Ciberseguridad: protegerte es más sencillo de lo que parece

Todas las respuestas a las preguntas formuladas en el evento.

16/05/2023

El pasado 21 de abril, BBVA celebró el evento “Ciberseguridad: protegerte es más sencillo de lo que parece”, con el objetivo de ayudar a reconocer las técnicas y engaños más utilizados por los ciberdelincuentes, como el phishing, el smishing y el vishing. 

Desde BBVA os agradecemos la confianza depositada en el banco y la gran acogida del evento. En este bloque damos respuesta a las preguntas que nos formulasteis:

¿Cuáles son las principales medidas que se deben tener en cuenta para evitar fraudes digitales en tu cuenta bancaria?

La principal medida para proteger la cuenta bancaria es no proporcionar nunca las claves de acceso a la banca online ni los códigos de firma de operaciones a través de correos electrónicos, mensajes de texto SMS o llamadas telefónicas. Desde BBVA nunca te llamaremos para solicitarlos; tampoco te las pediremos mediante email o SMS.

¿Hay algún problema en utilizar la wifi de un lugar público para operar utilizando información personal? por ejemplo, para realizar compras, hacer transferencias, etc.

Las redes wifi públicas habitualmente no están protegidas por una contraseña y/o no cuentan con un protocolo de seguridad adecuado. Por tanto, debes evitar introducir información personal o bancaria si tu dispositivo está conectado a una wifi pública. 

Cuando te desconectes de la red, recuerda eliminarla de tu dispositivo. Dentro de tu listado de redes, accede al apartado “Avanzado” y, a continuación, a “Gestionar redes”; una vez en él, pulsa sobre la que deseas suprimir y haz clic en “Olvidar”.

En el caso de que el cajero automático no me devuelva la tarjeta, ¿qué tengo que hacer?

Si la entidad se encuentra abierta, acude a cualquiera de los empleados para comunicar lo que ha pasado. En el caso de que el motivo de retención sea la caducidad de la tarjeta, desde la sucursal se procederá a pedir una nueva.

Si la retención tiene lugar fuera del horario de oficina, ponte en contacto con el servicio de atención al cliente en el 900 102 801. No abandones el cajero hasta que se haya resuelto la incidencia.

Una vez llamé a BBVA y la persona que me atendió me preguntó mi nombre y D.N.I., pero seguidamente me preguntó el código secreto para entrar en mi cuenta. Esto no me pareció normal, no se lo di y colgué. / Si llamo a mi banco para preguntarles algo, ¿me pueden pedir mi contraseña?

Efectivamente, cuando los clientes llaman a BBVA, desde el banco solicitamos varias posiciones aleatorias de la clave de acceso a la banca online para verificar que es realmente el cliente el que está realizando la llamada. 

BBVA nunca solicitará datos bancarios privados de los clientes cuando el banco inicia la llamada. Si recibes una llamada de este tipo, no los proporciones.

¿Por qué las claves son solo de 4 dígitos y no te permiten colocar caracteres especiales? son solo mayúsculas, minúsculas y números / ¿La entidad dispone de otros mecanismos de seguridad además de la contraseña?

Las cuentas de nuestros clientes no están únicamente protegidas por la clave de acceso a la banca online de 6 dígitos. Es un elemento más de una combinación de diferentes medidas, algunas de las cuales no son percibidas directamente por el cliente. No obstante, trabajamos de forma continua para reforzar la seguridad y mejorar la experiencia de nuestros clientes. 

Las personas mayores de 80 años, ¿qué precauciones deben tener en temas de ciberseguridad?

En este artículo ofrecemos algunos consejos a este colectivo para que naveguen por internet con mayor seguridad y aprendan a proteger su identidad e información digital.

¿Qué ocurre si me roban el móvil? ¿Qué debo hacer? / ¿Cuál es el mejor canal para informar a BBVA cuando nos han robado el móvil?

El primer paso que se debe dar es llamar a la operadora de telefonía móvil para desactivar la tarjeta SIM y evitar así el acceso por parte de terceros a los servicios digitales y aplicaciones alojadas en el teléfono, así como la realización de llamadas. También es posible bloquear el dispositivo móvil proporcionando a la operadora el IMEI del smartphone extraviado o robado.

