Me ha tocado. Víctima de phishing

Caixabank no usa ya SMS sino su propia App de firma para ahorrarse el coste de los SMS y también para ser mucho más seguro ya que los mensajes de la App no se pueden falsear. En las validaciones de cualquier operación te dice todos los datos e incluso más de la cuenta (fecha, motivo, cuenta, importe...) y te pide validar por la App hasta para un certificado de titularidad que no se refiere a importes.

Correcto, CaixaBank se vale de la app CaixaBank Sign. De forma análoga Deutsche Bank utiliza la app DB Secure Authenticator y Orange Bank por su parte solicita confirmación de la operación a través de la app.
Tirando de hemeroteca también he visto que Abanca, Bankinter, EBN, Ibercaja, Openbank, Pibank, Sabadell o Santander (de los que en algún momento he sido cliente) sí describían en sus SMS para qué era el código recibido (cambio de clave, compra por internet, consulta de PIN, etc).

Desde luego, en esto estamos de acuerdo. La cuestión es si el banco ha hecho lo suficiente para evitar que un usuario como yo caiga en una estafa de este tipo. Al principio del hilo ponían como ejemplo que venga una persona y te diga que le des las llaves del coche argumentando que es del concesionario. Siendo un símil tramposo, sigue ocurriendo que en este caso el involucrado es el banco con todo lo que ello conlleva, no una tienda cualquiera.

Efectivamente me enviaron un sms también con esto. El texto es: "XXXXXX es la clave a introducir para finalizar la operativa de Modificación del limite de la tarjeta de credito". Esto mientras por teléfono el estafador me decía que estaba reduciéndolo, claro, porque presuntamente ya me lo habían ampliado.

Por otra parte los SMS que me llegaban para aceptar las compras eran: "XXXXXX es la clave que tienes que introducir para finalizar la operación".

Creo que es evidente que son muy poco claros, más allá de la culpa que yo tenga.

Pues ahora que lo dices... tengo mensajes del BBVA con el texto "Para realizar tu operación utiliza el código XXXXXX" que, vista su simplicidad, ni recuerdo ya para qué eran. En el momento uno lo da por válido porque justo está realizando una operación 'x' y espera el correspondiente SMS.

Pero también es cierto que el BBVA (igual que otros bancos) me ha advertido ya varias veces de que ellos nunca envían enlaces en sus SMS, o que nunca van a pedir información personal o relevante a través del teléfono. Hace unas semanas incluso recibí un email con una invitación a un evento online sobre ciberseguridad, disponible ya a través del siguiente enlace, por si alguien quiere echarle un vistazo:

https://www.youtube.com/watch?v=u6QUb6Ilhzw

Así que, por lo menos el BBVA, sí está haciendo hincapié en estos temas.
 
Entiendo que los estafadores hacen saltar por los aires estas advertencias o medidas de prevención transmitiendo urgencia en el proceso y aprovechándose de la situación de nerviosismo del cliente.

Pero, bajo mi punto de vista (ojalá me equivoque en favor de tus intereses) la responsabilidad del banco en este tipo de estafas es más que cuestionable.

En cualquier caso espero que tu caso llegue a buen puerto. Como te han comentado los compañeros, llegado el momento quizá tengas que echar mano de un buen abogado.

¡Ánimo y un saludo!

Sr. el banco nada puede hacer para impedir que un usuario engañado facilite sus claves y el contenido de los SMS para confirmar la operaciones de la estafa, máxime si el usuario carece de los conocimientos mínimos sobre ciberseguiridad y nunca se habia preocupado por leer noticas basicas sobre este tema. Lo triste es que muchos de los estafados volverian a caer en otra estafa porque no saben diferenciar un sms o email autentico de uno falso.

Cuando uno recibe un sms o email infomando de manera alarmista, nuestro banco jamás nos facilitará un enlace, tan solo nos dirá que llamemos al nº de atención al cliente habitual, esta llamada hoy por hoy no se puede falsificar.

