Aviso Fraude SMS 2

 

 Aviso importante de fraude

Últimamente se ha detectado el envío fraudulento de SMS masivos que pretenden obtener las credenciales de los usuarios.

RECUERDA: Caja Ingenieros no solicita nunca confirmación de datos por SMS ni te llamará para pedir códigos.
Protégete de estafadores que suplantan a Caja Ingenieros y no cliques nunca en enlaces de SMS recibidos. Son mensajes falsos. Ante cualquier duda, contacta con nosotros a través de los canales habituales. Más detalles sobre esta ciberestafa en el siguiente enlace.

 

Slider cabecera Seguridad
Ancla 1 Intro

Desplegable 1 Introducción

1. Introducción

El activo más importante de la Caja de Ingenieros es la confianza que genera entre sus socios. Pero no se trata de una confianza ciega es simplemente un crédito que los socios ofrecen a la Caja de Ingenieros y que tiene que ser continuamente renovado y recompensado.

Una de las maneras que tiene la Caja de Ingenieros de mantener y renovar esta confianza es ofrecer Seguridad a sus socios. Seguridad entendida en el sentido amplio de la palabra, tal como recoge la Real Academia Española de la Lengua:

SEGURO, RA.
(Del lat. securus).

  1. adj. Libre y exento de todo peligro, daño o riesgo.
  2. adj. Cierto, indubitable y en cierta manera infalible.
  3. adj. Firme, constante y que no está en peligro de faltar o caerse.
  4. adj. No sospechoso.

La Seguridad no es algo fijo e inamovible; es un estado que requiere de un esfuerzo constante y concentrado para alcanzarla, y un esfuerzo aún mayor para mantenerla. Es necesario un fuerte compromiso, por parte de todos los que formamos parte de la Caja de Ingenieros, para poder lograr este objetivo, recompensando la confianza que los socios han depositado en nosotros.

Una expresión pública de este compromiso es la certificación en el cumplimiento del estándar ISO27001 (Sistema de Gestión de Seguridad de la Información), para garantizar la protección adecuada a la información que gestiona la Caja de Ingenieros. Con esta certificación se pone de manifiesto el firme compromiso de la entidad con el cumplimiento de los requisitos que aplican a la seguridad de la información y con la mejora continua de la misma. Puedes consultar más información sobre esta certificación en el siguiente enlace: ISO27001.

En el apartado de Seguridad queremos colaborar con nuestros socios, transmitiéndoles información e indicaciones prácticas que les ayuden a incorporar Seguridad a su actividad diaria.

Ancla 2 fraude

Desplegable 2 Canales contacto fraude

2. Canales de Contacto en Caso de Fraude

Caja de Ingenieros pone a tu disposición dos canales para poder comunicar cualquier fraude que hayas podido sufrir en la utilización de nuestros servicios. Para poder gestionar la reclamación siempre será necesario que presentes una denuncia ante la policía y que nos proporciones una copia de la misma.

Contacta con nosotros lo antes posible para poder evitar ser víctima de más casos de fraude, dirigiéndote a:

  1. Nuestra red de oficinas, donde te atenderá el Equipo Comercial con el que gestionas habitualmente tus productos y servicios. En el siguiente enlace puedes consultar direcciones, teléfonos y mapas de ubicación de cualquiera de nuestras oficinas: red de oficinas y cajeros.

  2. Banca TELEFÓNICA, que te permitirá, sin desplazamientos, gestionar tu reclamación. Podrás hacerlo llamando al 900 300 321 o mandando un correo electrónico (ir al apartado Contacto). Las comunicaciones procedentes de Banca TELEFÓNICA de Caja Ingenieros que recibas con posterioridad a la reclamación, siempre se harán desde las direcciones contacte.cdi@caja-ingenieros.es o contacti.cde@caixa-enginyers.com. Es importante que compruebes esta procedencia para asegurarte de que es un correo auténtico de Caja Ingenieros.

Si no puedes contactar con nosotros puedes bloquear inmediatamente el acceso a la BancaONLINE poniendo tu usuario y una contraseña errónea tres veces, de forma que no se podrá utilizar hasta que puedas contactarnos.

Ancla 3 Opera

Desplegable 3 Opera en Banca ONLINE con Seguridad

3. Opera en Banca ONLINE con Seguridad

Los servicios de banca electrónica, como Banca ONLINE, permiten a sus usuarios gestionar su dinero sin tener que desplazarse a una oficina de la entidad financiera con la que trabajan. Es importante garantizar que la persona que realiza la operación en Banca ONLINE es la propietaria del dinero, para evitar que pueda ser la víctima de un fraude. En los últimos tiempos las organizaciones criminales han encontrado en los sistemas de banca electrónica un objetivo preferente para sus actividades delictivas, suplantando a los verdaderos propietarios para apropiarse de su dinero.

Para protegerse de estos fraudes es fundamental autenticar a la persona que hace las operaciones en Banca ONLINE. Todos los usuarios del servicio tienen un código de usuario y una clave de acceso personal. Son las llamadas credenciales, únicas para cada persona. Se utilizan para identificar y autenticar a la persona que quiere acceder al servicio de Banca ONLINE de esta forma el servicio verifica que la persona que accede al servicio es quien dice ser.

Estos tres elementos (código de usuario, clave de acceso y SMS) se han de proteger para evitar ser víctimas de un fraude. En esta protección es necesaria la colaboración de los usuarios de Banca ONLINE, siguiendo las recomendaciones detalladas a continuación:

  1. Cambia la clave de acceso con cierta frecuencia y utiliza una clave de acceso que sólo utilices en Banca ONLINE. Si utilizas la misma contraseña que en otros servicios (por ejemplo en un servicio de web mail como Gmail/Yahoo o en una cuenta de redes sociales como Facebook/LinkedIn) estás expuesto con mayor probabilidad a que se vea comprometida, facilitando la suplantación de tu identidad.

  2. Si sospechas que has podido ser víctima de algún tipo de fraude puedes bloquear inmediatamente el acceso a la BancaONLINE poniendo tu usuario y una contraseña errónea tres veces, de forma que no se podrá utilizar hasta que puedas contactar con nosotros.

  3. No proporciones tus credenciales (código de usuario y clave de acceso) a nadie más; es recomendable memorizarlas y no apuntarlas en documentos ofimáticos, móviles, agendas... Si sólo las conoces tú nadie más las podrá utilizar para suplantarte. No uses contraseñas que puedan ser fácilmente deducibles por terceros: no uses el mismo código de usuario, tu nombre o apellidos, la matrícula de tu coche o tu número de teléfono.

  4. Evita siempre que sea posible acceder al servicio de Banca ONLINE desde un ordenador que no sea el propio o uno confiable (por ejemplo el de tu lugar de trabajo). Si te ves obligado a utilizar el ordenador de un locutorio o cibercafé, por ejemplo porque te encuentras de viaje, cambia tan pronto como sea posible tus credenciales. Existen programas que pueden detectar el acceso a las páginas web de banca electrónica, capturar los datos de identificación utilizados (código de usuario y clave de acceso) y enviarlos a un servidor remoto para ser utilizados para suplantarte accediendo a Banca ONLINE.

  5.  Desconfía de la página web que estás visitando si detectas que la dirección de la barra del navegador contiene algún error ortográfico (como www.cajaingeniiros.es o www.caiixaenginyers.com) o bien si la página te solicita una información que no corresponde (datos de la tarjeta, de tu número de móvil…)

     


  6. Revisa las recomendaciones del apartado Navega por Internet con Seguridad para disponer de un ordenador protegido de las amenazas de Internet, que te permita operar en Banca ONLINE con más garantías.

  7. Evita acceder al servicio Banca ONLINE desde un enlace de un correo electrónico o de un documento ofimático. Utiliza siempre la barra de direcciones del navegador para escribir la URL (www.caixaenginyers.com) o añade la dirección a Favoritos o Marcadores para tenerla siempre disponible. Así evitarás que te puedan llevar a una dirección web falsa con intención de engañarte y obtener tus credenciales. Si quieres utilizar la aplicación de Banca MÓVIL tienes diferentes opciones para descargártela:

    • Desde la App Store:
      pantalla App Store
      Se recomienda no utilizar dispositivos con sistema operativo iOS modificado (Jailbreak) para operar en Banca MÓVIL. El uso de este tipo de dispositivos puede poner en compromiso las claves de acceso al servicio de Banca MÓVIL perdiendo éstas su carácter privado.

