprovisionales.correos.es/".

Esa dirección ya no se encuentra disponible (error 404), pero la hemos examinado con la librería de Internet Wayback Machine, que nos ofrece su pasado. Revela que era la web de la convocatoria de bolsas de empleo de Correos en 2017, donde se piden varias claves para acceder a los resultados provisionales de aquel año.

Correos asegura que se trata de “una incidencia puntual que ya se ha solucionado”, aunque no tenemos más detalles de la misma. El Instituto Nacional de Ciberseguridad (INCIBE) nos corrobora que no ha encontrado tampoco en el mensaje “evidencias de suplantación”.

Según Correos, el problema ha afectado a “un número muy reducido de personas”. Los delincuentes digitales suelen aprovechar momentos de incertidumbre con respecto a un tema para lanzar sus engaños, y este mensaje parecía sospechoso por la circunstancia en que se da. Más de 395.000 ciudadanos han solicitado su inscripción en las nuevas bolsas de empleo de la entidad pública postal, que se lanzaron en febrero para la cobertura temporal de 128.021 puestos operativos en toda España, y están esperando resultados. Puedes leerlo en esta nota de prensa y conocer más información y los plazos del proceso aquí.

La entidad postal dice que este año no ha comunicado nada oficialmente todavía sobre las bolsas ”porque no hay aún una resolución, está en fase de asignar puntuaciones”. Los resultados provisionales tenían que haber aparecido en la segunda quincena de marzo o la primera de abril, según la estimación del sindicato CSIF.

Alguien mandó un email a CC.OO Pontevedra avisando de esta posible estafa y el sindicato envió a sus afiliados una alerta del peligro, que incluía el aviso “NO LO ABRÁIS, es un correo malicioso”. Hemos rastreado la cuenta del usuario que hizo llegar esa información a CC.OO. y hablado con él. Ha lamentado el error y dice que el aspecto le hizo sospechar. Este aviso de CC.OO. que podéis ver aquí y que nos habéis enviado al Whatsapp es por lo tanto real, pero el presunto phishing de Correos no era tal.

* 01-06-21. 13:40. Esta pieza se ha actualizado para expandir las explicaciones sobre la herramienta emailrep.io.