Nos habéis preguntado por un SMS supuestamente enviado por la entidad BBVA en el que se pide descargar su aplicación BBVA Protect. Pero se trata de un caso de smishing (phishing a través de SMS). BBVA no ha enviado ningún tipo de mensaje con estas características y la compañía ha alertado de este caso.
El smishing es una forma de timo muy común que consiste en enviar un mensaje a un usuario (que puede ser cliente del banco o no) haciéndose pasar por la entidad bancaria para hacerse con los datos personales y bancarios de la víctima. En Maldita.es ya os hemos contado otros casos parecidos.
La URL nos lleva a una web que no existe
El link del mensaje no nos lleva a la página web de la entidad ( http://bbva.com/es), sino a una dirección que ya no existe. También hemos introducido la dirección del SMS en la página de análisis reputacional URL VOID, donde hemos visto que el dominio ha sido registrado en Estados Unidos.
Además, en la propia página web de BBVA se alerta sobre el smishing y sus peligros. Desde la entidad explican que el banco nunca enviará SMS con links a sus clientes, ni solicitará ningún tipo de información. Por lo tanto, si alguien recibe algún mensaje de estas características, jamás debe proporcionar sus datos personales o bancarios.
Por su parte, el banco también ha alertado varias veces de este tipo de timos a través de su cuenta de twitter oficial ( y su perfil BBVA responde en España).
¿Cómo se envía este SMS fraudulento a nombre de BBVA?
En Maldita.es hablamos con el Instituto Nacional de Ciberseguridad (INCIBE), donde nos han explicado que el SMS no se envía desde la cuenta del banco y ni desde el mismo, sino que “los actores maliciosos dan de alta un 'alias' para el envío de SMS idéntico al alias que utiliza la entidad bancaria, con lo que consiguen que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. Afirman que no es lo habitual pero que ya se ha detectado el mismo modus operandi en otras campañas.
“Los actores maliciosos dan de alta un 'alias' para el envío de SMS idéntico al alias que utiliza la entidad bancaria, con lo que consiguen que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. Afirman que no es lo habitual pero que ya se ha detectado el mismo modus operandi en otras campañas.
La utilización de estos alias que hemos mencionado, según el instituto, es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”.
Sobre la regulación de esta funcionalidad para evitar este tipo de suplantaciones, indican que “depende de las comprobaciones que realicen los proveedores de internet y de la normativa de cada país, por lo que no se puede descartar que los SMS se estén enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento”.
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el link que te envían. Si te llega un mensaje, presta atención al link que te envían y si lleva el nombre de la empresa.
- Si una institución supuestamente se está poniendo en contacto contigo, pero el SMS no está dirigido a tu nombre, sospecha.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
- Mantén actualizado el sistema operativo y el antivirus.
Si te llega un SMS sospechoso como este recuerda que puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también puedes utilizar su línea de ayuda en ciberseguridad. También puedes denunciarlo a la Policía Nacional o ante la Guardia Civil.
También puedes enviarnos un email a [email protected] para contarnos tu caso, si has sido víctima de este o cualquier otro fraude.
Primera fecha de publicación de este artículo: 23/05/2022