    • Desde el Google Play (revisa que los permisos que te solicita son el de acceso a Identidad, Ubicación, Teléfono, Contactos, Galería Multimedia, Cámara, ID de dispositivo y Datos de Llamada):
      pantalla Google Play

    • Desde los siguientes enlaces:
      App Store Google Play

  8. Utiliza la opción del menú "Salir" para finalizar la sesión de forma segura. Si cierras el navegador directamente el servicio mantendrá la sesión abierta un cierto tiempo hasta que el sistema la cierre por inactividad. Es recomendable cerrar la sesión correctamente para evitar que esté abierta más tiempo del estrictamente necesario.

  9. Supervisa las operaciones que se realizan con tu dinero. Revisa habitualmente tus cuentas y las operaciones realizadas con tus tarjetas VISA o Mastercard, para validar que todas las operaciones son correctas.

  10. Mantén actualizado el teléfono móvil de contacto para poder recibir correctamente los códigos OTP y demás alertas del servicio.

  11. Aprovecha cada vez que accedas al servicio de Banca ONLINE para mirar la fecha y hora de la última conexión. Si tus credenciales se han visto comprometidas y otra persona las ha utilizado, podrás ver en este apartado los datos de una conexión que tú no has hecho.

    Cabecera Banca ONLINE

  12. Es recomendable configurar la opción de bloqueo automático en los dispositivos móviles, a través de PIN, patrón de desbloqueo, huella digital o reconocimiento facial. Es preferible utilizar un mecanismo biométrico, pero en el caso de optar por cualquier otro es importante no compartirlo con nadie. El dispositivo móvil se ha convertido en uno los principales mecanismos de identificación y seguridad de tu entidad para validar tus operaciones bancarias, incluidas las de Bizum, por lo que es necesario extremar las precauciones.

  13. En el caso de recibir una solicitud de envío de dinero a través de Bizum, lee atentamente el SMS y/o la notificación recibidos. Comprueba que el importe y el nombre del destinatario son correctos. Para aceptar la solicitud de envío de dinero es necesario que accedas a tu aplicación bancaria e introducir un segundo factor de validación. Rechaza la solicitud si no identificas la petición de envío de dinero. Nunca aceptes solicitudes de fuentes desconocidas, compañías con las que no tengas relación y/o Administraciones Públicas u organismos oficiales.

 

Ancla 4 compra internet

Desplegable 4 Compra por Internet con Seguridad

4. Compra por Internet con Seguridad

Actualmente en Internet se puede realizar prácticamente cualquier compra sin tener que desplazarse físicamente al comercio. Así se facilita la adquisición pero se introduce un nuevo factor de riesgo en las compras. La información necesaria para validar el medio de pago utilizado en una compra en Internet, normalmente una tarjeta financiera (Visa o Mastercard por ejemplo), es muy sensible. Si un tercero la interceptase (numeración de tarjeta, caducidad, titular y CVV) podría reutilizarla para hacer compras hasta que se agotase el saldo de la tarjeta o hasta que se bloquease la misma.

Por eso es muy importante ser precavidos en estas operaciones y sólo realizarlas en condiciones que garanticen la protección de los datos intercambiados. Las tarjetas de la Caja de Ingenieros te ayudan a protegerte ante los fraudes (visita el apartado Tarjetas para obtener más información), pero es necesaria tu colaboración para hacer esta protección más efectiva.

Te relacionamos a continuación los aspectos que has de tener presentes para poder realizar transacciones comerciales en Internet con más garantías:

  1. Utiliza las tarjetas de Caja de Ingenieros en tus compras en Internet. Son tarjetas que nacen securizadas y que si las utilizas en comercios electrónicos seguros (en los que encontrarás el logo de Visa o de Mastercard certificando su seguridad) ofrecen un nivel de seguridad equivalente a la compra en el establecimiento, porque te garantizarán que el comercio electrónico en el que estás comprando sea un comercio legítimo. Para poder efectuar el pago en los comercios electrónicos seguros tendrás que introducir tu PIN, de forma que es más difícil que te puedan suplantar en caso de robarte la tarjeta.
    logo Verified by Visa y Mastercard SecureCode

  2. Ten siempre bajo control tu tarjeta financiera. No le hagas fotos, ni fotocopias, ni se la dejes a terceros. En la tarjeta está toda la información necesaria para poder hacer una compra en Internet en comercios no seguros, y compartir esta información te pondrá en riesgo. En los comercios seguros no la podrían utilizar sin conocer tu PIN.

  3. Evita realizar compras en Internet desde un ordenador que no sea el propio o uno confiable (por ejemplo el de tu trabajo). Si el ordenador está comprometido, un software malicioso podría recoger la información que introduzcas en el formulario web de compra y reenviarla a un servidor remoto. Con esta información se podrían hacer compras sin tu consentimiento. Existen mercados ilegales en Internet en los que se comercializan datos de tarjetas comprometidas para ser utilizadas en operaciones fraudulentas; tu tarjeta podría ser comercializada y utilizada.

  4. Revisa las recomendaciones del apartado Navega por Internet con Seguridad para disponer de un ordenador protegido de las amenazas de Internet, que te permita realizar compras en Internet con más garantías.

  5. Realiza tus compras únicamente en páginas web que sean de tu confianza. Evita acceder desde un enlace de un correo electrónico o desde un documento ofimático. Utiliza siempre la barra de direcciones del navegador para escribir la URL, o añádela a Favoritos o Marcadores para tenerla siempre disponible.

  6. Verifica que la página web en la que realizas la compra utiliza un protocolo de cifrado. De esta manera la información que le proporciones para formalizar la compra se enviará cifrada por Internet, evitando que un tercero la pueda interceptar. Para verificarlo fíjate en que la dirección de la página web de la barra de direcciones comience por "https://" y que el navegador te presente un candado identificando el sitio como seguro.

    Imagen barra navegador

  7. Revisa que el certificado que te presente la página web esté confirmado por una entidad de confianza (como Verisign o la Fábrica Nacional de Moneda y Timbre - FNMT) y que sea válido en el momento de hacer la transacción. Así podrás verificar que no te han redirigido a una página web falsa.

    Imagen certificado navegador

  8. Si tu entidad financiera te lo ofrece como servicio, activa los avisos por SMS en compras con tus tarjetas. Las tarjetas de la Caja de Ingenieros ya lo hacen para muchas operaciones nacionales e internacionales (visita el apartado Tarjetas para obtener más información). De esta manera sabrás al momento si se ha hecho una operación con tu tarjeta sin tu consentimiento.

  9. Supervisa las operaciones que se realizan con tus tarjetas VISA o Mastercard de forma periódica (Banca ONLINE y Banca MÓVIL te permiten hacer fácilmente esta consulta en cualquier momento). Así podrás validar que todas las operaciones son correctas y detectar los fraudes rápidamente para poder reaccionar y bloquear tu tarjeta.

  10. Si detectas que se ha cometido un fraude con tu tarjeta, bloquéala inmediatamente desde Banca ONLINE,  Banca MÓVIL o Banca TELEFÓNICA al teléfono 900 200 888 (+34 93 268 13 31) o al teléfono de VISA 900 192 100 si ya estás fuera del horario de servicio de Banca TELEFÓNICA.
Ancla 5 Utiliza

Desplegable 5 Utiliza tus tarjetas con Seguridad

5. Utiliza tus tarjetas con Seguridad

Las tarjetas financieras, como Visa o Mastercard, han sustituido al dinero en efectivo en muchas transacciones, descargando a los ciudadanos y a los comercios de parte de los riesgos asociados a tener dinero en metálico. También son un medio de pago más higiénico que los billetes de papel, que han podido pasar por muchas manos antes de llegar a las nuestras.

