Alerta sobre una campaña de fraude a inversores haciéndose pasar por la CNMV

ActualidadAlertaPhishing

La Policía Nacional y la CNMV (Comisión Nacional del Mercado de Valores) han detectado intentos de fraude a inversores falseando el número de teléfono desde el que se realiza la comunicación para hacerlo coincidir con el de la institución. En esas llamadas se solicitan datos personales o bancarios con el pretexto de alguna supuesta gestión oficial, como por ejemplo, interesarse por pérdidas sufridas por el inversor en inversiones anteriores. Sin embargo, el propósito real de estas llamadas o comunicaciones es acceder a las cuentas bancarias del inversor, a sus claves personales y apropiarse ilegalmente de sus fondos. La CNMV nunca pide ese tipo de información a inversores por vía telefónica o cualquier otro medio de comunicación.

Una vez conocidos los hechos, la Unidad de Delincuencia Económica y Fiscal (UDEF)  de la Policía Nacional ha iniciado la correspondiente investigación de estos intentos de estafa en virtud del convenio de colaboración suscrito entre ambas partes para luchar contra el fraude financiero. Por otra parte, la CNMV emprenderá las acciones legales a su alcance para impedir y limitar estas prácticas.

Esta modalidad de intento de fraude a través del teléfono se une a otras formas de phishing o fraude ya detectadas anteriormente, como por ejemplo:

  • el envío de comunicaciones a inversores por correo electrónico desde dominios similares a …@cnmv.es (como por ejemplo …@cnmv.help);
  • respuestas a consultas de inversores con documentos escaneados, con formato, contenido y firmas falsas de responsables de la CNMV;
  • contratos de las empresas fraudulentas para que los firmen los inversores, que incluyen el logo de la CNMV para dar apariencia de seriedad y legalidad.

Verificar siempre la procedencia

En todo caso, la Policía Nacional y la CNMV aconsejan verificar la procedencia de cualquier comunicación recibida en su nombre.

En concreto, se considera recomendable:

  • Verificar que los correos electrónicos de la CNMV proceden del dominio …@cnmv.es y asegurarse del origen de la fuente para descartar la existencia de enlaces extraños y ajenos a www.cnmv.es.
  • Desconfiar de contratos o documentos no oficiales que incluyan el logo de la CNMV.
  • Desconfiar de cualquier comunicación que incluya la petición de información confidencial, económica o personal o incluya cualquier enlace de apariencia sospechosa.
  • Recordar que la CNMV nunca le invitaría a realizar una inversión ni le cobraría por ello.

La Policía Nacional y la CNMV agradecen la colaboración ciudadana para informar de este tipo de fraudes, como ha ocurrido en esta ocasión. Por ello, considera útil que quien tenga conocimiento de un caso de este tipo remita a la Comisión el material original (correo, respuesta…) para que se realice el análisis correspondiente.

Phishing

En este caso las comunicaciones se realizan a través de llamadas telefónicas, pero también se han dado casos de phishing que con la CNMV y no se descarta que utilicen este sistema próximamente.

Nuestros consejos para no caer en este tipo de estafas son:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.
  • Informa de los correos electrónicos sospechosos a tu equipo de seguridad. Adquiere el hábito de hacer esto siempre, aunque creas que no sirve para nada. Los delincuentes de suplantación de identidad no envían sus correos electrónicos solo a una persona a la vez, por lo que si eres el primero en la empresa en detectar una nueva estafa, una advertencia temprana permitirá que tu departamento de TI advierta a todos los demás que podrían haberlo recibido también.
  • Busca señales obvias. Como hemos dicho muchas veces antes, lo único peor que ser estafado es ser estafado y luego darse cuenta de que las señales estuvieron ahí todo el tiempo. Los ladrones no siempre cometen errores obvios, pero si los cometen, asegúrate de encontrarlos.
  • Si crees que introdujiste una contraseña donde no deberías, cámbiala lo antes posible. Encuentra tu propio camino al sitio oficial del servicio en cuestión e inicia sesión directamente. Cuanto antes corrijas tu error, menos posibilidades tendrán los ladrones de llegar primero.
  • Utiliza 2FA siempre que puedas. Las cuentas que están protegidas por autenticación de dos factores son más difíciles de atacar para los delincuentes. Deben engañarte para que reveles tu código 2FA en el mismo momento en que te están haciendo phishing.
  • Considera los simuladores de phishing como Sophos Phish Threat. Si formas parte del equipo de seguridad de TI, esta herramienta te ofrece una forma segura de exponer a tu personal a ataques similares a los de suplantación de identidad, para que puedan aprender tus lecciones cuando estás tú en el otro extremo, no los ciberdelincuentes.

Leave a Reply

Your email address will not be published.