Las estafas por Internet son una constante en España. Plataformas como WhatsApp o los servicios de SMS se han vuelto canales de difusión de esta clase de engaños, convirtiéndose casi en una constante, con cientos de ejemplos de tácticas de ingeniería social a cada cual más rebuscada. Ahora, la Policía advierte de una ciberestafa masiva, que afecta principalmente a los usuarios de la entidad bancaria Unicaja.
[Cuidado con la estafa que circula por WhatsApp: Coca Cola no reparte regalos por su aniversario]
La entidad ubicada en Andalucía, tal y como exponen las fuerzas de seguridad del estado, está viéndose afectada por una ciberestafa de amplia repercusión que está provocando las denuncias de sus clientes. En este engaño se pueden encontrar tácticas de ingeniería social y estafa cibernética como el phishing o el call spoofind, que buscan afianzar la confianza de las víctimas para que caigan en el engaño.
El call spoofind no es un tema baladí, ya que recordemos que aunque Unicaja tenga su centro focalizado en la localidad de Málaga, tiene repercusión incluso en algunas zonas de España y en el resto de Andalucía. De ahí que junto a los SMS phishing se use esta táctica de ingeniería social.
Ciberestafa masiva
Este ataque lleva teniendo lugar al menos varias semanas, desde verano, y está dirigida principalmente al perfil de usuario con pocos conocimientos técnicos y baja capacidad para desenvolverse en el terreno digital. Es decir, los usuarios de la entidad más vulnerables y susceptibles de caer en esta clase de engaño.
En este ataque están presentes técnicas de ciberestafa ya vistas antes. Todo comienza con el envío de mensajes SMS y phishing a los clientes, haciéndose pasar por la entidad bancaria. El 'gancho' en este caso es simple; informa sobre una supuesta irregularidad en alguno de los servicios de Unicaja y pide al cliente que se introduzca en un enlace proporcionado supuestamente por el banco.
Lo que ocurre al pinchar en ese enlace es que el usuario acaba en una web que usurpa la identidad corporativa de Unicaja, y en esta se solicitan las credenciales de inicio de sesión para realizar la supuesta gestión, incluyendo su firma digital. No obstante, no es suficiente en muchas ocasiones; es aquí donde entra en juego la táctica del call spoofind.
El call spoofind es una táctica de ingeniería social que pasa por el uso de un programa especializado que hace que, al realizar una llamada, aparezca un prefijo ligado a Málaga. Es decir, que la víctima del engaño recibe una llamada con el prefijo malagueño, haciéndole creer que efectivamente esta llamada se está produciendo desde el banco o al menos desde la localidad andaluza.
El interlocutor se hace pasar por un gestor de Unicaja, de nuevo, intentando mantener la seguridad de la víctima en todo momento para que se sienta cómoda dando sus datos. El engaño es sencillo, ya que infunde miedo a la víctima explicándole que hay un problema técnico en su cuenta y que él lo resolverá, necesitando las credenciales para poder solucionarlo.
Lo más llamativo es que estos ataques varían y se adaptan para mantener la cortina de humo y afianzar las probabilidades de éxito, ya sea mejorando el sistema call spoofind para que aparezcan textos adicionales en el móvil de la víctima a la hora de recibir la llamada o para modificar los SMS enviados y hacerlos más creíbles.
La mayoría de los denunciantes de esta estafa son clientes de Unicaja, y algunos reportan ser usuarios de Liberbank, antes de que se realizase la fusión entre las dos entidades. No se sabe con exactitud la autoría de estos ataques, aunque se cree que están perpetrados por grupos de hackers. Por ejemplo, se han registrado denuncias en el cuerpo de Policía de El Ejido, en Almería.
¿Cómo evitarlo?
Ni Unicaja ni ninguna otra entidad bancaria va a solicitar los datos de sus clientes a través de SMS o de cualquiera de estas vías. En caso de recibir un mensaje similar, ya sea haciendo alusión a Unicaja o a alguna entidad bancaria, debes desconfiar y contactar inmediatamente con tu compañía mediante sus canales de contacto principales (teléfono, página web, chat...)
Evita en la medida de lo posible dar tus claves de acceso bancarias a cualquiera que no tenga relación con tu entidad y sobre todo bloquea los remitentes de los mensajes de este estilo que te lleguen. En caso de haber caído en el engaño, debes contactar inmediatamente con tu banco y específicamente con la Policía.