El ciberfraude es una actividad delictiva que utiliza métodos y herramientas digitales para engañar a personas y organizaciones con el fin de obtener beneficios económicos.
Una de las técnicas que se utiliza para ello es el phishing. Consiste en enviar correos electrónicos o SMS falsos haciéndose pasar por bancos u otras empresas para apropiarse de información personal o financiera.
Y este fue el asunto principal que diversos expertos en la materia trataron ayer en el Colegio de la Abogacía de Madrid (ICAM) en una mesa redonda moderada por el abogado Pedro Fernández-Villamea. Llevaba por título: «Ciberfraude al consumidor, responsabilidades legales y retos para el sector».
Uno de los ponentes fue Edmundo Rodríguez Achútegui, magistrado de la Audiencia Provincial de Vizcaya, el cual resaltó que, en este tipo de situaciones, «pocas veces se consigue encontrar al malo». Ello en relación a que, si se localiza en Rusia, es difícil que se le exija responsabilidad civil.
No obstante, comentó que todo lo relacionado con los bancos y la forma de comunicarse con ellos ha cambiado mucho en los últimos tiempos. Por ejemplo, antes, si una persona se daba cuenta de que tenía un cargo indebido en su cuenta, lo primero que hacía era ir a su sucursal más cercana para solucionarlo.
«Relacionarse con un banco es una odisea»
Pero «relacionarse con un banco es una odisea». Pues suelen exigir una cita previa y en los teléfonos de atención al cliente no siempre contestan. «Es difícil reaccionar inmediatamente» ante la sospecha de un fraude, resaltó.
De modo que el magistrado comentó que, si el coste de tener a empleados físicos desaparece y casi todo se hace virtual a través de la aplicación, «lo lógico» es, si se pincha en un enlace que se hace pasar por el banco, se exijan responsabilidades a la entidad.
Y es que, según explicó Rodríguez Achútegui, cuando se produce un ciberfraude, es el banco el que tiene la obligación de demostrar en el juzgado si concurren algunos de los supuestos que le permitan exonerarse de responsabilidad. Ello puede ser, por ejemplo, que el cliente haya incurrido en una negligencia grave.
Ahora bien, ¿es negligencia grave pinchar en un link aparentemente verídico?, se preguntó. «Con la ley en la mano, nunca. Negligencia grave es una actuación descuidada que hace que todo el mundo tenga tus credenciales». Ya sea, «gritando a voces tus contraseñas o teniéndolas apuntadas en el teléfono», explicó.
«El fraude se ceba con los más débiles»
Por otro lado, Adrián Gómez Linacero, letrado de la administración de justicia del juzgado 104 bis recordó que, al igual que avanza la tecnología, avanza el fraude «y se ceba con los más débiles». Esto es, personas de la tercera edad.
Con respecto a errores que encuentra en las demandas presentadas contra bancos, manifestó que el que más se comete es «dar un relato minucioso y detallado de todo lo que ha ocurrido porque no hay que perder de vista que hay una inversión muy fuerte de la cara de la prueba».
Con datos concretos se refirió a fechas exactas, cantidad de dinero, o las horas en las que el cliente ha pinchado en un SMS fraudulento. «Quien tiene que acreditar es el banco, siempre que hay engaño de por medio con delito, no puede haber negligencia grave».
Y el phishing, a su juicio, no puede calificarse como negligencia.
La dificultad de recaban evidencias en ciberfraude
Otra de las ponentes fue Marisa Protomártir Sánchez-Cascado, directora del departamento legal de ASUFIN, la cual habló de los principales retos a la hora de resolver asuntos de ciberfraudes. El principal «es recabar evidencias».
El modo de operar es el siguiente: el ciudadano recibe el SMS fraudulento del banco, pinchan en el enlace y los delincuentes llaman. Se hacen pasar por trabajadores de la sucursal pero cuando ya les han quitado el dinero, les dicen que deben borrar el SMS.
«A veces lo que nos pasa es que no tenemos rastro y el consumidor está nervioso. Por lo que suele contar versiones distintas tanto en la reclamación al banco, como a la policía como a nosotros. Es difícil tratar de hilar evidencias».
Su experiencia en los tribunales en estos asuntos es muy dispar. «Unas veces el juez estima, y otras desestima porque el usuario ha incurrido en negligencia muy grave. Pero otro problema es que como las cantidades son muy pequeñas, unos mil o dos mil euros, te tienes que conformar con la sentencia porque no la puedes apelar».
Asimismo, César Cabanas Burkhalter, director comercial y desarrollo de negocio, informática forense y ciberseguridad comentó que, lo primero que hay que hacer cuando estamos ante un incidente de seguridad es «detectarlo aunque parezca una obviedad».
Y es que, según explicó, el tiempo que pasa entre que una empresa es comprometida hasta que se detecta es de 6 meses.
En segundo lugar resaltó la importancia de evitar que se propague y ver qué parte de la infraestructura se ha visto afectada. Y, por último, preservar las evidencias y poner barreras para que no vuelva a ocurrir.
