MENÚ
MALDITO BULO

Cuidado con este SMS que suplanta al BBVA y que te dice que “tu cuenta ha sido bloqueada” y que para desbloquearla debes actualizar tus datos: es phishing

Publicado viernes, 16 julio 2021
Comparte
Categorías
Timo
Recursos utilizados
Observación
Expertos

“BBVA: tu cuenta ha sido bloqueada.para desbloquear tu cuenta actualiza tus datos http://bbvaa.me/?pwd=bbva”. Este es el SMS por el que nos habéis preguntado a través de nuestro chatbot de WhatsApp (+34 644 22 93 19) y que habéis recibido desde el propio número de BBVA que os pide la confirmación de pagos.

Pero ojo, si recibes un link por SMS, aunque sea de tu banco, desconfía porque, como indica el Instituto Nacional de Ciberseguridad (INCIBE),  “nunca debes acceder” a tu cuenta desde estos enlaces, “ya que puede llevar a webs suplantadas”. Si tienes alguna duda, recomiendan entrar “directamente a través del área de clientes en la web legítima de tu banco”. 

SMS a nombre de BBVA

Los navegadores advierten de que han detectado phishing en el enlace del supuesto SMS del BBVA

Si accedemos al link, tanto Chrome como Firefox nos indican que han detectado una amenaza de phishing, una alerta para que no sigamos el proceso.

Si continuamos, vemos que no nos lleva a una página de BBVA, nos indica que “no hay ningún sitio web en esta dirección”.

Página a la que nos lleva el link del SMS

Según el INCIBE, si accedemos al enlace podemos descargar un archivo malicioso

El pasado 8 de julio, el INCIBE ya informó de un SMS con un texto muy similar a este, y que también suplantaba al BBVA. En concreto, desde el instituto indicaban que se trataba de “una campaña de envío de SMS fraudulentos, smishing”, esto es, phishing a través de un SMS.

En respuesta a Maldita.es, el INCIBE explica que el SMS te llega desde “el número habitual desde el que la persona recibe sus comunicaciones bancarias del BBVA”. De este modo, “tratan de engañarla para que descargue algún tipo de malware en su dispositivo móvil mediante un enlace que redirige a servidores donde se descarga algún tipo de aplicación maliciosa, que eventualmente se hará con información de la víctima, incluso tomará el control del mismo”. 

Por tanto, recomiendan a aquellos que hayan pinchado en “el enlace e introducido las credenciales de acceso a la cuenta bancaria” que modifiquen “lo antes posible la contraseña de acceso a la banca online, así como que contacten “con la entidad para informarles de la situación”. También aconsejan cambiar “la contraseña de todos aquellos servicios en los que se utilice la misma”. 

Otro aspecto que no se debe olvidar es tener siempre un antivirus actualizado y asegurarnos de que, si hemos pinchado en el link no nos hemos descargado nada. 

En caso de haber facilitado las credenciales de la cuenta, sugieren recopilar tantas pruebas como sea posible y presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

Captura publicada por el INCIBE

En este caso, el INCIBE comprobó que el link sí que redirigía a una página fraudulenta que clonaba a la de BBVA y pedía los datos y credenciales bancarias de la víctima.

Captura publicada por el INCIBE

El BBVA no va a pedirte tus datos bancarios por SMS o correo electrónico

En mayo, en Maldita.es, ya os alertamos de un SMS muy similar que indicaba que habían suspendido la cuenta bancaria y pedían verificarla. En esta ocasión también suplantaban al BBVA.

Pero, como ya os contamos, desde el banco recuerdan que la empresa “nunca te solicitará tu información bancaria por correo electrónico o SMS”.

Por tanto, si tienes dudas, ponte en contacto con la entidad bancaria o accede a tu cuenta a través de la aplicación oficial o de su página web, pero nunca a través del enlace que te envían en el SMS que lo suplanta. Y en caso de haber sido víctima de uno de estos fraudes o “cualquier otro incidente de seguridad” relacionado con el BBVA, explican que puedes contactar con ellos en el 900 102 801.

La entidad es consciente del problema y ha lanzado una campaña de comunicación a sus clientes *

En Maldita.es hemos contactado con BBVA, quienes explican que tienen constancia de que se están enviando mensajes de texto "maliciosos a los clientes haciéndose pasar por el banco, y comunicando que hay alguna incidencia con sus cuentas, tarjetas u otros productos, e instándolos a pinchar en un enlace falso para solucionarlo".

