La ciberestafa sufrida por clientes de Unicaja suma cerca de 130 afectados entre los que se encuentra una conquense de Villalba del Rey. Silvia Huete recibió el pasado 1 de junio, coincidiendo con el proceso de integración con Liberbank, un mensaje que fue sirvió de puerta de acceso para perpetrar una estafa que ha sido denunciada ante la Policía Nacional y ante la propia entidad bancaria. A nivel colectivo e individual denuncian el «desamparo» que sufren por parte de Unicaja.
«A mi me ocurrió el día 1 de junio. El día 1 de junio me llegó un mensaje diciendo que había movimientos sospechosos en mi cuenta y que estableciese mi móvil como único dispositivo de acceso. Pinché en un enlace se me quedó la página bloqueada. No aporté ni claves, no contraseñas…como no se cargaba la pagina fui a mi banca online y cuando entré ya me había hecho una transferencia de 2.400 euros», señala Huete. Los afectados crearon «un grupo de whatsapp y estamos, en la actualidad, 128 miembros. También creamos una plataforma en facebook y es donde nos vamos poniendo en contacto. Ayer por la noche seguía entrando gente».
La joven afectada destaca que «el mensaje me llegó por el canal de Unicaja porque se ve que lo han hackeado. Siempre me han llegado, por ejemplo, las claves de Bizum por ese mismo hilo, por el canal oficial que fue por donde me llegó el mensaje fraudulento». Las cantidades sustraídas van «desde 600 euros hasta 12.500 que la chica del grupo a la que más dinero le han quitado. Hay gente a la que le ha ocurrido por mensaje, como a mí, y a otros les han llamado, se hacían pasar por operadores de Unicaja desde el teléfono oficial de Unicaja. Tenían todos nuestros datos, que ese es el problema. Te llaman y te dicen tu nombre, apellidos, DNI…todo». La afectada sostiene que está dispuesta a llegar hasta el final para conseguir recupera el dinero que le fue sustraído. «Fui al banco, saqué los extractos que necesitaba, fui a la Policía Nacional a poner la denuncia y volví al banco a poner la reclamación. Ahora, como no nos contestan, vamos a poner reclamación en las Oficinas de Consumo. Y si no nos contestan, iremos al Banco de España y si nos dicen que no, tendremos que ir por la vía judicial. Ya tenemos abogados que nos están asesorando».
Silvia Huete asegura que «ya no sabemos qué hacer. Ha pasado más de un mes y sin una respuesta de Unicaja. Desde el banco no nos dicen nada. Se pasan la pelota de unos a otros. Vas a la oficina y te dicen que no saben nada, que está el tema en otro departamento…Por lo menos que nos digan algo, nos han dejado desamparados de todo. Porque lo podían haber devuelto y después investigar. Hay padres de familia, gente que con ahorros para estudiar una carrera,… y nadie regala nada. Les dejas tu dinero confiando completamente y ahora sientes que no estás respaldado por nadie».
Hasta el momento, «de Cuenca sólo estoy yo… por ahora. De Castilla-La Mancha estaremos unos ocho con casos también en Toledo y Albacete. Y de muchas provincias : Asturias, Madrid, Granada…de toda España».
Unicaja asegura que «no se puede hablar de fallos en los sistemas de seguridad del banco»
La entidad bancaria Unicaja sostiene que, en este caso, «se trata de una campaña que suplanta a Unicaja Banco a través de SMS fraudulentos (smishing) que los ciberdelincuentes -y no el banco- envían directamente a particulares, como reconoce el propio INCIBE (Instituto Nacional de Ciberseguridad), así como la Guardia Civil y la Policía Nacional, afectando de manera frecuente estas campañas no solo a clientes de entidades financieras sino también de otras empresas. Y, por tanto, no se puede hablar de fallos en los sistemas de seguridad de Unicaja Banco, ni de que la entidad facilite datos o información de clientes. Los ciberdelincuentes utilizan la técnica del spoofing (usurpación de identidad electrónica), es decir, pueden remitir SMS fraudulentos en el mismo hilo de mensajes que los que legítimamente la entidad manda, haciendo creer al cliente que el mensaje ha sido enviado por el banco».
Asimismo, fuentes de Unicaja Banco aseguran que «estos mensajes han llegado tanto a clientes, incluyéndoles en el hilo de “Unicaja”, como a no clientes, apareciéndoles por tanto un nuevo hilo de “Unicaja”. Todos los SMS fraudulentos se caracterizan porque incluyen un enlace a una página web falsa que suplanta la Banca Digital de Unicaja Banco y muestran URL con dominios donde aparece la palabra “unicaja, unicajabanco”. La entidad nunca se pone en contacto con el cliente para pedirle datos confidenciales (claves de seguridad, coordenadas, DNI,….)»