Los usuarios en estos casos debemos conectarnos a banca online desde un dispositivo seguro y comprobar si hemos sufrido un movimiento raro, si todo esta ok, debemos ignorar el sms o email.

Hola! Gracias por la respuesta. Hay varias cosas que dices que me parecen relevantes. 

¿Cuáles son esos mínimos? Vale que yo sea un perfil que debería tenerlos pero ¿mi abuela de 90 años a la que obligan a usar estos sistemas debe tenerlos?

Igual que hay ataques man in the middle, no sé yo hasta qué punto esto no se puede hacer telefónicamente.

¿No debería el banco, siendo como es una entidad muy susceptible a estas estafas, tener una lista de dispositivos habituales de cada cliente? ¿No debería llamarles la atención que alguien haga movimientos poco habituales desde un dispositivo no habitual?

Lanzo las preguntas porque realmente me parecen interesantes. Gracias!

Tienes razón. El mensaje de este SMS es mejorable, tendría que ser más específico, tener al menos dos:  "XXXXXX es la clave a introducir para finalizar la operativa de Aumento del limite de la tarjeta de credito" y  "XXXXXX es la clave a introducir para finalizar la operativa de Reducción del limite de la tarjeta de credito". Si hubiese sido así, te habría puesto en alerta y no hubieses facilitado el código.

Acabo de probar a aumentar el límite de mi tarjeta de crédito de ING y el mensaje de confirmación (que se recibe a través de la app) también es genérico. Voy a sugerir a ING para que sea más concreto.

Un saludo.

 Te contesto en negrita:

 ¿Cuáles son esos mínimos? Vale que yo sea un perfil que debería tenerlos pero ¿mi abuela de 90 años a la que obligan a usar estos sistemas debe tenerlos?

Conocimientos mínimos es saber lo que es un dominio de internet y que ninguna web de España tiene dominio .ru (Rusia) y saber que es un Phising, Vishing y Smishing.
Las victimas de las estafas no son personas mayores de 80 años, porque rechazan todo aquello que no conocen. La banca digital en personas sin los conocimientos debidos es una bomba de relojeria

 Igual que hay ataques man in the middle, no sé yo hasta qué punto esto no se puede hacer telefónicamente.

Es imposible suplantar un linea telefonica, los estafadores pueden llamarte a través de aplicaciones voip y engañarte con el nº de telefono, pues es una etiqueta que pone libremente el estafador, peor si tu llamas al BBVA esa llamada no puede ser interceptada por ningún estafador.
Si te llaman del banco para bloquear una operación extraña no necesitan perdirte tus claves, si lo hacen es una estafa.

¿No debería el banco, siendo como es una entidad muy susceptible a estas estafas, tener una lista de dispositivos habituales de cada cliente? ¿No debería llamarles la atención que alguien haga movimientos poco habituales desde un dispositivo no habitual?

Eso se puede implementar pero es una putada para la mayoria de los usuarios, el banco puede registrar la MAC de los dispositivos aprobados, pero si se estropea tu pc y te compras uno nuevo ya tienes un problema, si en casa usas wifi y un dia te conectas por cable la MAC es distinta y no tienes acceso, etc..., si el banco a la mínima te bloquea la cuenta te puedes ver en un grave problema sin acceso a tu dinero, imaginate que estas de viaje y al pagar el repostaje de gasolina tu cuenta está bloqueada y estás lejos de tu casa.

En mi opinión el banco debería dar acceso a banca digital solo a modo de consulta aquellos usuarios que no tienen la formación adecuada, de igual forma tendrian que tener muy limitado el tema de las compras online para estar mas protegidos.

Lanzo las preguntas porque realmente me parecen interesantes. Gracias! 

