INCOEX alerta sobre el mantenimiento de la estafa masiva mediante SMS a clientes extremeños de Unicaja e insta al Banco de España a adoptar acciones de control, auditoría y supervisión sobre sus servicios de pago.

Mie 20 de Jul de 2022

El Instituto de Consumo de Extremadura y el Consorcio Extremeño de Información al Consumidor continúan recibiendo numerosas reclamaciones de clientes de la entidad bancaria Unicaja Banco como consecuencia de la oleada de estafas que están sufriendo en las últimas semanas mediante envío de SMS a sus móviles, “phishing” y “smishing”, técnica que consiste básicamente en conseguir tus claves para suplantar tu identidad y desviar dinero de tu cuenta.

Los perjuicios económicos para l@s clientes extremeños de Unicaja son muy graves, pues estamos hablando de estafas que alcanzan hasta 80.000 euros de dinero sustraído a una misma persona. Actualmente, el impacto económico total de las reclamaciones presentadas ante las oficinas de consumo asciende a más de 330.000 euros, cantidad que se incrementa día a día.

En esta ocasión la estafa consiste en que el client@ recibe un mensaje en su móvil por SMS que se inserta entre los que habitualmente le llegan del banco, lo que le genera confianza.

Si bien no se descarta que se puedan estar utilizando otros mensajes de características similares, como por ejemplo que la cuenta ha sido desactiva temporalmente por seguridad, los SMS detectados en esta campaña maliciosa se identifican con los siguientes mensajes que están recibiendo algunos usuarios al teléfono particular:

 

- haciéndose pasar por la entidad bancaria UNICAJA e indicando la “necesidad de introducir una clave de seguridad para finalizar la vinculación del dispositivo a la Banca digital”.

- avisándoles que “se ha producido un intento de acceso no autorizado a su cuenta”  o “su cuenta ha sido bloqueada por un inicio de sesión sospechoso”, solicitándoles verificar su información a través de un enlace.

A continuación, el SMS le indica que, si no reconoce dicho acceso, verifique inmediatamente su identidad a través de la url https://unicaja.app-web.sa.com/, u otros enlaces similares que conducen a una página web fraudulenta que suplanta a la de Unicaja Banco. Ésta es casi idéntica a la original.

Incluso para generar más confusión, los ciberdelincuentes consiguen que los clientes afectados reciban una llamada que dice ser de atención al cliente del banco ('spoofing', el maquillaje de la operación), en concreto parece que mediante el uso del propio teléfono de atención al cliente +34 952 076 263 de la entidad https://www.unicajabanco.es/es/atencion-al-cliente. Como estás teniendo un problema, estos dan crédito a la llamada y así terminan de confiar plenamente en el SMS fraudulento que acaban de recibir.

A partir de ahí, empiezan a solicitar a los clientes datos personales o claves bancarias de confirmación que, una vez introducidos, son utilizados inmediatamente por los ciberdelincuente para sustraer dinero y realizar operaciones a su nombre,  cometiendo así fraude financiero.

Cabe advertir que los ciberdelincuentes han aprovechado el periodo de fusión entre Unicaja con Liberbank, y en concreto finales de mayo de 2022 hasta el presente, momento de integración tecnológica de Liberbank en Unicaja Banco en el que esta entidad bancaria llevó a cabo numerosas comunicaciones electrónicas a sus clientes advirtiendo sobre posibles incidencias e interrupciones temporales en su operativa y servicios digitales.

Es evidente que este periodo de integración tecnológica ha incidido de forma decisiva en la confusión y confianza de los clientes y usuarios del servicio de pago afectados por los SMS fraudulentos que recibían, deduciéndose con ello su exención de cualquier responsabilidad que pueda imputárseles en cuanto a que pudieran haber incurrido en negligencia grave. De esta forma, Unicaja Banco no puede alegar este motivo como exención de responsabilidad en el supuesto de que se detecten por el Banco de España incumplimiento de los requisitos exigidos legalmente a sus sistemas de servicios de pago. 