"Lo que hacen es editar las cabeceras de los SMS para que el dispositivo móvil al recibirlos la agrupe haciéndose pasar por uno de BBVA. Es una manipulación que no podemos controlar desde BBVA. Pero en ningún caso hay intervención por parte de la entidad", afirman.

Conscientes del problema, han lanzado una "campaña global" de comunicación, según explica, enviando comunicaciones a sus clientes y también a través de redes sociales. En cuanto a la solución a las víctimas, exponen que estas deben "ponerse en contacto con BBVA y denunciar lo que le ha sucedido". Una vez interpuesta la denuncia "cada caso se somete a un análisis para dictaminar si se dan las circunstancias para hacer la devolución de lo reclamado", declaran desde la entidad.

¿Cómo envían este SMS fraudulento a nombre de BBVA?

El INCIBE señala a Maldita.es que el SMS no se envía desde la cuenta del banco ni desde el número del mismo, sino que “los actores maliciosos dan de alta un 'alias' para el envío de SMS idéntico al alias que utiliza la entidad bancaria, con lo que consiguen que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. Afirman que no es lo habitual pero que ya se ha detectado el mismo modus operandi en otras campañas.

La utilización de estos alias que hemos mencionado, según el instituto, es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”.

Sobre la regulación de esta funcionalidad para evitar este tipo de suplantaciones, indican que “depende de las comprobaciones que realicen los proveedores de internet y de la normativa de cada país, por lo que no se puede descartar que los SMS se estén enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento”.

Con el INCIBE coincide el maldito y experto en ciberseguridad, Jorge Louzao: “si buscas en internet 'SMS remitente personalizado', encontrarás que hay decenas de empresas de envío de mensajes que ofrecen ese servicio”, aunque, según el experto, podrían haberlo “enviado desde algún servicio extranjero para dificultar su seguimiento en caso de que alguien denuncie”.

El también maldito, licenciado en telecomunicaciones y experto en ciberseguridad, Iván Forcada, nos explica que “el uso de SMS es considerado inseguro desde hace años. Casi siempre se habla de la inseguridad de usarlos para recibir el segundo factor de autenticación pero lo que no se menciona tanto es la facilidad para suplantar al remitente”. Esto se denomina 'SMS Spoofing'. 

Teniendo en cuenta lo mencionado, Forcada concluye que hay que seguir educando en ciberseguridad y tener en mente cuando recibamos un SMS que “son inseguros, por lo que no deberíamos utilizarlos para nada importante”, aunque es consciente de su uso por parte de los bancos los cuales, en su opinión, “deberían dejar de utilizar”. Por último, recomienda desconfiar de un SMS “que te pida hacer algo”, especialmente “si hay errores gramaticales, aunque sean pequeños”.

El mismo modus operandi ya se empleó para suplantar a Correos 

Como mencionaba el INCIBE, esta práctica de suplantar a una entidad a través de un SMS con su nombre ya ha ocurrido anteriormente. 

En 2019, Correos ya alertó a través de su perfil de Twitter de un mensaje que se enviaba en su nombre alegando que un paquete no se había podido entregar debido a que no se habían pagado las tasas.

También el medio dedicado a gadgets y tecnología, Xataka, advertía del peligro de estos mensajes y explicaba el funcionamiento del 'SMS Spoofing'.

Consejos para evitar ser víctima de phishing

No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.

  1. Fíjate bien en el link que te envían. Si te llega un mensaje, presta atención al link que te envían y si lleva el nombre de la empresa. 
  2. Si una institución supuestamente se está poniendo en contacto contigo, pero el SMS no está dirigido a tu nombre, sospecha.
  3. Observa si el SMS contiene faltas de ortografía o frases sin sentido.
  4. Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
  5. Mantén actualizado el sistema operativo y el antivirus. 

Si te llega un SMS sospechoso como este recuerda que puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también puedes utilizar su línea de ayuda en ciberseguridad. También puedes denunciarlo a la Policía Nacional o ante la Guardia Civil.

También puedes enviarnos un email a [email protected] para contarnos tu caso, si has sido víctima de este o cualquier otro fraude.

En este artículo han colaborado con sus superpoderes los malditos y expertos en ciberseguridad Jorge Louzao e Iván Forcada.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

*Artículo actualizado el 15/07/2021 con la respuesta de BBVA.


Primera fecha de publicación de este artículo: 14/07/2021