Recibo mensajes de phishing de cuando en cuando en mi bandeja de entrada, pero hasta ayer ninguno que fingiera proceder de mi banco habitual, el BBVA. Por cierto, no es mi intención hacer publicidad del BBVA, un banco en el que está mi dinero casi por accidente, del que no me voy porque no confío en que me traten mejor en otra entidad, y del que opino que son unos ladrones.

El caso es que recibí ayer el siguiente anuncio en un email:

Sabiendo que era phishing (entre otras razones porque el BBVA nunca me ha regalado dinero, más bien todo lo contrario) entré a curiosear. Hice click en el anuncio y se me abrió una página idéntica a ésta, con la que opero habitualmente. Lo que cambiaba, lógicamente, era el dominio en la barra de direcciones, que en lugar de ser bbva.es era ftp.myca.com.

Introduje un número de usuario y clave de acceso al azar. Aquí es donde empieza el fraude, pues estos datos son registrados por el estafador. Después me pidieron la clave de operaciones, otra contraseña secreta que solicita el banco para realizar determinadas acciones. También se la di (inventada, claro).

Pero con estos datos no les vale. Hay una medida de seguridad especial que es la tarjeta de coordenadas. Es una tarjeta que te da el banco, con una matriz de códigos de los que cuando ingresas te pide uno cualquiera. Es un incordio para el usuario pero proporciona mucha seguridad. ¿Cómo solucionarán esto los estafadores?, me preguntaba. Pues así:

Alucinante. Aquí no pude evitar hacer el pantallazo y decidí escribir esta entrada. ¡Te piden de golpe 47 coordenadas, en lugar de una, argumentando que “no es una operación usual”! La verdad es que a estas alturas hay que estar muy despistado para no sospechar que esto es un fraude. Pero no se conforman con estas 47 coordenadas. Después de introducirlas le di a Validar y me volvieron a pedir más coordenadas porque supuestamente me había equivocado al introducir alguna. ¡Como pa no equivocarse!

Detectar un mensaje de phishing no es difícil. Basta con mirar la dirección de la página a la que nos redirige el mensaje y comprobar si coincide con la habitual. En todo caso, lo aconsejable es no atender a ofertas que lleguen por correo electrónico, comunicarnos personalmente o por teléfono con el banco, o entrar en la web por el camino habitual (nunca a través del enlace del email). Aquí dan algunos consejos.

También es buena idea denunciar si se recibe algún mensaje de este tipo. La dirección para hacerlo en España es fraudeinternet@policia.es.