Proporcionan autonomía para poder realizar gastos de prácticamente cualquier importe en cualquier lugar y momento, y para poder obtener dinero en efectivo en prácticamente cualquier ubicación y horario (utilizando la red de cajeros automáticos). Desde este punto de vista las tarjetas financieras no dejan de ser un equivalente al dinero en efectivo, y la facilidad que ofrecen de conversión en dinero es a la vez su punto fuerte y su mayor vulnerabilidad.

Se han de proteger como si fuesen dinero en efectivo, porque prácticamente lo son. Para poder utilizarlas con Seguridad es importante tener presentes las siguientes recomendaciones:

  1. Utiliza tarjetas con chip EMV incorporado, como las de la Caja de Ingenieros. Esta tecnología te permite evitar que se puedan hacer operaciones únicamente con la banda magnética de la tarjeta e imitando tu firma. La petición de PIN hará que sólo quien lo conozca pueda hacer compras con tu tarjeta en establecimientos de la zona SEPA (Zona Única de Pago en Euros - Single Euro Payments Area).

  2. No digas tu PIN a nadie más. Es recomendable memorizarlo y no apuntarlo en documentos ofimáticos, móviles, agendas... o en la misma tarjeta. Si sólo lo conoces tú, nadie más lo podrá utilizar para hacer operaciones suplantándote.

  3. Firma la tarjeta por detrás para dificultar que se pueda utilizar si la pierdes.

  4. Cuando hagas un pago no pierdas la tarjeta de vista, para evitar que aprovechando tu ausencia puedan hacer una copia de la banda magnética o de toda la información de la tarjeta. En la misma se encuentran los datos necesarios para poder hacer una compra en Internet en comercios no seguros (en los comercios seguros no la podrían utilizar sin conocer tu PIN).

  5. Si tu entidad financiera te lo ofrece como servicio, activa los avisos por SMS en compras con tus tarjetas. Las tarjetas de la Caja de Ingenieros ya lo hacen para muchas operaciones nacionales e internacionales (visita el apartado Tarjetas para obtener más información). De esta manera sabrás al momento si se ha hecho una operación con tu tarjeta sin tu conocimiento.

  6. Cuando la tarjeta ya no sea válida destrúyela físicamente para evitar que se pueda utilizar.

  7. Cuando saques dinero de un cajero automático has de ser prudente y en caso de duda no lo hagas:
    • Mira a tu alrededor antes de hacer ninguna operación y así evitar el riesgo de un atraco.
    • Si el cajero automático está en un vestíbulo cierra la puerta que da a la calle por dentro.
    • Tapa el teclado cuando teclees el PIN para evitar que lo pueda ver otra persona o que lo pueda grabar una cámara.
    • Revisa el aspecto del frontal del cajero automático para detectar manipulaciones en el dispensador de los billetes o en la lectora de la tarjeta (pueden tener pegado un dispositivo que bloquee la salida de los billetes o que capture la banda magnética de la tarjeta).

  8. Si el cajero automático no te devuelve la tarjeta después de intentar hacer una operación, llama para bloquearla a Banca TELEFÓNICA al teléfono 902 200 888 (+34 93 268 13 31) o directamente al teléfono de contacto 24x7 de Servired (902 192 100), si ya estás fuera del horario de servicio de Banca TELEFÓNICA. Podría ser debido a una avería del cajero o a que estuviese manipulado para capturar las tarjetas y utilizarlas con intenciones delictivas.

  9. Supervisa las operaciones que se realizan con tus tarjetas VISA o Mastercard de forma periódica (Banca ONLINE y Banca MOBILE te permiten hacer fácilmente esta consulta en cualquier momento). Así podrás validar que todas las operaciones son correctas y detectar los fraudes rápidamente para poder reaccionar y bloquear tu tarjeta.

  10. Si detectas que se ha cometido un fraude con tu tarjeta, llama inmediatamente para solicitar que la bloqueen. Si es una tarjeta de la Caja de Ingenieros puedes llamar para bloquearla a Banca TELEFÓNICA al teléfono 902 200 888 (+34 93 268 13 31) o ponerte en contacto con el servicio 24x7 de Servired (902 192 100), si ya estás fuera del horario de servicio de la Banca TELEFÓNICA.
Ancla 6 Navega

Desplegable 6 Navega por Internet con Seguridad

6. Navega por Internet con Seguridad

Internet es una red que nos proporciona acceso a un volumen ingente de información, servicios, relaciones... Sea por razones personales, oficiales, de ocio o laborales, Internet es un ámbito al que accedemos cada vez más frecuentemente y al que incorporamos cada vez más información personal.

No hemos de olvidar que Internet es un espacio público y por tanto compartido con muchas otras personas. Como en la vida real, en Internet podemos encontrar tanto personas honestas como deshonestas, así como actividades o servicios lícitos e ilícitos. No todo el contenido que podemos encontrar en Internet es cierto, ni todo lo que nos llega a través de Internet tiene buenas intenciones. Estamos obligados a protegernos, porque algunas de las personas que acceden a Internet lo hacen con intenciones maliciosas, y nosotros o nuestra familia nos podemos ver perjudicados.

En este apartado recogeremos recomendaciones de Seguridad para disponer de una protección básica ante los peligros de Internet.

  1. No todo lo que encuentres o provenga de Internet es cierto o fiable. Tu Seguridad dependerá de:
    • Mantener una actitud escéptica. Has de ser desconfiado y dar credibilidad únicamente a lo que te llegue de fuentes contrastadas, una vez verifiques que efectivamente proviene de esta fuente de confianza.
    • Las actividades que hagas en Internet. Determinadas páginas web son más susceptibles de contener software malicioso que se pueda introducir en tu dispositivo; la descarga de software o de ficheros de Internet también te pueden exponer a este peligro.
    • Los dispositivos (smartphone, tablet, ordenador personal, portátil...) que utilices para acceder a Internet. Te han de proteger de los peligros conocidos evitando ser comprometidos por software malicioso.
    • El punto de acceso a Internet que utilices. Te ha de garantizar un acceso seguro y protegido ante acciones intrusivas de terceros.

  2. Revisa las recomendaciones del apartado Protege tus credenciales en Internet para disponer de credenciales robustas que te ayuden a protegerte.

  3. Es importante proteger tu dispositivo de los peligros de Internet:
    • Con un sistema operativo confiable y actualizado. Si tu ordenador es de segunda mano es recomendable formatear el disco duro y reinstalar el sistema operativo de nuevo. Solicita la ayuda de un técnico de confianza si la necesitas. Y actualiza de forma regular el sistema operativo para incorporar las protecciones del fabricante ante vulnerabilidades de su sistema.
    • Con una protección antivirus. Tanto la navegación como el intercambio de información con Internet (correos electrónicos, descarga de software, descarga de ficheros...) pueden originar la introducción de un software malicioso en tu dispositivo. La protección antivirus te ayudará a detectarlo y a protegerte.
    • Con un servicio de Firewall activado. Muchas de las actividades que llevas a cabo con un ordenador cuando está conectado a Internet no son perceptibles para el usuario. Un Firewall te ayudará a controlar estas actividades y a parar comportamientos maliciosos de las páginas web que visites o del software que ejecutes en Internet. Actualmente los sistemas operativos o las suites de software de Seguridad ya incorporen funcionalidades de Firewall fáciles de activar.
    • Gestionando de forma adecuada la actualización de las aplicaciones que utilizas (navegadores, reproductores de ficheros, paquetes ofimáticos, Acrobat Reader, Java...).
    • Navegando con el dispositivo de forma prudente. Es importante descargar ficheros o software sólo de páginas web con reputación contrastada y ser prudente con los enlaces que sigues (sea desde e-mails, desde redes sociales o desde documentos). A veces el enlace puede esconder una dirección de página web diferente de la que parece a primera vista; pasando el ratón por encima del enlace podrás ver la dirección real a la que te remite el mismo. Cuando se trata de direcciones web acortadas (generadas con servicios como los ofrecidos por Twitter, tinyurl.com o bit.ly) viendo el enlace no puedes saber a dónde te redirigirá. En determinados casos escribiendo la URL acortada en el navegador y poniendo un + al final, el mismo servicio te lo mostrará; en otros casos puedes verificar antes el enlace utilizando servicios como http://urlxray.com/.