En este artículo ofrecemos otras recomendaciones de seguridad para protegerlo en caso de robo o extravío.

Puedes contactar con el banco a través de tu gestor personal o llamando al servicio de atención al cliente en el 900 102 801.

¿Hay peligro solo por pinchar en el enlace pero sin dar datos? ¿Se produce fraude solo por abrir el mensaje?

En caso de haber seguido el enlace pero no haber introducido ningún tipo de información personal y bancaria en la página web a la que redirige, ni tampoco haber descargado ninguna aplicación de estas páginas web, el riesgo es bajo. Se recomienda no abrir los enlaces sospechosos.

¿Cómo podemos conseguir los antivirus gratuitos de la OSI? ¿Son los antivirus gratuitos igual de seguros que los de pago? ¿Qué antivirus es más seguro y eficaz? ¿Cómo se descarga un antivirus en el móvil? ¿Cuál es la diferencia entre un antivirus y un antimalware?

A día de hoy existe un gran número de antivirus disponibles, algunos gratuitos y otros de pago. La Oficina de Seguridad del Internauta (OSI, teléfono 017) cuenta con un listado de antivirus gratuitos en el que detalla las características de cada uno de ellos, proporciona un manual de usuario o tutorial de uso e incluye un enlace de descarga.

Para descargar un antivirus en el dispositivo móvil, debes acceder a Google Play (Android) o Apple Store (iOS).

La diferencia entre un antivirus y un antimalware es que los antivirus tienen la función de detectar virus y no permitir que infecten el dispositivo, mientras que el antimalware se enfoca en detectar software malicioso que ya está dentro del dispositivo o equipo, enviarlo a una zona de cuarentena y eliminarlo.

Por último, la diferencia entre un antivirus gratuito con respecto a uno de pago es que el primero ofrece una protección más básica de virus comunes. Las versiones de pago suelen contar con más funcionalidades. 

¿Hay antivirus para los iPhone? ¿En los iPhone 13 y 14 es necesario instalar un antivirus? ¿El sistema iOS de Apple no precisa de un antivirus?

Aunque es cierto que el sistema operativo de Apple es muy seguro, han existido ciertos programas maliciosos diseñados para afectar directamente a los dispositivos iOS.

Por otro lado, los dispositivos de Apple reciben varias actualizaciones al año que el usuario debe descargar e instalar. Si este no lleva a cabo alguna de ellas, su dispositivo podría quedar expuesto a una infección por virus o malware.

En el listado de la OSI hay varias opciones de antivirus para iOS.

¿Es segura la app de BBVA? / ¿Qué seguridad tenemos al entrar en la aplicación de que la clave o rastro de la huella digital no se almacena en otro lugar?

La aplicación de BBVA ha sido durante 5 años consecutivos la mejor App de la banca móvil en Europa. Así lo evidencia Forrester Research en su informe “The Forrester Digital Experience Review”. Entre otros también se evalúan aspectos de seguridad en este análisis. En este artículo puedes ampliar la información.

Por otro lado, las credenciales de los clientes quedan almacenadas en la zona segura del dispositivo móvil y, por tanto, inaccesibles a terceros.

He recibido un mensaje de ayto madrid indicando que tengo una notificación nueva. El enlace es “madrid.es/micarpeta”, aparece como no seguro y no lleva a ninguna notificación. ¿Es un mensaje real?

Habría que hacer un análisis de la dirección completa y del sitio web. No tenemos elementos suficientes para valorar si es un mensaje real. Una de las preguntas que podemos hacernos si nos llega este tipo de mensajes es si alguna vez nos hemos dado de alta en algún servicio del Ayuntamiento de Madrid para recibir notificaciones. Si no es así, recomendamos tener precaución y contactar con el ayuntamiento por otra vía oficial para verificar que es legítimo antes de proporcionar información.

Si te das cuenta de que has hecho un pago indebido, ¿qué puedes hacer para bloquearlo? ¿BBVA ayuda a recuperar el dinero que has pagado por error?

