ING y Abanca bajo ataque: Nueva campaña de phishing altamente sofisticada compromete la banca online

Introducción

En las últimas semanas, se ha detectado una oleada de ciberataques de phishing dirigida específicamente contra clientes de ING y Abanca, dos de las entidades bancarias más relevantes del mercado español. Este repunte en la actividad delictiva no solo evidencia la vigencia de los ataques de suplantación bancaria, sino que también pone de manifiesto la creciente sofisticación de las técnicas empleadas por los actores de amenazas (threat actors), que han adaptado sus tácticas para sortear controles de seguridad y engañar incluso a usuarios experimentados. El auge de estas campañas supone un desafío crítico para los equipos de ciberseguridad de entidades financieras y exige una reacción rápida y coordinada desde el ámbito técnico y normativo.

Contexto del Incidente

La suplantación de entidades bancarias mediante campañas de phishing no es un fenómeno nuevo. Sin embargo, los ataques recientes dirigidos a clientes de ING y Abanca muestran un nivel de personalización y automatización que supera a incidentes previos registrados en el sector. Según fuentes de varios equipos de respuesta a incidentes (CSIRT), la campaña detectada entre mayo y junio de 2024 ha mostrado una fuerte intensificación en la frecuencia y calidad de los mensajes fraudulentos. Los ciberdelincuentes se están apoyando en bases de datos filtradas previamente y en técnicas de ingeniería social avanzada para elaborar correos electrónicos y mensajes SMS que emulan con gran precisión el lenguaje y el formato de comunicación de ambas entidades.

Detalles Técnicos: Vectores, TTPs e Indicadores

Los correos de phishing identificados replican fielmente la imagen corporativa de ING y Abanca, incluyendo logos, tipografías, y pie de firma oficial. El vector principal es el correo electrónico (phishing clásico), aunque se han detectado campañas paralelas vía SMS (smishing), donde los mensajes incluyen enlaces a dominios comprometidos o registrados recientemente, los cuales simulan los portales de banca online de ambas entidades.

Las URLs fraudulentas suelen contener variaciones sutiles del dominio real (typosquatting), como “ingbanco-seguridad[.]es” o “abanca-cliente[.]com”, y están protegidas mediante HTTPS con certificados válidos, dificultando su identificación para usuarios y sistemas automatizados. El análisis forense de los sitios revela la reutilización de kits de phishing conocidos, algunos de los cuales han sido catalogados en campañas previas contra otras entidades europeas.

El proceso de ataque suele incluir:
– Recolección de credenciales (técnica MITRE ATT&CK: T1081, Credentials in Files).
– Uso de frameworks de automatización para el despliegue de páginas falsas (se ha identificado el uso de herramientas como Evilginx2 y modificaciones de Metasploit para el proxying de sesiones autenticadas).
– En casos más avanzados, los atacantes solicitan la introducción de códigos de autenticación multifactor (MFA), interceptando así tokens temporales y posibilitando el acceso en tiempo real a las cuentas de las víctimas.

Se han reportado IoC relevantes, tales como IPs de origen en redes Tor y VPS de proveedores de Europa del Este, así como huellas de JavaScript y formularios utilizados exclusivamente en estas campañas.

Impacto y Riesgos

El impacto potencial de estas campañas es considerable. Según datos de la Agencia Española de Protección de Datos (AEPD), los fraudes por phishing bancario han crecido un 37% en el primer semestre de 2024, con pérdidas medias por incidente que superan los 4.200 euros. ING y Abanca, con más de 6 millones de clientes entre ambas, se encuentran especialmente expuestas. Además del impacto económico directo, la exposición de credenciales puede derivar en accesos no autorizados, transferencias fraudulentas, modificación de datos personales y, en casos extremos, apertura de créditos a nombre de las víctimas.

Desde el punto de vista normativo, este tipo de incidentes puede suponer graves incumplimientos de GDPR y NIS2, dado que la seguridad de los datos personales y financieros está directamente comprometida.

Medidas de Mitigación y Recomendaciones

Para los equipos de seguridad, se recomienda:

– Monitorización proactiva de dominios sospechosos y bloqueo rápido a nivel de DNS.
– Uso de soluciones antiphishing con capacidades de análisis dinámico y machine learning.
– Fortalecimiento de los sistemas de autenticación multifactor, incluyendo push-based MFA y biometría.
– Sensibilización continua a usuarios mediante simulacros de phishing y formación específica para identificar mensajes fraudulentos.
– Colaboración activa con CERTs y organismos reguladores para el intercambio rápido de IoCs y takedown de dominios maliciosos.

Opinión de Expertos

Expertos del Observatorio de Ciberseguridad Financiera advierten que “el phishing bancario se ha convertido en una amenaza persistente y en constante evolución. La profesionalización de los cibercriminales y el uso de técnicas de automatización aumentan la probabilidad de éxito de los ataques, haciendo imprescindible una defensa en profundidad y una respuesta ágil ante incidentes”.

Implicaciones para Empresas y Usuarios

Para las entidades financieras, este tipo de campañas impacta tanto en la reputación como en la confianza del cliente. La obligación de notificar incidentes bajo el marco GDPR y NIS2 añade presión regulatoria, y un incidente grave puede suponer sanciones de hasta el 4% de la facturación anual. Para los usuarios, la principal recomendación es desconfiar de comunicaciones no solicitadas y acceder siempre a la banca online desde canales oficiales, nunca mediante enlaces recibidos por correo o SMS.

Conclusiones

La oleada de phishing contra ING y Abanca evidencia que los atacantes continúan perfeccionando sus técnicas y adaptando sus TTPs a las defensas actuales. Frente a ello, la combinación de tecnología avanzada, formación continua y cooperación sectorial se erige como la mejor defensa para preservar la integridad y la confianza en los servicios financieros digitales.

(Fuente: www.cybersecuritynews.es)