  4. Securiza tu navegador web:
    • Actualiza el navegador web para mantenerlo protegido ante las nuevas amenazas que aparezcan.
    • No permitas que memorice las credenciales que utilices para acceder a servicios personales (Teleingenieors Web, servicio de correo electrónico, perfil de redes sociales...).
    • Gestiona la ejecución de applets Java seleccionando el nivel de seguridad "Muy alto" en el panel de Seguridad de Java disponible en las últimas versiones (puedes encontrar más información en este enlace: https://www.java.com/es/download/help/jcp_security.xml). Si no tienes la última versión de Java la puedes actualizar en el siguiente enlace: https://www.java.com/es/download/.
    • No permitas que se guarden cookies en tu equipo a no ser que sean imprescindibles; así evitarás que haya ficheros con información personal que pueda ser accedida sin tu control.
    • Visita el enlace siguiente para acceder a guías con consejos de ciberseguridad: https://www.osi.es/es/guias-ciberseguridad.

  5. Es importante realizar tus actividades en función del modelo de acceso a Internet que estés utilizando. Por ejemplo, es recomendable:
    • No realizar compras por Internet utilizando redes públicas de acceso WiFi ni ordenadores públicos.
    • No acceder a servicios de Banca Electrónica como Banca ONLINE utilizando redes públicas de acceso WiFi ni ordenadores públicos.

  6. Es importante controlar la información personal que publiques en Internet:
    • Regula el acceso que otorgas a los contenidos publicados en las redes sociales, aceptando sólo a contactos de tu confianza y utilizando las configuraciones de privacidad que te ofrecen.
    • No expongas nunca información sensible como numeración de tarjeta, PIN, credenciales de acceso a servicios telemáticos... en redes sociales, documentos ofimáticos o correos electrónicos.
    • Establece medidas de control parental sobre tus hijos para supervisar el uso que hacen de Internet y para conocer la información que publican.
    • Protege con cifrado los dispositivos portátiles para evitar el acceso a datos sensibles en caso de pérdida o robo.

  7. Es importante tener copias de seguridad de la información que tienes en tus dispositivos. Si sufres la infección de un software malicioso puedes perder toda la información sin opción a recuperarla. Las copias de seguridad también te serán de utilidad si pierdes un dispositivo portátil o se estropea el disco duro que utilizas. Ten siempre presente que es conveniente destruir físicamente los discos duros, las unidades de memoria USB, los smartphones... donde hayas guardado información sensible. Existen técnicas para recuperar información de soportes en los que los datos han sido borrados, por tanto si quieres tener la garantía de que la información que han contenido no es accesible por parte de terceros los tendrás que destruir (desmontándolos y rompiendo los elementos de almacenaje de los datos).
Ancla 7 credenciales

Desplegable 7 Protege tus credenciales en Internet

7. Protege tus credenciales en Internet

Las credenciales son los medios que tenemos a nuestro alcance para acreditar nuestra identidad en un medio telemático. Como no nos presentamos presencialmente (no pueden vernos ni comparar nuestro rostro con la foto del DNI), el servicio con el que interactuamos sólo puede validar nuestra identidad solicitándonos que superemos un reto. Es entonces cuando nos solicita que le digamos cuáles son nuestras credenciales, que nos identifican de forma unívoca porque sólo nosotros las conocemos.

El sistema de acreditación se puede basar en cualquiera de estos tres tipos de factores: algo que sé (p.e.: contraseña), algo que tengo (p.e.: certificado digital) o algo que soy (p.e.: huella digital) combinado con una identificación de usuario.

Habitualmente, los servicios proporcionados en Internet utilizan credenciales de un solo factor, y normalmente se trata de una combinación de identificación de usuario y contraseña. Por ejemplo:

- Identificación de Usuario: abel.riduerta@teleingenieros.net
- Contraseña: Ndert5&&-fer

Como hemos dicho, las credenciales nos permiten demostrar quién somos en Internet, por tanto cualquier persona que las conozca y las utilice nos puede suplantar. Por eso es muy importante que las gestiones de forma segura.

A continuación recogemos unas recomendaciones sobre las credenciales:

  1. No compartas credenciales en diferentes servicios. Como mínimo no lo hagas con las de servicios sensibles como una Banca Electrónica (Banca ONLINE) o servicios en los que hayas incorporado los datos de tu tarjeta financiera. El compromiso de una credencial compartida pone en riesgo todos los servicios que tiene asociados. Por ejemplo, se puede dar el caso que si alguien obtiene tu credencial de acceso a Facebook pueda probar de acceder a Banca ONLINE y, si la credencial es la misma, podrá ver tus posiciones y correspondencia. La única forma de evitarlo es tener credenciales diferentes en cada servicio; así el compromiso de una credencial no afectará a las demás.

  2. No utilices tus credenciales en ordenadores públicos o utilizando accesos WiFi públicos. En caso de ser imprescindible debes modificar la credencial tan pronto como te sea posible para prevenir su uso fraudulento.

  3. Utiliza credenciales seguras siguiendo los criterios siguientes:
    • Que sean tan largas como sea posible (a partir de 8 caracteres) y que incluyan letras mayúsculas, letras minúsculas, cifras y símbolos especiales (como $ o &).
    • Que no sean una secuencia de números (12345), de letras (abcde), de posición en el teclado (qwerty) o de caracteres repetidos (jjjjjj).
    • Que no sean palabras de un idioma que las haga más vulnerables a ataques de fuerza bruta (probar combinaciones hasta que encuentras la credencial).
    • Que no contengan datos personales (como tu apellido, tu fecha de nacimiento, el nombre de tu mascota...).

  4. Utiliza técnicas de memorización de credenciales para poder incrementar su complejidad sin hacerlas más difíciles de recordar:
    • Sustituyendo letras por caracteres parecidos: por ejemplo la s por el símbolo $ o la a por el símbolo @.
    • Reuniendo las iniciales de las palabras de una frase larga: Rlidlpdufl.
    • Utilizando mayúsculas y minúsculas.
    • Inventando una palabra pronunciable pero inexistente y aumentando su complejidad (1=i): Tr1mp1r1tón.

  5. Visita los siguientes enlaces que te proporcionarán más consejos para hacer más seguras tus credenciales:  Incibe.

  6. Si el servicio que utilizas admite credenciales de doble factor (mediante DNIe o SMS por ejemplo) valora la posibilidad de utilizarlas. Es recomendable que lo hagas para los servicios que consideres críticos.

  7. No proporciones las credenciales a terceras personas ni las apuntes en ningún sitio. Si tienes problemas para gestionar credenciales porque utilizas muchos servicios, utiliza aplicaciones de repositorio de credenciales (por ejemplo KeePass) que las protegerán cifrándolas.
Ancla 8 colabora

Desplegable 8 Colabora con la Seguridad de la Red

8. Colabora con la Seguridad de la Red

La colaboración de todos los usuarios de Internet es necesaria para hacer de este medio un lugar más seguro. Los beneficios son directos, porque evitando la comisión de delitos en Internet se reduce de forma directamente proporcional el riesgo de que seamos un afectado más y se reduce también el interés de los delincuentes en cometer delitos en Internet (colaboramos a dificultar su rentabilidad).

Los diferentes cuerpos y fuerzas de seguridad del Estado ponen a disposición de los ciudadanos canales para comunicar la comisión de delitos en Internet, sea porque han sido víctimas directas (por ejemplo por una estafa en una compra en eBay) o porque lo han detectado navegando (por ejemplo encontrando de forma casual una página de pornografía infantil).