Desde la entidad destacan que «realiza de forma periódica y con carácter general una labor de alerta y de concienciación mediante la publicación de información referente a nuevas modalidades de fraude online, tanto en redes sociales como en otros soportes, que se intensifica puntualmente en función de los riesgos existentes para los clientes». Además, Por otro lado, la entidad bancaria afirma que «atiende a sus clientes por los distintos canales establecidos, así como tramita las reclamaciones de los mismos y las resuelve en plazo, conforme a la normativa aplicable en vigor».
Por último, Unicaja Banco recuerdan una serie de pautas para evitar ser víctimas de los ciberdelincuentes: «La entidad nunca pide al cliente por teléfono, SMS o email las claves de acceso a la banca digital. Por ello, ante la menor sospecha nunca se deben facilitar datos. En este sentido, no se debe pinchar en enlaces adjuntos remitidos por SMS o email ni se deben aportar datos bancarios ni números de teléfono a través de ningún formato sospechoso. En el caso de mensajes con enlaces adjuntos, nunca hay que pinchar en los mismos, sino que hay que borrar los mensajes. En el caso de llamada, se debe colgar y contactar directamente con el banco. También es recomendable mantener actualizado el antivirus, ya que puede ser útil para frenar a los ciberdelincuentes en casos de malware. Asimismo, se debe tener cuidado al descargar y abrir adjuntos en el ordenador. Es conveniente revisar la fuente y escanearlos con un antivirus antes de ejecutarlos».
CONSEJOS DE LA POLICIA NACIONAL
Agentes de la Policía Nacional han alertado ante una elaborada modalidad de fraude bancario en la que se combina el uso de SMS falsos –que simulan enviados por el banco de la víctima- y posteriores llamadas telefónicas de supuestos empleados de la entidad para perfeccionar la estafa.
El modus operandi comienza con la recepción de SMS en el que la víctima recibe una alerta, al parecer de su entidad financiera, con el siguiente texto: “Hemos detectado intentos de acceso sospechosos a su cuenta. Debe activar su sistema de seguridad web o bien su cuenta quedará bloqueada”. Los mensajes pueden presentar ciertas variaciones, pero siempre incluyen un enlace para que la víctima pueda acceder directamente a su banco. Sin embargo, ese enlace en realidad conduce a una página falsa donde le solicitan los datos bancarios y personales, así como el usuario y contraseña de acceso a su banca online y un teléfono de contacto. Además, advierten a sus víctimas que recibirán una llamada para realizar las verificaciones de seguridad oportunas.
Una vez que los datos están en su poder, los ciberdelincuentes llaman a sus víctimas haciéndose pasar por empleados de su entidad. En algunos casos, la llamada puede mostrar un número de teléfono legítimo del banco, aunque realmente se trata de una “máscara” que oculta el número de teléfono desde el que realmente se emite la llamada. En esta llamada informan a la víctima de que existen movimientos sospechosos en su cuenta. Para resolver esa situación y retroceder las supuestas operaciones fraudulentas le solicita las claves de firma electrónica con las que opera habitualmente. Mientras hablan, y para dar mayor credibilidad al engaño, pueden emitir nuevos SMS informado de las supuestas gestiones que están realizando o simular que transfieren las llamadas a otros departamentos. Con este elaborado proceso, los delincuentes consiguen tener acceso total a la banca online de sus víctimas y pueden realizar pagos y transferencias mientras mantienen la comunicación con los estafados, a los que solicitan las claves necesarias para autorizar las operaciones.
La primera norma que no debemos olvidar es que nunca se deben facilitar las claves secretas ni datos personales a través de ningún canal. Las entidades financieras pueden comunicarse con sus clientes en caso de ser necesaria alguna verificación, pero en ningún caso van a solicitar claves secretas, datos bancarios ni firmar retrocesiones de operaciones. En caso de dudar sobre la autenticidad de la llamada es mejor colgar y ser nosotros mimos los que iniciemos una nueva comunicación con nuestro banco a través del número de contacto empleado habitualmente.
Además, hay que ser especialmente cauto con los SMS o correos que recibimos y prestar atención a los enlaces que puedan incluir, ya que en los casos de fraude nunca redirige a la página oficial de la entidad bancaria. Además, estos SMS habitualmente contienen faltas de ortografía o frases carentes de sentido.
Otra medida eficaz para que nuestros datos no sean comprometidos es no acceder a servicios online que requieran intercambio de información privada o realizar trámites bancarios desde dispositivos públicos o que estén conectados a redes wifi públicas.
En caso de recibir un SMS estas características es muy importante no facilitar ningún dato ni hacer click en los enlaces que contiene o descargar archivos adjuntos. La mejor opción para preservar nuestra seguridad es ignorarlo, eliminarlo y en caso de duda contactar con el servicio de atención al cliente de nuestra entidad bancaria.