Si has realizado un pago indebido contacta lo antes posible con el banco para comunicarlo llamando a Línea BBVA en el 900 102 801 o con tu gestor personal para notificar el caso en cuestión.

¿Qué cookies debemos aceptar? ¿Son confiables? / ¿Es seguro aceptar las cookies cada vez que se entra en una página web de noticias u otra que aparenta una cierta seguridad, pero no hay manera de comprobarlo?

Existen cookies técnicas que son imprescindibles para el correcto funcionamiento de una página web y para mejorar la navegación a través de ella. Otras son utilizadas para ofrecer publicidad adaptada a los gustos, intereses y búsquedas por internet de las personas (cookies de terceros o publicitarias), así como para identificarlas (cookies de sesión) o evitar el uso fraudulento de sus credenciales por parte de terceros (cookies de seguridad).

Para aumentar la protección de la información digital, es recomendable gestionar el uso de las cookies desde el área de “Configuración” (en Chrome) u “Opciones” (en Firefox), en caso de utilizar alguno de estos navegadores web. Una vez en ella, se debe acceder al apartado de “Privacidad y seguridad” y, posteriormente, al de “Cookies y datos de sitios web”, en el que es posible bloquear cookies de terceros, activar la opción de borrarlas, etc.

¿Qué es la biometría? ¿Cómo puedo obtener la firma biométrica? ¿Es más seguro firmar las operaciones de la banca online con la clave única enviada por SMS o con la biometría digital?

La biometría consiste en la identificación de los individuos basada en valores únicos e intransferibles que tiene cada persona. Hablamos de rasgos como la huella dactilar, el rostro, el iris o incluso la voz.

Los mecanismos de autenticación biométrica aportan una capa más de seguridad que las clásicas contraseñas de letras y números, ya que son muy difíciles de vulnerar al basar su fiabilidad en características físicas intransferibles que tiene cada persona.

Utilizar una clave biométrica para acceder a la app de BBVA o para firmar operaciones mejora la experiencia de usuario y aporta un plus de seguridad. Las credenciales biométricas de los clientes quedan almacenadas en la zona segura del dispositivo móvil y, por tanto, inaccesibles a terceros. BBVA en ningún caso almacena ni hace tratamiento de la información biométrica que se ha registrado en el dispositivo.

Para activar el acceso y la aceptación de las operaciones con biometría en la app, se debe pulsar sobre el icono de 3 líneas ubicado en la esquina superior derecha de la pantalla inicial y entrar en la sección de 'Seguridad y privacidad'. Una vez ahí, se accede a 'Métodos de acceso / Firma' y aparecen las opciones para activar tanto el acceso como la firma por biometría. En este artículo explicamos el proceso en detalle.

¿Cómo proteger mis claves en el teléfono y en el ordenador? / ¿Son útiles y seguros los gestores de contraseñas? / ¿Realmente hay que cambiar las contraseñas? ¿Con qué frecuencia es conveniente hacerlo?

La primera buena práctica que se debe llevar a cabo para proteger las contraseñas es, como norma general, no proporcionarlas en páginas web a las que se ha accedido a través de enlaces incluidos en correos electrónicos o mensajes SMS. 

Por otro lado, los navegadores ofrecen la posibilidad de “recordar contraseña” cuando las personas introducen sus nombres de usuario y claves de acceso en las páginas web. Es una opción cómoda, pero no es aconsejable hacer uso de ella, ya que estos datos se guardan en un listado de texto que algunos navegadores almacenan sin cifrar, por lo que podrían quedar desprotegidos y expuestos. 

Los gestores de contraseñas son útiles y seguros. Se trata de herramientas que permiten almacenar todas las contraseñas cifradas bajo una clave maestra, la única que debe recordarse. En la Oficina de Seguridad del Internauta (www.osi.es)  existen recursos gratuitos de herramientas de seguridad que pueden ser una buena opción, aunque también se puede optar por otras alternativas de pago de compañías de seguridad.

Por último, es muy recomendable cambiar las contraseñas cada tres meses como máximo.

¿Cómo podemos reconocer una página falsa en internet?

