Campaña masiva de hackeo a clientes de Unicaja: las víctimas ya se cuentan por decenas

Ayer, el banco envió a todos sus clientes ese mismo aviso mediante un SMS. Incluso desde la propia cuenta oficial de Unicaja en Twitter se han publicado varios tuits en los que piden a los usuarios que ignoren el mensaje, que lo eliminen y, sobre todo, que no pinchen el enlace adjunto.

El motivo no es otro que la oleada de estafas mediante 'phishing' -técnica que consiste básicamente en conseguir tus claves para suplantar tu identidad y desviar dinero de tu cuenta- que está sufriendo Unicaja en los últimos días. La campaña masiva deja ya decenas de clientes afectados, a los que habrían sustraído miles de euros, según ha podido saber SUR.

La Policía Nacional ha detectado un «serio repunte» en la actividad de los ciberdelincuentes, que ahora han colocado la diana en el banco malagueño, aunque se trata de ataques masivos que sufren cíclicamente todas las entidades que operan por Internet.

De hecho, hace sólo cuatro días, la Oficina de Seguridad del Internauta (dependiente del Instituto Nacional de Ciberseguridad, el INCIBE) lanzó una alerta tras detectar una oleada de correos fraudulentos suplantando al Banco Santander.

En el caso de la campaña que afecta ahora Unicaja, el fraude comienza con una suplantación de la web de la entidad. El cliente recibe un mensaje por SMS que se inserta entre los que habitualmente le llegan del banco, lo que le genera confianza; el texto lo pone en alerta de un intento de acceso no autorizado a su cuenta. A ese envío masivo se le conoce como 'smishing'.

A continuación, el SMS le indica que, si no reconoce dicho acceso, verifique inmediatamente su identidad a través de la url https://unicaja.app-web.sa.com/

A ojos del profano, la dirección del SMS puede asemejarse a la web oficial. Pero el dominio sa.com ya debe indicarnos que es algo anormal tratándose de Unicaja, cuyo dominio es unicajabanco.es.

La url te conduce a una web fraudulenta que es casi idéntica a la original. Entonces, recibes una llamada que dice ser de atención al cliente del banco ('spoofing', el maquillaje de la operación). Como estás teniendo un problema, les das crédito a la llamada. Error.

A partir de ahí, empiezan a solicitarte datos personales o claves de confirmación que recibes en tu teléfono móvil. Ese es otro momento idóneo para darse cuenta del engaño: si recibes un código para confirmar una transferencia que obviamente no estás interesado en hacer, no se lo proporciones a nadie.

Otros usuarios afectados recibieron los cargos directamente mediante bizum, puesto que, al proporcionar las claves, los ciberdelincuentes operaron libremente con la cuenta hasta que el banco supo de la situación y ésta se bloqueó. Para entonces, ya habían desviado varios miles de euros.

Desde Unicaja Banco han recalcado que la entidad realiza "de forma periódica y con carácter general" una labor de alerta y de concienciación mediante la publicación de información referente a nuevas modalidades de fraude online, tanto en redes sociales como en otros soportes.