Nos habéis preguntado a través de nuestro servicio de verificación de WhatsApp (+34 627 28 08 15) por un supuesto mensaje SMS de BBVA con el siguiente mensaje: “Lamentamos informarle que su cuenta ha sido desactivada. Por su seguridad, le rogamos que complete la siguiente verificación”. También incluye un enlace que conduce a una web no oficial. Tanto la Policía Nacional como el propio BBVA han denunciado que este SMS se trata de un caso de estafa de phishing, en la que los timadores simulan ser una entidad oficial para hacerse con los datos confidenciales de los usuarios.
La cuenta de Twitter de la Policía Nacional difundió el pasado 27 de julio un mensaje en el que alertaba de esta campaña: “Este mensaje debería hacerte saltar todas las alarmas. Se trata de un phishing y busca hacerse con tus claves”. A continuación, mostró una imagen del mensaje malicioso. Asimismo, BBVA ha advertido a sus clientes de que no pide nunca datos confidenciales a través de mensajes de texto.
BBVA alerta a sus clientes de la estafa a través de SMS
El banco BBVA también ha advertido en varias ocasiones de la existencia de mensajes de texto fraudulentos que se hacen pasar por esta entidad para tratar de extraer datos de sus clientes. El último aviso fue difundido el 27 de mayo, en el que alertaba de mensajes muy similares al que aparece en el tuit de la Policía Nacional.
“Estimado cliente hemos encontrado un intento de acceso sospechoso en su cuenta, debería verificar sus datos”, seguido de un enlace. El propio banco muestra que en el caso de pulsar en el enlace, lleva a una pantalla que imita a la web de BBVA, de fondo azulado, donde se pide el DNI, la clave de acceso bancaria o número de móvil. En el momento de rellenar estos campos, los ciberdelincuentes recibirán estos datos.
Posteriormente, denuncia BBVA, los ciberdelincuentes se hacen pasar por el servicio de atención al cliente de BBVA para indicar que se han llevado a cabo “movimientos bancarios fraudulentos”: “Les continúan comunicando que, para poder recuperar su dinero, van a recibir un código de un solo uso a través de SMS, código que deben proporcionar en la llamada”, explica el comunicado. Con este código y los datos anteriores los ciberdelincuentes tienen todo lo que necesitan para acceder a las cuentas bancarias de los usuarios.
Recomendaciones para evitar que piques
BBVA ha lanzado una serie de recomendaciones para sus clientes, que pueden servir de orientación para cualquier ciudadano, independientemente de la entidad bancaria que utilicen. Entre estos, el principal es no proporcionar información personal o bancaria en páginas web a las que se accede mediante un enlace en un mail o SMS. Siempre hay que hacerlo desde la web oficial de la entidad. Aconseja también revisar el texto del SMS, por si este incluye palabras o caracteres extraños. Específicamente, pide ignorar cualquier mensaje que incluya un tono de “urgencia” o que contenga faltas de ortografía. La empresa recuerda también que las páginas web seguras empiezan por “https”.
El Departamento de Seguridad Nacional, un organismo dependiente de la Presidencia del Gobierno, lanzó el 31 de julio una campaña sobre banca electrónica fraudulenta con algunos consejos similares.
Phishing por todas partes
Las campañas maliciosas de phishing están ampliamente extendidas. Newtral.es ha verificado otras estafas que han suplantado la identidad de empresas como Facebook, ING, Banco Sabadell, Bankinter, Amazon, Corte Inglés y Mercadona. Este fenómeno también afecta a la administración pública, como un correo electrónico falso que se hacía pasar por la Dirección General de Tráfico.
Para ayudar a defenderse de los malhechores de Internet, el responsable de Tecnología e Innovación de Newtral.es, Rubén Míguez, publicó un decálogo con reglas básicas para evitar que un estafador obtenga nuestra información privada.
