Intento de robo de datos a clientes de Bankia y Mapfre

Dos campañas fraudulentas simultáneas han sido detectadas en la red. Una de ellas afecta a los clientes de Bankia, a quienes se intenta robar datos personales a través de una falsa app en Google Play. La otra, a usuarios de Mapfre, esta vez a través de una oleada de correos electrónicos fraudulentos, según ha alertado la Oficina de Seguridad del Internauta (OSI), dependiente del Gobierno.

Por un lado, se ha detectado una app falsa en el mercado oficial de aplicaciones de Google Play que suplanta a la de Bankia, con el objetivo de capturar el usuario y contraseña de la víctima, aparte de tener acceso a ciertos datos almacenados en el móvil y poder realizar ciertas acciones a través de los permisos que solicita al instalar la aplicación.

Esta app maliciosa se llama “Bankia Particulares”, y para ser instalada solicita permisos tales como acceso a todas las cuentas en el móvil (correo, mensajería u otras o, envío y recepción de SMS, con el cual el usuario se puede suscribir sin saberlo a servicios Premium así como controlar el pago de servicios no contratados a través del NFC del móvil y la instalación de malware en el dispositivo. Estos permisos no son necesarios para una aplicación de una entidad bancaria.

Además, tiene pocos comentarios, aunque tenga una valoración alta, y el contenido de los mismos no parece veraz, sino una trampa para captar la atención de otras personas para que sea instalada, según detalla la OSI, que concede una importancia «alta» a esta amenaza.

Otras pistas del fraude son que la fecha de publicación es reciente, aunque Bankia no ha anunciado tener ninguna nueva aplicación, y que el correo de contacto del desarrollador de la aplicación no existe, así como el dominio utilizado bankiaparticulares.com.

Asimismo, no existen más aplicaciones publicadas por dicho desarrollador, la imagen de la aplicación contiene el logo de Bankia y la palabra “new”, lo que es bastante inusual, y en el enlace de la política de privacidad enlaza a una página que no tiene nada que ver con Bankia.

En caso de haber descargado la app en el móvil y haber facilitado los datos de sesión, es necesario contactar lo antes posible con Bankia para informarles de lo sucedido.

Por otro lado, los mismos expertos han detectado una campaña de phishing que intenta suplantar a la compañía de seguros Mapfre mediante un email falso. Este correo electrónico simula la recepción de una supuesta solicitud de cambio de dirección postal, en caso de error solicita al usuario que envíe ciertos datos personales, informa la Oficina de Seguridad del Internauta.

El correo electrónico fraudulento simula provenir de Mapfre bajo el asunto “solicitud de cambio de dirección postal”. Dentro del mismo se informa al usuario que se va a efectuar el cambio de dirección postal solicitado. En caso de tratarse de un error, se solicita al usuario cierta información personal como DNI, tarjeta de residencia o carné de conducir.

La OSI, dependiente del Instituto Nacional de Ciberseguridad (INCIBE), recomienda también en este caso ponerse en contacto con la empresa afectada en caso de haber sido víctima del fraude, y recuerda que ninguna compañía envía por correo electrónico solicitudes de datos personales de sus clientes.