Aviso: Este artículo describe suplantaciones a la marca por delincuentes. Las recomendaciones aplican a cualquier banco.
Cómo es el SMS falso (patrones observados)
Texto corto, urgencia, enlace que parece legítimo y, a veces, el mensaje se inserta en el hilo de la entidad. El objetivo: llevarte a una web clonada o forzarte a llamar a un número no oficial.
Historia realista (no repetida): notificación en la app… que no aparece
Nil recibió un SMS: “Actividad inusual. Revisa la notificación en tu app”. Entró a la app oficial y no vio nada. Segundos después, otro SMS con enlace a “verificación rápida”. En esa página introdujo credenciales y, ya dentro del clon, apareció un aviso “pendiente” que le pidió confirmar una “verificación de seguridad”. Esa “confirmación” ejecutó un envío a un beneficiario nuevo. El banco denegó: “autorización válida”.
Qué debía pasar bajo PSD2/EBA
- SCA clara: si se autoriza un envío, el sistema debe mostrar destinatario e importe visibles.
- Monitorización basada en riesgo: beneficiario nuevo, importe significativo y flujo atípico (app oficial sin aviso, pero web sí) debieron activar fricciones (aprobación en app con detalle, retardo).
- Mensajería inequívoca: “autorizas transferencia a X por Y €”; no “verificación”.
Ciberinvestigación que fija la verdad
En INTELISOC:
- Preservamos URLs, certificados y huella del clon.
- Comparamos pantallas vistas por el usuario vs. las plantillas reales de la entidad.
- Exigimos logs (IP, dispositivo, alta de beneficiario, tiempos).
- Conectamos hallazgos con obligaciones PSD2/EBA.
Jurisprudencia
Cuando la experiencia permite confusión razonable y la entidad no acredita controles y avisos adecuados, se han ordenado reintegros. La “negligencia grave” no se presume.
Conclusión
Si el SMS te llevó a “verificar” y acabaste autorizando sin saberlo, no estás indefenso. Con ciberinvestigación, puedes rebatir y recuperar.
¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.