Santander, CaixaBank y BBVA alertan sobre la estafa del "reembolso anual de impuestos"

Banco Santander, CaixaBank y BBVA, tres de las entidades bancarias más importantes a nivel de activos de la red nacional, se han aliado para mandar un aviso a sus clientes sobre uno de los denominadores comunes de la actualidad del sector, obviando las progresivas y futuras subidas de tipos de interés y la incertidumbre financiera: las estafas o timos. Y en particular de una en la que es fácil picar.

Las Jefaturas Provinciales de las Policías o Unidades de Delitos Telemáticos han notificado el aumento de estafas a través de SMS o llamadas telefónicas, conocidas como 'smishing' y 'vishing'. Sin embargo, la primera técnica mencionada, el ‘smishing’, es la protagonista del último intento de los ciberdelincuentes para tratar de robar el dinero de las potenciales víctimas, valiéndose del anonimato o la interconectividad de las herramientas de las que dota internet.

Valiéndose de las evidencias obtenidas por la Oficina de Seguridad del Internauta (OSI), las tres entidades bancarias han señalado la última campaña de ‘smishing’, en la que los impostores se harían pasar por el BBVA, CaixaBank o Banco Santander y también por La Moncloa, a través del envío de SMS. El gancho consistiría en, aprovechando el inicio de la nueva campaña de la declaración de la Renta, sus dudas e incertidumbres, un teórico “reembolso anual de impuestos” de 431,87 euros.

La estafa bancaria de los 431 euros

El ‘modus operandi’ de la estafa que alumbra el OSI consistiría en la llegada de un SMS a la potencial víctima, animándole a clicar en un enlace con el objetivo de recuperar esa cuantía mencionada anteriormente. De pinchar, se le redirigirá a una página web, que, a todas luces, parecería calcada a la de La Moncloa, y en la que habría que seleccionar la entidad bancaria de la que se es cliente para proceder a la devolución. 

⚠️#AVISO❗Detectada campaña de #smishing a través de SMS que suplantan a la #AgenciaTributaria solicitando información de tu tarjeta bancaria para el reembolso de un impuesto o de la renta de 2022. #NoPiques, su objetivo es obtener tus datos bancarios👇

🔗https://t.co/sudj9IdgG1 pic.twitter.com/zLFi8Qc1ic

— Guardia Civil 🇪🇸 (@guardiacivil) April 12, 2023

“El SMS detectado mantiene una redacción correcta, aunque presenta alguna falta ortográfica. Cabe destacar que se envía desde un número de teléfono particular, sin identificación oficial”, indica el OSI. “Si un usuario pulsase en el enlace, será dirigido a la siguiente página maliciosa con un diseño muy similar a la legítima de La Moncloa, aunque en ella solamente se podrá interactuar con la ventana emergente” explica. Sin embargo, todo se dirige a tratar de robar los datos confidenciales de acceso a sus cuentas bancarias.

Esa ventana avisaría al ciudadano de que ya se le habría notificado por dos veces que debía realizar dicho trámite, además de los pasos a seguir para ello. De lo contrario, perderá el dinero. Una sentencia atronadora en medio del contexto económico actual, donde cualquier euro marca la diferencia en un panorama inflacionista.

Víctima de estafa: qué hacer

“El mensaje habla de un 'paquete de reembolso' con una cantidad un céntimo superior a la mencionada en el SMS. También se muestra una opción para 'Aceptar los Términos y Condiciones de la moncloa' (así, en minúsculas), pero no existe ningún enlace para poder leer o ampliar información sobre estos términos y condiciones”, continúa desgranando la OSI.

Las direcciones web de los enlaces que recogen cada logo de la entidad bancaria correspondiente muestran fallos como que no cambia su dominio web al clicar en ellos. “Un indicativo de que no se trata del enlace oficial de la entidad bancaria”, señaló. De creer que se ha sido víctima de una estafa, habrá que ponerse en contacto con la entidad bancaria de la que se es cliente y cambiar las credenciales de acceso. También se recomienda revisar periódicamente los movimientos de las cuentas bancarias en busca de posibles fraudes.

¿Tienes dudas sobre cómo proteger tus #datos personales online? Llama al 📞017 de @INCIBE o escribe por WhatsApp al 900 116 117 o Telegram a @INCIBE017. https://t.co/tepfiZVwwC

— OSI Seguridad (@osiseguridad) April 14, 2023

“Las páginas web que suplantan a las identidades bancarias mostrarán una ventana de inicio de sesión que solicitará las credenciales de la cuenta y se mantiene en un proceso de carga que nunca finaliza ni accede a ningún portal bancario. En estas páginas de acceso se puede observar que el formato no corresponde con la de las webs oficiales actuales y en algunas ocasiones tiende a tener mala redacción. En caso de introducir las credenciales bancarias, las webs mostrarán un mensaje de espera simulando que están accediendo al sitio, pero este nunca cargará”, aclara el organismo.