Vuelve la campaña de phishing que suplanta al BBVA

Los piratas informáticos han resucitado, diez meses después, la estafa online de los correos electrónicos fraudulentos que suplantan a la entidad bancaria BBVA, y que tienen por objetivo es dirigir a la víctima a una página falsa (phishing) que simula ser la web legítima del banco para robar sus credenciales de acceso.

Según ha alertado la Oficina de Seguridad del Internauta, dependiente del Ministerio del Interior, los correos detectados en esta nueva campaña maliciosa se identifican porque llevan como encabezado el asunto “Banca Online de BBVA”, aunque no se descarta que se puedan estar utilizando otros asuntos de características similares.

El contenido del correo informa al usuario de que su información de seguridad no se ha actualizado correctamente y que es necesario que actualice sus datos lo antes posible si no quiere que su cuenta quede suspendida.

Si el usuario accede al enlace, será redirigido a una página que suplanta a la web legítima, que no cuenta con certificado de seguridad, un aspecto imprescindible. En dicha página, que tiene el aspecto que se reproduce junto a estas líneas, deberá introducir sus credenciales de acceso al servicio de banca online.

El fraude, al que los expertos de la OSI conceden un nivel de importancia «medio», tiene también su versión para dispositivos móviles.

Los ciberdelincuentes acceden a los datos

Si el usuario introduce las credenciales de acceso, será redirigido a otra página en la que le solicita que introduzca la clave recibida por SMS para confirmar la simulación. Al introducir las credenciales de acceso y el código de verificación, los ciberdelincuentes ya contarán con estos datos. En el caso de los navegadores web, parece que el proceso finaliza en este punto, pero en dispositivos móviles, redirige al usuario a la web legítima del BBVA.

Los expertos en ciberdelincuencia aseguran que, en caso de haber recibido un correo de estas características, accedido al enlace y facilitado los datos de sesión así como información personal y bancaria, es imprescindible contactar lo antes posible con el BBVA para informarles de lo sucedido.

Consejos para no ser víctimas

En la Oficina de Seguridad del Internauta recuerdan los consejos básicos para evitar ser víctima de phishing, entre ellos no abrir correos de usuarios desconocidos o que no se hayan solicitado, elimínarlos directamente y no contestar en ningún caso.

Además, se recomienda tener precaución al seguir enlaces y descargar ficheros adjuntos de correos, aunque sean de contactos conocidos. «Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc. -explican-. Y en caso de duda, consulta directamente con la entidad implicada o con terceros de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI).

Asimismo, es recomendable cerrar todas las aplicaciones o programas antes de acceder a la web del banco, escribir directamente la URL del banco en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos y no acceder al servicio de banca online del banco desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.