Los SMS que piden renovar la tarjeta sanitaria antes de una fecha límite
Los mensajes de texto que se hacen pasar por la Seguridad Social y Sistema Nacional de Salud (SNS) llegan como un “aviso oficial” para pedir la actualización de los datos de la tarjeta sanitaria en un plazo determinado. Maldita.es ha alertado de distintos casos que siguen este modus operandi, pero que contienen una fecha límite diferente. Por ejemplo, circularon SMS que aseguraban que se debía renovar la tarjeta “antes de marzo de 2026”, “antes de abril de 2026” y “antes de mayo de 2026”. Esta es una estrategia habitual que los ciberdelincuentes utilizan para generar urgencia.
En estos mensajes de texto, la supuesta renovación se justifica como consecuencia de un “cambio en la normativa” o del sistema de verificación e incluyen un enlace para proceder con la renovación. Cuidado porque son casos de smishing en el que los ciberdelincuentes se hacen pasar por organismos oficiales para engañar a los usuarios.
Los correos electrónicos que copian la identidad del Ministerio de Sanidad para engañarte con una supuesta renovación
“Debido a la implementación de un nuevo sistema de identificación electrónica sanitaria, todas las tarjetas sanitarias individuales emitidas antes de julio de 2022 deben ser sustituidas”. En este caso, el contenido llegó a través de un correo electrónico con el logo oficial del Ministerio de Sanidad y que contenía un enlace supuestamente “válido durante 7 días”.
Además de los SMS, en Maldita.es hemos detectado al menos tres casos de emails fraudulentos que suplantan la identidad de organismos públicos pidiendo una supuesta renovación de la tarjeta, una técnica usada por los ciberdelincuentes para conseguir datos personales tras redirigir a una web sospechosa.
En algunos mensajes, la supuesta renovación era solo “voluntaria”, pero en otros se comunicaba como un presunto trámite “obligatorio” para poder acceder a servicios como la receta electrónica. Sin embargo, todos los timos tenían en común la mención a un supuesto cambio en la normativa o mejoras técnicas que obligan actualizar el sistema.
Los enlaces redirigen a webs falsas que se hacen pasar por el Ministerio de Sanidad
Tanto los SMS como los correos electrónicos falsos piden acceder a un enlace para iniciar el supuesto trámite, pero los links redirigen a sitios web que suplantan al Ministerio de Sanidad.
En los casos de los que hemos alertado en Maldita.es se observa que los contenidos fraudulentos conducían a páginas con apariencia oficial y que invitaban a rellenar un formulario con nuestros datos personales.
Incluso en uno de estos timos se pedía abonar los 3,99 euros que costaba la supuesta tarjeta sanitaria tras registrar información personal como el nombre completo, el DNI o la dirección. Pero la tarjeta sanitaria no tiene coste para los usuarios, es gratuita.
El Ministerio de Sanidad y las administraciones autonómicas recuerdan que las tarjetas sanitarias son de competencia autonómica y que nunca se renuevan por SMS
El Ministerio de Sanidad recuerda a Maldita.es que las tarjetas sanitarias “son emitidas por las Comunidades Autónomas, no por el Ministerio de Sanidad”. Dado el alcance de estos timos, comunidades como Andalucía, La Rioja o el Principado de Asturias han advertido de la circulación de estos SMS y correos fraudulentos con enlaces que redirigen a sitios web falsos.
Los organismos públicos insisten en que nunca van a solicitar información personal ni renovaciones de tarjetas sanitarias a través de mensajes de texto. También recuerdan que la gestión de las tarjetas sanitarias corresponde a las comunidades autónomas, no al Gobierno central.
Consejos para evitar ser víctima de ‘phishing’
Aquí tienes una serie de recomendaciones que puedes seguir cuando te vuelva a llegar un mensaje que use el nombre de una empresa u organismo de confianza:
Mira bien la dirección de la web a la que te redirige el mensaje antes de pinchar. Normalmente este tipo de notificaciones vienen con un link. Si la URL de esta página web no es de la empresa u organismo por el que se hace pasar o es una mezcla de letras, números y el nombre de la institución, no introduzcas tus datos. Para ello, fíjate en lo que aparece antes del último punto, ese es el dominio real de la página web.
Comprueba que el mensaje proviene del perfil oficial de la empresa. Es posible que se trate de una cuenta que está suplantando a la compañía.
Párate un momento a pensar. Estos mensajes suelen transmitir urgencia para que tomes medidas cuanto antes y sin razonar.
Contrasta con las fuentes antes de dar tus datos. Recuerda que puedes preguntar a la propia compañía u organismo o contactar con el Instituto Nacional de Ciberseguridad (INCIBE) a través de su línea de ayuda en ciberseguridad.
Si piensas que has sido víctima de alguno de estos timos puedes contarnos tu historia escribiéndonos a [email protected].