Correos, SMS, llamadas... los cebos para robar datos, cada vez más sofisticados
Al conocido 'phishing' se suman el 'smishing' y el 'vishing' para estafar a los clientes bancarios Las entidades insisten en que nunca piden contraseñas
Los ciberdelincuentes utilizan artimañas cada vez más sofisticadas para tratar de engañar y conseguir información personal y confidencial, como contraseñas bancarias o datos de tarjetas de crédito. Al phising, la estafa por internet más común que consiste en enviar correos electrónicos fraudulentos, se han ido sumando otras técnicas perfeccionadas para que el usuario caiga en la trampa. Cada vez es más frecuente el llamado smishing o ataque por mensaje de texto (SMS) enviado al móvil simulando ser una entidad bancaria que pide clicar en un enlace.
Mensajes como “Lo invitamos a confirmar rápidamente su información para evitar una restricción o suspensión de cuenta. Haga clic aquí” (a continuación aparece un enlace http) o, a partir de una fecha determinada, “no puedes utilizar tu cuenta” o "no puedes utilizar tu tarjeta" y "tienes que activar el nuevo sistema de seguridad web”, seguido también de un enlace web, se usan como cebo.
En las últimas semanas, clientes del Santander, CaixaBank, la antigua Liberbank e ING han recibido alertas de este tipo. Las entidades insisten en que nunca mandan mensajes de tales características ni piden claves ni datos personales por SMS o e-mail. Todas ofrecen consejos a los clientes para evitar este tipo de fraudes.
Y es que, al pinchar en los enlace, el usuario es dirigido a una página web fraudulenta que simula ser el portal de acceso de la propia entidad. Es ahí donde se empiezan a solicitar datos sensibles, como el usuario, contraseña o incluso el pin. Una vez aportada la información, el ciberdelincuente usa estos datos en la página verdadera del banco, pudiendo solicitar mensajes de confirmación legítimos al móvil del usuario. Este, pensando siempre que es su banco, introduce los códigos recibidos en la página falsa. Y el timo está completado. Con esto, el atacante ha podido realizar cualquier operación dado que ha sido capaz de validar el doble factor de autentificación (contraseña y códico de verificación enviado al móvil).
Desde Banco Santander confirman que estos mensajes falsos son aleatorios y los reciben tanto clientes como no clientes. "En cuanto se reporta el banco lo gestiona rápidamente y da de baja esos enlaces para que no funcionen", aseguran en la entidad, que insta a los clientes a comunicar los casos lo antes posible para poder actuar. Además, a través del enlace https://www.bancosantander.es/particulares/banca-digital/seguridad-online da recomendaciones de seguridad.
ING ha detectado que varios clientes han recibo estos SMS a partir de bases de datos de terceros en las que figuran que han sido vulneradas. "Nuestra labor principal es de prevención y concienciación para que nuestros clientes puedan identificar este tipo de fraudes y sepan cómo actuar". Es por eso que la entidad ha creado una guía completa sobre seguridad digital en su web. Además, cuenta con "herramientas de detección y anticipación para así gestionar con terceros el cierre de esos portales de amenazas", así como con profesionales que analizan los incidentes en tiempo real.
Por su parte, los clientes de Liberbank (ahora Unicaja Banco tras la fusión de ambas entidades) reciben periódicamente información con consejos para prevenir el 'phising' y las nuevas modalidades de fraude online, como comprobar la procedencia de los enlaces recibidos por medios electrónicos antes de hacer clic en ellos, desconfiar de un lenguaje con errores ortográficos o mantener el antivirus actualizado. "Unicaja Banco mantiene una monitorización constante sobre posibles casos de ciberfraude que puedan afectar a sus clientes y realiza además labores de mitigación de forma tal que el impacto negativo sea mínimo", indican fuentes de la entidad, que inciden en que los bancos tienen todos los datos de sus clientes y no hay razones para pedir información que ya conocen.
CaixaBank sostiene que los casos están "gestionados y controlados" y recomienda a los clientes que, ante cualquier petición sospechosa, se pongan inmediatamente en contacto con el número de Atención al Cliente de la entidad. Además, informa a sus clientes desde diferentes vías. Les hace llegar de manera periódica newsletters informándoles sobre los fraudes más frecuentes y las medidas que deben adoptar para evitar ser víctimas de este tipo de engaños. Además, publican noticias en su web. También ha desarrollado una campaña con sesiones online y conferencias.
En Bankinter afirman que no se han registrado ataques de smishing, pero realizan “una vigilancia constante” desde el departamento de seguridad digital para evitar este tipo de tentativas de operativa fraudulenta.
M.S. fue víctima de phising hace un par de años y se encontró con que le habían estafado una importante suma de dinero. “Nunca piensas que vas a caer en la trampa, hasta que caes. Pensé que era un correo de mi banco e hice todo lo que no hay que hacer. A toro pasado te das cuenta del grave error, pero en el momento no es tan fácil detectarlo”. Añade que “hace tiempo las páginas enlazadas estaban muy mal hechas, pero ahora han mejorado y parece que son las reales. Además, técnicamente utilizan conexiones seguras (https) y tienen dominios registrados”.
Es difícil conseguir un reembolso del dinero estafado en el banco, dado que se considera una negligencia por parte del cliente que no ha custodiado correctamente sus datos secretos (como claves o contraseñas). Normalmente, las reclamaciones se realizan al departamento de Atención al Cliente de la misma entidad en primera instancia y, si la resolución es negativa, es cuando se puede acudir al Banco de España. No obstante, en ocasiones sí se consigue recuperar el capital, aunque queda a la buena voluntad de la entidad.
Igualmente, muchas personas sufren el 'vising' o timo a través de una llamada telefónica, en la que se comunica al usuario que ha ganado un consurso o ha sido obsequiado con cupones descuento. Los cibercriminales piden confirmar la cuenta bancaria.
Desde la Oficina de Seguridad del Internauta (OSI) de INCIBE señalan hay que desconfiar de mensajes que hablan de trabajos que no existen, premios sin haber jugado o paquetes recibidos sin haberlos pedido. Aconsejan no proporcionar datos bancarios o similares y vigilar regularmente el consumo.