Nos habéis avisado en varias ocasiones sobre supuestos mensajes o correos electrónicos de bancos que terminaron siendo intentos de robo de datos. Se trata de un tipo de delito informático conocido como phishing.

Cómo te la cuelan

El procedimiento suele ser siempre el mismo: alguien se hace pasar por una entidad bancaria y envía una notificación al cliente para verificar sus datos, o por cualquier otra razón que pueda parecer oficial. Las vías más comunes para este tipo de estafa son los SMS y el correo electrónico.

Los delincuentes suplantan la identidad del banco haciendo uso de trucos como copiar la imagen corporativa de la entidad o utilizar direcciones de email similares a las del banco. En esos mensajes, se incluyen enlaces que te dirigen a una página web con un aspecto similar a la web oficial de la entidad. Una vez en esta página, te piden que introduzcas ciertos datos o que rellenes un formulario. De esta manera, pueden conseguir información confidencial como el número de cuenta, la clave de la tarjeta de crédito o la clave de acceso online al banco.

Estos son algunos ejemplos de casos de phishing bancario con los que nos hemos encontrado:

No, este SMS sobre una "confirmación de recepción de fondos" no es del BBVA

Unas semanas atrás, desmentimos que el BBVA estuviera enviando SMS a sus clientes para una supuesta “confirmación de recepción de fondos” de una cuantía de más de 700€. Desde la entidad nos confirmaron de que se trataba de un caso de phishing. En su perfil de Twitter, BBVA reiteró que “es importante no seguir enlaces de SMS sospechosos”.

No, este correo para "corregir un error en la información de la cuenta" no es de La Caixa

En este caso, se pide al usuario que active su cuenta de La Caixa con la excusa de que han detectado "una serie de errores en la información", y se incluye un enlace para que el cliente introduzca sus datos personales. Al final del email, se advierte de que "si la información no se actualiza en las siguientes 12 horas, el acceso a la cuenta será restringido". La Policía Local de Cartagena ha publicado un tuit en el que confirma que es un caso de phishing bancario.

No, esta notificación para “verificar los datos en un nuevo sistema de seguridad” no es del Banco Sabadell

Hace unos años, se alertó sobre un caso de phishing relacionado con una supuesta comunicación del Banco Sabadell. En dicho correo, se informaba de que la entidad había desarrollado un nuevo sistema de seguridad y se pedía al cliente que introdujera “sus datos de acceso para pasar la verificación del sistema”. Además, en el texto se avisaba de que, si el registro no se realizaba en 48 horas, la cuenta sería suspendida temporalmente hasta que el registro se completara. Al final del correo, se incluía un botón con un enlace a una URL sospechosa. La Guardia Civil advirtió del caso y publicó en su perfil de Twitter que efectivamente se trataba de un caso de phishing.

No, este correo para una “actualización de datos personales” no es del ING

Una de las campañas más recientes de phishing afecta a los clientes del ING. La Guardia Civil ya ha advertido en su perfil de Twitter de que se trata de un caso de phishing que suplanta la identidad del ING para robar datos. Los usuarios reciben un correo electrónico con la excusa de que deben que actualizar sus datos personales en el “Área Clientes”.

Según recoge la Oficina de Seguridad del Internauta (OSI), el enlace del correo electrónico dirige a una página web que suplanta la imagen de la web oficial. Una vez en ella, se le pide al cliente que introduzca su DNI y fecha de nacimiento, su clave para acceder al servicio de banca online de ING, su número de móvil y una foto de su tarjeta de coordenadas. Una vez la víctima de la estafa ha rellenado todos los datos, se le redirige a la web oficial del banco, pero a esas alturas los delincuentes ya tienen en su mano información confidencial.

Consejos para evitar caer en la trampa del phishing:

  • Fíjate en la URL.Comprueba en la barra de direcciones que la página web a la que te dirige el enlace del supuesto mensaje de tu banco tenga una URL oficial. Ten en cuenta que los delincuentes pueden copiar la imagen corporativa de la entidad bancaria, pero no pueden copiar su dominio.
  • Atento a la dirección del correo electrónico. Algo parecido a lo anterior ocurre en este caso, los estafadores te envían comunicaciones desde emails que se parecen a los oficiales, pero no lo son. Presta atención a lo que viene después de la “@”, si notas algo raro, borra el correo.
  • Revisa la redacción del texto. En una notificación oficial de tu banco, es muy improbable que el texto tenga faltas de ortografía. Los emails de phishing suelen estar mal redactados o tienen erratas graves.
  • Si no está dirigido a tu nombre, sospecha. Normalmente, cuando tu banco te envía un correo electrónico se dirige a ti por tu nombre. En los correos de phishing se suelen utilizar fórmulas anónimas como “Estimado cliente” o “Notificación al usuario”.
  • Antes de pinchar, pregunta a tu banco. Que una entidad bancaria pida información confidencial a través de un SMS no es lo común. Si sospechas del mensaje, llama a tu banco.
  • Contrasta la información con fuentes oficiales. Los mensajes de phishing te solicitan que introduzcas tus datos con urgencia para que no te dé tiempo a reaccionar. Pero, si dudas, recuerda que puedes preguntar a la Policía o a la Guardia Civil para comprobar si se trata de phishing.

En Maldita.es ya hemos desmentido otros casos de phishing en los que te prometen regalos increíbles a cambio de introducir tus datos; o bien, te ofrecen falsas ofertas y promociones para robarte de las credenciales.