El Banco de España alerta de una campaña fraudulenta que suplanta la identidad de las entidades bancarias por teléfono y SMS

Susana Zamora

Jueves, 13 de enero 2022, 12:38

Comenta

El Banco de España ha alertado de un fraude, conocido como 'spoofing', en el que los delincuentes recurren a SMS y números conocidos de los bancos para suplantar su identidad y acceder a datos e información privada del usuario.

Este organismo supervisor recuerda que ya existe el 'smishing', el envío de un SMS al móvil simulando ser el banco del usuario con el objetivo de robar información privada o hacer un cargo económico, generalmente adjuntando un enlace en el mensaje a una página fraudulenta.

Sin embargo, señala que los ciberdelincuentes emplean cada vez «técnicas más sofisticadas»: no solo se hacen pasar por quienes no son, sino que también imitan y suplantan los canales habituales de contacto de los bancos.

Así, señala que cabe la posibilidad de que los SMS aparezcan en la misma sección «donde con anterioridad habían llegado otros SMS reales» de la propia entidad, como es el caso de los que se envían para autorizar los pagos.

El Banco de España señala que es posible reemplazar el número de teléfono móvil desde el cual se envía el mensaje por un texto alfanumérico que aparenta ser la entidad. Así, el destinatario, cuando lo reciba, no sospecha del emisor de este SMS y accede a realizar la operativa solicitada. «Esta técnica, conocida como 'SMS spoofing', se realiza mediante diversas páginas web y aplicaciones móviles que permiten enviar SMS desde una fuente desconocida suplantando una identidad conocida con relativa facilidad», afirma el supervisor.

También es posible realizarlo para las llamadas. La suplantación de identidad telefónica (o 'caller ID spoofing') consiste en que el identificador de llamadas muestre un número de teléfono diferente al del teléfono desde el que se está realizó la llamada. En este caso, según el Banco de España, el ataque se dirige a los números de atención telefónica de la entidad.

Algunos usuarios ya han notificado el recibo de mensajes de texto o SMS en los que figuran Banco Santander y BBVA. En sus perfiles de Twitter aseguran que han recibido mensajes SMS en los que informan de que se ha detectado un acceso no autorizado en la cuenta bancaria, motivo por el que deben hacer clic en un enlace para solucionarlo.

Otros de los clientes de estos bancos, en cambio, han recibido un SMS en el que se alerta de que se ha tenido que cerrar su cuenta bancaria debido a una actualización. Para desbloquearla, deben seguir un enlace aparentemente seguro que en realidad pertenece a una web rusa.

Otros, sin embargo, se han percatado de este problema debido a que han recibido mensajes de bancos de los que no son clientes ni tienen abierta ningún tipo de cuenta en sus sucursales.

Debido a estas denuncias, desde BBVA han recordado que no van a enviar SMS con enlaces ni solicitarán claves o datos personales por esta vía. Asimismo, han recomendado que los clientes eliminen estos mensajes en el caso de que los reciban.

Por su parte, Banco Santander ha indicado que, ante ese tipo de situaciones, lo más recomendable es proteger los datos sensibles que se pidan mediante estos SMS y, en caso de duda, contactar con la empresa o la administración remitente a través de sus canales y direcciones oficiales. Además, ha señalado que no conviene hacer clic en los links de páginas web que se envían a través de mensajería instantánea o SMS. En su lugar y ante la duda se debe acceder directamente a través del navegador o un buscador a una página concreta.

Para los SMS, algunos móviles incorporan detectores de 'spam' y bloquean este tipo de mensajes. Recomienda fijarse en el formato o contenido del mensaje, así en faltas de ortografía.

Además, afirma que hay aplicaciones que permiten conocer la identidad real del que llama, si bien recuerda que desde la entidad bancaria «nunca pedirán que se faciliten contraseñas o claves completas».

Asimismo, apela al «sentido común» y a cotejar operaciones en caso de que alguien supuestamente de la entidad llame diciendo que se ha realizado una operación fraudulenta. «Si no se ha realizado una operación, no tiene sentido que llegue una clave temporal y mucho menos que el banco sea quien la solicite verbalmente por teléfono», asegura el Banco de España.