El digital h50 ha detectado varios mensajes de texto SMS que simulan entidades bancarias españolas como en este caso el banco Santander. Nos han hecho llegar varios mensajes de personas alertando sobre esta nueva estafa, en el que indican que el sistema del propio banco ha detectado un pre-cargo no autorizado de 379,99 euros con la tarjeta y que para cancelar el pago deben hacer clic en un enlace que adjuntan.
Desde este enlace se podría facilitar la descarga de un troyano que pudiese robar los datos del terminal informático o dañarlo, o derivar en una solicitud de datos bancarios que después utilizarían para vaciar la cuenta.
El aumento del comercio electrónico, una banca cada vez más digitalizada y el creciente uso de la tarjeta como medio de pago son aprovechados por los ciberdelincuentes para conseguir tus datos bancarios. El Portal publica una nueva serie para explicar qué técnicas emplean y cómo protegerte. Comenzamos con este post, donde nos detendremos en, quizá, la más habitual de ellas, el phishing.
La ingeniería social es la práctica de obtener información a través de la manipulación de los usuarios. El principio básico detrás de esto es que «el usuario es el eslabón más débil» en las transacciones digitales. Es más fácil engañar a alguien para que facilite su contraseña que penetrar los complejos sistemas de seguridad de las empresas.
Para ello recurren a diversos medios como correos electrónicos (phishing tradicional), SMS (smishing), llamadas telefónicas (vishing), páginas web falsas (web spoofing), etc. Pero realmente todos presentan patrones comunes que nos permiten detectarlos y actuar en consecuencia.
Mensaje fraudulento
El phishing es la estafa en la que se suplanta la identidad de un tercero, es este caso, mediante envío masivo de correos electrónicos fraudulentos empleando la identidad de organismos o empresas legítimas, como tu banco. Es la primera fase de muchas con el objetivo final de obtener grandes sumas de dinero.
Este tipo de fraude persigue obtener datos personales (nombre, DNI) y datos bancarios (números de tu tarjeta, usuario y contraseña de tu banca electrónica, claves OTP). Esta técnica se conoce desde los años 80 y, por desgracia, no ha pasado de moda. Este neologismo viene de la palabra homófona en inglés fishing o pescar.
¿Qué «cebo» ponen en el anzuelo para que piques?
Estos mensajes fraudulentos utilizan todo tipo de artimañas para dar una falsa sensación de urgencia y forzar al usuario a que tome una decisión rápida para evitar supuestas consecuencias negativas. Te damos unos ejemplos:
- Tu cuenta ha sido bloqueada o va serlo de forma inminente.
- Ha entrado en vigor una nueva normativa.
- Mejoras en las medidas de seguridad.
- Te piden que confirmes tu identidad.
- Ofrecen descuentos, promociones y sorteos.
¿Cómo identificar un correo electrónico fraudulento?
El sentido común es clave para prevenir este tipo de actuaciones delictivas:
- Tu banco nunca te pedirá por correo electrónico ni por SMS que facilites tus claves de acceso a la banca electrónica o los datos de tus tarjetas de crédito.
- Si tiene archivos adjuntos, desconfía. Con gran probabilidad este archivo oculta un virus informático (malware o programa malicioso).
- Verifica la dirección del remitente. Pero ten en cuenta que los ciberdelincuentes consiguen ocultar la dirección real detrás de una falsa.
- Desconfía de los mensajes que contengan enlaces. Revísalos antes de clicar. Para ello, pasa el cursor sobre el hipertexto para ver el enlace verdadero. Su objetivo es dirigir a la víctima a una página falsa (web spoofing) que simula ser la web legítima para robar sus credenciales de acceso.
¿Qué hago una vez lo haya detectado?
- No facilites nunca la información que se te pide ni ninguna otra.
- No pinches en los enlaces ni descargues los archivos adjuntos.
- Márcalo como «no deseado» y, si puedes, denuncia la suplantación de identidad a tu proveedor de correo electrónico. Bloquea al remitente para evitar recibir correos de este tipo en el futuro.
- Es aconsejable remitirlo a tu banco para que esté al tanto e informe al resto de clientes.
- Si crees haber sido víctima, comunícalo a la entidad para que bloquee la operación y revierta, en la medida de lo posible, el problema. Modifica la contraseña de acceso a tu banca electrónica. No olvides interponer denuncia ante la Policía, Guardia Civil o en el Juzgado.
Desde el Banco de España recomiendan compartir esta información con las personas de tu entorno y poner ejemplos reales para que se den cuenta de esta amenaza. Además, en la web de la Oficina de Seguridad del InternautaAbre en ventana nueva (OSI) te explicarán con más detalle que herramientas técnicas puedes usar para protegerte. Que no te pillen desprevenido, tu mayor protección eres tú mismo.