Estafas bancarias (INTELISOC)

Cómo identificar enlaces falsos del banco

Home / Estafas bancarias (INTELISOC) / Cómo identificar enlaces falsos del banco

Cómo identificar enlaces falsos del banco

El truco está en la URL

Los estafadores saben que miras el logo, no la dirección. Por eso cuidan el diseño y disfrazan el enlace. Hay tres tácticas recurrentes: acortadores, subdominios y homografías (sustituir una letra por otra similar: “í” por “i”, “rn” por “m”).

Caso realista: un dominio que engaña al ojo

A Beatriz le llegó un email perfecto con botón “Acceder”. La URL era https://seguridad.banco-bbva.com.login-auth.verify.account.cn. Todo parecía correcto al principio (“seguridad”, “banco-bbva”), pero el dominio real era account.cn. Tras introducir datos, perdió 6.800 €.

El banco argumentó “autorización con credenciales”, sin más.

Checklist para desenmascarar enlaces

  1. Pasa el ratón (o mantén pulsado en móvil) y lee completo el dominio. El “.com” o “.es” debe ir justo antes del /.
  2. Evita acortadores (bit.ly, tinyurl): entra manualmente en la URL oficial.
  3. Revisa el certificado (candado ≠ legitimidad): hay clones con SSL válido.
  4. Sospecha de subdominios largos tipo login-seguridad.tu-banco.com.seguro.xyz.
  5. Desconfía de enlaces en SMS: abre la app del banco o escribe la dirección manualmente.

Qué debe hacer el banco

Conforme a PSD2/EBA, la entidad debe detectar accesos desde dispositivo/IP desconocidos, creación de beneficiarios nuevos y montos atípicos. Debe elevar fricción (aprobación en app con detalle, retardo) y mostrar mensajes claros (“autorizas enviar a X por Y €”). Si no lo acredita, culparte no basta.

Ciberinvestigación que convierte la URL en prueba

En INTELISOC:

  • Analizamos WHOIS, DNS, certificados y fechas de alta del dominio.
  • Preservamos capturas y harvest técnico del sitio clonado.
  • Cruzamos con logs bancarios para evidenciar ausencia de controles.
  • Redactamos un informe legible para el juzgado.

Jurisprudencia

Cuando el interfaz o los mensajes permitían confusión razonable y no hubo frenos ante lo atípico, los jueces han ordenado reintegros.

Conclusión

El ojo se engaña; la URL no. Si ya caíste, documenta y apóyate en ciberinvestigación: no es solo “pulsé un enlace”, es “faltaron defensas”.

¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.

Contactar con INTELISOC

Artículos relacionados