El Corte Inglés sufrió una filtración de datos de clientes. Ahora hay en marcha una campaña de estafas vía SMS contra sus usuarios

Supimos, hace unos días, que El Corte Inglés había sido víctima de un ciberataque y que, como resultado de ello, los datos de sus clientes se habían filtrado. Aunque la compañía ha pretendido tranquilizar a estos asegurando que la información filtrada no permite realizar pagos ni actuar con las tarjetas, la Ordenamiento de Consumidores y Usuarios (OCU) sí ha alertado sobre otros posibles fraudes derivados de esta brecha de seguridad.

Casualmente, este incidente coincide en el tiempo con una fresco campaña de smishing (SMS con enlaces maliciosos) en la que los ciberdelincuentes han intentado suplantar la identidad de la entidad financiera de El Corte Inglés con el objetivo de robar credenciales de camino.

El ciberataque y sus implicaciones

El pasado domingo, 2 de marzo, El Corte Inglés informó que uno de sus proveedores externos había sufrido un camino no acreditado a datos personales de clientes: la información filtrada incluía datos identificativos, de contacto (como el número del móvil) y números de tarjetas utilizadas exclusivamente en El Corte Inglés. Según la compañía, esta información no permite realizar pagos ni transacciones fraudulentas.

El incidente fue detectado y subsanado de inmediato, y la empresa ha necesario al proveedor la aplicación de medidas de seguridad adicionales. No obstante, la filtración ha generado preocupación, ya que resultaba evidente que los ciberdelincuentes podrían usar estos datos para promover timos de phishing, vishing o smishing, con los que se podía manipular a los clientes para que revelasen credenciales de camino (entre otra mucha información).

El fraude del 'smishing': suplantación de la Financiera El Corte Inglés

De guisa paralela a que la compañía desvelase este ciberataque, se ha detectado el citado fraude de smishing en el que delincuentes envían mensajes de texto con el identificador fraudulento 'FinancieraElCorteIngles', y en los que se alerta a los clientes sobre una adquisición inexistente por un valor de 950 euros, instándoles a hacer clic en un enlace si no reconocen como propia dicha adquisición.

Como suele ocurrir en esta clase de campañas, el miedo del beneficiario a perder mosca es utilizado para arsenal para convencerle de proporcionar al delincuente los datos que necesitará... para robarle el mosca.

Al ceder al enlace, el beneficiario es dirigido a una página web falsa que imita el diseño del portal oficial de la Financiera El Corte Inglés. En este sitio fraudulento se solicitan datos de camino como el DNI y la contraseña, permitiendo a los estafadores obtener información crítica que permite ceder a las cuentas reales.

Cómo acogerse frente a estos ataques

Transmitido que los ciberdelincuentes podrían utilizar los datos filtrados para cometer estos y otros fraudes, El Corte Inglés y la OCU han emitido una serie de recomendaciones para los clientes:

1. Desconfiar de mensajes y llamadas sospechosas: El Corte Inglés ya ha dejado claro que nunca solicitará datos personales, contraseñas o códigos de seguridad por teléfono, correo electrónico o SMS.
2. Repasar la URL de los sitios web: Ayer de ingresar datos en una página, comprobar de que la dirección corresponde a la oficial (https://www.financieraelcorteingles.es).
3. No contestar a mensajes con tono de emergencia: Los ciberdelincuentes suelen utilizar estrategias de miedo y presión para que las víctimas actúen sin pensar.
4. Practicar egosurfing: Averiguar el propio nombre en internet para comprobar si los datos personales han sido filtrados y utilizados de guisa indebida.
5. Guardar los movimientos bancarios: En presencia de cualquier cargo no obligado, contactar de inmediato con la entidad financiera para asediar posibles transacciones fraudulentas.
6. Denunciar el fraude: Si se ha sido víctima de un simulación, es crucial denunciar frente a la Policía Doméstico o la Miembro Civil y contactar con la entidad financiera para minimizar daños.

OCU exige más transparencia y protección para los clientes

La OCU ha instado a El Corte Inglés a proporcionar información más detallada sobre la data exacta del ciberataque (aún no revelada) y a asegurar que los afectados sean informados de guisa individual. Adicionalmente, recuerda que cualquier plazo realizado bajo simulación debe ser reembolsado por la entidad bancaria.

Para resolver dudas o reportar cualquier incidencia al respecto, El Corte Inglés ha preparado el teléfono tirado 900 334 334 y el correo electrónico [email protected].

Imagen | Marcos Merino mediante IA

En Genbeta | Una filtración masiva de datos de Hacienda puede ser "la superiora de todas las filtraciones" para estafarnos. Así puede afectarnos