Nueva estafa que suplanta a ING para robar claves y datos personales

La estafas mediante suplantación de identidad se han convertido en una de las estrategias más utilizadas por los ciberdelincuentes en los últimos tiempos. Tanto la expansión de los dispositivos de inteligencia artificial como la falta de consciencia sobre seguridad digital han propiciado un aumento de este tipo prácticas.

De esto nos advierten dos grandes entidades bancarias: ING y Abanca. Recientemente, se ha detectado una nueva campaña de 'phishing' que utiliza sus nombres para robar datos a los clientes.

El objetivo del 'phishing'

El 'phishing' es una técnica de ciberdelincuencia que utiliza la ingeniería social -es decir, el engaño y la manipulación- para suplantar identidades de bancos, instituciones y empresas de confianza y robar información confidencial a sus socios y clientes.

En el caso de ING, el engaño empieza con un mensaje de alerta sobre algún tipo de incidencia relacionada con la cuenta o algún servicio. El comunicado remite a una página web con un URL parecido al de la entidad y, una vez ahí, solicita el DNI o pasaporte y otros datos adicionales como la clave de seguridad y el código que envía la banca a través de SMS.

El caso de Abanca es muy similar: el cliente recibe un correo informando sobre un supuesto problema; el enlace adjunto redirige a una web, que contiene sus datos personales, y pide introducir el NIF y la contraseña de su cuenta. El tono del mensaje lleva a los usuarios a preocuparse de inmediato sin detenerse a comprobar el remitente.

Webs fraudulentas

Los ciberdelincuentes pueden usar nombres similares a los de las personas o entidades que intentan suplantar. Asimismo, usan dominios (direcciones únicas en internet) sospechosos y poco habituales, pero muy parecidos a los oficiales. Como expone ING, "copian el logo, la identidad visual y otra serie de elementos con la intención de confundirte".

Debido a esto, la entidad ha querido alertar y recordar a sus clientes la estructura de su dirección, que acaba en '@ing.es' en los correos electrónicos y en 'ing.es'. No obstante, algunos ataques más avanzados pueden llegar a falsificar el dominio, por lo que, a veces, es mejor no pinchar a ningún enlace y entrar directamente a las cuentas desde la aplicación del banco o el navegador.

Lo que no hacen los bancos

Algo que también suele pasar desapercibido en estas situaciones es el formato y la corrección de los mensajes. Rara vez un correo que envía una empresa o institución contiene erratas ortográficas o redacciones confusas, pero es algo muy común en el 'phishing'. Además, los ciberdelincuentes acostumbran a escribir con tono genérico, mientras que la mayoría de bancos se dirigen a sus clientes usando sus nombres.

Si adviertes alguno de estos elementos, es importante no revelar el PIN y el CVV de tus tarjetas bancarias, así como tus claves: "Tu banco nunca te pedirá tus claves completas". De ser así, introduce datos ficticios y si los aceptan, se trata de una web falsa.

Cuando uses estas identificaciones para validar tus compras, "asegúrate de que la conexión está cifrada (tiene el "https" habilitado) y de que estás en una página de confianza". En caso de que ya hayas accedido al correo o facilitado tus datos personales, contacta con la Línea de Ayuda en Ciberseguridad (017) y conserva todas las pruebas.