¿Eres cliente de Santander, Caixabank o BBVA? Seguridad alerta del envío de mensajes fraudulentos

Los correos electrónicos y SMS que suplantan a estas tres entidades utilizan diferentes excusas para solicitar al cliente que pulse sobre un enlace incluido en el mensaje. Dicho enlace redirige a una página falsa que simula ser la del banco y donde se solicitan las credenciales de acceso.

Los correos electrónicos que suplantan al Banco Santander están enviados desde la cuenta de correo 'Nuevo mensaje ' y el asunto de los mismos es 'ẞanco Santandɐr'. El mensaje completo es el siguiente:

Los correos que suplantan a Caixabank tienen como asunto 'Número de cliente: # XXXXX / Actualización' y el nombre que aparece en el emisor es 'Digital CaixaBankNow . El mensaje completo es el siguiente:

Por último, la OSI ha detectado el envío de SMS fraudulentos que suplantan a BBVA. El contenido del mensaje es el siguiente: «BBVA por falta de seguridad web su tarjeta esta suspendida valida tus datos en el siguiente enlace».

La OSI destaca que el contenido de los mensajes suele tener fallos gramaticales. Además es común que intenten apremiar al usuario mediante algún tipo de alerta, para que pulse apresuradamente en el enlace y así no tenga tiempo para pensar y analizar su contenido.

Al pulsar sobre los enlaces incluidos en estos mensajes e introducir las credenciales de acceso el usuario es redirigido a otra página donde se pedirán más datos personales, como el número de teléfono, o incluso datos de la tarjeta de crédito. Al final del proceso normalmente se redirige al usuario a la página legítima del banco, para que el mismo crea que ha surgido un error en la propia web y que por ello no ha podido acceder a su cuenta, sin que sospeche que los ciberdelincuentes ya están en posesión de todos sus datos.

Además de los ya mencionados, la OSI no descarta que haya correos con asuntos similares o que afecten a otras entidades bancarias.

En caso de haber recibido un correo o mensaje de estas características, accedido al enlace y facilitado los datos de acceso a la cuenta (NIF, identificador, contraseña o número de teléfono) hay que contactar lo antes posible con la entidad bancaria para informarles de lo sucedido. Asimismo, la OSI recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma clave y comenzar a usar contraseñas únicas por servicio.

Como en cualquier otro caso de 'phishing', la OSI indica que hay que extremar las precauciones y avisar a los contactos para que presten atención a los correos de origen sospechoso que reciban, especialmente si contienen archivos adjuntos o, como en los citados casos, enlaces externos a páginas de inicio de sesión.

Para evitar ser víctima de fraudes de tipo 'phishing', la OSI aconseja:

- No abrir correos de usuarios desconocidos o no solicitados. Hay que eliminarlos directamente. No se debe contestar en ningún caso a estos correos.

- Tener precaución al seguir enlaces y descargar ficheros adjuntos de correos, aunque sean de contactos conocidos.

- Revisar la URL de la página web. Si no hay certificado o si no se corresponde con el sitio al que se pretende acceder, no se debe facilitar ningún tipo de información personal (nombre de usuario, contraseña, datos bancarios, etc.).

Asimismo, la OSI recuerda que hay que tener siempre en cuenta los consejos que facilitan los bancos y entidades financieras en la sección de seguridad:

1. Cerrar todas las aplicaciones o programas antes de acceder a su web.

2. Escribir directamente la URL de la entidad en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.

3. En caso de querer usar la aplicación del banco para los distintos trámites, asegurarse de descargar la aplicación oficial.

4. No acceder al servicio de banca online desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.