La oleada de fraudes vinculados a la banca online no solo no se ha frenado, sino que sigue perfeccionándose con técnicas cada vez más difíciles de identificar. El último caso vuelve a golpear a los clientes delBBVA y tampoco es que nos pille por sorpresa, pues consiste en la recepción de un mensaje que intenta hacernos picar con la excusa de una alta transferencia de dinero.
Ahora, se trata de un SMS que alerta de una supuesta transferencia de 9.010 euros y que, pese a aparecer en el mismo hilo oficial del banco, no procede de la entidad. Esto ya lo explicamos en ocasiones anteriores. Es un ejemplo claro de smishing basado en spoofing, un método con el que los delincuentes consiguen que el mensaje se mezcle entre las comunicaciones legítimas del banco y resulte más fácil caer en la trampa.
La última estafa aprovechando el nombre del BBVA
El mensaje incluye un número fraudulento, empezando por 61, para contactar de urgencia y “cancelar” la operación. Ahí es donde comienza el engaño. Al llamar, la víctima cree estar hablando con un agente real, pero en realidad está facilitando información crítica a un ciberdelincuente.
BBVA ha recordado en varias ocasiones, cuando ha aparecido un intento de estafa de este tipo, que su teléfono oficial es el 900 102 801 y que nunca solicita códigos de un solo uso por SMS, correo o llamada. La petición de estos códigos es el punto en el que todas las alarmas deben encenderse, porque es justo lo que permite a los estafadores ejecutar la transferencia real mientras el usuario cree estar bloqueando una falsa.
Este caso se conecta directamente con la trama desmantelada el pasado septiembre, donde una organización consiguió robar alrededor de un millón de euros utilizando una variante muy similar del mismo engaño. Entonces la estafa se apoyaba principalmente en llamadas telefónicas que imitaban a la perfección las comunicaciones oficiales de los bancos.
La La Policía Nacional detalló que este grupo contaba con bases de datos completas de clientes.de modo que podía personalizar la llamada con nombres, direcciones y otros datos reales. Y es que es esta personalización lo que genera la confianza en la víctima y lo que permite que la conversación avance hasta el punto crítico: la entrega de claves de acceso o códigos de confirmación.
El patrón se repite una y otra vez. primero crear una situación de urgencia, como una carga no autorizadauna transferencia elevada o un acceso sospechoso a la cuenta. Después de emplear un lenguaje técnico que imita al de un operador real para dar solidez al discurso. Y, cuando la víctima está suficientemente presionada, solicitan los datos que jamás debería compartir con nadie. En cuanto obtengas esa información, estás perdido.
Nunca, nunca, nunca compartas tus claves, códigos ni información personal por teléfono, SMS o correo. Ningún banco utiliza estos canales para pedir datos sensibles y cualquier solicitud en ese sentido es una señal inequívoca de fraude. La reacción correcta es siempre la misma: colgar, no pulsar enlaces y llamar directamente al número oficial de la entidad para confirmar si existe alguna operación real pendiente.
