Para tratar de engañar a los clientes de entidades financieras, los ciberdelincuentes hacen uso de su arma más efectiva: la ingeniería social. Esta consiste en manipular psicológicamente a las personas para que realicen la acción que desea el criminal, ya sea clicar en enlaces maliciosos, descargar archivos infectados o revelar información confidencial.

Para que estos ataques tengan éxito, los criminales necesitan un cebo, un mensaje convincente y atractivo capaz de generar interés y sensación de urgencia a la víctima. Estos mensajes se renuevan constantemente para adaptarse a los temas de más actualidad.

Por ejemplo, desde el inicio de la pandemia mundial se han intensificado los ataques con temáticas relacionadas con el coronavirus. Los periodos anuales de declaración de la renta también suponen una excusa perfecta para el engaño. Del mismo modo, cuando se anunció la fusión entre CaixaBank y Bankia, los criminales han empezado a utilizar este argumento para tratar de engañar a sus víctimas, por lo que actuar con la máxima cautela es fundamental.

¿Cómo pueden llegar estas estafas?

  • Correos de phishing
    Para que los clientes confíen en los correos electrónicos fraudulentos, los ciberdelincuentes suelen suplantar la identidad de su entidad financiera mediante ingeniería social. Pueden persuadir a la víctima para que clique en un enlace malicioso que infecte su equipo, generalmente abriendo una página falsa que imita a la de su banco, interceptando posteriormente su usuario y contraseña de acceso a la banca digital.
  • Mensajes de smishing
    Este tipo de estafa utiliza los mensajes de SMS o de mensajería instantánea tipo WhatsApp para engañar a los clientes y conseguir sus claves de acceso a la banca digital, la infección de sus dispositivos, o para animarlos a que llamen a algún número de teléfono de tarificación adicional, entre otros. Para conseguirlo, al igual que con los ataques de phishing, los estafadores pueden suplantar la identidad del banco para hacer creer a los clientes que, por ejemplo, han recibido una reclamación urgente de pago.
  • Llamadas de vishing
    Haciéndose pasar por gestores de la entidad, los ciberdelincuentes pueden llamar por teléfono a los clientes para hablarles, entre muchos otros asuntos, de un producto interesante o de un problema con su cuenta. Siempre tratando de generar un clima de confianza, urgen a la víctima para que les facilite información confidencial para poder realizar operaciones fraudulentas en su nombre.

¿Cómo protegerse?

  • Buscar la coherencia en el mensaje:
    Al recibir un nuevo mensaje, sea por el canal que sea, se debe valorar su coherencia antes de realizar cualquier otra acción: “¿Tiene sentido que mi banco, esta persona o cualquier otra empresa me mande este mensaje?” Los regalos inesperados y las peticiones urgentes deben estar siempre bajo sospecha, especialmente cuando el argumento es de rigurosa actualidad.
  • Analizar el remitente:
    Cuando se recibe un nuevo correo, antes de abrir posibles adjuntos o enlaces, es imprescindible analizar con detalle la dirección del remitente y no fiarse solo del nombre que aparece, ni tampoco de la firma incluida en el cuerpo del mensaje.
  • Comprobar los enlaces:
    Para asegurar que los enlaces de los mensajes son legítimos, es necesario comprobar a dónde conducen antes de abrirlos. Si estos están en un correo electrónico, se puede pasar el cursor por encima del enlace sin clicarlo para previsualizar la dirección web. En cualquier caso, siempre es mejor teclear en el navegador la dirección web del sitio al que queremos ir y evitar, siempre que sea posible, clicar en enlaces.
  • Nunca revelar contraseñas:
    Ni CaixaBank ni ninguna otra empresa o institución legítima pide a sus clientes que revelen las claves de acceso de su banca digital o servicio online. Nunca se deben compartir las contraseñas con nadie.
  • ¿Aún se tienen sospechas?
    Si surgen dudas de la legitimidad de un mensaje, provenga de un compañero de trabajo, un amigo o una empresa, siempre es aconsejable contactar con el remitente por otro canal (telefónicamente, por ejemplo) para confirmarla.

El sentido común: la mejor defensa contra la ingeniería social

Si se recibe un mensaje con un argumento de máxima actualidad que incita a abrir un anexo o clicar en un enlace, se debe sospechar y contactar antes con la entidad correspondiente para confirmar que la petición es legítima.

Las estafas digitales solo funcionan si las víctimas se dejan engañar y realizan la acción que el criminal quiere, algo muy difícil de conseguir si se toman precauciones y se aplican las medidas de seguridad recomendadas.

Por este motivo, el aprendizaje constante y el sentido común son y serán el mejor aliado para una vida digital más segura.