A continuación identificamos los canales telemáticos de recepción de denuncias habilitados por los cuerpos policiales:

  1. Guardia Civil
    Página web para informar o denunciar: Página Web de la Guardia Civil - Colaboración Ciudadana

  2. Mossos d'Esquadra
    Dirección de correo electrónico para denuncias relacionadas con Internet: internetsegura@gencat.cat
    Otras denuncias: Página web de Mossos d'Esquadra - Denuncias

  3. Policía Nacional
    Denuncias: Página web de Policía Nacional - Denuncias

  4. Ertzaintza
    Denuncias: Página web de la Ertzaintza - Denuncias.
Ancla 9 suplantacion

Desplegable 9 Recomendaciones en caso de posible suplantación

9. Recomendaciones en caso de posible suplantación

Si sospechas que han intentado suplantar tu identidad utilizando tu cuenta de correo de un servicio web-mail (por ejemplo @gmail) te recomendamos que  tomes las siguientes medidas:

- Cambia tus credenciales de acceso a tu cuenta web-mail y a todos los servicios en los que utilices la misma contraseña (recuerde que siempre es mejor tener diferentes contraseñas para delimitar los daños que puede originar su compromiso)

- Cambia tu contraseña de acceso a Banca ONLINE, verificando la última sesión registrada en el sistema para ver si alguien utilizó tus credenciales para acceder.

- Intenta recordar desde dónde has consultado tu correo de web-mail para intentar identificar el punto en el que se comprometieron tus credenciales (cibercafé, trabajo, domicilio)

- Pasa un antivirus actualizado por todos los dispositivos que tengas en casa y revisa los del trabajo para detectar el posible malware que ha capturado las credenciales.

- Presenta una denuncia a la Policía para que lo investiguen.

Ancla 10 al-dia

Desplegable 10 Mantente al día en Seguridad

10. Mantente al día en Seguridad

En Internet y en las redes sociales también puedes encontrar más información relacionada con la seguridad. Te relacionamos algunas referencias interesantes:

  1. Cuerpos Policiales:

  2. Webs de referencia:
Ancla 11 protege

Desplegable 11 Protégete frente al fraude

11. Protégete frente al fraude

Cada vez son más frecuentes los intentos de fraude en que se aprovechan de las personas más vulnerables o más predispuestas a creer lo que le cuentan sin contrastarlo. Los objetivos de estos fraudes pueden ser diversos pero la intencionalidad es siempre la misma: apropiarse del dinero de la víctima. En otros apartados se recogen medidas concretas para protegerse en diferentes ámbitos. En este apartado lo que intentaremos es dar visibilidad de campañas concretas de fraude que pueden afectar a nuestros socios.

Campaña Suplantación de Entidades Financieras

Se están dando casos en que se intenta suplantar a entidades financieras mediante llamadas telefónicas y mensajes SMS con enlaces a webs fraudulentas que intentan obtener datos del usuario haciéndole creer que está accediendo al servicio de Banca ONLINE.

Normalmente, envían primero un SMS falso simulando que se ha asignado un nuevo gestor (“Le hemos asignado al agente SERGIO RODRIGUEZ CRUZ, será el encargado de anular las operaciones fraudulentas el día de hoy. Pronto le atenderá, manténgase a la espera”), que hay una transacción fraudulenta en su cuenta (“Intento de compra detectado por importe de 2400 EUR desde su tarjeta. Si no reconoce dicha acción verifique inmediatamente: https://caixaenginyers-es-movil[.]com”), o que debe hacer alguna acción para reactivar el servicio (“Le informamos que su cuenta ha sido bloqueada por actividades sospechosas, complete el formulario para activarla: https://caixaenginyers-es-movil[.]com”).

Después, hacen una llamada diciendo que llaman desde una oficina o desde el departamento de ciberseguridad, a menudo en horarios intempestivos (tarde noche o festivos) para dificultar que se pueda contactar con Caja Ingenieros y poder obtener una confirmación. A veces, incluso consiguen hacer la llamada haciendo que en el móvil se vea un número de teléfono de Caja Ingenieros (el de la oficina de Potosí, 93 312 67 00 o el de alguna oficina de la red) que no es el que realmente está haciendo la llamada. Con la excusa de que en su cuenta hay movimientos fraudulentos intentan obtener información y colaboración para cometer el fraude y hacer movimientos no autorizados en sus cuentas o con su tarjeta.

¿Cómo lo hacen?

Con envíos masivos de correos electrónicos o de SMS que incorporan un código QR o un enlace que lleva a una web maliciosa. En esta web se piden las credenciales de la Banca ONLINE, el número de móvil para poder hacer la llamada, los datos de pago de la tarjeta o el código OTP recibido por SMS.

Una vez tienen las credenciales para acceder a la Banca ONLINE y el móvil de contacto, llaman para intentar obtener los códigos que se envían por SMS para autorizar operaciones. De este modo pueden acceder a la Banca ONLINE y hacer operaciones de transferencia de dinero a cuentas de los estafadores o hacer compras online y autorizarlas en la Banca ONLINE/MOBILE.

¿Cómo evitar ser víctimas de estas campañas?

  • 1. Revisa los mensajes de los códigos OTP recibidos para validar que la operación que autoriza este código (una transferencia, el acceso al servicio,...) es legítima. No los proporciones nunca por teléfono. Solo si eres usuario del servicio de Banca Telefónica y es una llamada hecha por ti, si te piden el código OTP puedes proporcionarlo con tranqulidad.
  • 2. Desconfía de los correos electrónicos, los SMS y las llamadas que recibas:
    • Correo electrónico o SMS: Confirmar con la entidad financiera que sea un mensaje legítimo sin clicar los enlaces ni escanear el código QR.
    • No atiendas llamadas de personas desconocidas que afirmen ser de tu entidad financiera. Llama directamente a la misma para validar que es una llamada legítima.
  • 3. No proporcionar ni por teléfono ni por páginas web información sensible del servicio de banca electrónica (número de móvil, usuario y contraseña, datos de la tarjeta).
  • 4. El código CVV de la tarjeta solo se utiliza para autorizar operaciones de compra. No lo proporciones nunca por teléfono.

 

Campaña Aplicación móvil maliciosa

Se han identificado campañas de fraude en las que se envía un mensaje de Whatsapp que incorpora un fichero tipo .apk. Con cualquier excusa (diciendo que es una nueva versión de la aplicación de Banca MOBILE, que es urgente su instalación para protegerse de fraudes, que tu terminal ha estado comprometido y debes instalarlo para poder recuperarlo...) piden que este fichero, personalizado como si fuera de una entidad financiera, sea instalado. Si se hace caso de las instrucciones recibidas por WhatsApp, en el terminal lo que se instala es una aplicación que es realmente un troyano bancario que puede interceptar mensajería de SMS y que permite tener el control remoto sobre el dispositivo. Con una llamada posterior en la que obtienen información sensible para poder suplantar a la persona (datos de DNI, tarjetas, credenciales...) ya disponen de todo lo necesario para poder materializar los fraudes.

¿Cómo lo hacen?

Intentan conseguir el control remoto del dispositivo móvil de usuarios de Banca MOBILE.

  • 1. Realizan envíos masivos de mensajes de WhatsApp (normalmente genéricos para intentar descubrir usuarios de la entidad afectada por el ataque, pero si han accedido a datos comprometidos en ataques previos a empresas como compañías aéreas, de telefonía o de servicios online donde figuraban datos de pago pueden hacer un envío dirigido sólo a los usuarios de la entidad atacada).
  • 2. En este mensaje incorporan un fichero .apk que es una aplicación maliciosa que han adaptado con la imagen propia de la entidad financiera que quieren suplantar. El texto les urge con cualquier excusa a instalarse el fichero adjunto que lo que hace es instalar una aplicación (app) maliciosa.
  • 3. Cuando el receptor del WhatsApp se ha instalado la aplicación maliciosa los delincuentes pueden controlar de forma remota su dispositivo móvil: esto les permite acceder a toda la información que contiene el dispositivo y además les permite interactuar con las aplicaciones que tenga instaladas.


El siguiente paso es hacer una llamada en la que se hacen pasar por la entidad financiera o por una compañía de servicios (como una compañía eléctrica, una operadora de telefonía...) para obtener la información que necesitan de cara a suplantarlos (datos de DNI, tarjetas, credenciales...). Una vez que tienen esta información y el control del dispositivo pueden proceder a realizar transacciones (transferencias o pagos de Bizum) sin que el propietario del dispositivo lo pueda evitar y evadiendo todas las medidas de control de la entidad financiera suplantada.

