El nuevo timo del banco que está vaciando cuentas, la forma en la que funciona el SMS imitando a BBVA, CaixaBank, ING o Sabadell
Parece un SMS del BBVA o CaixaBank, pero es un fraude, la estafa que engaña a miles de usuarios
Los mensajes de texto fraudulentos que imitan perfectamente a las entidades bancarias están proliferando entre los usuarios de BBVA, CaixaBank, ING o Sabadell.
Bajo la apariencia de una alerta urgente —sobre una presunta transferencia pendiente, un acceso indebido o un movimiento sospechoso— estos SMS incluyen un número de teléfono que viene a simular ser del banco y piden que el cliente llame para resolver la supuesta incidencia.
El Instituto Nacional de Ciberseguridad (INCIBE) ha advertido que se trata de una campaña de “smishing”, que es una modalidad de estafa que busca robar tanto el dinero como los datos personales de las víctimas.
La principal trampa de estos fraudes es su apariencia extremadamente convincente. Los ciberdelincuentes utilizan una técnica llamada SMS spoofing, que les permite enviar mensajes desde un alias idéntico, igual, al de la entidad bancaria. A
De esta forma los textos fraudulentos aparecen en el mismo hilo donde se reciben las comunicaciones oficiales del banco, este viene a generar una falsa sensación de confianza.
En muchos casos, los SMS remiten a un número de teléfono al que supuestamente hay que llamar a fin de poder “verificar la operación”. Si la víctima marca ese número, una locución automatizada imita la voz del banco y, para con posterioridad, un supuesto “operador del departamento de seguridad” toma el control.
Según el INCIBE, el timador indica que se ha detectado una transacción que es sospechosa y guía al usuario paso a paso para “proteger su cuenta”. Realmente lo conduce a transferir su dinero a una cuenta controlada por los estafadores.
Una usuaria que contactó con uno de estos números relató que el supuesto agente que insistía repetidamente en que se identificara con sus datos bancarios. “Me interrumpía constantemente y repetía un discurso aprendido. Cuando le dije que no sonaba como un empleado del banco, colgó”, indicó.
El poder del miedo y la urgencia
Para Germán Andrés Olano, experto en seguridad informática y miembro de MigraVoice, este tipo de fraudes funcionan porque apelan a emociones básicas como el miedo y la urgencia.
Al respecto indica que “recibir un mensaje que dice que alguien ha accedido a tu cuenta genera ansiedad. En ese estado, se olvidan las precauciones básicas y se cae fácilmente en la trampa”.
Igualmente los estafadores utilizan la interacción directa para potenciar la manipulación “cuando se realiza una llamada, el delincuente puede adaptar su discurso al tono y las dudas de la víctima. Si nota miedo, lo aumenta; si percibe desconfianza, intenta tranquilizar. Esa capacidad de adaptación hace que el engaño sea aún más eficaz”.
Cómo evitar caer en el smishing
El INCIBE y las principales entidades bancarias coinciden en una recomendación fundamental como es que nunca responder a los SMS ni llamar a los números que contienen. En caso de duda, siempre se debe contactar con el banco mediante de sus canales oficiales o acudir a una sucursal.
Cada entidad dispone de líneas de atención verificadas. ING recuerda que solo utiliza el número 91 206 66 66, mientras que otras entidades como Sabadell y CaixaBank instan a no confiar en teléfonos desconocidos. Por su parte, BBVA indica que su canal oficial en el 900 102 801.
Las entidades subrayan además que en sus comunicaciones:
Sus SMS nunca incluyen enlaces o tampoco números de teléfono no oficiales.
Nunca solicitarán claves de acceso ni datos personales por mensaje o llamada.
Es importante desconfiar de textos con tono imperante y alarmante, faltas de ortografía o errores.
El acceso a la banca online debe hacerse únicamente a través de la app o web oficial.
Qué hacer si ya fuiste víctima del fraude
Si has llamado al número de un SMS fraudulento o facilitado datos personales, el INCIBE indica que:
Contactar inmediatamente con tu banco a fin de cancelar operaciones y reclamar posibles transferencias indebidas.
Revisar los movimientos de tu cuenta para detectar cargos que no estén autorizados.
Recopilar pruebas (tales como mensajes, capturas, registros de llamadas) y presentar una denuncia ante las autoridades.
Pedir una copia de la denuncia para enviarla de inmediato al banco y dejar constancia del incidente.
Pasado un tiempo, practicar lo que se llama egosurfing —buscar tu propio nombre en Internet— para comprobar si tus datos se han filtrado.
El INCIBE dispone además de la línea gratuita 017, donde especialistas en ciberseguridad ofrecen asistencia para llevar estos fraudes digitales.
Olano sostiene que la mejor defensa frente a este tipo de engaños es la formación, al respecto indica que “el desconocimiento es el mayor aliado de los timadores. Saber reconocer un intento de smishing y no actuar impulsivamente puede marcar la diferencia entre perderlo todo o mantenerse a salvo”.