agosto 11, 2022

Mensajes de Phishing

Últimamente recibo SMS que dicen proceder de CaixaBank o Unicaja, que dicen:

Se ha vinculado un nuevo dispositivo (iPhone X, Ibiza) el 11/08 a las 13:51. Si no reconoce verifique inmediatamente: https://unicaja.un-dominio-cualquiera.com

Antes de seguir, si has recibido un mensaje como este, has sido objetivo de un ataque de phishing. Si has pinchado en el enlace, probablemente hayas sido víctima del ataque y necesites contactar con tu banco para cambiar las claves y revisar hasta dónde ha llegado el impacto del ataque. Si no has pinchado, no lo hagas. Y en cualquiera de los dos casos, sigue leyendo este post.

Lo primero, que evidentemente este mensaje no proviene de ningún banco. Estos mensajes se envían desde sistemas automáticos con la intención de hacerte pinchar en el enlace para, por ejemplo y como en este caso, que les digas las claves de acceso a tu cuenta de Unicaja.

¿Por qué, si no soy usuario de Unicaja, también lo recibo? La respuesta es bastante simple: porque quien lo envía no lo sabe. Este envío fraudulento es indiscriminado a una base de datos de números de teléfono que no conocen prácticamente nada de sus víctimas. Pero la creatividad de los atacantes a la hora de intentar conseguir esta información es bastante grande y se aprovecha de la más que probable falta de conocimiento en ciberseguridad y concienciación que existe en los usuarios de internet. No solo lo hacen con Unicaja, lo hacen con otras entidades bancarias, Gmail, Office, correos… hasta donde la imaginación llegue. Lo recibes porque estás en una lista, porque consiguieron tus datos porque los vendiste gratis a otra entidad que se los ha cedido, y si alguno de los mensajes «cuela», su objetivo ha sido conseguido.

La estadística nos dice que existen muchos usuarios que «pican» en estas trampas. Es más, el mensaje es bastante alertador, si no nos fijamos bien en lo que estamos haciendo, es fácil que un usuario normal caiga en la trampa, porque el usuario normal no entiende de dominios de internet, de certificados…

Mi consejo, en estos casos, es que si recibes un mensaje como ese, en vez de clickar, analiza bien:

  • ¿No Eres cliente? Entonces, no sigas el juego. Es un mensaje cuanto mínimo, erróneo o equivocado. Pero la realidad es que es un intento de fraude.
  • ¿Sí eres cliente? Utiliza los medios habituales (y de confianza) de comunicación con la entidad en cuestión para verificar ese mensaje. Si entras a tu app de tu banco, seguramente tendrás la alerta de acceso en el panel de notificaciones. Si necesitas hablar con tu gestor para verificarlo, llámale.

Después, ponlo en conocimiento de las autoridades pertinentes. En España contamos con INCIBE para estos casos, donde puedes además recibir la asesoría oportuna.

Share this content: