Los SMS de mi banco - o no
Tened mucho, muchísimo cuidado si os llega un SMS con una alerta de seguridad de vuestro banco acerca de actividad sospechosa en vuestra banca online. Aunque aparezca junto con los demás mensajes de vuestro banco, como en la imagen de arriba. En ella los dos primeros mensajes se corresponden a operaciones con mi banco pero el tercero, aunque parece verdadero y con el mismo remitente, no lo es.
Esta técnica de falsificar el remitente del SMS se conoce como smishing y en estos días hay una campaña activa muy fuerte contra clientes de mi banco, que es Abanca. Pero me consta que pasa con otros bancos y organizaciones.
Como estaba al tanto de esa campaña no pulsé el enlace. Además el texto parece muy informal como para venir de Abanca. Y no usa mis dos nombres como hace habitualmente Abanca, aunque en esto de los dos nombres caí más tarde. Pero en cualquier caso, nunca hubiera pulsado el enlace. Una precaución básica en estos casos y que aplico desde siempre es no pulsar en enlaces que vienen en correos o SMS que no estoy esperando. Porque nunca se sabe.
Así que en vez de pulsar el enlace abrí en el móvil la app de Abanca y comprobé que todo estaba en su sitio. Acto seguido llamé al servicio de atención al cliente (900 815 522) para avisar de que había recibido ese mensaje y que me confirmaran que no era de ellos. Que no lo era.
Una vez hecho esto investigué la dirección copiándola y pegándola en URL X-Ray Y resulta que (no pongo las direcciones sino un pantallazo para que nadie vaya a pulsar por error):
Sé que mi banco no usa esa dirección web para su sistema de banca en línea. Y además es fácil, si sabes de estas cosas, ver que ese dominio está registrado en Rusia. Pero también sé lo fácil que es que alguien que no esté un poco al loro de estas cosas caiga en la trampa al recibir un mensaje aparentemente de Abanca (o, insisto, de cualquier otro banco). Y más cuando si pulsas en el enlace acabas en la web que se ve a la izquierda. Se parecen como gotas de agua pero la de la derecha es la que es la verdadera:
Ojo: yo abrí la dirección chunga en un iPhone con todas las actualizaciones de seguridad aplicadas y porque sé que es una plataforma muy segura. Pero no habría hecho eso en un Android ni es ago que recomiendo que haga nadie si no tiene un mínimo manejo de seguridad en dispositivos. Hay webs que, sólo con visitarlas, son capaces de instalar malware, que es software capaz de robar contraseñas y hacer todo tipo de maldades.
No sé qué pasaría si hubiera metido datos en la web falsa. Probablemente habría recibido un mensaje de error indicándome que llamara a un teléfono en el que se encargarían de pedirme los datos necesarios para esquilmar mis cuentas. Nunca, nunca, jamás, vuestro banco –o la entidad emisora de vuestra tarjeta de crédito– os va a pedir por teléfono vuestras contraseñas ni claves de autenticación en dos pasos.
Así que recordad: nunca hagáis clic o pulséis en un enlace que os llegue en un aviso de estos. Por muy real que os parezca. Abrid la app y comprobad. O llamad por teléfono. Lo mismo os ahorraís un disgusto bien gordo.
Como decía el sargento Esterhaus, «tengan cuidado ahí fuera».