Economía

“Smishing”: BBVA, Banco Santander y Banco Sabadell, objeto de una campaña de SMS fraudulentos

El INCIBE detecta dos nuevas campañas que intentan robar las credenciales bancarias de los usuarios de estas entidades

La web falsa del BBVA contiene evidentes errores de ortografía y puntuación.
La web falsa del BBVA contiene evidentes errores de ortografía y puntuación. FOTO: La Razón (Custom Credit) Cortesía del INCIBE.

El Instituto Nacional de Ciberseguridad, INCIBE, alertó ayer de dos nuevas campañas de envíos de SMS fraudulentos que suplantan la identidad de varias entidades bancarias con el objeto de robar las credenciales de usuario de los receptores de los SMS. Este nuevo caso de “smishing” utiliza a BBVA, Banco Sabadell y Banco Santander como “gancho” para engañar a las víctimas.

En la primera campaña, la víctima recibe en su móvil un SMS suplantando la identidad del Banco Sabadell. En el mensaje se le indica que su cuenta de dicho banco se encuentra bloqueada desde el 29/12/2021 y que para recuperarla debe activar un “nuevo sistema de seguridad web” desde un enlace que se proporciona. El texto que contiene el SMS, faltas incluidas, es el siguiente:

“Banco de Sabadell, S.A. A partir del 29/12/2021 No podrá utilizar su cuenta, Tiene que activar el nuevo sistema de seguridad web desde: (URL fraudulenta)”

Captura del SMS fraudulento que reciben las víctimas.
Captura del SMS fraudulento que reciben las víctimas. FOTO: La Razón (Custom Credit) Cortesía del INCIBE.

Sin embargo, al pulsar el enlace la víctima es redirigida a una web fraudulenta no del Sabadell sino del BBVA. La web de los delincuentes presenta algunos errores que pueden llamar la atención como el campo “NIF, NIE,Tarjeta o Passporte” con los errores de puntuación y ortografía que pueden leerse. Pero si la víctima los pasa por alto e introduce su usuario y contraseña, bien del Sabadell o del BBVA, los habrá entregado a los ciberdelincuentes y estos habrán ganado el acceso a la cuenta de la víctima a menos que cuente con medidas de seguridad añadidas como la verificación en dos pasos. Aún en este caso, la información obtenida puede servir para acceder a otros servicios que emplee con la misma contraseña e identificador.

A la izquierda, la web falsa de los ciberdelincuentas suplantando al BBVA. A la derecha, la web legítima de la entidad bancaria.
A la izquierda, la web falsa de los ciberdelincuentas suplantando al BBVA. A la derecha, la web legítima de la entidad bancaria. FOTO: La Razón (Custom Credit)

La segunda campaña detectada afecta al Banco Santander. El SMS fraudulento remite en este caso a una web falsa del Santander más fiel a la legítima que en el caso anterior, lo que aumenta las posibilidades de caer en el engaño. De nuevo, si introduce sus datos de acceso a la cuenta bancaria del Santander, los ciberdelincuentes habrán ganado acceso a la misma.

A la izquierda la web falsa del Banco Santander a la que conduce el SMS fraudulento. A la derecha, la web real del Banco Santander,
A la izquierda la web falsa del Banco Santander a la que conduce el SMS fraudulento. A la derecha, la web real del Banco Santander, FOTO: La Razón (Custom Credit)

El INCIBE recomienda eliminar el SMS “smishing” en caso de haberlo recibido y ponerse en contacto con la entidad bancaria si la víctima ha caído en el engaño y ha introducido sus credenciales bancarias.