Si te llegan estos correos de Banco Santander o Bankia te están intentando robar el dinero

El principal objetivo de los ciberdelincuentes que emplean ingeniería social suele ser robar datos privados a la víctima. Especialmente los referentes a cuentas bancarias. Recientemente la Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad, ha alertado sobre una nueva campaña en la que los piratas informáticos se hacen pasar por entidades como Banco Santander o Bankia para robar las credenciales de acceso a la cuenta de banca online de la víctima.

El ataque, que en estos momentos está teniendo una incidencia media en internet, comienza con un correo electrónico que puede tener por asunto «notificarte un nuevo mensaje» o «activar la nueva seguridad gratis lo antes posible…». «No se descarta que existan correos con asuntos y contenidos similares que estén utilizando el nombre de cualquier otra entidad bancaria para robar datos de los usuarios», señalan desde OSI.

La ciberestafa cuando se suplanta a Bankia
En los casos detectados en los que los criminales se hacen pasar por Bankia, se afirma en el texto del correo que se han hecho unos cambios en la seguridad y que el usuario debe hacer «click» en un enlace para implementarlos. «Cabe destacar que el mensaje indica al usuario que siga los pasos anteriores, aunque no se describen en el correo en niguna parte, siendo una evidencia clara de estar ante un posible fraude», apuntan desde OSI. Y es que los fallos en la redacción de los correos son uno de los rasgos más comunes en las ciberestafas de este tipo.

Si el usuario hace caso al mensaje y pulsa sobre el enlace es redirigido a una página web maliciosa que trata de hacerse pasar por la oficial de Bankia. Allí solicita a la víctima sus claves de acceso a la banca en línea. Es decir, el NIF y la contraseña. A continuación, para dar más veracidad a la estafa, y como es habitual en esta clase de timos, los cibercriminales redirigen al usuario al sitio auténtico de la entidad.

«Debido a que cada vez se profesionalizan más los fraudes, a los usuarios les resulta más complicado identificarlos, en este caso, por ejemplo, motivado por la perfecta imitación de las webs oficiales y porque los enlaces de la web falsa redirigen a la misma página que redirigiría la web legítima», explica la Oficina de Seguridad del Internauta.

Y al Banco Santander
Desde OSI apuntan que el caso que afecta al Banco Santander es muy similar, aunque parece algo más sofisticado y, además, trata de robar todavía más información. En el correo también se ofrece una mejora en seguridad y se solicita al usuario que haga «click» en un enlace. Sin embargo, el texto es bastante más completo y está mejor redactado que en el caso en el que se suplanta a Bankia.

En caso de que la víctima pulse sobre el enlace será redirigida a otra página maliciosa que trata de hacerse pasar por la oficial de la entidad. Tras solicitar el NIF y la clave de acceso, como en el caso de Bankia, pide que se rellene toda la información sobre la tarjeta de crédito (número, fecha de caducidad, CVV y PIN).

Cómo evitar las ciberestafas
Todos los expertos en ciberseguridad recomienda tener mucho cuidado con los correos electrónicos que se reciben. De este modo, lo ideal es no abrir mensajes de usuarios desconocidos o de servicios que no hayan sido solicitados. En caso de que reciba un correo de una empresa con la que tiene contratado un servicio, como podría ser Banco Santander o Bankia, lo ideal es contactar con la compañía por medio de una llamada telefónica para confirmar que se trata de una comunicación real. Cabe recordar que los ciberdelincuentes suelen emplear ingeniería social para engañar a sus víctimas y que sea más sencillo que caigan en la trampa.

«En el caso de las estafas en las que se suplanta, por ejempo, a un banco hay que saber que los bancos no entran en contacto con el cliente por medio de correos electrónicos o vía SMS para pedirle sus credenciales. Es algo muy raro. Yo diría que no ocurre con ninguna entidad. En caso de que tengamos una duda, lo recomendable es llamar por teléfono a la empresa o a la entidad que, supuestamente, nos ha enviado el mensaje y consultarlo. No se debe hacer «clicks» en hipervínculos ni ofrecer datos personales», explica a este diario José De la Cruz, director técnico de la empresa de ciberseguridad Tend Micro.