Una vez entrado el nombre de usuario y la contraseña en la página principal se abre otra ventana. Es una ventana emergente y la URL cambia. Incluso la URL de la página falsa emergente es dificil de distinguir de la verdadera. Las dos son de este tipo:
be.caja-ingenieros.es/....
Repito: la dirección del banco, aunque sacada del Goolgle, era la correcta. Incluso el código fuente de ella, el html, era 100% correcto. Lo comparé con el html descargado des de un ordenador no infectado y eran 100% iguales. La diferencia es que al entrar el nombre de usuario y el password desde un ordenador infectado, entonces, me mandaba a la página falsa.
Un clarificación: la URL de la página principal del banco, aunque sacada del Google, era la correcta!!!
No puedo entender cómo de ahí podía saltar a una página falsa tras introducir el nombre de usuario y la contraseña. Supongo que ese es el trabajo del virus.