El 'phishing' bancario, en pleno apogeo

Sede del Banco de España. / rdmf.es
Sede del Banco de España. / rdmf.es

La banca es uno de los sectores más afectados por el phishing, una práctica fraudulenta que puede acabar con nuestra cuenta corriente a cero.

El 'phishing' bancario, en pleno apogeo

La banca es uno de los sectores más afectados por el phishing, una práctica fraudulenta que puede acabar con nuestra cuenta corriente a cero.

En lo que llevamos de año, la Oficina de Seguridad del Internauta (OSI) ha detectado casos de suplantación de identidad que afectan a Banco Santander, BBVA, Bankia y Openbank, y eso solo dentro del sector bancario. La entidad online del Grupo Santander ha sido la última en verse afectada por este fenómeno. A mediados de septiembre la OSI avisaba de que se había detectado “una campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria Openbank, cuyo objetivo es dirigir a la víctima a una página falsa para robar su credenciales de acceso e información bancaria”.

Precisamente, así suelen funcionar los ataques de phishing. Se suplanta una página web con el objetivo de robar los datos personales del cliente, principalmente nombres de usuario, contraseñas, códigos pines de tarjetas o claves de firma, con el objetivo de usarlos después de forma fraudulenta, explican desde el comparador de productos financieros HelpMyCash. Pero la cosa no se queda ahí, el phishing ha llegado también al mercado de aplicaciones móviles. La OSI avisaba el pasado mes de abril de que había detectado en Google Play la existencia de una app fraudulenta que intentaba suplantar a la de Bankia.

El lado oscuro de la digitalización

El avance de la digitalización ha traído consigo un aumento de los ciberdelitos, entre ellos de aquellos que intentan suplantar la identidad de otros. El pasado año el Observatorio Español de Delitos Informáticos detectó 60.511 fraudes informáticos (estafas bancarias, estafas con tarjetas…), un 32% más que un año antes y un 187% más que en 2011, cinco años antes.

La banca es uno de los sectores más golosos para los atacantes. En el segundo trimestre de 2018, de todos los intentos de phishing que detectó Kaspersky Lab (más de 107 millones), el 35,7% estaban relacionados con “servicios financieros y se dirigía a clientes a través de banca falsa o páginas de pagos”.

Pero el phishing no solo afecta a los bancos, también ha llegado a los supervisores. En septiembre, la Comisión Nacional del Mercado de Valores (CNMV) advirtió de que se había realizado un envío masivo de e-mails en el que se suplantaba la identidad del organismo.

¿Cómo actuar para no ser víctima de una ataque de 'phishing'?

La OSI hace una serie de recomendaciones para evitar ser víctima de un ataque de phishing. En primer lugar, menciona la importancia de ser precavido ante los correos electrónicos “que aparentan ser de entidades bancarias o servicios conocidos con mensajes que no esperabas, que son alarmistas o extraños”. Precisamente, el correo electrónico es uno de los medios que más utilizan los malhechores para llegar a sus victimas.

Debemos sospechar también de cualquier comunicación mal redactada, con errores gramaticales o faltas ortográficas, o que parezca que se ha traducido mal. La OSI también señala que desconfiemos de los mensajes que nos obligan a “tomar una decisión de manera inminente o en pocas horas”, como el típico e-mail de un supuesto banco en el que nos piden que actualicemos nuestros datos en menos de 24 horas o nuestra cuenta quedará inhabilitada. En ese caso, debemos llamar a nuestra entidad o a la compañía que se supone que firma la comunicación y preguntarle si la información es real.

También debemos revisar las URL a las que los atacantes intentan dirigirnos y comprobar que son las oficiales, así como revisar los dominios desde los que nos mandan los e-mails.

Más allá de lo anterior, hay una regla de oro, nunca dar datos personales o bancarios. CaixaBank señala que el banco “nunca te solicitará por teléfono, SMS o e-mail información acerca de tus contraseñas, datos y claves personales”, ni siquiera para renovar o activar una tarjeta.

¿Y si he caído en la trampa?

Si hemos sido victimas de un caso de phishing bancario, lo primero que debemos hacer es informar a nuestra entidad de lo sucedido. Será necesario modificar todas las contraseñas y claves de firma, así como los códigos pines de las tarjetas si los hemos comunicado, explican los expertos de HelpMyCash. Si, además, hemos dado datos extra como el número de tarjeta, su fecha de caducidad y el CVV, tendremos que cancelarla. Adicionalmente, la OSI recomienda presentar una denuncia antes las autoridades. @mundiario

El 'phishing' bancario, en pleno apogeo
Comentarios