CaixaBank, objetivo de phishing tras su fusión con Bankia

Con motivo de la reciente integración de clientes y plataformas derivada de la fusión de las entidades CaixaBank y Bankia, no han tardado en surgir nuevas campañas de phishing que están tratando de aprovechar esta oportunidad para tratar de robar algunos datos fundamentales de los usuarios, tales como sus credenciales de acceso a la banca online o los datos de sus tarjetas de crédito.

Y es que el escenario se postulado perfecto desde el pasado fin de semana, cuando debido a la integración del sistema informático de las dos entidades fusionadas, algunos de los servicios de sus aplicaciones no estuvieron disponibles durante unas horas. Así pues, pese a que ambas entidades realizaron diversos avisos para tratar de paliar la latente amenaza, los recursos de los ciberdelincuentes ofrecen unas trampas cada vez mejor elaboradas.

En menos de una semana, se han visto ya diferentes tipos de correos con asuntos similares, en los que se insta a los usuarios a revisar el estado de su cuenta debido, por ejemplo, a un supuesto acceso no autorizado o a un bloqueo de la tarjeta de crédito durante este pequeño «apagón». Aunque una vez más, no tardamos en ver que la finalidad de estos emails no es otra que la de redirigirnos a un enlace proporcionado y potencialmente malicioso.

Lo primero que destaca en estos dos correos es que, pese a que ambos remitentes aluden a Caixa.es o CaixaBank, sin duda poseen unas bastante dudosas direcciones de correo. Por otra parte, cabe destacar que ambos asuntos optan por una línea bastante alarmista, llegando incluso en uno de los casos a compartir algunos detalles personales tales como nuestra ubicación, prácticas poco comunes de las entidades bancarias.

De igual manera, no podemos evitar fijarnos en el estilo poco profesional de ambos correos, en un caso utilizando iconos de gran tamaño y una tipografía poco profesional; e incluso incurriendo en algunas faltas de ortografía o frases mal formadas (producto de un intento fallido al usar un tractor en línea).

Sin embargo, si por cualquier razón accedemos al enlace, nos encontramos con unas páginas de destino muy similares a las reales, emulando todos los elementos de las webs de las entidades. De hecho, podemos ver incluso cómo los ciberdelincuentes han añadido un certificado HTTPS de seguridad para mostrar una URL aparentemente segura, con el icono del candado. No obstante, debemos recordar que esto sólo implica que la comunicación entre nuestro dispositivo y la web se realiza de forma cifrada, y no necesariamente que la web sea segura.

Por último, otro de los indicadores de alerta una vez continuamos navegando a través de esta acción de phishing, es que comenzará a pedirnos datos adicionales personales, e incluso las credenciales de nuestra tarjeta de crédito. Datos que no deberían ser nunca pedidos por nuestro banco, y que bajo ningún concepto deberíamos compartir.

Cómo evitar ser víctima del phishing

Como siempre, os recordamos que una de las mejores maneras de evitar este tipo de engaños pasa siempre por nuestra propia perspicacia.

Dicho esto, en caso de duda, la primera acción recomendable siempre es la de revisar estos supuestos por nosotros mismos, ya sea a través de la aplicación móvil o plataforma web de nuestro banco, o el caso de cumplirse un supuesto como el de este escenario de CaixaBank y Bankia, acudiendo directamente a la sucursal más cercana.