Alejandro (nombre ficticio) recibió la semana pasada un sms "supuestamente" de Unicaja. En el mensaje le avisaban de la desactivación de su cuenta. "Cuando leí eso, pinché en el enlace que aparecía para volverla a activar. No sabía qué estaba pensando. Al hacer clic entras en una página web igual que la del banco. Ahí pones el número de tu teléfono móvil. Ya tienen tu dato principal", relata.

Este malagueño es una de las víctimas del fraude online y masivo contra clientes de Unicaja. Esta campaña de smishing (suplantación de la identidad del banco) también ha afectado a usuarios y trabajadores de otras entidades. Los ciberestafadores envían sms o correos electrónicos haciéndose pasar por el banco donde avisan del bloqueo de la tarjeta para evitar una trasferencia falsa de 2.000 euros.

Al día siguiente de dar su número de teléfono, Alejandro coge una llamada de un supuesto trabajador de Unicaja. "Se dirige a ti como un empleado de banca. Sabía mi nombre completo y mi DNI. Me dicen que desde Alicante un hombre me está pidiendo una trasferencia de 2.000 euros que tengo que autorizar. Te llaman para alarmarte de la estafa", cuenta. Se trata de una estafa dentro de la estafa.

"Le pregunté en ese momento: "¿Hay alguna manera de evitar que me quiten esos 2.000 euros?" Ellos te mandan un código y lo validas. Te meten presión. Entras en una espiral donde le das el código que ellos mismos te han mandado y otro que tienes para operar a través de la red Univía de Unicaja. Me refiero al código de tu tarjeta de coordinadas. Se lo das", declara ofuscado.

Este malagueño ya le ha dado su número de teléfono y el código de validación de la tarjeta de coordenadas. "Ellos te quitan el dinero a través de Bizum. Una vez ocurre eso, me mandan un mensaje falso de Unicaja. Te estás quitando dinero a través de Bizum de la misma cuenta además de los 2.000 euros. Le das más datos y acceden a otra cuenta", lamenta.

"Te mandan otro sms donde te dicen que todo está restablecido, que no ha habido problemas y que todo está bien", reprocha. Cuando Alejandro llegó a casa fui a mirar sus cuentas de Unicaja. "Me pongo a darle vueltas a la cabeza. Algo no me cuadra. Veo cómo me habían quitado dinero a través de bizum. En una me habían quitado dinero y en la otra también habían cogido. Habían mandado bizum desde mi cuenta a otros móviles con mis datos", explica.

Había recibido un correo electrónico donde le avisaban de una estafa. Los propios timadores comunicando la supuesta estafa. Incluso le llegan a decir amablemente que al día siguiente "vaya a la oficina de Unicaja, pida un extracto de las cuentas y vaya a la Policía Nacional y ponga la denuncia". "Esos 2.000 euros no me lo habían quitado. Es el cebo, el gancho", señala. 

Al mirar sus cuentas se dio cuenta del fraude. No tardó nada en llamar a su sede del banco y bloquear todas sus cuentas. Alejandro ha perdido un dinero considerable. "Si te dicen que te van a quitar 2.000 euros, que estás autorizando a una operación en Alicante. ¿Esto cómo puede ser? Parece que la persona que te habla es un director de banco y lo hace con una tranquilidad pasmosa. Está todo calculado milimétricamente", lamenta.

Este malagueño ha denunciado lo ocurrido a la Policía Nacional. "Delante de mí había una persona mayor de otra entidad a la que le habían robado 3.000 euros de igual forma", recuerda mientras señala que no suele coger el teléfono de números desconocidos. "Me la han metido doblada. Te pilla en un día hasta arriba de trabajo, despistado, y picas. No me voy a martirizar", reconoce. 

Este cliente de Unicaja desde hace muchísimo tiempo no suele comprar online. Sin embargo, los estafadores "han creado un entorno virtual muy parecido al del banco". "Me gustaría que comunicasen que la persona que hace la estafa se hacen pasar por un empleado y que han creado un entorno virtual falso muy similar a su web", reprocha mientras aconseja a todos que no den el nombre ni su teléfono "aunque parezca un empleado de un banco". 

Desde la entidad bancaria reconocen al ESPAÑOL de Málaga que ha habido "casos puntuales de phishing", técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima. Según Unicaja, son "muy hábiles" copiando sus logos e insisten en que no habido "fallos" en sus sistemas de seguridad. 

El banco con sede principal en Málaga realiza de forma periódica y con carácter general una labor de alerta y de concienciación mediante la publicación de información referente a nuevas modalidades de fraude online, tanto en redes sociales como en otros soportes como su aplicación móvil, que se intensifica puntualmente en función de los riesgos existentes para los clientes.

En este caso, se trata de una campaña que suplanta a Unicaja Banco a través de sms fraudulentos (smishing) o de correos electrónicos fraudulentos (phishing) que los ciberdelincuentes envían directamente a particulares para que proporcionen sus datos personales y claves bancarias, como reconoce el propio Incibe (Instituto Nacional de Ciberseguridad), así como la Guardia Civil y la Policía Nacional, afectando de manera frecuente estas campañas no solo a clientes de entidades financieras sino también de otras empresas.

Los ciberdelincuentes utilizan la técnica del spoofing (usurpación de identidad electrónica), es decir, los mismos pueden enmascarar su identidad y se hacen pasar por el banco, remitiendo sms fraudulentos en el mismo hilo de mensajes que los que legítimamente la entidad manda, haciendo creer al cliente que el mensaje ha sido enviado por el banco. 

Estos mensajes han llegado tanto a clientes, incluyéndoles en el hilo de Unicaja, como a no clientes, apareciéndoles por tanto un nuevo hilo de Unicaja”. Todos los SMS fraudulentos se caracterizan porque incluyen un enlace a una página web falsa que suplanta la Banca Digital de Unicaja Banco y muestran URL con dominios donde aparece la palabra "unicaja, Unicajabanco". La entidad insiste en que nunca se pone en contacto con el cliente para pedirle datos confidenciales como claves de seguridad o DNI.