(Publicado en Xataka Móvil) ¿Puede estar en peligro nuestra cuenta bancaria por culpa del celular? Sí y no. Evidentemente, existen ciertos riesgos de que de una u otra manera, un ciberdelincuente pueda acabar accediendo a ella por algo que hacemos desde el móvil. Sin embargo, el método más habitual está lejos de ser problemático si se conoce bien.
Nos estamos refiriendo a las técnicas de suplantación de identidad conocidas con el término phishing y que fundamentalmente se basan en pedir que seamos nosotros quienes les demos acceso a nuestras cuentas. No de forma tan evidente como “che, te queremos robar, danos tus datos”, pero casi. Veámoslo.
Un modus operandi común y un peligro muy grande
A veces lo más sencillo es lo más efectivo. O al menos eso deben pensar muchos ciberdelincuentes, dado que seguimos asistiendo a numerosos intentos de estafa con patrones comunes entre sí. Todo empieza con el envío de un SMS o un email en el que, siempre, se hace una llamada a la acción de la víctima. Generalmente, accediendo a un enlace que se adjunta en ese mismo mensaje.
Los ciberdelincuentes envían este tipo de mensajes con todo tipo de excusas. Afirman ser una entidad bancaria que ha sufrido algún tipo de peligro y eso implica que el usuario confirme sus claves de acceso, informan sobre una nueva app que deben descargar para mantener segura su cuenta… El caso es que siempre alertan de algún tipo de problema que pide la colaboración del usuario. Es entrando en el enlace que adjuntan donde pueden empezar los problemas.
No es peligroso en sí visitar esos sitios web, pero sí interactuar con ellos. Si bien hay estafas muy poco trabajadas, se han llegado a ver algunas en las que simulan a la perfección la web del banco. Logotipos, tipografía del texto… Todo cuadra y si nos piden confirmar nuestros datos de acceso a la cuenta, ¿por qué no hacerlo? Pues simple y llanamente porque son estafas.
En el momento de introducir los datos, evidentemente no se accederá a la plataforma del banco, sino que lanzará algún mensaje de error o algo similar. Pero da igual, ya que en ese momento los ciberdelincuentes ya tienen los datos bancarios procedentes del formulario que la víctima rellenó pensando que era realmente su banco.
Otro tipo de métodos que se usan para adquirir las claves está en solicitar la descarga de una presunta nueva app del banco. A veces se dice que es una nueva app mucho más segura, otras veces se dice que es complementaria a la que ya había y en otras ocasiones se disfraza como una actualización de la app oficial, ofreciendo incluso una interfaz de descarga idéntica a la de Google Play, sin que realmente lo sea.
El caso es que esas apps son maliciosas y persiguen lo mismo que los formularios que se añaden en las webs falsas: los datos de acceso a la cuenta de las víctimas. Por suerte, estos fraudes son menos frecuentes, pero pueden llegar a ser muy engañosos y hay que extremar precauciones. Al menos si se tiene un celular Android, dado que en los iPhone a día de hoy sigue siendo imposible instalar apps ajenas a la tienda oficial de Apple.
Nunca, nunca ofrezcas tus datos por teléfono, salvo que seas tú quién está llamando y sea en un número de confianza
También persiguen idénticas metas las llamadas fraudulentas diciendo ser nuestro banco. De hecho son de las estafas telefónicas más comunes. El modus operandi vuelve a ser el mismo, fingiendo ser un agente del banco ofreciéndote algún servicio extra o solventar algún supuesto problema con tu cuenta. Y sí, te pedirá para ello tus claves de acceso e incluso puede que la autenticación de doble factor.
Es precisamente en la autenticación de doble factor donde está la clave de todo. Se trata de un método de verificación instaurado en muchos servicios y aplicaciones como las bancarias con el fin de que, ya sea para acceder o realizar una operación, debas confirmar tu identidad con un código que recibirás por SMS a tu número asociado o mediante una aplicación de autenticación.
Evitar ser víctima de estos robos es muy fácil
Ejemplo de estafa por SMS
Personalmente, siempre que hablo de evitar caer en estafas de phishing tiendo a pensar que la mayoría sabemos detectar bien estas estafas y que están abocadas al fracaso. Y de hecho, creo que no me equivoco, pero sigue habiendo un sector importante de la sociedad que es más sensible ante este tipo de sucesos.
Por eso, creo (creemos) imprescindible recalcar la forma de actuar para evitar ser víctimas, lo cual aseguro que no es complicado si se sabe cómo:
- Desconfía siempre de todo como norma fundamental. Recibir un aviso de que la cuenta está en peligro nos puede asustar mucho, pero ten en cuenta que las empresas nunca comunican este tipo de problemas por esas vías y, ni mucho menos, exigen introducir datos por teléfono o vía web o apps.
- Usa medios de confianza para contactar con el banco, ya sea la aplicación oficial que ya usas siempre o sus teléfonos de confianza para atención al cliente. De hecho, en caso de dudas si recibes una llamada, puedes ser tú quién llame (no a ese número, sino al de confianza) para asegurarte de que esté todo bien.
- No descargues apps extrañas, ni siquiera si están en Google Play o App Store. Lo recomendable es contactar con el banco para asegurarte de cuáles son sus aplicaciones de confianza.
- Cambia la contraseña cada cierto tiempo o ante sospechas de que hayan podido averiguar tus claves o las hayas introducido en sitios de dudosa confianza.
- Añade un sistema de autenticación de doble factor para así añadir una barrera más y que ni siquiera teniendo tu contraseña se puedan realizar operaciones sin tu consentimiento.
- No otorgues permisos de accesibilidad y/o lectura de SMS a cualquier app. De hecho, hazlo sólo en las necesarias, dado que estos permisos pueden ser también problemáticos, aunque debemos recalcar que la mayoría de apps no pueden acceder a datos de otras.
Así, sabiendo esto y llevando la desconfianza por bandera, tus cuentas bancarias estarán siempre a salvo y podrás gestionarlas desde el móvil sin temor. Y, como ya decíamos, insistimos en recalcar la importancia de contactar siempre con el banco por vías de confianza en caso de existir dudas con la recepción de un mensaje, correo o llamada.