Miedo en Canarias por los mensajes que suplantan a CaixaBank y ponen en riesgo las cuentas

Canarias se encuentra en el foco de una nueva campaña de smishing, una modalidad de fraude digital que utiliza mensajes de texto para engañar a los usuarios. En este caso, los ciberdelincuentes están suplantando la identidad de CaixaBank, una de las principales entidades financieras del país, con el objetivo de obtener acceso completo a las cuentas bancarias de las víctimas.

La alerta ha sido confirmada tras numerosas denuncias de ciudadanos que aseguran haber recibido SMS fraudulentos con avisos de seguridad. El mensaje apela a la urgencia y a la necesidad de actuar de inmediato, una técnica clásica de ingeniería social diseñada para reducir la capacidad de reacción del usuario.

Un número concreto bajo sospecha en la campaña

El denominador común en la mayoría de los casos es el uso del número 960 479 896, desde el que se envían los mensajes. Este teléfono no pertenece a la entidad bancaria, pero los SMS están redactados de forma que imitan con precisión el tono y el formato de las comunicaciones oficiales.

El mensaje suele advertir de un supuesto intento de acceso no autorizado o de una operación bloqueada. A continuación, invita al usuario a pulsar un enlace para “verificar” o “proteger” la cuenta. Ese enlace redirige a una página web falsa que reproduce la imagen corporativa del banco con gran realismo.

El objetivo real va más allá de los datos personales

Expertos en seguridad digital advierten de que esta campaña no se limita a la obtención de datos básicos como el DNI o el número de tarjeta. El objetivo final es mucho más ambicioso: conseguir las claves de acceso a la banca online y los códigos de verificación para realizar transferencias inmediatas.

Una vez que el usuario introduce sus credenciales en la web fraudulenta, los atacantes pueden operar en tiempo real, vaciando la cuenta o realizando cargos antes de que la víctima sea consciente del engaño.

Por qué esta estafa resulta especialmente peligrosa

Uno de los factores que incrementa el riesgo es que los mensajes aparecen, en algunos dispositivos, integrados en hilos de conversaciones previas legítimas del banco. Esta circunstancia genera una falsa sensación de autenticidad y reduce las sospechas.

Además, el uso de un lenguaje alarmista y la referencia a supuestas medidas de seguridad urgentes provoca que muchos usuarios actúen sin verificar la información por otros canales.

Qué nunca hará un banco a través de un SMS

Desde el sector financiero y organismos oficiales se insiste en una norma básica de seguridad: ninguna entidad bancaria solicita claves, contraseñas ni códigos de un solo uso a través de enlaces enviados por SMS.

Los bancos recomiendan acceder siempre a la banca digital escribiendo la dirección oficial en el navegador o utilizando exclusivamente la aplicación oficial descargada desde tiendas verificadas.

Recomendaciones claras para los usuarios en Canarias

Ante la recepción de un mensaje sospechoso que aparenta ser de CaixaBank, especialmente si procede del número señalado, los expertos aconsejan seguir estos pasos:

• No pulsar ningún enlace incluido en el SMS.
• No responder al mensaje ni facilitar información personal.
• Bloquear el número remitente y eliminar el contenido.
• Acceder a la cuenta bancaria solo por los canales oficiales habituales.

Qué hacer si ya se ha caído en el engaño

Si el usuario ha introducido sus datos en la web fraudulenta, la actuación debe ser inmediata. Es fundamental contactar con el servicio de atención al cliente del banco para bloquear tarjetas y cambiar contraseñas.

También se recomienda presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, aportando capturas de pantalla del mensaje y de la web falsa. Esta información resulta clave para frenar la propagación de la campaña y proteger a otros usuarios.

La oleada de smishing que suplanta a CaixaBank en Canarias vuelve a poner de manifiesto la importancia de extremar la precaución ante cualquier comunicación digital relacionada con dinero o datos personales, incluso cuando parece proceder de una fuente conocida.