En primer lugar, se debe observar la dirección web con detenimiento y comprobar que se corresponde con el nombre oficial de la compañía o servicio al que queremos acceder y no contiene palabras o caracteres extraños.

En segundo lugar, si se trata de un comercio electrónico se debe prestar atención también a otras características de la página para comprobar que es oficial y legítima. En este artículo las detallamos.

¿Qué podemos hacer para evitar que nos dupliquen nuestra tarjeta SIM del teléfono?

Existen una serie de buenas prácticas de seguridad que disminuyen las posibilidades de sufrir un duplicado fraudulento de la tarjeta SIM y ayudan a proteger la información si llega a producirse. En este artículo puedes obtener la información. 

¿Podrían dar alguna charla específica sobre biometría?

En este podcast tratamos los aspectos más destacados de la biometría.

¿Qué tengo que hacer para dejar de recibir correos no deseados en la bandeja de Spam?

En Gmail puedes bloquear el correo electrónico pulsando sobre el icono de los tres puntos que aparecen en la esquina superior derecha del email y, después, en “Bloquear a…”:
En Outlook también puedes realizar estas acciones pulsando sobre los tres puntos ubicados en la esquina superior derecha del correo electrónico y, acto seguido, en “Bloquear remitente”:

Si un hacker ha interceptado un pago de una suscripción hecho con mi tarjeta de crédito y yo lo he autorizado, ¿puede renovar automáticamente la suscripción volviendo a usar mi tarjeta, sin que el banco emisor pueda impedirlo?

Si tienes constancia de que un ciberdelincuente posee los datos bancarios de tu tarjeta de crédito, sigue los pasos explicados en este artículo.

Tengo el PC bloqueado. Aparece una pantalla diciendo que Windows Defender ha detectado un spyware y que debo llamar de inmediato al TLF.: +34 911 xxx xxx. ¿Debo llamar?

Te recomendamos que te pongas en contacto con el equipo de soporte técnico de Microsoft para solucionar este incidente a través de sus canales oficiales. No realices una llamada sin antes comprobar que se trata de un número de teléfono oficial.

Si por error das información, ¿cómo se puede rectificar?

En caso de haber proporcionado alguna contraseña, cámbiala de inmediato. Si has proporcionado los datos bancarios de tu tarjeta a un tercero que puede tener fines maliciosos, apágala desde la app (en la pantalla de inicio, pulsa sobre el número de la tarjeta y elige la opción “Apagar”) y ponte en contacto con el banco en el 900 102 801 para que te indiquen cómo proceder.

¿Son seguras las compras por internet en las que tienes que dar el número de tarjeta y el CVV?

Son seguras siempre que las realices en comercios electrónicos seguros

Por error he facilitado los datos de mi tarjeta a personas desconocidas. Me han sustraído dinero de mi cuenta y solicité una nueva tarjeta. Quería saber si existe la posibilidad de que accedan a los datos de mi nueva tarjeta.

Si se ha emitido una nueva tarjeta y bloqueado la anterior, los ciberdelincuentes no tienen posibilidad de conocer los datos de tu nueva tarjeta de crédito. 

¿Qué ocurre si sufro una estafa en mi cuenta un sábado o domingo cuando el banco está cerrado?

Ponte en contacto inmediatamente con el banco a través del teléfono 900 102 801.

¿Cómo distinguir en una llamada a un bot de una persona real?

Los bots dotados de inteligencia artificial están entrenados y especializados en temáticas concretas, por lo que en una llamada podrías realizarle alguna pregunta sobre otro asunto para comprobar si es capaz de responderla y si, por lo tanto, es una persona real.

¿Recomiendan utilizar una VPN? ¿Es aconsejable usar una VPN para ingresar a los portales de los bancos?

La VPN (Virtual Private Network) es una red privada virtual que establece una conexión protegida y cifrada al utilizar redes públicas, lo que dificulta a terceros con fines maliciosos el rastreo y robo de información. Su principal función es esconder el protocolo de internet o la IP, por lo que permite navegar por la web de forma anónima. En este artículo puedes encontrar más información sobre las VPN.

Si estás conectado a una red wifi pública y necesitas acceder a la banca online, sí es altamente recomendable que utilices una VPN.

