Durante los últimos años, decenas de cajas de ahorros han sido absorbidas e integradas dentro de grandes concentraciones bancarias. Unicaja Banco, resultado de las fusiones de Caja España y Caja Duero, subrogó a todos los usuarios de Liberbank (creada tras la fusión de Cajastur-Banco CCM y las cajas de Cantabria y Extremadura) y actualmente es responsable de miles de clientes que no saben qué hacer ante una estafa que continúa imparable.
Y si ya resulta complicado seguirle la pista a tanta fusión, imagínate la confusión que sentimos algunos usuarios recientemente, tras una de las estafas más elaboradas que hemos visto jamás. Sí, yo he sido una de esas víctimas. Todas las capturas que pueden ver a continuación son personales.
La aplicación de mensajería confunde al remitente real con el suplantador
Para entender la peligrosidad de esta estafa hay que entender cómo opera el 2FA o autenticación de dos factores, un proceso de autenticación que nos solicita un segundo paso de validación para llevar a cabo cualquier proceso, ya sea una transferencia bancaria o un bloqueo de tarjetas.
Las aplicaciones bancarias, ya sea mediante un PIN de un solo uso, desbloqueo por biometría, contraseña o similar, recurren a esta herramienta informática mejorar la seguridad y privacidad de nuestros perfiles y cuentas. Sin embrago, no siempre funciona como debería.
Tal y como informan a través de ElConfidencial, los usuarios de Unicaja estamos siendo asediados por el phising y por distintas formas de estafa. ¿La razón? Lo bien implementada que está esta estafa. Tanto que las aplicaciones de mensajería no distinguen los mensajes de estafa de los reales, originalmente enviados por Unicaja.
De hecho, como yo recibía este tipo de mensajes totalmente desconocidos, decidí bloquear al remitente, calificándolo como SPAM. Claro, al hacerlo, el sistema de mensajería ya no arrojaba alertas cada vez que la aplicación oficial de Unicaja me mandaba algún código de confirmación para tramitar alguna gestión.
El problema llegó cuando esta semana tuve que realizar una transferencia para confirmar la solicitud de residencia universitaria para una de mis hijas. Por más que intentaba firmar digitalmente la transferencia, el código de un solo uso no llegaba. Claro, al haber mandado al remitente a la carpeta de sospechosos de SPAM, la app 'Mensajes' entendió que ya no quería saber nada de Unicaja.
La conversación con el departamento de atención al cliente tampoco me dejó muy claro cómo proceder. Si bien existen métodos alternativos de desbloqueo y confirmación, ninguno es tan cómodo como el PIN de un solo uso. Así bien, procedí a desbloquear a Unicaja. Al hacerlo llegando llegaron mensajes con peor pinta: "Su cuenta ha sido bloqueada temporalmente por motivos de seguridad". ¿Qué había hecho mal?
Este mensaje no deja de ser uno más de tantos, enviados para pinchar sobre el enlace y picar. Cargos que no reconozco, remitentes que ídem, direcciones ligeramente diferentes a la oficial... Si lo ignoras, a priori no hay nada que temer. Pero, ¿y si lo pulsas por error?
Pues un sistema de ‘call spoofind’ o maquillaje telefónico te informará de que varios intentos de acceso a su cuenta bancaria o a la aplicación han sido detenidos pero es necesario facilitar las claves de acceso a la web de Unicaja para detener y bloquear totalmente esta intromisión. A priori parece, además, un movimiento bastante coherente.
La realidad es que, si les damos las claves, ya tendrán acceso total a nuestras cuentas, tarjetas y demás servicios para ir gastando hasta dejarnos sin blanca. Una jugada bastante ingeniosa con la que hay que tener especial cuidado.