El Instituto Nacional de Ciberseguridad ha denunciado este mes una campaña de smishing (suplantación de la identidad del banco) que ha afectado a clientes y trabajadores de Unicaja Banco. El modus operandi, como suele producirse en estos fraudes, un mensaje que llevaba vinculado un enlace. Pero este caso tenía una peculiaridad que no hacía tan obvia la estafa.
El sms 'sospechoso' que recibían los clientes y trabajadores de Unicaja no provenía de un número desconocido, sino del propio banco. La mayoría de las víctimas han caído en la trampa al ver sobre el mensaje sospechoso el hilo de mensajes que habían sido fruto de actividad y gestiones anteriores con el banco.
Pese a que el banco suele notificar a los clientes con un SMS periodicamente donde les avisan de que "Unicaja nunca te solicitará por teléfono, SMS o mail tus datos de acceso", las víctimas se cuentan en decenas. Este tipo de fraudes también ha afectado a clientes de otras entidades, además de la malagueña.
La cuenta oficial de Unicaja en Twitter también ha publicado varios mensajes alertando de esta estafa y ha recomendado a los clientes que ignoren el mensaje y lo eliminen, y sobre todo que no pinchen en el enlace que les incluye.
En las capturas que comparten muchos de los usuarios que lo han recibido se puede apreciar cómo el mensaje avisa de que se ha registrado "un acceso no autorizado en su cuenta online" y alerta de que "si no reconoce este acceso verifique inmediatamente pulsando en el enlace".
Los enlaces que se incluyen en este tipo de mensajes de phishing son normalmente sospechosos desde el primer momento al usar por ejemplo dominios extraños, pero en esta ocasión hasta el enlace estaba bien preparado. Lo único que descuadraba era ese "sa" antes del ".com".
Los usuarios del banco que pincharon en el enlace observaron que este les redirigía a una plataforma que parecía ser la de la propia banca online que tardaba mucho en cargar. Ángel Herrera, un usuario de Twitter, denunciaba esta misma semana que en la espera a que se cargara la página recibió una supuesta llamada de teléfono del servicio de Atención al cliente. En cuanto colgó, vio cómo su cuenta bancaria iba disminuyendo poco a poco. Los presuntos estafadores fueron sustrayendo bizum a bizum todo el dinero que el límite de la aplicación les permitía (en total, 1900 euros).
Consejos para no caer en la trampa
En primer lugar, desconfía si te llega un enlace por SMS, normalmente, los bancos actúan directamente desde la app de su banca digital. En el caso de ponerse en contacto contigo por SMS, lo harán llamándote por tu nombre. Sospecha en caso contrario.
Por otro lado, cuidado con las faltas de ortografía o frases sin sentido, a veces cometen este error. Aunque el mensaje te de la impresión de que tienes que actuar de manera urgente, calma. Muchas veces es mejor que contrastes con fuentes oficiales como la Policía Nacional si ese mensaje es real o no.
Mantener el antivirus actualizado puede ser útil para frenar a los ciberdelincuentes en caso de malware. Se debe tener cuidado al descargar y abrir adjuntos en el ordenador. Es conveniente revisar la fuente y escanearlos con un antivirus antes de ejecutarlos.