Nos habéis preguntado a través de nuestro nuestro chatbot de WhatsApp (+34 644 229 319) acerca de un supuesto mensaje del banco BBVA en el que nos advierten de que nuestra tarjeta “ha sido limitada temporalmente por razones de seguridad” y nos piden que actualicemos nuestra información para reactivarla. Pero es un timo: se trata de un intento de smishing (un tipo de phishing a través de SMS) en el que los timadores se están haciendo pasar por la entidad bancaria para quedarse con nuestros datos personales y bancarios.
Suplantan a BBVA a través de un enlace fraudulento para pedirnos nuestros datos
El mensaje de texto que se difunde dice lo siguiente: “Su tarjeta ha sido limitada temporalmente por razones de seguridad, para reactivarla, actualice su información”. Sin embargo, el enlace al que nos redirigen (oyn.at) no guarda relación alguna con el dominio de la página web oficial de la entidad (bbva.es), aunque el SMS nos llega desde un número que se identifica como BBVA. Esta es una técnica conocida como 'SMS spoofing' (suplantación de SMS, en su traducción del inglés), que emplea técnicas de ingeniería social para hacernos llegar un mensaje desde el número del que recibimos las comunicaciones bancarias habitualmente, lo que lo dota de fiabilidad.
Cuando pinchamos en el link del mensaje, nos salta un mensaje automático del software antivirus en el que nos avisan de que estamos a punto de acceder a un sitio web “sospechoso”, algo que debe hacernos sospechar de que podríamos estar ante un timo.
Si seleccionamos la opción “visitar de todas formas”, nos redirigen a otra página en la que nos piden nuestros datos personales y bancarios: nuestro DNI, NIE o pasaporte, nuestra clave de acceso y nuestro número de teléfono. Aunque dicha página utiliza el logotipo de BBVA, su dirección tampoco se corresponde con las direcciones URL oficiales de este banco.
BBVA no pide información confidencial a través de SMS o correos electrónicos
Esta no es la primera vez que los timadores utilizan la imagen de marca de BBVA para intentar hacerse con datos de sus clientes.
En su página web, BBVA recuerda que “nunca te vamos a solicitar tu información confidencial, como claves de acceso a la banca online o códigos de un solo uso (OTP), a través de mensajes SMS o correos electrónicos”. Asimismo, recalcan que “los SMS que BBVA envía no contienen enlaces”. Por este motivo, hacen hincapié en que si recibimos algún mensaje “que incluya un link, aunque aparezca en el hilo de BBVA, es falso".
Consejos para evitar ser víctima de 'phishing'
No podemos hacer que dejen de llegarte estos mensajes, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar un supuesto mensaje que use el nombre de tu banco de confianza o se haga pasar por él.
- Fíjate bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la URL de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- No te fíes si el texto tiene faltas de ortografía o frases inconexas.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
Si has sido víctima de esta estafa u otra similar, puedes contarnos tu caso escribiéndonos al email [email protected].