Era algo previsible. Los amigos de lo ajeno digitales han visto en la fusión de Caixabank y Bankia una oportunidad estupenda para poder hacerse con las credenciales de los clientes.
Tan solo dos días después de la integración de los servicios digitales de ambas entidades, los usuarios ha comenzado a recibir SMS en los que se les informa de que sus cuentas han sido desactivadas y se les lleva a pinchar en un enlace.
Al hacerlo acceden a una página con los colores corporativos de la firma y sus logotipos en la que se les pide que faciliten sus datos personales para restablecerlas.
Obviamente, no es un mensaje enviado por Caixabank, sino por hackers que se hacen pasar por el banco. Se trata de un ataque de phising en el que los cibercriminales solo quieren sustraer las claves de acceso. Al obtenerlas podrían entrar en la banca digital y hacer desde compras online hasta transferirse dinero a las cuentas que les plazcan.
Los atacantes están tratando de aprovecharse de la confusión que ha generado todo este proceso y de todos los clientes que vienen de la antigua Caja Madrid, los cuales no están familiarizados con las aplicaciones o herramientas de CaixaBank.
Crónica de un ataque anunciado
En su página web Caixabank había publicado hace tiempo un artículo llamado 'Cómo los ciberdelincuentes aprovechan la fusión de CaixaBank y Bankia para atacar a sus clientes' para advertir a sus nuevos usuarios provenientes de Bankia y a sus clientes ya existentes de las posibles amenazas.
"Para que los clientes confíen en los correos electrónicos fraudulentos, los ciberdelincuentes suelen suplantar la identidad de su entidad financiera mediante ingeniería social. Pueden persuadir a la víctima para que clique en un enlace malicioso que infecte su equipo, generalmente abriendo una página falsa que imita a la de su banco, interceptando posteriormente su usuario y contraseña de acceso a la banca digital", señala la web.
Caixabank también asegura que los hackers pueden utilizar otros métodos para perpetrar sus estafas y conseguir sus claves de acceso a la banca digital, como los mensajes de SMS o mensajería instantánea tipo WhatsApp (smishing) o a través de lllamadas telefónicas donde se hacen pasar por gestores de la entidad (vishing).