En este comienzo del 2023 se ha detectado una nueva estafa relacionada con el BBVA. Desde hace varios días, algunos clientes han recibido un mensaje en sus teléfonos que refleja el siguiente texto: “Su tarjeta ha sido limitada temporalmente por razones de seguridad, para reactivarla, actualice su información”. Sin embargo, no se trata de un mensaje real de la entidad bancaria, sino un caso de smishing.
Esto es un tipo de estafa que tiene como objetivo obtener a través de internet datos privados de los usuarios a través de SMS, especialmente para acceder a sus cuentas o datos bancarios. Y es que el enlace al que nos dirigen (oyn.at) no guarda relación alguna con el dominio de la página web oficial de la entidad (bbva.es), aunque el SMS llega desde un número que se identifica como BBVA.
Proceso
Cuando pinchamos en el link del mensaje, nos salta un mensaje automático del software antivirus en el que nos advierten de que estamos a punto de acceder a un sitio web “sospechoso”, algo que debería hacernos sospechar en determinadas circunstancias, tal y como exhiben desde Maldita.
En caso de seleccionar la opción “visitar de todas formas”, nos redirigen a otra página en la que nos piden nuestros datos personales y bancarios: nuestro DNI, NIE o pasaporte, nuestra clave de acceso y nuestro número de teléfono. A pesar de que la página utiliza el logotipo de BBVA, la dirección no corresponde con la URL oficial del banco.
Advertencia de BBVA
No es la primera vez que los timadores intentan usar la marca del banco para hacerse con datos de sus clientes. Por ello, en su página web, BBVA recuerda que “nunca te vamos a solicitar tu información confidencial, como claves de acceso a la banca online o códigos de un solo uso (OTP), a través de mensajes SMS o correos electrónicos”.
Recomendaciones
La Organización de Consumidores y Usuarios (OCU), en su página web, ha revelado recientemente que la persona en cuestión debe comprobar que el nombre del remitente es conocido y que la dirección de correo es legítima. Para ello, tiene que comprobar que el dominio se corresponda con la empresa de la que dice provenir.
Asimismo, la persona debe desconfiar cuando se use un lenguaje con errores de ortografía, concordancia o redacción, pues los ciberdelincuentes suelen usar traductores automáticos. De la misma manera, el individuo tiene que pasar el ratón por encima de cualquier enlace o link que contenga el email, ya que normalmente aparecerá en una pequeña ventana la dirección URL “real” a la que se dirige ese link.