¿Cómo evitar ser víctimas de estas campañas?

  • 1. Las actualizaciones de la aplicación de Banca MOBILE deben hacerse siempre desde el servicio oficial del fabricante: GooglePlay (Android) o AppStore (Apple).
  • 2. Siendo desconfiados con los mensajes de WhatsApp. No se debe abrir ningún fichero adjunto que no provenga de una fuente confiable y contrastada. Lo mismo aplicaría a correos electrónicos u otros tipos de mensajes recibidos en dispositivos móviles.
  • 3. Siendo desconfiados con las llamadas en las que piden datos personales (datos de DNI, de tarjetas, credenciales...). No se deben proporcionar nunca por teléfono sin verificaciones previas (como ser tú mismo quien hagas la llamada o contactar primero con un canal oficial de la empresa que confirme el proceso de recopilación de datos).

 

SMS fraudulentos:

Se ha detectado una campaña de envíos masivos de SMS que pretenden infectar a los móviles de los usuarios del servicio Banca Mobile para obtener sus credenciales y el control de su móvil (para poder recibir los SMS que se envían en el servicio para confirmar operaciones ). El SMS tiene un enlace web que lleva a una página que imita a la web pública de la entidad.

¿Cómo lo hacen?

Primero con el SMS consiguen que el usuario infecte su móvil con malware al clicar en el enlace que se corresponde con un dominio similar al legítimo:

 

 

 

 

A continuación en esta web falsa intentan recopilar datos que les den acceso al servicio:

 

 

Una vez recopilada la información intentarán realizar operaciones fraudulentas:

  • Suplantar al socio en la Banca ONLINE o MOBILE para poder consultar sus cuentas y realizar operaciones fraudulentas. El malware intercepta los códigos SMS de las operaciones y los reenvía a una línea móvil controlada por los delincuentes de forma que pueden finalizar las operaciones. También realizan llamadas telefónicas oara pedir más información (como los códigos OTP para poder hacer las transacciones).

¿Cómo evitar ser víctimas de estas campañas?

  • 1. Se muy prudente con los enlaces, archivos y app que descargas en el móvil donde tengas tu Banca MOBILE. Si te descargas un malware te puedes ver expuesto a operaciones fraudulentas.
  • 2. Se desconfiado siempre que le soliciten datos del servicio. Caja Ingenieros nunca te las pedirá y datos como el código CVV o los códigos SMS no deberían proporcionarse nunca a otra persona, únicamente en compras para validar la tarjeta o en confirmación de operaciones directamente realizadas por el usuario del servicio.
  • 3. Si has clicado en un enlace fraudulento contacta con Caja Ingenieros lo antes posible. Si no puedes contactar para protegerte hasta que te sea posible limpia el móvil con una solución antivirus o devuelve los terminales a valores de fábrica para evitar que el malware esté activo y pueda reenviar los códigos de autorización a otro móvil. Puedes probar a enviarte un mensaje SMS y verificar si lo recibes en tu móvil; en caso de que no lo recibas sería señal de que está comprometido.

 

Malware en terminales móviles:

Se están dando casos en que un malware suplanta a la app de Banca MOBILE presentando una pantalla para que proporcionen los datos de sus tarjetas para utilizarlos en operaciones fraudulentas. Los datos que intentan obtener son los de acceso al servicio (usuario y password) así como los que se utilizan para realizar pagos por Internet: número de tarjeta (PAN), nombre y apellidos del titular, fecha de caducidad y código CVV. Una vez que se dispongan de estos datos se pueden materializar los fraudes.

¿Cómo lo hacen?

Primero infectan el móvil con malware (con un documento descargado de Internet, con un enlace enviado por SMS o e-mail o con una app descargada del store). Esto altera el funcionamiento del terminal y les permite suplantar la app de Banca MOBILE por otra app que captura las credenciales de acceso al servicio (usuario y password) y a continuación presenta una pantalla para recopilar información sobre la tarjeta:

 

Una vez recopilada la información piden que la tarjeta se destruya y se haga llegar a una dirección postal.

 

Con esta información pueden hacer dos cosas:

  • 1. Suplantar al socio en la Banca ONLINE o MOBILE para poder consultar sus cuentas y realizar operaciones fraudulentas. El malware intercepta los códigos SMS de las operaciones y los reenvía a una línea móvil controlada por los delincuentes de forma que pueden finalizar las operaciones.
  • 2. Acceder por Internet a una tienda online y realizar compras. En este caso dependerá de la tienda online si pueden realizar la compra sin más datos (si es un comercio no seguro) o si necesitarán también obtener el código de autorización para validar la operación.

¿Cómo evitar ser víctimas de estas campañas?

  • Ante funcionamientos inesperados tanto de Banca ONLINE como de Banca MOBILE contacta con Caja Ingenieros para descartar que exista un malware en tu dispositivo. Si usted no puede contactar límpielo con una solución antivirus o devuelve el terminal a valores de fábrica para evitar que el malware esté activo y pueda reenviar los códigos de autorización a otro móvil. Puedes probar a enviarte un mensaje SMS y verificar si lo recibes en tu móvil; en caso de que no lo recibas sería señal de que está comprometido.
  • Sea desconfiado siempre que le soliciten datos de tarjetas. Caja Ingenieros nunca se las pedirá y datos como el código CVV no deberían proporcionarse nunca a otra persona, únicamente en compras para validar la tarjeta.
  • Sea muy prudente con los enlaces, archivos y app que descargue en el móvil donde tenga su Banca MOBILE. Si se descarga un malware puede verse expuesto a operaciones fraudulentas.

 

Campaña Microsoft:

El presunto operador de la compañía contacta con el usuario para comunicarle que han detectado una actividad maliciosa en su ordenador. Con excusas como "Hemos detectado problemas en su equipo, si no se soluciona pronto, su ordenador dejará de funcionar", "Su equipo está infectado por un virus peligroso. Queremos ayudarle a desinfectarlo "o" Están robando información del ordenador. Podrían estar suplantando su identidad ", el estafador intenta convencer al usuario para que acceda a sus peticiones y proceda a realizar lo que se le indica.

Juan, un socio de la Entidad, nos llamó alertado contándonos la llamada que había recibido:

“Me llamó un chico de habla inglesa, presentándose como trabajador de Microsoft, informándome que habían detectado que mi ordenador estaba infectado por un virus y que estaban haciendo uso de mis cuentas bancarias para realizar delitos y fraudes graves. Apenas la entendía porque hablaba rápido, pero me pidió que para poder ayudarme me había de descargar un programa, que previamente había que buscar en Google, para que pudiera tener acceso remoto a mi ordenador y así pudieran eliminar el virus.
Aunque me asusté mucho, le colgué el teléfono para que me hizo pensar que me estaba intentando engañar.”

¿Cómo evitar caer en este tipo de estafas?

  • Principalmente, con sentido común y sospechando de cualquier llamada de características similares a las aquí comentadas, no accediendo a sus peticiones y contrastando la información con otras fuentes de confianza.
  • Si recibes un correo electrónico, un SMS o una llamada de una compañía, intenta no facilitar información personal.

 

Campaña SIM SWAP

Últimamente se ha generalizado la utilización de los teléfonos móviles para autorizar operaciones de banca electrónica (como en nuestra Banca ONLINE). El usuario proporciona su número de teléfono móvil a su entidad financiera y ésta le hace llegar por SMS los códigos de autorización de las operaciones que se realicen en la banca electrónica. El vínculo entre la persona y el número de móvil está garantizado por el contrato que tiene el usuario con la operadora de telefonía. Pero los criminales para intentar suplantar a una víctima de fraude pueden intentar hacerse con el control de su línea de móvil.

¿Cómo lo hacen?