Mi madre tiene 79 años y es clienta de ING. Por supuesto, no domina las nuevas tecnologías para operar por internet por ella misma. Su operativa se limita a sacar dinero de cajeros, pagar en comercios con la tarjeta y acceder a su cuenta para consultar los movimientos. Del resto, me encargo yo.

En su caso, su falta de conocimientos en ciberseguridad y banca online es su mejor protección. Es imposible que pueda decir a alguien un código que le haya llegado por SMS o validar una operación a través de la app. Ni siquiera sabe la contraseña de la Validación Móvil que emplea ING (que le he configurado yo).

Sí que hay bancos en los que se pueden registrar los dispositivos de confianza. En mi caso, los 3 bancos con los que trabajo (ING, Openbank y Wizink) funcionan así.

Un saludo.

Gracias por tu respuesta! Sólo un par de apuntes:

 Conocimientos mínimos es saber lo que es un dominio de internet y que ninguna web de España tiene dominio .ru (Rusia) y saber que es un Phising, Vishing y Smishing.

Con todo el respeto, esto no son conocimientos mínimos. Pero ni de lejos. Te diría que no pinchar enlaces lo es, pero lo que has puesto está muy lejos de ser un conocimiento mínimo.

si en casa usas wifi y un dia te conectas por cable la MAC es distinta 

Esto es falso, la MAC es una dirección física única para cada dispositivo. El banco podría perfectamente registrar 3 dispositivos de confianza y operar con ellos, dudo que la gente entre habitualmente a sus cuentas desde más de 3 dispositivos (móvil, pc personal y tablet/pc curro).

Gracias de todas formas por la respuesta!

Para aumentar el limite usualmente te pide autenticacion de dos factores.

Depende si el regulador obliga hacer eso a los bancos por ahi puedes atacarlos.

Claro, suponiendo que no le diste la clave de dos factores al scammer.

Recien acabo de leer este mensaje.

Bueno, para reducir el limite nunca se pide confirmacion o sms, solo es al aumentar. Tiene lógica.

Espero que puedan atrapar a los que te engañaron y recuperar algo de ellos, aunque lo veo dificil. El banco solo te dara el dinero si lo obligan los jueces y un seguro no cubre en esos casos por que todo les indica que fuiste tu el que hizo las transacciones.

Toca informarse de todo esto, ver con mas detenimiento las URLs, configurar mejor el navegador y la pc para evitar problemas. Y en tu caso recomiendo eliminar las apps de bancos y usar solo por pc de escritorio con conexion cableada con token fisico y no por la app. Asi les digo a mis padres que hagan. Con el movil todavia no les roban pero han estado cerca 2 veces.

Si un usuario no sabe que "nombredel banco.ru" es una direccion de internet ubicada en rusia, ya lo dice todo en cuento a conocimientos de internet, en estos casos lo mejor es seguir usando la cartilla del banco como en los años 80 y a lo sumo usar los cajeros automaticos para realizar alguna operación.

Un ordenador normal tiene dos tarjetas de red, la tarjeta ethernet para conectarse por cable y la tarjeta wireless para conectarse por wifi, cada una de estas tiene una MAC distinta, por lo que un ordenador puede tener 2 MAC.

Usar el pc o la tablet del curro no siempre es muy recomendable dependiendo de la configuración de la privacidad, lo mejor es tener un pc personal con un antivirus de pago con firewall.

La ley de pagos del 2018 fue aprobada por este gobierno con el apoyo de la mayoría de los partidos politicos para evitar que los bancos fuesen responsables subsidiaros de los desfalcos que sufrian sus clientes. En estos casos seguro que el sector bancario revisó el texto del RD antes de su publicación para que no quedase ningún resquicio legal en su contra, por eso dudo mucho que las sentencias vayan a dar la razon a los clientes cuando lleguen a instancias superiores.

...Faltó el reloj inteligente o Smartwatch LTE. Y no sé,  en un futuro + - inmediato y hasta que punto habrá  que añadir también al coche "conectado" o moto.