Estafa ABANCA por SMS

Nota: hablamos de suplantaciones a cualquier marca; las pautas aplican a todos los bancos.

El patrón del mensaje

Texto corto, tono de urgencia y enlace que parece oficial: “Verificación urgente por acceso inusual”. El enlace abre un clon de la banca con formularios y “pasos de seguridad” que en realidad disparan transferencias.

“Firma de seguridad” que era un envío

A Iria le apareció un flujo llamado “firma de seguridad” al entrar por el enlace del SMS. Tras completar esa “firma”, recibió un OTP que el sistema presentaba como “código de protección”. Lo introdujo, convencida de blindar su cuenta. En realidad, autorizó dos envíos a un beneficiario nuevo.

Qué exigía PSD2/EBA

• Autenticación reforzada (SCA) con mensajes inequívocos: si se autoriza, debe mostrarse destinatario e importe.
• Monitorización basada en riesgo: primer envío a IBAN nuevo + flujo atípico ⇒ fricción (aprobación en app, retardo), no “firma” genérica.
• Alertas que permitan bloqueo inmediato.

Ciberinvestigación que fija los hechos

En INTELISOC: preservamos enlace/DOMINIO, comparamos pantallas con plantillas reales, exigimos logs (IP, dispositivo, alta de beneficiario, tiempos) y conectamos hallazgos con las obligaciones PSD2/EBA.

Jurisprudencia

Cuando la mensajería induce a confusión y no se acreditan frenos ante beneficiarios nuevos, los jueces han ordenado reintegros.

Conclusión

Si una “verificación” terminó en envíos, no es negligencia por defecto. Con ciberinvestigación, puedes reclamar y recuperar.

Artículos relacionados

• 47. Estafa Kutxabank: bloqueo en dos fases
• 48. Estafa EVO Banco: login seguro clonado
• 49. Estafa Openbank: aviso genérico en la app