Primero recopilan información sobre la persona a la que quieren estafar (la víctima) de redes sociales o mediante malware con el que hayan infectado su ordenador.
Con esta información se dirigen a la operadora de telefonía (Movistar, Vodafone...) y la intentan convencer de que son la víctima (aportando los datos reales y documentación falsificada).
Si la consiguen convencer de su identidad le dicen que tienen un problema con su línea telefónica y que necesitan un duplicado de la tarjeta SIM (es el chip que se pone al teléfono y que permite recibir llamadas y SMS correspondientes a la línea móvil).
Una vez obtienen la tarjeta SIM sólo hace falta que la pongan en un móvil y cuando la encienden ya tienen acceso a la línea dejando sin servicio telefónico a la víctima. Así recibirán todos los SMS que se envíen para autorizar operaciones.

¿Cómo evitar ser víctimas de estas campañas?

  • 1. Sea muy cuidadosos con los mensajes que recibe en el móvil (e-mail, SMS...):
    • El remitente debe ser conocido o ser lógico que nos tenga como contacto.
    • El contenido debe ser coherente (redactado e idioma habitual del remitente) y razonable.
    • Debe estar esperando que le llegue este mensaje o debe ser un tipo de mensaje que ya recibe habitualmente.
    • Ante la duda no abra el correo y sobre todo:
      • No hagas clic en enlaces
      • No abras adjuntos.
  • 2. Desconfía de las llamadas que te piden datos personales y se prudente con la información publicada en redes sociales (evitando publicar el DNI escaneado, factura de la electricidad del domicilio...).
  • 3. Protege tu móvil: instalado un antivirus y ten el móvil siempre bajo control.
  • 4. Si de repente un día la línea telefónica del móvil deja de funcionar contacta con nosotros para bloquear el servicio de Banca ONLINE o para modificar las credenciales de acceso de forma preventiva, hasta que puedas confirmar si se trata de una avería o de un intento de fraude.

 

Campaña Compromiso de Tarjetas de Pago

Se están dando casos en que engañan a titulares de tarjetas de pago para que proporcionen los datos de los sus tarjetas para utilizarlas en operaciones fraudulentas. Los datos que intentan obtener son los mismos que se utilizan para hacer pagos por Internet: número de tarjeta (PAN), nombre y apellidos del titular, fecha de caducidad y código CVV. Una vez se disponen de estos datos se pueden materializar los fraudes.

¿Cómo lo hacen?

Primero recopilan la información sobre la tarjeta engañando a su titular. La manera de hacerlo puede ser diversa: mediante una llamada en la que afirman que hay una operación fraudulenta en su tarjeta y que para anularla necesario que les proporcionen los datos de la misma, enviando un SMS informando que tienen un deuda pendiente con la operadora del móvil y que si no proporciona los datos de pago con la tarjeta les cortarán la línea, etc.

Con esta información pueden hacer dos cosas:

  • a. Activar un servicio como Apple Pay en un terminal móvil y utilizarlo para hacer compras. Al ser de bajo importe las podrán hacer sin más validaciones.
  • b. Acceder por Internet a una tienda online y hacer compras. En este caso dependerá de la tienda online si puede hacer la compra sin más datos (si es un comercio no seguro) o si  necesitará también obtener el código SMS para validar la operación, engañando al titular diciéndole que forma parte del proceso de reclamación o que es para validar los datos proporcionados.

¿Cómo evitar ser víctimas de estas campañas?

  • 1. Sea desconfiado con las llamadas que le piden datos de las tarjetas. Nunca se debería proporcionar el código CVV a otra persona.
  • 2. Tampoco se debe proporcionar nunca a terceros el código OTP recibido por SMS. Es un código que sólo se utiliza por el titular cuando hace compras personalmente o cuando confirma operaciones de Banca ONLINE, y se introducirá directamente en la página web cuando seamos conscientes de la operación que se está haciendo.
  • 3. Lea el texto del mensaje SMS. Si no coincide con la operación que estamos haciendo no debemos utilizarlo.

 

Campaña Fraude en Pago de Facturas

Varias empresas se están encontrando con estafas por haber pagado una compra o unos servicios en una cuenta bancaria que no corresponde a quien le ha vendido los mismos. Muchos pagos se hacen por transferencia en base a facturas del proveedor. Lo que hacen los estafadores es interceptar y modificar los documentos (facturas normalmente) de pago para indicar una nueva cuenta bancaria de destino que les sirve para cometer el fraude.

¿Cómo lo hacen?

Primero suplantan la cuenta de correo del proveedor. Lo pueden hacer comprometiendo una cuenta legítima de correo, obteniendo acceso al mismo de forma que parece un correo válido, o utilizando una cuenta de correo muy parecida a la del proveedor (enviando el correo desde Agro1987@cop.es cuando la cuenta original es Agro1987@coop.es). En este correo falso explican que por determinados motivos (como por ejemplo una reestructuración a la que se han visto obligados por COVID-19) necesitan que las facturas se paguen a una nueva cuenta bancaria o simplemente adjuntan la factura rectificada donde figura una cuenta bancaria que el estafador tiene bajo control. Para obtener esta documentación original revisan la bandeja de enviados de la cuenta de correo comprometida o también pueden engañar al proveedor suplantando al cliente utilizando una cuenta muy parecida. Una vez el cliente recibe el correo y procesa el pago la estafa se ha materializado.

¿Cómo evitar ser víctimas de estas campañas?

  • 1. Mantener el control sobre las cuentas bancarias a las que se hacen pagos:
    • a. Manteniendo un registro de cuentas bancarias contrastadas (recogidas en el contrato de servicios o en un formulario firmado por una persona autorizada del proveedor).
    • b. No permitiendo cambios de cuenta bancaria de pago sin un documento firmado por parte del proveedor que acredite su titularidad o un control similar.
  • 2. Verificar directamente con el proveedor cualquier cambio de facturación que pueda llegar por correo electrónico.
  • 3. Revisar las direcciones de los remitentes de los correos electrónicos para validar que son legítimos.

 

Campaña Compromiso de Teléfonos Móviles

Se están dando casos en que se envían SMS a teléfonos móviles dando una información falsa (muy frecuentemente que tienes un paquete de mensajería pendiente de recibir) e incorporando un enlace que te lleva a una página web donde te piden que te descargues una aplicación, cuando lo que harás realmente es descargar un malware en el teléfono. Con esta descarga pueden conseguir tener el control total del móvil y acceder a su contenido, entre otras cosas a la Banca MOBILE si la tienes instalada. Y entonces es cuestión de tiempo que puedan realizar los fraudes. También pueden intentar obtener tu información personal con la excusa de que has sido el afortunado ganador de un regalo.

¿Cómo lo hacen?

Con envíos masivos de SMS consiguen tener el control de móviles, accediendo a los datos de los contactos de su propietario además de sus credenciales y apps instaladas. Una vez consiguen que se haga la descarga de la app maliciosa en el móvil pueden utilizar todo su contenido sin que el usuario real se dé cuenta. Pueden acceder a las app y pueden interceptar los SMS.

Con este control pueden hacer dos cosas:

  • a. Enviar SMS a los contactos para intentar incrementar los móviles bajo su control, con un mensaje SMS más personalizado y dirigido gracias a la información de los contactos.
  • b. Conseguir las credenciales de acceso a Banca MOBILE e interceptar los SMS que tienen las contraseñas (OTP) para autorizar las operaciones, de forma que pueden ordenar transferencias y vaciar el saldo de la cuenta sin que el usuario se entere.

¿Cómo evitar ser víctimas de estas campañas?

  • 1. Siendo desconfiados con los SMS que se reciben. Confirmando directamente con las empresas de mensajería los posibles avisos de recogida de paquetes sin clicar en enlaces (llamando por teléfono, contactando por su página web oficial o enviando un e-mail a una cuenta oficial).
  • 2. Configurando el terminal para que no acepte las descargas de apps de sitios no oficiales (diferentes de Google Playstore o AppleStore por ejemplo).
  • 3. No aceptando descargas de apps que no se conozcan.
  • 4. Teniendo instalado un antivirus en el móvil para protegerse de estas app maliciosas.

 

Campaña Estafa Criptomoneda

Hay grupos de delincuentes que se aprovechan del interés que despiertan las criptomonedas entre personas no especializadas. Falsos intermediarios intentan incentivar la inversión en estos productos para obtener dinero que nunca se recupera.

