A lo largo de esta mañana, los usuarios de Banco Sabadell que hayan intentado entrar a la página de la entidad desde Google se habrán encontrado con que los dos primeros resultados del buscador parecían llevar a la página del banco. A primera vista, ambos enlaces conducían a sitios aparentemente idénticos, pero el superior, el señalado como anuncio, es un fraude: es un caso de phishing (suplantación de identidad) que ha sufrido la web de Banco Sabadell esta mañana, y que ha logrado posicionarse en los espacios de pago del buscador. Aunque el portal falso sigue activo, ya ha sido eliminado de Google.
Desde Banco Sabadell afirman no recordar ningún caso en el que Google les posicionara una página falsa por encima de la oficial. Al hacer clic en el anuncio del supuesto portal del banco, éste llevaba a una web que solo se diferencia de la original en su url: un par de letras “i” intentan pasar desapercibidas, escondidas entre el resto de letras de la dirección.
“Hemos estado al corriente desde primera hora de la mañana”, informaban a Verne fuentes del banco, “y, como siempre en estos casos, la situación ha estado monitorizada desde entonces. Además, la mayoría de los usuarios entran a la página a través de favoritos, la url o la aplicación móvil”.
Los que se han encontrado problemas han sido, por tanto, los que entran a través de Google: “No les ha dado tiempo a sustraer dinero pero yo he picado, y seguro que como yo otras personas”, explica José Manuel Pérez, uno de los afectados, a Verne. “Una vez te das cuenta, en 5 minutos lo tienes todo bloqueado y listo, el problema vendrá si no te percatas y ya has dado todas tus claves”. Pérez avisaba a sus contactos del problema a través de Facebook:
¿Cómo se le ha podido colar al buscador una página falsa como primer resultado de la búsqueda? Desde prensa de Google España también afirman que es "la primera vez" que ven un caso así. “Es muy raro, porque Google Adwords [los anuncios que Google coloca encima y a la derecha de las búsquedas orgánicas] funciona con un sistema de pujas por palabra clave: el usuario elige por qué palabras quiere aparecer arriba y paga cada vez que un lector hace clic en el enlace”, explican, “por lo que, si esa empresa es falsa, el que haya comprado la publicidad está perdiendo dinero cada vez que alguien entra”.
Google tiene un apartado específico con el que contactar en caso de que un sitio de Phishing aparezca como enlace patrocinado. “Cuando hemos detectado el problema”, informa Banco Sabadell, “nos hemos puesto en contacto con Google, que hace sus comprobaciones y lo arregla”. Poco antes de las tres de la tarde, el buscador había eliminado el anuncio, y media hora antes los navegadores ya advertían de un posible fraude. En caso de que algún usuario se haya visto afectado por la suplantación "solo tiene que contactar con Banco Sabadell a través de las oficinas o la cuenta de Twitter".
¿Cómo evitar ser víctima de phishing?
El envío masivo de correos electrónicos o duplicar una web para hacer creer al visitante que se encuentra en la página original son algunas de las estrategias más habituales, tal y como recoge FACUA. Estas son algunas recomendaciones de organizaciones de consumidores, empresas de seguridad informática y del Centro Europeo del Consumidor para evitarlo:
-
Para evitar caer en páginas trampa, es recomendable teclear la dirección del banco online o tenerla guardada en Favoritos. Hay que evitar acceder a la web de la entidad financiera a través de mensajes de correo electrónico o páginas web de terceros. Una de las formas de identificar una página web segura, que debe ser empleada por los servicios de banca online, es cerciorarse de que la dirección comienza por https, en lugar de http (este caso de Banco Sabadell sería un ejemplo).
-
Aprende a identificar claramente los correos electrónicos sospechosos de ser ‘phishing’.
-
No atender correos electrónico escritos en idiomas que no conozcas.
-
No atender correos que te avisen del cese de actividades financieras recibidos por primera vez y de forma sorpresiva.
-
No atender correos de los que se sospeche sin confirmarlos telefónica o personalmente con la entidad firmante.
-
No atender sorteos u ofertas económicas de forma inmediata e impulsiva.
-
Si recibes un e-mail en el que le solicitan datos personales o financieros no respondas ni pinches en el link que aparece en el mensaje. Nunca facilite datos financieros a través de internet porque los bancos reales nunca los solicitan.
-
Informe al banco del que supuestamente procede el e-mail.
- Usar anti-virus.