"Se ha vinculado un nuevo dispositivo a tu cuenta". La estafa por SMS que está afectando a los clientes de CaixaBank

La Agencia de Ciberseguridad de Cataluña acaba de emitir una alerta sobre una nueva campaña masiva de ciberestafas que afecta a los clientes de CaixaBank. Como parte de la misma, los cibercriminales envían mensajes de texto (SMS) que aparentan provenir de esta entidad bancaria con el objetivo de engañar a los usuarios y obtener sus datos bancarios.

El modus operandi

En primer ocasión, el agraciado recibe un SMS que parece provenir del remitente 'CaixaBank': los SMS de los bancos no suelen provenir de un número concreto, sino que muestran una identificación alfanumérica (frecuentemente, una o varias palabras).

Sin incautación, cualquier agraciado innovador puede hacer esto, y usar cualquier palabra como remitente, de tal forma que cero garantiza que un SMS firmado como 'CaixaBank' provenga de CaixaBank. Servirse esta obvia vulnerabilidad del protocolo SMS es lo que se conoce como 'SMS spoofing'.

El mensaje fraudulento informa al agraciado de que un nuevo dispositivo, identificado como 'Redmi (9AT)', ha sido vinculado a su cuenta bancaria y solicita demostrar la información a través de un enlace proporcionado.

Este enlace, sin incautación, no dirige al sitio oficial de CaixaBank, sino a una página web (es-caixamovil-inicios.com) controlada por los ciberdelincuentes.

A través de esta táctica (smishing), los atacantes buscan que las víctimas introduzcan sus datos bancarios en lo que éstas creen que se tráfico de una web segura (la de su entidad), lo que permite a los delincuentes penetrar de forma ilícita a sus datos y, a continuación, a sus cuentas.

CaixaBank, por su parte, ha reiterado su compromiso con la seguridad de sus clientes y recuerda que todas las notificaciones importantes se realizan a través de sus aplicaciones y canales oficiales.

El propósito: crear miedo y emergencia

Según la Agencia de Ciberseguridad de Cataluña, los cibercriminales emplean este tipo de estrategias para crear una sensación de emergencia y pánico en las víctimas. 

Al hacerles creer que cualquiera está intentando penetrar a sus cuentas, la muchedumbre suele reaccionar rápidamente y comparten información sensible para "evitar una intrusión"... una conducta que, irónicamente, no hace sino solucionar dicha intrusión.

Cómo comportarse en presencia de estos casos

Las autoridades recomiendan las siguientes medidas para defenderse frente a este tipo de mensajes fraudulentos:

1. No hacer clic en enlaces sospechosos. Si recibes un mensaje de texto que indica un problema en tu cuenta bancaria, evita interactuar con los enlaces y verifica directamente con tu bandada a través de sus canales oficiales. Si cuentas con la app instalada en tu móvil, no debería llegarte ningún mensaje animándote a penetrar a una web (incluso si es la oficial).
2. Eliminar el mensaje y advertir a otros. Residuo inmediatamente el mensaje (siempre y cuando no hayas caído ya en la trampa, en cuyo caso deberás conservarlo para la denuncia) y comparte esta información con tu entorno para que estén alerta frente a posibles estafas similares.
3. Memorar las políticas de los bancos. Las entidades bancarias, incluyendo CaixaBank, nunca solicitan datos personales ni financieros mediante mensajes de texto, correos electrónicos o llamadas telefónicas.
4. Denunciar el fraude. Si has recibido o interactuado con este tipo de mensaje, notifícalo a las autoridades competentes y a tu entidad bancaria.

Imagen | Agencia Catalana de Ciberseguridad + Logo + Marcos Merino mediante IA

En Genbeta | Estos son los casos en los que tu bandada te cubrirá si caes en una estafa que te vacía una cuenta bancaria