A principios de este mes recibí un mensaje en mi móvil mientras conducía 'Se ha iniciado sesión desde un nuevo dispositivo, si no reconoce dicha acción, verifique inmediatamente (y un enlace)'. Tengo que reconocer que cuando recibí el mensaje, se me fueron los ojos a la pantalla y me entró inquietud. Si fueran de otro banco del que no soy cliente, esto habría quedado en un vacuo intento de phising más, pero resulta que sí que lo soy.
Un par de minutos después, una vez aparqué el coche, abrí el mensaje y lo leí con detenimiento. Parecía verdaderamente de mi banco: el mismo destinatario (pero en minúscula), una forma de escribir bastante parecida (tampoco mi banco usa tildes) y hasta una URL similar. Pero sabía que ese mensaje supuestamente de mi banco que metía el miedo en el cuerpo para que actúes sin pensar era el anzuelo perfecto. Y aun así, seguí el enlace.
He recibido un mensaje phising y he picado en el anzuelo
En estos años con smartphones, banca online y compras por internet me han llegado unos cuantos intentos de phising por diferentes vías, pero he de reconocer que pocos intentos de suplantación de identidad tan bien hechos. Al entrar en la información del mensaje intentando averiguar el número, este no aparece, el texto está logrado, la URL puede pasar perfectamente por la original y si haces click, la web a la que te lleva también se parece a la original, como puede verse bajo estas líneas.
Comparados frente a frente pueden verse las diferencias, pero cuando aparece en la pantalla del móvil, la imagen sirve para eñganar al recuerdo que tenemos de la aplicación. No obstante, probé a intentar acceder al menú de las tres rayas de la esquina superior derecha y resultó ser un ornamento. Por supuesto, ni me planteé ir un paso más allá e introducir mi DNI y la clave de acceso, justo lo que los ciberdelincuentes buscan y necesitan para llegar hasta mi cuenta bancaria.
Cuando llegué a este punto, decidí ponerme en contacto con mi banco, lo primero que deberíamos hacer al recibir un mensaje así pero, ¿cuántas personas recibirán una obra de falsificación tan buena y picarán en el anzuelo hasta el final?
De hecho, hay dos detalles más que podrían servirnos previamente para que saltaran todas las alarmas: la primera es saber que hasta la fecha mi banco nunca me había escrito un mensaje así (no, no me avisan cuando entro desde diferentes dispositivos) y la segunda, si recibes una variación de este mensaje como por ejemplo 'Se ha realizado un cargo de XXX euros en su cuenta, si no reconoce el pago, verifique inmediatamente' (otra variación que los ciberdelincuentes intentaron recientamente), no entrar a la web del banco desde su enlace y sí desde el navegador o mejor aún, desde la aplicación, para verificar que ese cargo nunca existió. No obstante, lo mejor es siempre contactar con el banco sin hacer absolutamente nada, ni siquiera pulsar el enlace.
A lo largo de las semanas el intento de phising se ha repetido
Entrando en mi cuenta desde la web Laboral Kutxa encontré los datos de contacto: primero opté por WhatsApp y luego por la llamada. Procedieron a darme de baja la banca online y bloquearme la tarjeta, invitándome a pasarme por una oficina cuanto antes. Así lo hice.
Una vez allí les expliqué lo sucedido y que había clicado sobre el enlace, quien me atendió se echó las manos a la cabeza: entrar en el enlace en sí ya puede ser peligroso. La clave está en que con ese clic se descargue e instale malware en nuestro dispositivo para ejecutarse posteriormente, si bien algunos navegadores web avisan antes de las descargas e incluso las bloquean. Es el caso de Safari, el navegador por defecto de iOS, que pide permiso antes de descargar elementos de las diferentes páginas web.
Lo siguiente que recomiendan es llevar el teléfono a una persona especializada para que lo analice a fondo en busca de programas maliciosos y que le pase un antivirus (aunque según nuestra experiencia, los antivirus no son necesarios ni en iPhone ni tampoco merecen la pena en Android). De hecho, en caso de duda el procedimiento a seguir sería similar al de un ordenador con un virus: cortar de raíz formateando (restaurando de fábrica, para un teléfono) para eliminar posibles programas instalados o conexiones extrañas.
Una vez sabemos que el teléfono está limpio, el banco me cambia mis crecdenciales antes de volver a activar sus servicios. Esta odisea sucedió en 24 horas tras esta experiencia deliberada pero igualmente con cierto riesgo, me quedaron claras varias cosas.
Querido banco, tenemos que hablar
Como clientes tenemos que estar en alerta. Permitidme que insista, lo primero es no hacer caso a esas comunicaciones (SMS, Whatsapp, emails) que nos llegan de nuestro banco instándonos a entrar a nuestra cuenta con cualquier mensaje alarmante y en caso de duda, contactar con el banco sin hacer absolutamente nada. Pero la base es la desconfianza siempre hacia mensajes no solicitados o que llegan sin que nosotros hayamos hecho nada. Por supuesto, bórralo para evitar caer en la tentación ante descuidos futuros.
La segunda tiene que ver con el personal de la entidad. En mi caso fueron personas agradables y cautas, pero con escasa o nula formación sobre ciberseguridad. Entiendo que quien está delante del mostrador igual debería saber de finanzas y la tecnología no es su área de conocimiento, pero la sensación es que falta personal especializado de primera mano tanto en las oficinas como en los canales de contacto. Las ciberamenazas están a la orden del día y han llegado para quedarse, engañando no solo a personas que no saben de tecnología, sino que las técnicas actuales hacen que cada vez sea más difícil distinguir qué es legítimo y qué no.
Finalmente es momento de hablar de los protocolos de protección del banco, con bastante margen de mejora. Algunas entidades bancarias establecen en sus webs cómo se van a comunicar contigo y cómo no, como por ejemplo la propia Laboral Kutxa o BBVA, detallando por ejemplo que nunca te van a pedir que realices transferencias o traspasos entre cuentas, ni te van a llamar para que te desplaces a un cajero o pedirte las credenciales ni te van a enviar SMS con enlaces.
¿Cómo demuestran los bancos que son quienes dicen ser en sus comunicaciones?Aunque que no está de más echarle un vistazo a su web y su banca online con estas condiciones. Pero más allá de estas explicaciones, entidades como BBVA, Unicaja o la Caja Laboral no siguen ninguna medida en especial. Otras optan por proporcionar alguna información confidencial para que sepamos que son ellos. Así, el Banco Santander o Cajamar se dirigen a nosotros con nuestro nombre completo y La Caixa proporciona nuesro DNI, dos formas sencillas pero efectivas de añadir una capa de seguridad extra que cualquier persona puede comprobar fácilmente.
Portada | Bing
En Genbeta | Si caes en una estafa de phishing, esto es lo que dice la ley sobre si puedes o no reclamar el dinero robado al banco
Ver 4 comentarios