Últimamente nos han llegado diversos avisos sobre un SMS suplantando la identidad de la entidad bancaria ING direct.
El mensaje en cuestión dice lo siguiente: "ING: un dispositivo no autorizado está conectado a su cuenta online. Si no reconoce este acceso, verifique inmediatamente" A continuación, aparece junto con un enlace a una web para introducir tus datos.
En qué consiste el mensaje de estafa
Se trata de phishing: la web a la que enlaza no es de ING y los navegadores alertan de que se trata de un "sitio web engañoso".
Como señalamos antes, en el SMS que se hace pasar por ING te aseguran de que alguien ha tratado de entrar en tu cuenta y te piden que lo verifiques inmediatamente.
A continuación, añaden un enlace a una web que no es de ING. Este enlace lleva a la web que suplanta a ING: "ing-seguridad-movil.com" mientras que la web real de ING es "ing.es" si estás en España o "ing.com".
Al pinchar en el enlace que aparece en el SMS, los navegadores Chrome, Firefox o Safari alertan de que se trata de un sitio web engañoso.
En el caso de Chrome, afirma que la función Navegación segura de Google ha detectado phishing en este enlace, y añade que los sitios web de phishing suplantan la identidad de otros sitios web para engañarte.
ING desmiente que envíe esos mensajes y ofrecen consejos ante estos ataques
Como indican en la web de ING: Si te han pedido todos los dígitos de tu clave de seguridad, este es un claro síntoma de sospecha. En ING, por ejemplo, solo debes introducir tres dígitos aleatorios de los seis que componen tu clave.
Por eso es importante que nunca reveles todas tus posiciones de la clave de seguridad, ni proporciones ninguna posición por canales de mensajería, como correos electrónicos, SMS, WhatsApp o redes sociales.
Si sospechas, introduce datos ficticios; si los aceptan, es que es una web falsa.
Correos con direcciones extrañas
Los ciberdelincuentes pueden usar nombres muy similares o idénticos a los de las personas o entidades que intentan suplantar, pero generalmente los correos llegan desde direcciones extrañas o que no son las habituales desde las que recibes el resto de comunicaciones.
Por eso es importante prestar especial atención al dominio (lo que viene después de la @, como, por ejemplo, @ing.es). Si ves algo extraño, es muy posible que se trate de phishing.
No obstante, algunos ataques más sofisticados también falsifican el dominio, por lo que lo mejor es que, en caso de sospecha, no pinches en ningún enlace y entres directamente a la página del banco poniendo la dirección en el navegador.
Los correos y otros intentos de phishing suelen contener enlaces que apuntan a webs que simulan ser la original: copian el logo, la identidad visual y otra serie de elementos con la intención de confundirte.
El dominio no se puede copiar
Pero lo que no pueden copiar es el dominio: presta especial atención a la barra de direcciones y asegúrate de que es la correcta, de que no contiene variantes "sospechosas", o de que no se trata de un subdominio. Para ello, mira bien lo que pone justo delante del ".es" o ".com". Por ejemplo, "ing.es" es la página de ING; en cambio, "ing.es.dominiofalso.com" sería la que un atacante podría utilizar.
Por eso, ante la duda, lo mejor es que entres directamente escribiendo la dirección en el navegador o, mejor aún, que entres en tu cuenta a través de la aplicación móvil.
Otra pista puede ser el propio texto del email o de la página web. Rara vez los textos que envía una empresa tienen faltas graves de ortografía o redacciones confusas, pero es algo que suele ocurrir en correos de phishing.
No es algo infalible, pero sí a tener en cuenta. Además, cuando te escriben desde tu banco lo más habitual es que lo haga usando tu nombre (aunque no siempre) mientras que los ciberdelincuentes suelen escribir en genérico.
Qué hacer si has sido víctima de ciber estafa
Si has sufrido un ataque de phishing lo primero que debes hacer es llamar a tu banco para cancelar tus tarjetas y cambiar tus claves de seguridad.
En segundo lugar, puedes poner una denuncia en diferentes organismos oficiales.
- La Policía Nacional, ya sea en comisaría o a través de la Oficina Virtual de Denuncias, en la que puedes presentar una denuncia telemáticamente para determinados delitos.
- El Grupo de Delitos Telemáticos de la Guardia Civil, en cuyo caso es necesario personarse en un juzgado o centro policial.
En caso de tener dudas, también puedes recurrir al INCIBE (Instituto Nacional de Ciberseguridad) que dispone de una línea de atención telefónica gratuita y formularios de atención.