Estafas bancarias (INTELISOC)

Estafas por enlace SMS banco

Home / Estafas bancarias (INTELISOC) / Estafas por enlace SMS banco

Estafas por enlace SMS banco

El enlace perfecto: corto, urgente y creíble

Los estafadores usan acortadores, subdominios creíbles o homografías (sustituir una letra por otra similar) para que la URL pase desapercibida. El texto del SMS es simple: “Verifica”, “Actualiza”, “Bloquea”. El objetivo es sacarte de la app oficial y llevarte a un clon donde introduces datos y, a menudo, un OTP.

Historia realista: hilo real, dominio falso

A Noel le llegó el mensaje dentro del hilo de su banco (técnica de “inserción” del nombre del remitente). El enlace acortado lo llevó a una página idéntica, salvo el dominio y la ausencia de teclado virtual. Tras introducir credenciales, recibió un OTP “para proteger la cuenta”. Lo introdujo: transferencia por 4.700 €.

El banco dijo: “Autorizó con OTP. Negligencia”.

Qué debió hacer la entidad

  • Detección de dispositivo/IP no habitual.
  • Fricción extra para primer envío a destinatario nuevo (confirmación por app con detalle de destinatario/importe, retardo temporal).
  • Mensajería inequívoca: “Estás autorizando una transferencia a X por Y €”, no “verificando seguridad”.
  • Alertas en tiempo real que permitan bloquear.

Si la entidad no acredita estas medidas, la “autorización” no es informada.

Ciberinvestigación que fija los hechos

En INTELISOC analizamos:

  • Dominios (alta, hosting, certificados, DNS).
  • Capturas del flujo exacto (para evaluar claridad de mensajes).
  • Logs bancarios (IP, dispositivo, secuencia, creación de beneficiarios, plantillas de SMS).
  • Comparativa con buenas prácticas EBA sobre UX segura y monitorización.

El informe traduce el engaño en hechos verificables y muestra qué controles faltaron.

Jurisprudencia

Cuando el interfaz y los mensajes permiten confusión razonable y la monitorización no frenó lo atípico, los jueces han ordenado reintegros. No se exige al usuario un nivel experto de ciberseguridad.

Cómo protegerte (y cómo actuar si ya pasó)

  • Escribe manualmente la URL de tu banco o usa solo la app.
  • Nunca compartas códigos.
  • Activa alertas por operación y límites.
  • Si caíste: bloquea ya, denuncia, conserva todo y pide expediente técnico.
  • Aporta un informe de ciberinvestigación que conecte los hechos con PSD2/EBA.

Conclusión

El enlace fue el anzuelo; la falta de defensas bancarias es lo que se discute. Con INTELISOC, ese debate se gana con prueba técnica y marco normativo. Tu dinero puede volver.

¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.

Contactar con INTELISOC

Artículos relacionados