En la página web de la Oficina de Seguridad del Internauta (OSI) existe un listado de VPN de licencia gratuita.

¿Son seguros los pagos por Bizum?

Bizum es un servicio ofrecido a través de las aplicaciones bancarias, y es un sistema de pago seguro. En algunas ocasiones se utiliza Bizum como un medio de pago en ciertas estafas en las que se engaña a las víctimas para realizar pagos a través de este medio. En este artículo explicamos en qué consisten dichas estafas y proporcionamos consejos de seguridad para protegerse de ellas. 

¿Qué es más seguro, operar a través del PC o de la app?

Es igual de seguro. Lo importante siempre es navegar en sitios de confianza, no proporcionar nunca información sensible a través de comunicaciones sospechosas y mantener actualizados los sistemas operativos, los navegadores y las aplicaciones de todos los dispositivos.

¿Qué medios utiliza BBVA contra los ciberataques, entradas ilegales en cuentas y/o posibles robos de información?

Para BBVA la seguridad y la protección de la información es una prioridad. El banco cuenta con diferentes medidas de prevención, tanto técnicas como organizativas, enfocadas a la prevención, detección y respuesta ante cualquier intento de ataque o de acciones no autorizadas en sus sistemas. Para ello, disponemos de una plataforma tecnológica de seguridad sólida y un equipo humano con los mejores profesionales que trabaja de forma continua para hacer frente a los retos de seguridad y responder con agilidad ante cualquier intento de ataque.  

¿Qué hacer si recibo un mensaje con un enlace en nombre de BBVA?

Cuando recibas un mensaje SMS sospechoso con un enlace, supuestamente remitido por BBVA, elimínalo. Estos mensajes no deben ser reenviados. 

Recuerda siempre que el banco nunca te enviará un SMS con un enlace; si recibes uno que contenga un enlace, aunque aparezca en el hilo de mensajes legítimos de BBVA, es falso. En este artículo puedes encontrar más información.

Quisiera saber qué es más seguro: ¿llevar las tarjetas de crédito en formato plástico o escaneadas dentro de una APP en el móvil?

Ambas opciones son seguras. No obstante, pagar con el dispositivo móvil proporciona la seguridad de que, durante la transacción, no hay información bancaria y personal visible a terceros, mientras que si realizas el pago con una tarjeta tradicional la información impresa en ella sí lo está. De ahí la seguridad que ofrece la tarjeta Aqua, sin numeración impresa y con CVV dinámico. 

Como usuaria de la app mi mayor miedo es ser víctima de un atraco y que me obliguen a hacer una transferencia por el saldo completo de mi cuenta. ¿Hay alguna forma de protección o seguro en estos casos?

Este tipo de modus operandi no suele ser habitual, dado que el atracador debería proporcionar una cuenta destino para hacer la transferencia e implica tiempo para realizar la operación, por lo que esto conlleva un riesgo para él. No obstante, ante cualquier situación de riesgo personal lo primero es proteger la integridad física, después denunciarlo y ponerse en contacto con el banco mediante nuestra línea de Atención al Cliente en el 900 102 801 o acudir a una oficina, donde se indicará cómo actuar. 

¿Cómo sé que una aplicación es falsa para evitar bajarla?

Las aplicaciones oficiales legítimas se encuentran siempre en los mercados oficiales, como Google Play o Apple Store. Evita descargar aplicaciones desde enlaces incluidos en correos electrónicos, mensajes SMS o mensajes de WhatsApp u otras plataformas de mensajería instantánea. 

En este artículo puedes obtener más información.

A veces utilizan mi email para enviar correos a mi contactos. ¿Cómo ocurre esto?

Es posible que tu dirección de correo electrónico o contraseña haya sido comprometida o filtrada. En este enlace puedes introducirla para cerciorarte: https://haveibeenpwned.com/

En caso de que aparezca en el sitio web como filtrada, debes cambiar la contraseña y crear una nueva. Recuerda que las contraseñas han de contener letras mayúsculas y minúsculas, así como números y símbolos intercalados. En ellas no se deben introducir datos que identifiquen al usuario, como su nombre o apellidos, su fecha de nacimiento, número de DNI, etc.

