"Acabo de recibir este mensaje en el móvil que aparece como si se hubiera enviado desde BBVA", advertía esta misma madrugada un tuitero mientras notificaba lo ocurrido al BBVA y a la Guardia Civil. El tuit venía acompañado de una imagen en la que podían verse los SMS previos remitidos por el BBVA al usuario para realizar sus operaciones bancarias y, al final del hilo de SMS, uno con un extraño mensaje:

"Su tarjeta ha sido limitada temporalmente por razones de seguridad, para reactivarla, actualice su informacion aqui https://otf.easy-comprobar.com/BBVAS/eguro"

Resulta obvio que el mensaje no es del BBVA: está mal escrito (faltan tildes, sobran comas), anima al usuario a entrar en una URL extraña totalmente ajena a BBVA.es, así como a introducir datos personales privados en dicha web. Esto es, estamos ante un phishing de manual. Entonces, ¿por qué aparece en nuestro móvil como si fuera un mensaje legítimo de la citada entidad bancaria? ¿Cómo podemos fiarnos a partir de ahora de los mensajes que recibamos de la misma?

En los últimos días, hemos abordado en Genbeta, precisamente, la suplantación de medios digitales aplicada a la realización de estafas —lo que se conoce como 'spoofing'—, tanto en llamadas de voz como en el 'remitente' de los mensajes de correo electrónico. Pues bien, esto es lo mismo, pero aplicado a los mensajes SMS.

…