Los ciberdelincuentes crean un alias idéntico al de la empresa para que el SMS aparezca en el hilo de mensajes oficial
Un usuario de X (antes Twitter) denunció que “no es normal” recibir un mensaje de phishing dentro del propio hilo oficial de comunicaciones de su banco. Junto a la publicación compartió una captura de pantalla en la que se observan varios SMS enviados por MyInvestor, un banco digital. Entre ellos, aparece un mensaje que informa de que su teléfono móvil ha sido vinculado como “dispositivo seguro” en el área de cliente. En caso de no reconocer esta acción, el SMS facilita un número de teléfono al que llamar.
Desde el Instituto Nacional de Ciberseguridad (INCIBE) explicaron a Maldita.es que estos mensajes no se envían desde la cuenta ni desde el número de teléfono real de la entidad financiera. En su lugar, los timadores registran un alias idéntico al que utiliza el banco para el envío de SMS.
De este modo, consiguen que las aplicaciones de mensajería agrupen el mensaje fraudulento en la misma conversación que las comunicaciones legítimas de la entidad, dando la impresión de que procede realmente del banco.
Los mensajes pueden incluir enlaces o números de teléfono fraudulentos
Estos SMS suelen contener un enlace que invita al usuario a actualizar datos o facilitar información confidencial. Al acceder, la víctima es redirigida a una página web fraudulenta que imita la apariencia de la entidad bancaria, utilizando su logotipo y diseño. Sin embargo, la dirección web no guarda relación con el dominio oficial del banco.
En otros casos, los mensajes incluyen un número de teléfono al que se insta a llamar si el usuario no reconoce una supuesta operación o cambio realizado en su cuenta. El INCIBE ha alertado de esta modalidad de engaño y señala que, cuando la víctima realiza la llamada escucha “una locución automatizada que simula ser del propio banco”. Después, es atendida por una persona que se identifica como miembro del departamento de seguridad de la entidad y le informa de una transacción sospechosa o no autorizada en su cuenta. Le indica que, para resolver la situación, debe seguir una serie de instrucciones.
Según el INCIBE, los timadores guían al usuario para que realice determinadas acciones directamente desde la aplicación oficial del banco o el área de cliente de la web oficial y, finalmente, le piden que “transfiera sus fondos a una ‘cuenta de respaldo de seguridad’ para proteger su dinero, lo que implica la pérdida del importe transferido”, según asegura el INCIBE.
Qué puedes hacer para evitar caer en este engaño
Ante este tipo de SMS, lo más recomendable es contactar con la entidad financiera utilizando exclusivamente los canales oficiales publicados en su página web o acudir directamente a una sucursal para verificar el mensaje recibido.
También conviene desconfiar de los números de teléfono incluidos en este tipo de mensajes, ya que no pertenecen a los servicios oficiales de atención al cliente de los bancos. Varias entidades han advertido de esta práctica. Por ejemplo, ING aseguró a un usuario de X (antes Twitter) que nunca van a pedir a sus clientes contactar con un número que no sea 91 206 66 66. En la misma línea, Sabadell ha recomendado no llamar al número de teléfono que aparece en los mensajes sospechosos. Los teléfonos oficiales de atención al cliente de CaixaBank son, a fecha de publicación de este artículo, 93 887 25 25 o al 900 40 40 90. Por su parte, BBVA también ha alertado que el teléfono oficial del banco habilitado para los clientes es 900 102 801.
Estas y otras entidades financieras llevan tiempo alertando en sus páginas web y redes sociales sobre este tipo de intentos de timo y recuerdan a sus clientes una serie de recomendaciones básicas para proteger sus cuentas.
Sus mensajes de SMS no contienen enlaces.
Nunca pedirán por SMS o llamada las claves de acceso de la banca digital, ni tampoco otros datos personales.
Desconfiar de aquellos mensajes alarmantes que tengan tono de urgencia y contengan faltas de ortografía o erratas.
Acceder siempre a la banca electrónica a través de la app legítima o a través de la página web oficial del banco.
Contactar con el Servicio de Atención al Cliente de cada entidad bancaria.
Recomendaciones si has caído en este timo
En caso de haber llamado al número de teléfono que aparece en los mensajes de texto o de haber accedido al enlace fraudulento, el INCIBE ofrece las siguientes recomendaciones:
Contacta con tu entidad bancaria para contarles lo sucedido y reclamar cualquier transferencia que se haya podido realizar. También aconseja monitorizar todos los movimientos de tu cuenta para detectar cargos no autorizados y comunicarlo al banco en caso de que ocurran.
Recopila todas las pruebas que puedas de lo ocurrido, como capturas de pantalla de los mensajes y registros de llamadas.
Con las pruebas, acude ante las autoridades para presentar una denuncia y asegúrate de pedir una copia de la denuncia para proporcionarla a tu banco.
Pasado un tiempo, practica el egosurfing para comprobar si tus datos personales han sido expuestos tras el incidente.
También puedes reportar el fraude a través de los canales de INCIBE o solicitar ayuda mediante la línea gratuita de ayuda en ciberseguridad el teléfono 017.