Fraude SMS y Correos Electrónicos: Protegiendo a los Autónomos ante las Estafas de la Seguridad Social
En los últimos años, ha habido un incremento en los intentos de fraude que buscan suplantar a organismos públicos como el Instituto Nacional de la Seguridad Social (INSS) o la Tesorería General de la Seguridad Social (TGSS), entre otros. Estas entidades forman parte del sistema de protección social en España, con funciones específicas. El Instituto Nacional de la Seguridad Social (INSS) se encarga de gestionar las prestaciones económicas del sistema de la Seguridad Social, como pensiones y subsidios. Por su parte, la Tesorería General de la Seguridad Social (TGSS) administra los recursos financieros y las cotizaciones de trabajadores y empresas. Ante la proliferación de estafas, la Seguridad Social ha reforzado sus mensajes de advertencia para proteger a los ciudadanos, especialmente a los autónomos, que se enfrentan a nuevos cambios y actualizaciones.
La Actualización del CNAE para Autónomos y el SMS Verificado
Los nuevos cambios para los autónomos comienzan con incertidumbre. Un SMS que trae dudas de si abrirlo o no tras las múltiples estafas del mismo tipo con otras administraciones, pero puedes estar tranquilo, es un mensaje seguro. Así lo ha confirmado la Seguridad Social en sus redes sociales: "si recibes este SMS en tu teléfono móvil, es seguro. Autónomo, el número de CNAE ha cambiado y debes actualizarlo".
¿Qué es el CNAE?
El código CNAE es un número que identifica cada actividad profesional y está vinculado al Impuesto sobre Actividades Económicas (IAE). Su uso es clave para la elaboración de estadísticas públicas y afecta directamente a aspectos como la cotización a la Seguridad Social. Por ello, es fundamental que los autónomos informen de su nuevo código CNAE-2025, con el fin de asegurar que su actividad esté debidamente registrada y que sus obligaciones fiscales y de cotización reflejen con precisión su trabajo real.
Un cambio en la Clasificación Nacional de Actividades Económicas (CNAE), que no se actualiza desde 2009, y es la causa de la notificación que caduca el próximo 30 de junio. Según explica el organismo oficial en su página web, el CNAE09 pasará a ser ahora el CNAE-2025. Esta actualización busca reflejar con mayor precisión la realidad económica actual y mejorar la calidad de las estadísticas públicas.
¿Cómo comunicar el nuevo CNAE?
Tras recibir el SMS recordando que como autónomo debes realizar este cambio de CNAE09 a CNAE25 hasta el 30 de junio de 2025. Para realizar la actualización, la Seguridad Social ha establecido un proceso claro:
- Personas de alta en trabajo autónomo que realizan una o varias actividades, cuyos códigos CNAE09 tienen equivalencia unívoca con los códigos de la CNAE-2025.
- Personas de alta en trabajo autónomo que realizan una o varias actividades cuyos códigos CNAE09 tienen distintas opciones de código en el listado CNAE-2025.
Puedes realizar este trámite desde el Área Personal del portal Importass, en la ficha de trabajo autónomo, a través del enlace “Datos de trabajo autónomo”.
Este diagrama ilustra los pasos para actualizar el código CNAE en el portal Importass.
Campañas de Correos Fraudulentos Suplantando a la Seguridad Social (Phishing)
Recientemente, se ha detectado una campaña de correos fraudulentos suplantando a la Seguridad Social. Este phishing insta al usuario a pulsar sobre un enlace que redirige a una web donde se descarga un archivo malware que infectará el dispositivo de la víctima si este lo ejecuta.
Cómo identificar el phishing
Esta campaña de correos fraudulentos suplantando a la Sede Electrónica de la Seguridad Social, se identifica con el asunto 'Liquidación de impuestos Ultimo aviso', aunque no se descarta que puedan existir correos con otros asuntos de características similares o incluso campañas de smishing. El cuerpo del correo informa al usuario de que hay un impago por su parte de liquidaciones tributarias, por lo que proporcionan un enlace para la descarga de este informe generado por el SII. Al pulsar en el enlace, este redirige a la víctima a una web en la cual se descarga un archivo.
Las características a destacar de estos correos son:
- Las posibles faltas de ortografía, errores de formato y mala redacción del mensaje y asunto.
- El correo electrónico del remitente no es oficial y y puede tener terminaciones como ‘br’ (perteneciente a Brasil) en vez del oficial ‘.es’. Si fuera una web perteneciente a una entidad española, nunca podría finalizar con una extensión perteneciente a otro país.
- Asunto Urgente y Alarmante: Suelen tener asuntos como «Notificación Urgente», «Requerimiento de Información Inmediato», «Problema con su Afiliación», «Suspensión de Pagos», etc.
- Logotipos y Diseño Imitando al Oficial: Utilizan el logo de la Seguridad Social y un diseño que intenta parecerse a las comunicaciones oficiales para dar credibilidad.
- Enlaces a Páginas Web Falsas: La carta suele incluir un enlace a una página web que imita la apariencia de la sede electrónica de la Seguridad Social, pero cuyo dominio es fraudulento. Te piden que introduzcas tus datos en esta página.
