A río revuelto ganancia de pescadores o, en este caso, de ladrones, que siempre están a las últimas noticias y ahora aprovechan el desconcierto y el cruce de noticias relativas a una posible fusión entre el BBVA y el Banco Sabadell para enviar masivamente mensajes vía SMS a teléfonos móviles en nombre de «Sabadell S.A.» donde dicen que «a partir del 20/05/2024 no puede utilizar su tarjeta, tienes que actualizar el nuevo sistema de seguridad web» y ofrecen una dirección http al usuario para que pinche. Si el usuario del móvil no es cliente del Banco Sabadell detecta inmediatamente la estafa, pero si lo es y pincha, ya ha comenzado a ser estafado por los ciberdelincuentes, que comenzarán a preguntar datos personales como si fueran su banco y los usarán para tratar de vaciar su cuenta bancaria.
La técnica delictiva se denomina smishing, en realidad es una variante del phishing. Es decir, estafas por suplantación de identidad de una persona o empresa. En este caso es suplantación de un banco. Se llama smishing cuando la suplantación de identidad se lleva a cabo por SMS, como en este caso. Hay otro término que se suma a esto y es el de SMS spoofing. Normalmente envían el mensaje el mismo que supuestamente va a tener problemas con la tarjeta, para que el usuario no tenga tiempo de reaccionar y desconfiar del mensaje.
Si a usted le ha llegado un mensaje de este tipo es porque los cibercriminales han logrado burlar el sistema de detección de mensajes del móvil y logra que éste o bien los reconozca con el nombre real de la entidad a la que están usurpando o al menos no como una amenaza. En el primero de los casos el teléfono asociará el remitente a un nombre, el spoofing, que en este caso puede ser «Sabadell» o «Banco Sabadell» y seguramente los almacenará en el mismo hilo que los mensajes reales de la entidad. En el segundo caso, simplemente aparecerá el número de teléfono del remitente, un móvil.
En febrero de 2024 el Ministerio para la Transformación Digital y de la Función Pública a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales publicó una «Consulta pública sobre iniciativas normativas y mecanismos técnicos y operativos para combatir las estafas y suplantación de identidad a través de llamadas telefónicas y mensajes de texto fraudulentos».
En la misma consulta advertían de que «en los últimos años estamos asistiendo a un incremento exponencial de la cibercriminalidad en la que destacan en particular, las estafas de suplantación de identidad que suelen comenzar con una llamada o un mensaje de texto en los que el emisor de la comunicación suplanta la identidad de una organización de confianza (entidad bancaria, administración pública, empresa de transporte, etc…) con la clara intención de defraudar, engañando al consumidor para que proporcione información personal y financiera confidencial, facilite sus claves personales o realice alguna acción (acceso a una web, llamar a un número telefónico, ordenar una transferencia, contratar un servicio, entre otros)».
Es decir, que tras pinchar en el enlace le pedirán el número de tarjeta, la fecha de caducidad, su nombre y dos apellidos y hasta el pin personal sin usted va accediendo a datos. Luego, cuando alguien quiera alertarle ya habrán comprado artículos de alto valor vía internet, habrán hecho transferencias de efectivo y un largo etcétera hasta que el crédito de la tarjeta o el saldo de su cuenta asociada se agote.
Incluso a veces, continúa el mismo documento, «se manipula la llamada mediante la manipulación del CLI (Calling Line Identification) para que el número desde el que llaman coincida lo máximo posible con el número publicitado o conocido por los usuarios de una entidad financiera, empresa prestadora de servicios o de un organismo público, cuya trazabilidad se dificulta por la participación de estafadores que están localizados fuera del territorio nacional».