El mensaje insta al usuario a pulsar en un enlace adjunto para gestionar la supuesta incidencia.

Se han detectado varias campañas de smishing que están suplantando a diversas entidades bancarias, como BBVA, Santander, CaixaBank y KutxaBank. Estos ataques utilizan la técnica de ingeniería social para engañar a los usuarios y robar sus credenciales de acceso a la banca en línea.

En estos casos, los usuarios reciben mensajes de texto fraudulentos que indican que se ha realizado un cargo en su cuenta o que su cuenta o tarjeta ha sido bloqueada. El mensaje insta al usuario a pulsar en un enlace adjunto para gestionar la supuesta incidencia. Sin embargo, este enlace redirige a una página web fraudulenta diseñada para capturar las credenciales de acceso del usuario.

Se han reportado diferentes tipos de mensajes fraudulentos, como alertas de cargos no autorizados, bloqueo de cuentas e incluso solicitudes de tramitación de préstamos. Algunos ejemplos de estos mensajes incluyen:

• «Cargo por 2890 EUR pre-aprobado por defecto. Si no ha sido usted, proceda a cancelarlo inmediatamente aquí: [URL Maliciosa]»
• «A partir del 27/06 no puedes utilizar su cuenta. Tienes que activar el nuevo sistema de seguridad web. Activa ahora: [URL Maliciosa]»
• «Estimado cliente, su tarjeta ha sido limitada temporalmente. Actualice su información desde aquí: [URL Maliciosa]»
• «Compra aceptada por importe de 2890EUR. Si no reconoce este movimiento, verifique inmediatamente: [URL Maliciosa]»

Consejos para protegerse de esos ataques

Es importante tener en cuenta las siguientes acciones para protegerse ante estos ataques:

1. Si recibes un mensaje de texto con estas características, pero no has proporcionado tus credenciales, bloquea y elimina el SMS.
2. Si has intentado acceder a tu cuenta a través del enlace fraudulento, comunica inmediatamente a tu entidad bancaria lo ocurrido.
3. Reporta el fraude a través de los canales de INCIBE o solicita ayuda o consejo mediante su línea gratuita de ayuda en ciberseguridad.
4. Asegúrate de cambiar tus credenciales de acceso a tu banco y utiliza contraseñas únicas y difíciles de descifrar para cada cuenta.
5. Verifica periódicamente los movimientos de tu cuenta para detectar cargos no autorizados y comunícalo de inmediato al banco en caso de que ocurran.
6. Guarda todas las pruebas disponibles del incidente, como capturas de pantalla o URL, para utilizarlas como evidencia al presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Asegúrate de obtener una copia de la denuncia para proporcionarla a tu banco.
7. Realiza egosurfing para buscar datos personales expuestos debido al incidente. Puedes utilizar técnicas de Google Dorks para ello.
8. Ante cualquier correo sospechoso, verifica su autenticidad directamente con tu entidad bancaria. Utiliza los canales oficiales de contacto como el correo electrónico proporcionado por el banco, el número de atención al cliente o la aplicación bancaria. Además, puedes consultar la página web de tu entidad para informarte sobre los fraudes más comunes.