**Oleada de smishing suplanta a CaixaBank en Canarias: análisis técnico y medidas de protección**
—
### Introducción
Durante las últimas 48 horas, se ha detectado una intensa campaña de smishing dirigida a usuarios de las Islas Canarias, con especial impacto en clientes de CaixaBank. Numerosos afectados han reportado la recepción de mensajes SMS fraudulentos remitidos desde el número 960 479 896, en los que los atacantes suplantan la identidad de la entidad bancaria con el objetivo de obtener credenciales de acceso y datos de tarjetas. Este incidente pone de manifiesto la sofisticación y alcance de la ciberdelincuencia en el sector financiero español.
—
### Contexto del Incidente
El smishing, técnica de ingeniería social que utiliza SMS para engañar a las víctimas y obtener información sensible, ha experimentado un repunte significativo en los últimos meses, especialmente en campañas dirigidas a clientes de entidades bancarias. En esta ocasión, la campaña detectada en Canarias replica el branding de CaixaBank y utiliza pretextos como la supuesta desactivación de cuentas u operaciones sospechosas para inducir a los usuarios a facilitar sus datos.
Según fuentes del sector, la campaña está afectando principalmente a usuarios particulares, aunque no se descarta la posibilidad de que empleados de empresas locales hayan recibido los mensajes, lo que amplificaría el riesgo de compromiso corporativo.
—
### Detalles Técnicos
#### Identificadores y Vectores de Ataque
No se ha reportado un CVE específico, ya que el ataque explota la ingeniería social y no una vulnerabilidad técnica. El vector principal es el envío masivo de SMS con enlaces a páginas web fraudulentas (phishing), diseñadas para imitar el portal oficial de CaixaBank.
#### Tácticas, Técnicas y Procedimientos (TTP)
Según la taxonomía MITRE ATT&CK, las TTP observadas corresponden a:
– **T1566.001 (Phishing: Spearphishing via Service)**: Uso de SMS para distribuir enlaces maliciosos.
– **T1204 (User Execution)**: El ataque requiere que la víctima interactúe con el enlace.
– **T1078 (Valid Accounts)**: Objetivo final de recolectar credenciales válidas para acceso a cuentas bancarias.
#### Indicadores de Compromiso (IoC)
– Número remitente: **960 479 896**
– Dominios fraudulentos: Variaciones de URLs que simulan el entorno de CaixaBank, con ligeras diferencias ortográficas o subdominios sospechosos.
– Templates HTML y logos clonados de CaixaBank.
– Solicitud de datos como usuario, contraseña, PIN de tarjeta y códigos de autenticación.
#### Herramientas y Frameworks
Aunque no se ha detectado uso directo de frameworks como Metasploit o Cobalt Strike en la campaña, sí se han observado kits de phishing comercializados en foros underground, con automatización de reenvío de credenciales y paneles de control para los atacantes.
—
### Impacto y Riesgos
El impacto potencial de esta campaña es elevado:
– **Acceso no autorizado a cuentas bancarias**: Riesgo de transferencias fraudulentas y vaciado de cuentas.
– **Robo de datos personales y financieros**: Posible uso en fraudes posteriores o venta en mercados clandestinos.
– **Ingeniería social avanzada**: Riesgo para empresas si empleados reutilizan credenciales corporativas.
– **Afectación económica**: Según estadísticas de INCIBE, el fraude bancario por smishing supuso en 2023 pérdidas superiores a los 15 millones de euros en España.
– **Cumplimiento normativo**: Incidentes de este tipo pueden derivar en obligaciones de notificación bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2.
—
### Medidas de Mitigación y Recomendaciones
1. **Concienciación y formación**: Campañas internas para empleados y usuarios sobre cómo identificar mensajes SMS fraudulentos.
2. **Verificación de remitentes**: No acceder a enlaces recibidos por SMS; verificar siempre la autenticidad a través de canales oficiales.
3. **Implementación de autenticación multifactor (MFA)**: Reforzar el acceso a cuentas con factores adicionales más allá de la contraseña.
4. **Bloqueo y reporte de números sospechosos**: Reportar el número 960 479 896 a operadores y a las autoridades competentes.
5. **Monitorización y análisis de logs**: SOCs deben monitorizar actividades sospechosas relacionadas con accesos a cuentas bancarias.
6. **Actualización de políticas de respuesta a incidentes**: Incluir procedimientos específicos para casos de smishing y phishing bancario.
—
### Opinión de Expertos
José Luis Sánchez, analista sénior de amenazas en un CERT nacional, señala:
*»Estamos ante una campaña de smishing de manual, pero con una ejecución muy pulida. Los adversarios buscan el control total de las credenciales bancarias, aprovechando el desconocimiento y la urgencia emocional que provocan sus mensajes. Es imprescindible reforzar la ciberhigiene, tanto a nivel de usuario como corporativo.»*
—
### Implicaciones para Empresas y Usuarios
Las empresas del sector financiero y cualquier organización con empleados en la región deben extremar las precauciones. El compromiso de credenciales personales puede derivar en ataques dirigidos a cuentas corporativas, especialmente si se detecta reutilización de contraseñas. Además, la obligación de cumplir con GDPR y NIS2 exige notificar cualquier incidente que pueda afectar a la confidencialidad, integridad o disponibilidad de los datos.
Para los usuarios, el principal riesgo reside en la pérdida directa de fondos y el robo de identidad. Una vez obtenidas las credenciales, los atacantes pueden realizar transferencias, solicitar créditos o incluso suplantar a la víctima para otras campañas.
—
### Conclusiones
La oleada de smishing detectada en Canarias, suplantando a CaixaBank, refleja la profesionalización y persistencia de la ciberdelincuencia orientada al fraude financiero. La combinación de ingeniería social avanzada y herramientas de phishing automatizado exige una respuesta coordinada entre usuarios, empresas, entidades bancarias y organismos reguladores. Solo mediante la formación continua, la aplicación de controles técnicos y el cumplimiento normativo se podrá mitigar el impacto de estas amenazas recurrentes.
(Fuente: www.cybersecuritynews.es)