En el mensaje se simula una comunicación oficial, aparentemente firmada por la Tesorería. Esta incongruencia, junto con errores ortográficos o el uso de enlaces sospechosos, son signos claros de fraude. Tal y como recordó la Tesorería en la red social X, la Seguridad Social recauda cuotas, mientras que es Hacienda quién se encarga de cobrar impuestos. Por supuesto, también suele haber otros indicios fáciles de identificar en estos mensajes. Por ejemplo, muchos de ellos incluyen faltas ortográficas y el enlace no es el de la Tesorería General de la Seguridad Social.
Un ejemplo visual de los elementos a tener en cuenta para identificar un correo de phishing.
¿Cómo detectar un ataque de phishing?
¿Qué hacer si has sido víctima de phishing?
- Si has recibido un correo de estas características, pero no has pulsado en el enlace, márcalo como spam y elimínalo de tu bandeja de entrada.
- En caso de haber recibido el correo, descargado el archivo, pero no haberlo ejecutado, elimínalo de tu carpeta de descarga lo antes posible. Si quisieras comprobar igualmente si se trata de un malware, puedes hacerlo a través de VirusTotal.
- En caso de haber recibido el correo, pulsado en el enlace y ejecutado el archivo que se descarga, es posible que tu dispositivo haya sido infectado. Por ello, te recomendamos seguir estos pasos:
- Desconecta Internet del dispositivo afectado, así si realmente lo está, no podrá propagar el malware a otros dispositivos conectados a la Red.
- Ejecuta el antivirus del que disponga tu dispositivo para que elabore un análisis completo y desinfección.
- Si la infección no ha desaparecido, sopesar la opción de formatear el dispositivo a los valores de fábrica.
Otras Formas de Estafa Comunes
En los últimos tiempos se han dado diversos intentos de fraude de diferentes tipos:
- Comunicación de datos por medios no oficiales: Recibes una comunicación en la que te piden que por medios no oficiales tienes que comunicar tus datos.
- Webs falsas (Phishing): Ojo con las páginas webs que parecen reales, pero no lo son, solo imitan a las oficiales. Esta técnica se llama ‘phishing’. Si las miras detenidamente, vas a ver que la URL (dirección de internet) no corresponde con la real, e incluso se pueden encontrar faltas de ortografía y gramática.
- Cobros indebidos: La Seguridad Social no cobra por sus servicios. No es necesario que realices ningún pago por conseguir cita previa ni por solicitar una prestación.
- Estafa del «doble mensaje»: Esta treta del «doble mensaje» es la última artimaña de moda de los hackers malos. La Seguridad Social ha avisado sobre una nueva estafa en la que los delincuentes se hacen pasar por la Administración ofreciendo unas presuntas ayudas que tienen como objetivo acceder a las cuentas de los pensionistas o las personas que se encuentran recibiendo cualquier tipo de prestación.
El Instituto Nacional de Ciberseguridad (INCIBE) informó el pasado mes de febrero que en todo 2025 detectó 122.000 incidentes de ciberseguridad, un 26% más que el año anterior. Según los datos proporcionados por INCIBE, cuatro de cada 10 incidentes de seguridad tienen que ver con el fraude online y especialmente con el phishing, que según informa este órgano «lidera los fraudes online con 25.133 casos, como correos falsos simulando ser bancos o empresas conocidas para robar datos personales».
| Año | Incidentes detectados | Incremento anual | Fraude online (casos) | Phishing (casos) |
|---|---|---|---|---|
| Año anterior a 2025 | 96.825 (estimado) | - | - | - |
| 2025 | 122.000 | 26% | 40% del total | 25.133 |
Consejos para Protegerse del Fraude
La propia Seguridad Social publicó en una guía una serie de recomendaciones para ayudar a identificar posibles intentos de suplantación de identidad. El mejor consejo para evitar el fraude es no actuar de manera repentina. La información es la mejor arma ante los intentos de estafa, y nunca está de más parar e investigar para conseguir información fidedigna de fuentes oficiales. Aquí te ofrecemos algunas recomendaciones clave:
- Evitar interactuar con mensajes de origen dudoso: No se deben abrir enlaces ni descargar archivos si el remitente no es fiable.
- Desconfiar de la urgencia: Muchos fraudes buscan que la persona actúe con rapidez, sin pensar. Cuando una comunicación genera sospechas, lo más recomendable es no contestar, no hacer clic y no facilitar datos.
- Verificar URLs y direcciones electrónicas: Siempre comprueba que la dirección web de un sitio oficial es correcta, y que las direcciones electrónicas desde las que estás recibiendo las comunicaciones son reales. Escribe directamente la URL de la organización en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros, en correos electrónicos o mensajes de texto.
- Nunca compartir información personal: Evita dar datos sensibles como tu número de tarjeta de crédito, de cuenta, tus contraseñas o la información personal a desconocidos. Accede a la información solo a través de las webs oficiales. Nunca facilites la clave que te acaba de llegar al teléfono a alguien que te haya llamado.
- Ser escéptico ante ofertas demasiado buenas: Si es demasiado bueno, podría ser falso. No te apresures a tomar decisiones. Si alguien te llama diciéndote que tienes que solicitar ya una ayuda porque se te pasa el plazo, hay posibilidades de que sea un fraude.
- Contactar con canales oficiales: Si sospechas que una comunicación es fraudulenta, puedes llamar a los teléfonos oficiales de la Seguridad Social para comprobar si la comunicación es real o no. La Seguridad Social ofrece varios canales seguros para sus comunicaciones. Ante la duda, contáctanos a través de cualquier canal oficial.
Esta infografía resume los principales consejos para protegerse contra el fraude online.