El pasado 5 de noviembre, el grupo de cibercriminales BreachParty reivindicó el robo de información de unos 21 000 clientes de ING Bank España; el robo fue alertado en X por la empresa Hackmanac, que vigila filtraciones y ciberataques a empresas y dependencias gubernamentales.
La entidad bancaria neerlandesa reconoció que había ocurrido una filtración de datos de sus clientes, pero aseguró que la brecha se produjo en servidores externos ajenos al banco ―lo que evidencia la creciente interdependencia tecnológica entre entidades financieras y servicios asociados—, que las cuentas de sus clientes no se habían visto comprometidas y que habían establecido «medidas extraordinarias para reforzar su protección». Sin embargo, expertos en ciberseguridad aseguran que la exposición de esta información puede ser un riesgo de suplantación de identidad o de intentos de fraude.
Los propios estafadores informaron de que el ataque expuso información personal sensible: nombres completos, fechas de nacimiento, números de teléfono, códigos bancarios y otros.
La técnica que usaron para la estafa fue el envío de SMS fraudulentos (smishing) para comunicar a los clientes que había habido un movimiento inusual en su cuenta que era preciso solucionar accediendo a un enlace. El enlace, por supuesto, no conduce a la entidad bancaria, sino a una página fraudulenta que roba las credenciales de acceso a la persona que las introduzca. Si uno no está alerta, es muy fácil caer en la trampa porque los SMS dan sensación de urgencia y de necesidad de actuación inmediata.
En ING y en otras entidades bancarias
España se ha convertido en un blanco frecuente de estas actividades delictivas; tanto que, de enero a junio de 2025, fue el quinto país europeo con mayor número de ciberataques. La Oficina de Seguridad del Internauta (OSI) ya ha identificado casos similares en otras entidades: Abanca, Banco Sabadell, Bankinter, Laboral Kutxa, BBVA, Banco Santander, Caja Sur, CaixaBank y Deutsche Bank, y ha explicado que estas alarmas suelen incluir mensajes como «bloqueo de cuenta, tramitación de préstamos y cargos no autorizados».
Algunos ejemplos de SMS fraudulentos
- Cargo no autorizado: «Con fecha [tal], a la hora [tal], se ha detectado una transferencia inmediata por alto importe. Solicite una verificación inmediata: [URL fraudulenta]». o «Se ha realizado un cargo por importe de [cantidad de €]; si no reconoce dicha acción, verifique inmediatamente: [URL fraudulenta]».
- Verificación de credenciales: «A partir de [fecha], no podrá utilizar su operativa, es necesario validar su identidad. Siga los pasos aquí: [URL fraudulenta]» o «Su tarjeta ha sido limitada temporalmente, actualice su información desde aquí [URL fraudulenta]».
- Bloqueo de cuenta: «[Nombre entidad bancaria]: Estimado cliente, su cuenta bancaria quedará suspendida el día [fecha,] por favor actualice sus datos: [URL fraudulenta]».
- Acceso no autorizado: «Se ha registrado un nuevo dispositivo a la banca online, sin o reconoces esta operación, verifica inmediatamente desde: [URL fraudulenta]».
Cómo proceder (recomendaciones de la OSI)
Si has sido víctima de un fraude así, la Oficina de Seguridad del Internauta te recomienda:
- Informa del fraude.
- Confirma que se han modificado los datos de acceso bancario y utiliza contraseñas únicas y potentes.
- Comprueba las transacciones de la cuenta bancaria para identificar posibles cargos no autorizados.
- Si identificas cargos no autorizados, informa a tu entidad bancaria.
- Almacena evidencias del fraude (capturas o enlaces) para usarlas como prueba en una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
- Durante los meses siguientes, rastrea (egosurfing) cualquier información personal que pueda haberse expuesto a raíz del intento de fraude.
- Emplea los medios de contacto oficiales: la dirección electrónica que te proporcionó como contacto tu entidad, el número de teléfono de servicio al cliente o la propia aplicación bancaria.
https://eladelantado.com/actualidad/ing-sufre-filtracion-de-datos/
░ Foto de Kasia Derenda en Unsplash