¿Cómo lo hacen?

Aprovechan el interés despertado entre la población por el incremento tan elevado de valor de las criptomonedas en momentos determinados. Se ponen en contacto, generalmente por teléfono, intentando generar confianza con un trato cercano y proponiendo operaciones iniciales de poco valor y a veces hasta con un rápido beneficio. También es posible que te ofrezcan un servicio vía una página web de Internet donde ir siguiendo sus inversiones en tiempo real y viendo las supuestas ganancias.

Una vez conseguida la confianza de la víctima:

  • a. Consiguen que se invierta más dinero.
  • b. Cuando se solicita que devuelvan el dinero con los beneficios obtenidos ponen excusas por liquidar sus inversiones y devolverle el dinero y los beneficios.
  • c. Una vez convencida de que ha sido estafada contactan con la persona afectada simulando que pueden ayudarla a recuperar su dinero si pagan sus servicios:
    • Haciéndose pasar por un trabajador arrepentido que quiere ayudar.
    • Diciéndole que el dinero solo está bloqueado y que se puede recuperar.
    • Haciéndose pasar por un trabajador de una entidad financiera y ofreciéndose a ayudarla para recuperar su dinero.
    • Haciéndose pasar por un bufete de abogados internacional capaz de recuperar fondos en criptomonedas.

¿Cómo evitar ser víctima de estas campañas?

  • 1. Vehicular las inversiones con intermediarios de confianza con los que ya se tenga una relación o que estén autorizados (CNMV: https://www.cnmv.es/portal/Inversor/Entidades-Autorizadas.aspx).
  • 2. Desconfiar de las llamadas que ofrezcan inversiones con altos rendimientos, especialmente si indican que no existe ningún riesgo de perder el dinero. Recordando que se puede:
    • i. Obtener información sobre la agencia de inversión por vías alternativas (llamando, visitando su página web o pidiendo referencias contrastables).
    • ii. Contactar con la Comisión Nacional del Mercado de Valores (CNMV) para contrastar que se trata de una agencia de inversiones legal y una inversión legítima (https://www.cnmv.es/portal/Inversor/Como-Consultar.aspx).
  • 3. No dejarse presionar por la urgencia de hacer inversiones de cara a conseguir altos rendimientos. Hay que pensar cuidadosamente y actuar después de validar que se trata de un servicio legal.

 

Campaña Fraude en plataformas de compraventa online

Últimamente se están incrementando los casos en los que los usuarios de plataformas de compraventa online son víctimas de fraudes a la hora de cobrar por los productos que ofrecen. Los estafadores consiguen que proporcionen información sensible que es aprovechada para hacer transacciones de manera que, en vez de cobrar, los vendedores acaban pagando.

¿Cómo lo hacen?

Los estafadores crean perfiles con información falsa en las plataformas de compraventa online y se interesan por un producto, y proponen intercambiarse el teléfono móvil para seguir la conversación por Whatsapp o similar, con excusas com que el chat de la plataforma no funciona muy bien. Una vez iniciada la conversación fuera de la plataforma proponen hacer la compra pagando en una plataforma segura. A continuación el estafador envía un enlace que da acceso a esta plataforma. Este enlace, en realidad, lleva a la víctima a un formulario web donde la engañan para obtener información sensible (normalmente los datos de su tarjeta bancaria y códigos de autorización de transacciones).
Con esta información el estafador hace compras online que se cargarán en la tarjeta bancaria de la persona estafada.

¿Cómo evitar ser víctimas de estas campañas?

  1. Ser desconfiados con los compradores que nos contacten en las plataformas de compraventa online. Que sean usuarios de la misma no significa que sean personas de confianza.
  2. Gestionar el cobro del precio del producto vendido utilizando los canales ofrecidos por las mismas plataformas de compraventa online o cobrándolo presencialmente.
  3. Seguir las recomendaciones de seguridad que proporcionan las propias plataformas de compraventa online.
  4. No proporcionar, en formularios web que no se conozcan, datos de nuestras tarjetas bancarias. Nunca se debería proporcionar el código CVV a no ser que estemos haciendo una compra, dado que es un código para poder validar la autorización del titular de la tarjeta en una compra online.
  5. Tampoco no se debe proporcionar nunca a terceros los códigos OTP de Caja Ingenieros recibidos por SMS. Es un código que solo puede validar la Entidad y que fuera de sus sistemas no tiene ninguna utilidad.
  6. Leer el texto del mensaje SMS. Si no coincide con la operación que pensamos que estamos haciendo no debemos utilizarlo.

¿Qué hacer si ya me han estafado?

  1. Si has sido engañado por proporcionar los datos de tu tarjeta bancaria o detectas que se ha cometido un fraude con tu tarjeta, llama immediatamente para pedir que la bloqueen. Si es una tarjeta de Caja Ingenieros puedes llamar a Banca TELEFÓNICA al 900 300 321 o directamente al teléfono de contacto 24x7 de Redsys (913 626 200), si te encuentras fuera del horario de servicio de Banca TELEFÓNICA.
  2. Denuncia ante la policía el fraude que has sufrido.
  3. Denuncia en la plataforma de compraventa online al usuario que te contactó y estafó.

 

Si tienes alguna duda utiliza los canales recogidos en el apartado "2 Canales de contacto en caso de fraude" que se encuentran a tu disposición para resolver cualquier pregunta que pueda surgir.

Desplegable 12 Otros peligros de Internet

12. Otros peligros de Internet

Protégete contra los ciberdelincuentes

Los ataques informáticos no dejan de crecer, siendo el ransomware uno de los más utilizados. Se trata de un programa informático (malware) que encripta los archivos del ordenador de la víctima para, posteriormente, pedir un rescate económico a cambio de una clave de desencriptación. Sin esta clave, la víctima no puede acceder al contenido de estos ficheros (imágenes, vídeos, documentos de texto…) y los pierde de forma definitiva si no tiene una copia que no se haya visto afectada.

Para protegerte debes conocer cómo funciona y cómo actuar si te ves afectado.


¿Qué hace un Ransomware?

Llega normalmente mediante phishing engañándote para que lo instales sin darte cuenta.

Ataca a sistemas no actualizados y poco protegidos e intenta propagarse a todos los ordenadores que tenga al alcance.

Cifra todos tus ficheros para perjudicarte y poderte pedir un rescate (ransom).

 


¿Cómo puedo protegerme?

  • Sé prudente en la apertura de ficheros adjuntos o enlaces recibidos por correo electrónico. En caso de duda, confirma con el remitente que es quien te lo ha enviado.
  • Ten siempre los ordenadores actualizados.
  • Si tienes una empresa, segmenta la red informática para evitar que desde un único ordenador se pueda propagar a todos los departamentos de tu empresa.
  • Necesitas copias de seguridad de tus ficheros para poderlos recuperar en caso de necesidad. Estas copias deben estar protegidas (en un disco externo que no esté conectado al ordenador, por ejemplo, o mediante soluciones comerciales destinadas a empresas).
  • Usa programas de detección de malware (los llamados antivirus) para detectar y parar los ransomware más habituales.


En caso de ataque...

  • Aísla todos los equipos de red, pero no pares los ordenadores.
  • Llama al 017 o contrata servicios de profesionales en ciberseguridad.
  • Pon una denuncia policial cuando dispongas de un informe técnico que aporte la información necesaria para poderlo investigar.


IMPORTANTE

  • Si se trata de un ordenador utilizado para trabajar y sospechamos que se ha podido filtrar información privada (trabajadores, clientes, proveedores, pacientes, administradores, etc.), debemos informar a la empresa o a la Agencia Española de Protección de Datos.
  • No se recomienda nunca pagar a los autores con el importe solicitado, porque:
    • No hay garantía de que vayan a facilitarte la clave de desencriptación.
    • Si pagas el rescate, es posible que haya un segundo ataque.
    • El pago del rescate facilita más recursos económicos al cibercrimen y los hará más fuertes. ¡No colabores en su financiación!
  • Puedes encontrar una guía de buenas prácticas del CCN-CERT en el siguiente enlace para gestionar el incidente de ransomware.