¿Cómo se enteran los ciberdelincuentes de nuestro número de teléfono?

Los ciberdelincuentes pueden obtener la información de las personas por diversas vías: perfiles de redes sociales que no son privados o no tienen configurados adecuadamente los ajustes de seguridad y privacidad; brechas de seguridad en páginas web que provocan la filtración de datos de los usuarios; así como por la huella digital que las personas van creando en internet.

Asimismo, también han podido obtenerlo a través de ataques de ingeniería social, basados en engañar a las personas mediante técnicas de manipulación para que proporcionen su información rápido y sin pensar.

¿Cuál es la responsabilidad de BBVA en caso de smishing en el hilo de los legítimos?

Desde BBVA realizamos campañas de comunicación y prevención continuamente para alertar e informar a nuestros clientes de que nuestros mensajes de texto SMS no contienen enlaces. Por tanto, si se recibe uno con un enlace, aunque aparezca en el hilo de mensajes legítimos del banco, es falso. 

Desde BBVA nunca solicitaremos información bancaria confidencial, como claves de acceso a la banca online o códigos de firma de operaciones a través de SMS, correos o llamadas telefónicas.

¿Qué hacemos cuando los ciberdelincuentes burlan las medidas de seguridad de los mecanismos del banco? Me han hecho una suscripción menor de 50€ sin haberla autorizado y sin dar ningún consentimiento utilizando mi tarjeta aqua con CVV dinámico.

Cualquier operación no autorizada detectada debe ser reclamada al banco para realizar la investigación pertinente y determinar el origen y la responsabilidad de la misma. 

¿Cómo crean los ciberdelincuentes tarjetas virtuales?

Los ciberdelincuentes sustraen y utilizan datos de tarjetas bancarias que han obtenido realizando algún tipo de ataque. Acto seguido, replican estos datos en tarjetas virtuales. En este artículo de la OSI puedes obtener más información. 

He recibido un correo electrónico de Telefónica, del equipo de seguridad. ¿Tengo que hacerle caso?

Siempre que dudes de la legitimidad de un correo electrónico, consulta su dirección y teléfono en la página web oficial de la compañía (tecleando tú la dirección web en el navegador, no a través de enlaces) y contacta con ellos para resolver cualquier duda.

Me ha llegado un correo falso que parece tener el dominio correcto de BBVA. ¿Cuál es el dominio oficial del banco?

Los dominios oficiales desde los que BBVA envía las comunicaciones a los clientes son @comunica.bbva.com y @bbva.com. 

¿Se puede llevar el DNI o una tarjeta bancaria fotografiados en el móvil?

En España es legal usar la copia digital del carnet de conducir y de la tarjeta sanitaria, pero aún no existe una aplicación para poder utilizar el DNI digital. A efectos legales es necesario llevar siempre el documento de identidad original contigo. Se desaconseja tener el DNI o la tarjeta bancaria fotografiados en el móvil, dado que son datos personales que en caso de exposición de la información por robo/pérdida o compromiso del dispositivo (malware, por ejemplo), estos datos podrían ser obtenidos por terceros y ser utilizados de forma fraudulenta.

La tarjeta bancaria se puede digitalizar y vincular a tu dispositivo móvil para realizar pagos. En este artículo explicamos cómo hacerlo.

¿Por qué hay problemas de seguridad con las tarjetas Aqua? Conozco casos de cargos indebidos sufridos por personas titulares de esa tarjeta.

La tarjeta Aqua cuenta con medidas que aumentan la seguridad para el titular. En el ámbito de los pagos existen diferentes intervinientes, que no siempre hacen uso de la máxima seguridad. Por ejemplo, hay comercios no adaptados a la normativa PSD2 que exigen la validación de la identidad del comprador a través de un mecanismo de doble factor (por ejemplo, un código enviado al SMS). Ante cualquier operación no reconocida, el cliente puede interponer una reclamación que determinará si no se han aplicado las medidas de seguridad correspondientes y se establece la responsabilidad en la devolución de los importes defraudados.