Una ola de ataques de phishing sin precedentes está afectando a clientes de bancos alemanes justo antes de Navidad. Organizaciones de defensa del consumidor advierten sobre una campaña agresiva dirigida específicamente a usuarios de Sparkassen, Commerzbank y Postbank, aprovechándose del estrés prefestivo.
Los estafadores utilizan “alertas de seguridad” engañosamente auténticas, con un mensaje casi siempre idéntico: actuar de inmediato o el acceso a la cuenta será bloqueado. El sistema de detección de phishing de la central de consumidores ha alcanzado un nuevo máximo, afectando especialmente a los clientes de Sparkassen-Finanzgruppe y Commerzbank.
Durante estas fechas, los ciberdelincuentes ejercen una fuerte presión de tiempo y emplean correos electrónicos convincentes, causando a menudo daños financieros significativos a consumidores y pequeñas empresas. Existe un paquete Anti-Phishing gratuito que ofrece una guía práctica de 4 pasos: métodos de ataque actuales, trucos psicológicos (como plazos límite), peligros específicos de cada sector y contramedidas inmediatas. Incluye listas de verificación e instrucciones concretas, fáciles de aplicar incluso para quienes no son expertos. Descarga ahora el paquete Anti-Phishing gratuito
Clientes de Sparkassen, víctimas de la trampa del “Buzón”
Desde principios de diciembre, una masiva ola de ataques se dirige a los clientes de Sparkassen. Los delincuentes envían correos electrónicos informando sobre un “mensaje importante en el buzón electrónico”. Lo más insidioso es que Sparkassen utiliza exactamente este mismo método de notificación legítimo.
- Si las víctimas hacen clic en el enlace, son redirigidas a una copia exacta del portal de inicio de sesión de Sparkassen.
- En un segundo paso, a menudo se les solicita que introduzcan un código TAN o que registren un nuevo dispositivo para pushTAN.
- Si tienen éxito, los criminales obtienen el control total y pueden realizar transferencias en tiempo real.
Commerzbank: El truco del photoTAN
Paralelamente, los clientes de Commerzbank están siendo atacados. En este caso, los atacantes se centran en el procedimiento photoTAN, que se considera seguro. Los correos electrónicos afirman que la “aplicación photoTAN” debe actualizarse urgentemente, de lo contrario, se desactivará.
Aquí también, los estafadores utilizan la presión del tiempo. Plazos de 24 o 48 horas pretenden anular el pensamiento racional de las víctimas. Quienes siguen las instrucciones a menudo revelan datos de activación confidenciales que sirven a los delincuentes como una “llave maestra”.
Segundo frente: PayPal y servicios de streaming
Los atacantes no se limitan a las cuentas bancarias. En una estrategia coordinada, también atacan a los usuarios de PayPal y servicios de streaming.
Mentira de seguridad de PayPal: Bajo el asunto “Actualización de seguridad importante”, se solicita a los usuarios que verifiquen sus datos, amenazando con una restricción permanente de la cuenta en 24 horas. Debido a que muchos realizan sus compras navideñas a través de PayPal, la tasa de éxito de esta estafa es actualmente alta.
Netflix y Disney+: Una estafa particularmente insidiosa afirma que el débito mensual ha fallado y que la suscripción está a punto de cancelarse. El miedo a quedarse sin entretenimiento durante las fiestas lleva a muchos a “actualizar” apresuradamente los datos de su tarjeta de crédito en sitios web falsos.
El peligro subestimado: El “mulo” de dinero
Un aspecto de gran relevancia legal es el reclutamiento de los llamados “mulos de dinero”. Postbank advirtió recientemente sobre esta estafa, que a menudo se disfraza de una oferta de trabajo inofensiva.
Los estafadores supuestamente buscan “probadores de productos financieros”. La tarea: recibir dinero en su propia cuenta y reenviarlo, deduciendo una comisión. Lo que muchos no saben es que el dinero proviene de ataques de phishing. Quienes ponen su cuenta a disposición cometen un delito de lavado de dinero y corren el riesgo de que se cancele su cuenta y se presenten cargos penales.
Por qué los ataques se intensifican ahora
La gran acumulación en diciembre no es casualidad, sino que sigue una lógica estacional.
- Alto volumen: Los consumidores reciben docenas de correos electrónicos legítimos de tiendas y bancos, lo que disminuye su atención.
- Presión emocional: El miedo a que se bloqueen las cuentas es mayor justo antes de las fiestas.
- Tiempos de respuesta más largos: Debido a las fiestas, los tiempos de respuesta del servicio de atención al cliente pueden ser más largos, lo que brinda a los atacantes una mayor ventana de tiempo.
Los expertos observan una evolución cualitativa gracias a las herramientas de IA. Incluso las direcciones de remitente se manipulan de forma engañosamente auténtica mediante el “spoofing”.
Qué deben hacer los consumidores ahora
Los expertos en seguridad esperan que los ataques continúen hasta el Año Nuevo. Después, podrían surgir nuevos temas como “nuevos términos y condiciones para 2026” o “declaraciones de impuestos”.
Los consumidores deben ser extremadamente escépticos. Una regla simple siempre se aplica: los bancos nunca solicitan por correo electrónico o SMS que se introduzcan PIN o TAN. En caso de duda, no utilice el enlace del correo electrónico, sino que introduzca manualmente la dirección web del banco o inicie la aplicación oficial.
Si ya ha revelado datos, debe actuar de inmediato: bloquear el acceso a través del número de emergencia 116 116 y presentar una denuncia ante la policía. La ola actual demuestra que el ser humano sigue siendo el eslabón más débil de la cadena de seguridad.
PS: Muchos ataques de phishing exitosos comienzan con mensajes aparentemente inofensivos como “Por favor, revise su bandeja de entrada” o supuestas actualizaciones de aplicaciones. Nuestra guía gratuita Anti-Phishing explica, con casos actuales, cómo reconocer mensajes sospechosos, qué pasos seguir si sospecha algo y cómo asegurar rápidamente el acceso a su cuenta. Además, incluye plantillas para la comunicación con los bancos y una lista de verificación para bloquear cuentas comprometidas. Asegura ahora la guía gratuita Anti-Phishing