 

DENUNCIA ANTE EL BANCO DE ESPAÑA

Siendo el Banco de España la autoridad nacional competente para garantizar y vigilar el cumplimiento efectivo del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, según dispone su artículo 71, por INCOEX se ha denunciado esta oleada de estafas ante esta autoridad solicitándole que adopte las siguientes medidas y acciones preventivas o de reacción:

1º.- Llevar a cabo las actuaciones de control, auditoría y supervisión necesarias para verificar que los servicios de pago que la entidad bancaria Unicaja Banco puso a disposición de sus clientes garantizaron en todo momento los requisitos que exige el Real Decreto-ley 19/2018, entre otros, los previstos en los arts.38, 39, 40, 42 y 68.

2º.- Verificar la adecuada prueba/demostración por los responsables de la entidad bancaria de la correcta autenticación y ejecución de las operaciones de pago por la supuesta estafa respecto de los concretos clientes afectados, así como el cumplimiento de los requisitos exigidos al respecto para dicho sistema de autenticación y ejecución con carácter general, y ello en los términos exigidos por el artículo 44 del Real Decreto-ley 19/2018.

3º.- Consecuencia de los resultados y controles interesados por este organismo y cualquier otro llevados a cabo sobre los servicios de pago de la entidad bancaria Unicaja banco, se solicita informen sobre la identificación tanto de los concretos incumplimientos como las responsabilidades en las que pueda incurrir la entidad bancaria en relación con los clientes afectados extremeños, confirmando, en su caso, la procedencia de la devolución por dicha entidad bancaria respecto de las cantidades reclamadas por estos y cualquier otra oportuna.

A estos efectos, pueden considerarse entre otros preceptos legales aplicables del Real Decreto-ley 19/2018 los arts.44, 45 y 46.

 

SOLUCIONES Y RECOMENDACIONES

Si has recibido un SMS o un correo electrónico de estas características, accedido al enlace y facilitado tus datos de acceso (usuario y contraseña), así como cualquier otro dato de carácter personal o financiero, desde INCOEX se informa sobre las siguientes ¡¡¡SOLUCIONES URGENTES¡¡¡¡:

1º.- Contacta lo antes posible con la entidad bancaria a través de sus canales oficiales, para informarles de lo sucedido y cancelar todas las posibles transacciones que se hayan podido efectuar;

2º.- Modifica la contraseña en la banca online y en todos aquellos servicios en los que utilices la misma clave. Ten en cuenta que no es una buena práctica reutilizar contraseñas en distintos servicios online, ya que si el acceso al mismo queda comprometido, el resto de tus cuentas serán vulnerables al usar la misma clave.

3º.- Recopila todas las pruebas de las que dispongas (capturas de pantalla, e-mail, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia:

 

Evita ser víctima de fraudes de este tipo siguiendo las RECOMENDACIONES de INCOEX y otros organismos oficiales como INCIBE: 

  • No abras mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos SMS, nunca sigas el enlace ni descargues ninguna aplicación.
  • Ten precaución al hacer clic en enlaces, aunque sean de contactos conocidos.
  • Revisa la URL que aparece en el SMS o en el correo electrónico y también en el navegador si has hecho clic. Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
  • En caso de duda, consulta directamente con la entidad implicada o con terceros de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.
  • Haz una búsqueda por Internet, si se trata de un SMS falso, no serás el único o la única que lo haya recibido y ya haya sido debidamente alertado. Y siempre, siempre… Usa el sentido común.

Más información en:

INCIBE (Instituto Nacional de Ciberseguridad): https://www.incibe.es/protege-tu-empresa/avisos-seguridad/detectadas-campanas-smishing-suplantando-entidades-bancarias

OSI (Oficina de Seguridad del Internauta): https://www.osi.es/es/actualidad/avisos/2022/06/correos-y-sms-fraudulentos-suplantan-unicaja-banco-para-obtener-los-datos