Así son las estafas a través de falsos SMS suplantando la identidad de Unicaja y cómo prevenirlas

Cada día proliferan miles de estafas que van desde internet, pasando por correos electrónicos y terminando en simples SMS de texto. En las últimas semanas, ha crecido una estafa del tipo ‘phishing’ y ‘smishing’, que haciéndose pasar por Unicaja suplanta la identidad por SMS y proceden a robar el dinero de la cuenta de sus víctimas.

Muchos de los clientes de Unicaja se han visto envueltos por esta estafa, perdiendo parte de sus ingresos y ahorros. Los estafadores han sido incluso capaces de saltarse la seguridad de la doble verificación. En este sentido, el INCIBE (Instituto Nacional de Ciberseguridad) ya realizó varias campañas para prevenir la técnica del smishing (suplantación de la identidad del banco) y da una serie de pautas para no verse afectado/a.

Un ‘phishing’ es un tipo de fraude que mediante la suplantación de identidad el atacante busca hacerse con información delicada de la víctima, como puede ser nombres de usuario, claves o datos de cuentas o tarjetas de crédito y sus correspondientes contraseñas. En ‘smishing’ es básicamente lo mismo, pero haciéndose pasar por una entidad bancaria, con el objetivo de conseguir las claves de seguridad o hacer que aceptemos operaciones sin saber qué es una estafa. 

Cómo funciona la estafa que afecta a clientes de Unicaja

Las estafas a través de falsos SMS y suplantando la identidad de esta entidad bancaria se han disparado. Su modo de operar o ‘modus operandi’ es el siguiente: primeramente y a través de un software de terceros, los atacantes realizan un envío masivo de SMS e introducen como cabecera del SMS, el nombre de Unicaja.

Esto, ya de por sí, puede confundir a los usuarios, que pueden creer perfectamente que se trata de su banco y reduce las sospechas de que pueda tratarse de una estafa. Tras entrar en el enlace, el usuario confiado, pensará que está en la web de Unicaja, siendo este extremo falso e introducirá sus credenciales.

En ese momento los atacantes contarán en su base de datos con todo lo necesario para entrar en la cuenta de la víctima y empezar a operar. Esta es una de las razones por las que, los bancos y el INCIBE recomiendan encarecidamente contar con una doble verificación.

¿Cómo consiguen las claves si tenemos la doble verificación?

En el caso de contar con la verificación en dos pasos, los ‘suplantadores’ de identidad necesitarán el código de autorización para poder realizar las operaciones ¿Cómo lo consiguen?

Cómo se ha dicho anteriormente, los estafadores han conseguido acceder y entrar por internet en la cuenta bancaria del cliente. Dentro pueden encontrar todos los datos personales, así como los números de teléfono.

Sabiendo el teléfono personal, estas personas proceden a efectuar la llamada usando para ello tarjetas de operadoras virtuales y usando un software que permita cambiar el identificador de la llamada (el número que vemos en la pantalla). Con estas herramientas, cambiarán el número para poner el teléfono del servicio de atención al cliente, en este caso, el de Unicaja.

Con esto, la víctima primeramente recibirá un SMS. Este puede ser una operación de Bizum o una compra por internet y que, para aceptarla, debe introducir el código de operación. Seguidamente, recibirá una llamada del servicio de seguridad de la entidad y le informará, que su tarjeta se ha visto afectada por una estafa, lo cual, no es cierto.

Esta persona, suplantando la identidad de Unicaja, le pedirá que no la acepte y que, por motivos de seguridad, van a proceder a bloquear la tarjeta. Aquí, el estafador buscará añadir un nuevo dispositivo a la cuenta online y le pedirá al usuario/a que acepte el siguiente SMS que le llegue.

Si la persona lo acepta, los suplantadores de identidad habrán conseguido hacerse con el control total de la cuenta y los ingresos o ahorros de las víctimas podrían verse afectados.

Cómo prevenir las estafas por ‘phishing’ o ‘smishing’

Los usuarios tienen que saber que el personal de seguridad no necesita ninguna clave de seguridad de sus clientes. Estos cuentan con privilegios en cuanto a base de datos para operar e incluso bloquear cuentas si estas se vieran afectadas.

Para detectar posibles SMS fraudulentos, los usuarios deben tener en cuenta que cualquier mensaje de texto puede ser sospechoso. Para ello, hay que mirar bien la url, evitar confiar de aquellos que vengan de enlaces acortados.

Si se recibe un SMS de una operación que no reconoce, no se debe aceptar, ni tampoco, dar las claves, si se recibe una llamada diciendo ser personal de la entidad bancaria.

Para finalizar, Unicaja ha avisado a través de las redes sociales y alertando de esta estafa y recomienda a sus clientes que si reciben este tipo de SMS, que los ignoren y que no pulsen sobre el enlace que incluye.