Una campaña de mensajes maliciosos distribuidos a través de SMS o canales digitales de mensajería instantanea (Smishing) ha sido recientemente detectada. En ellos se suplanta la identidad de BBVA y se comunica a los destinatarios que se ha producido alguna anomalía o intento sospechoso de acceso a sus cuentas, tarjetas u otros productos bancarios, solicitando que “verifiquen” ciertos datos a través de un enlace que se muestra en el mensaje.

A través de este enlace se envía a la víctima un sitio fraudulento en el que se le solicita información confidencial, como el número de idenficación fiscal NIF, NIE, pasaporte, número de tarjeta, el número de telefono móvil y la clave de acceso.

Posteriormente, los ciberdelincuentes hacen uso de los datos confidenciales facilitados para llevar a cabo un segundo ataque. En este, llaman a las personas que han proporcionado la información, haciéndose pasar por el call center de BBVA, y les comunican que se han realizado varios movimientos bancarios fraudulentos. A continuación les indican que, para poder recuperar su dinero, van a recibir un código de un único uso y que tendrán que proporcionar en la misma llamada.

De esta manera, al disponer de las claves de acceso obtenidas en la página web fraudulenta junto con el código enviado por SMS y que habría sido facilitado en la llamada, los ciberdelincuentes dispondrían de todos los datos necesarios para poder realizar ellos mismos los movimientos fraudulentos impersonando a sus víctimas.

Algunos consejos de seguridad para protegerte de este fraude serían:

– Nunca proporciones datos personales o bancarios en páginas webs alas que has accedido a través de enlaces contenidos en emails, SMS o en canales digitales de mensajería instantánea (Facebook Messenger, Whatsapp, Instagram, Telegram, etc.).

– Presta especial atención al enlace que se envía en el mensaje, observando si éste contiene caracteres o palabras extrañas, así como el dominio al que dirige.

– BBVA nunca va a solictar por correo electrónico, llamada o SMS los códigos de un solo uso (One Time Password, OTP por sus siglas en inglés), estos son secretos y únicamente solicitados en las aplicaciones oficiales del banco y en procesos concretos que lo requieran.

– Por regla general, desconfía de todos aquellos mensajes alarmantes que tengan tono de urgencia y contengan faltas de ortografía o erratas (“deberia”).

– Evita descargar archivos o hacer click en enlaces que provengan de SMS,  emails cuyo remitente desconoces o te parece sospechoso, y nunca respondas a este tipo de mensajes sospechosos.

– Recuerda que las páginas web seguras comienzan siempre por https, y no por http, por lo que no proporciones datos personales o confidenciales cuando la navegación no es segura (datos de inicio de sesión, datos bancarios, etc.)

– Si eres cliente de BBVA en Suiza contacta por favor en el teléfono +41 44 2659 503 en caso de ser víctima de este fraude o si sufres cualquier otro incidente de seguridad relacionado con tus cuentas.