Gabriela, una lectora de Maldita.es, recibió un SMS en el que supuestamente su banco, el BBVA, le avisaba de que había habido un acceso no autorizado en su cuenta online. "Si no reconoce este acceso verifique inmediatamente", le indicaba el mensaje de texto incluyendo un enlace. Al pinchar en la URL, entró en una web en la que le pedían sus datos de acceso y los introdujo. Inmediatamente, le realizaron un cargo de 1.600 euros.
Se trata de un caso de phishing bancario y desde Maldita.es no paramos de advertiros de este tipo de ataques. Los timadores se hacen pasar por tu banco y te envían una comunicación (a través de SMS, de correo electrónico...) con el objetivo de obtener las claves de acceso a tu banca online. De hecho, como es el caso de Gabriela, ese mensaje te puede aparecer en la misma bandeja de entrada que el resto de SMS que te envía tu banco, lo cual se conoce como SMS Spoofing (suplantación de SMS, en su traducción del inglés). Sin embargo, debemos recordar que nuestro banco nunca nos pediría datos personales a través de SMS, llamadas o correos electrónicos.
SMS fraudulentos para obtener nuestra clave de acceso a la banca online
"Acceso no autorizado en su cuenta online. Si no reconoce este acceso verifique inmediatamente: https://bbva.app-seguridad-web.ru". Este fue el mensaje de texto que le llegó a Gabriela.
No obstante, la URL del SMS no es como la de la web oficial del banco BBVA (https://www.bbva.es/personas.html). Y, si pinchamos en el enlace del mensaje, nos aparece un aviso que nos notifica que se trata de un sitio de phishing y nos recomienda que no entremos.
La web a la que dirige en enlace ya no está disponible, pero la herramienta URL Void indica que la página fue creada el 7 de enero de 2022 y Gabriela fue víctima de este timo tan sólo dos días después, el 9 de enero. Introdujo sus datos de acceso a la banca online y, al rato, comprobó que le habían quitado 1.600 euros de la cuenta y lo reportó como fraude:
Gabriela también llamó al banco para explicar lo ocurrido. Sin embargo, desde la entidad no le han devuelto el dinero ya que se trata de una "operación correcta" a "nivel bancario", según le indicaron en un correo electrónico. En Madita.es ya os hemos explicado que, por normal general, los bancos no se ven obligados a devolver el dinero perdido en un fraude ya que se considera negligencia por parte del usuario. Después de que el banco denegara su reclamación, la víctima la trasladó al Banco de España y está esperando una respuesta por parte de este organismo.
¿Cómo se puede enviar un SMS fraudulento a nombre de una entidad concreta?
Gabriela explica a Maldita.es que confió en lo que le indicaba el SMS porque le llegó al mismo chat en donde había recibido otras comunicaciones de parte del BBVA. Como podemos ver en la captura que ha facilitado a Maldita.es, el intento de phishing aparece junto a otros mensajes reales de la entidad, como códigos para confirmar pagos realizados con la tarjeta bancaria:
Se trata de un caso de SMS Spoofing. Desde el Instituto Nacional de Ciberseguridad (INCIBE) ya nos indicaron que, en estos casos, “los actores maliciosos dan de alta un alias idéntico al alias que utiliza la entidad, con lo que consiguen que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”.
La utilización de estos alias, según el instituto, es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”. Además, estos mensajes suelen ser aleatorios y no tienen una víctima concreta.
Sobre la regulación de esta funcionalidad para evitar este tipo de suplantaciones, según en INCIBE, dependerá “de las comprobaciones que realicen los proveedores de internet y de la normativa de cada país, por lo que no se puede descartar que los SMS se están enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento”.
BBVA nunca va a pedirte tus datos bancarios a través de un SMS o email
El banco BBVA aclara en su web que "nunca te solicitará tu información bancaria por correo electrónico o SMS". Además, la entidad indicó a a Maldita.es que no envían SMS con un enlace. Por lo tanto, si recibimos un mensaje de texto que incluye un link, aunque aparezca en el hilo de mensajes que te envía tu banco, es falso. El objetivo de enviar estos enlaces, como nos dicen desde el INCIBE, no es otro que “dirigir a la víctima a una página web falsa que simula ser la legítima del banco para robar sus credenciales de acceso al servicio de banca online e información bancaria”.
En este artículo os contamos qué información y documentos nunca nos pedirá nuestro banco a través de SMS, correos electrónicos o llamadas.
No te fíes de los mensajes alarmantes
Otra pista que nos puede hacer sospechar de que se trata de un ataque es que el mensaje nos transmite urgencia, avisándonos de un supuesto acceso no autorizado en nuestra cuenta que debemos verificar "inmediatamente". Otros intentos de phishing que suplantaban al banco BBVA también utilizaban mensajes de este estilo, como "su cuenta ha sido bloqueada temporalmente" o "debido a una actualización, hemos tenido que suspender su cuenta". Desde el INCIBE explicaron a Maldita.es que “intentan alarmar al usuario para que pulse y/o acceda sobre el enlace rápidamente y siga los pasos que se le indican sin pararse a analizar la situación”. Muchos mensajes, además, contienen faltas de ortografía o frases inconexas.
¿Y si tengo dudas?
Si crees que es tu banco quien puede estar queriendo ponerse en contacto contigo, ya sea por una llamada que has recibido, por un mensaje de texto o correo electrónico, no accedas a tu cuenta a través de enlaces que te lleguen. La forma más segura de hacerlo es entrando directamente desde la aplicación del banco o desde la página web, tecleando el dominio.
También puedes contactar con tu banco llamando al servicio de atención al cliente que viene en la página web o, si quieres saber si es un fraude, con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también utilizar su línea de ayuda en ciberseguridad.
Por último, puedes contactar con nosotros enviándonos un email a [email protected]. También puedes contarnos tu historia si has sido víctima de uno de estos fraudes.
