Suena el teléfono móvil. Se trata de un SMS del Banco Santander que dice lo siguiente: “Su cuenta ha sido suspendida por razones de seguridad.” Para resolverlo, solo tienes que hacer clic en el enlace que aparece en el mensaje. En este caso, el SMS aparece en el mismo hilo en el que recibimos las notificaciones legítimas de esta entidad bancaria.
En las últimas semanas son muchos los usuarios que se quejan en redes sociales de estas estafas que afectan a grandes compañías, entre ellas el Banco Santander. “#smishing Un amigo me ha pasado estas imágenes. Se trata de suplantación de identidad al Banco Santander. Fijaros como de “listos” (capullos) son los #ciberdelincuentes si miras la url, da la sensación de ser legítima, “santander/.es” no miras el resto, pero …”, señala en RR.SS. un usuario.
Mucho cuidado, porque se trata de una técnica conocida como SMS spoofing. La particularidad de esta estafa, como señala el propio Banco Santander en su página web, es que los ciberdelincuentes modifican el SMS mediante aplicaciones o técnicas para que parezca ser de la entidad y que entre en el hilo de mensajes originales del banco recibidos por la persona.
¿Y cómo lo hacen? De acuerdo con el Banco de España, los hackers remplazan el número de teléfono móvil desde el cual se envía el mensaje por un texto alfanumérico que aparenta ser la entidad, para que el destinatario, cuando lo reciba, no sospeche del emisor y acceda a realizar la operativa solicitada.
Objetivo: conseguir los datos bancarios
Los SMS falsos contienen un link a una página web que también es falsa y que imita a la de la web del banco en cuestión para ganarse la confianza de los usuarios. De este modo son capaces de conseguir información personal (credenciales, número de tarjeta…) e incluso realizar cargos bancarios.
La clave en estos casos, de acuerdo con la Oficina de Seguridad del Internauta (OSI), es “no hacer clic en los enlaces”. Para evitar ser víctima de este tipo de estafas, se recomienda ir directamente a la página del banco a través del navegador de Internet o de un buscador y acceder a la banca electrónica a través de la página web de la entidad bancaria y no de enlaces o links que se envían en el mensaje de texto.
De hecho, Banco Santander recuerda que nunca va a solicitar información a través de un SMS para introducirla en una página web ni indicará a sus usuarios que llamen a ningún número para facilitar esa información.
¿Qué tipos de spoofing existen?
Existen diferentes tipos de spoofing. Esta estafa puede realizarse vía SMS, pero también a través de un email, falsificando un correo electrónico de la entidad bancaria.
En el web spoofing, los ciberdelincuentes suplantan la identidad de una web que parece ser la original del banco y utilizan como gancho otros tipos de spoofing, como el de SMS o email, “donde se solicitan las credenciales de la banca electrónica o cualquier otro tipo de información que permita cometer estafas o fraude o hacerse pasar por la víctima para cometer cualquier actividad delictiva en su nombre”, explican desde el Banco Santander.
No obstante, las técnicas de los ciberdelincuentes son tan sofisticadas que también consiguen suplantar la IP, sustituirla por otra ilegítima, o suplantar la identidad del personal de una entidad bancaria durante una llamada telefónica.
Otras entidades bancarias también son víctimas de la estafa
El Banco Santander no es la única entidad bancaria víctima de esta estafa. Entre ellas, el BBVA. En estos casos, el modus operandi de los ciberdelincuentes es muy parecido. Utilizan como gancho un aviso importante para animar a los usuarios a que accedan a una página web falsa donde se les solicita información sensible.
Aunque no soy cliente de @bbva @BBVAresponde_es @BBVA_espana he recibido este intento de phishing @mossos @policia @guardiacivil pic.twitter.com/JRXWGJar8W
— Miquel (@Untitl3d86) January 5, 2022
De nuevo, los enlaces que aparecen son sospechosos, ya que no guardan ninguna similitud con las páginas oficiales de las entidades bancarias.
Ante la duda, lo mejor es consultar directamente con el banco a través de sus canales oficiales y evitar pinchar en los enlaces.