Alerta si es cliente de Abanca: este SMS puede robar sus claves de seguridad

Las entidades financieras gestionan el dinero de millones de personas, siendo las cuentas bancarias uno de los lugares más habituales donde se guardan los ahorros de toda una vida. Por tanto, no es de extrañar que estos entes hayan estado varias veces en el punto de mira de los delincuentes, con el objetivo de robar el dinero de aquellos clientes más vulnerables. Este tipo de estafas son cada vez más variadas, y se llevan a cabo no solo en los cajeros a plena luz del día, sino también en el plano digital, donde miles de personas pueden ser víctimas de estos ciberataques.

En este contexto, desde la Oficina de Seguridad del Internauta (OSI) han detectado una nueva campaña de “smishing”-a través de mensajes de texto fraudulentos- suplantando la identidad de una entidad legítima, que en este caso es del banco Abanca.

El cliente de esta entidad bancaria recibe un SMS en el que se le informa de que se ha realizado un cargo en su cuenta, un acceso no autorizado o una actividad sospechosa. Por tanto, se pide al usuario en cuestión que se verifique con urgencia si reconoce dicho encargo en el enlace fraudulento adjunto en el mensaje de texto.

A pesar de que los SMS tienen una redacción adecuada, se puede observar alguna falta ortográfica, tal y como muestran los siguientes ejemplos de la OSI:

• “Le informamos que su cuenta ha sido bloqueada por actividades sospechosas, complete el formulario para activarla: [URL maliciosa]”.
• “Se ha realizado un cargo de 105,00 EUR en su cuenta. Si no reconoce esta actividad, verifique inmediatamente: [URL maliciosa]”.
• “Pago autorizado por importe de 1989.23 euros. Si no ha sido usted, siga los pasos en el siguiente enlace para cancelarlo: [URL maliciosa]”.
• “Un acceso no autorizado esta conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: [URL maliciosa]”.

Cuando la víctima pulsa en el enlace, se la redirige a una web que suplanta a Abanca donde se solicita su NIF y el PIN para identificarse y acceder a la cuenta bancaria. Después, se solicita al usuario una verificación de seguridad introduciendo el número de teléfono que esté registrado en la entidad bancaria. Tras pulsar en el botón “Aceptar” aparecerá un mensaje en el que se indica que se está procesando la solicitud y se quedará en constante carga, sin redirigir a ninguna otra web. Entonces, la estafa ya se habrá ejecutado.

¿Qué puede hacer si ha sido estafado?

En el caso de que una persona haya recibido este mensaje de texto pero no haya accedido al enlace o rellenado sus datos en la web, deberá marcar el SMS como spam y borrarlo de la bandeja de entrada.

No obstante, si la víctima ha rellenado el formulario de la página falsa con sus credenciales, deberá ponerse en contacto con la entidad bancaria y explicar la situación. Asimismo, la OSI explica que será necesario tener en cuenta las siguientes cuestiones:

• Cambiar las credenciales de acceso a la cuenta bancaria de forma inmediata después de hablar con la entidad financiera.
• Recopilar pruebas de la estafa como capturas de pantalla de los mensajes o de la URL fraudulenta. Con estas evidencias, la víctima podrá presentar una denuncia en la Policía y adjuntar una copia a la entidad bancaria.
• Revisar en los próximos meses o semanas los movimientos de la cuenta para comprobar que no se hagan pagos no autorizados.
• Eliminar los SMS que no se hayan solicitado y no hacer clic en los enlaces adjuntos que contengan.
• No proporcionar los datos o credenciales en web poco fiables, revisando los certificados digitales y URL de esta página, para saber si es el sitio web oficial.
• Habilitar el doble factor de autenticación en todas las cuentas bancarias para que se reduzca la posibilidad de poder acceder a ellas.