El «phishing» es una técnica de ciberdelincuencia que consiste en engañar a los usuarios para obtener información, ya sean contraseñas o datos bancarios. Los atacantes suelen hacerse pasar por entidades confiables para enviarles correos electrónicos o mensajes que parecen verídicos.
Sin embargo, estos mensajes incluyen enlaces a webs falsas que imitan a las reales. Si la víctima introduce sus datos, se los está entregando al ciberdelincuente.
En más de una ocasión se ha visto cómo clientes de un banco han perdido miles de euros al ser engañados mediante una llamada telefónica.
El estafador se hace pasar por trabajador de una sucursal y le pide a su víctima que traspase todo su dinero otra cuenta porque la suya está «en peligro». Cuenta bancaria que, evidentemente, es propiedad del delincuente.
También se han visto sentencias en las que la Justicia ha condenado al banco. Ello por no haber tomado las medidas necesarias para evitar situaciones de «phishing».
Sentencias donde los bancos deben devolver el dinero a sus clientes
El Juzgado de Primera Instancia nº3 de Oviedo dictaminó que BBVA debía devolver 5.000 euros a un cliente que cayó en la trampa del «phishing». Le engañaron a través de un SMS que simulaba ser la entidad bancaria y le dijeron que «su cuenta había sido bloqueada temporalmente». Llevaron a cabo dos transacciones, una de 8,63 euros y otra de 5.700.
El banco recurrió y la Audiencia Provincial ratificó la decisión al entender que BBVA había incurrido en comportamientos cuestionables. Autorizó operaciones de elevado importe hechas desde Lituania cuando el cliente vivía en Asturias. Era sospechoso y no lo detectaron.
Lo mismo le ocurrió a Unicaja. El Juzgado de Primera Instancia e Instrucción Nº2 de Lena le condenó a devolver 5.000 euros a una clienta víctima de este tipo de estafa.
Aprovechando el proceso de fusión con Liberbank, los ciberdelincuentes se hicieron con decenas de credenciales de usuarios de su banca electrónica. Enviaron mensajes a ordenadores y teléfonos móviles en los que, haciéndose pasar por el banco, pedían que procediesen a actualizar los datos de su cuenta bancaria.
Obligaciones y la ley
Y es que, tal y como explica Gonzalo Oliver Martín, consultor senior en ciberseguridad de KPMG, los bancos tienen una serie de obligaciones para evitar las ciberestafas, algo que queda recogido en la Ley de Servicios de Pago y otras medidas urgentes en materia financiera.
Oliver Martín ha destacado dos artículos de esta ley. Por un lado, el 39, que establece que «la entidad financiera garantizará que las credenciales de seguridad personalizadas del usuario no sean accesibles a terceros y que las operaciones se realicen a través de canales seguros y eficientes».
Y el 45, que hace referencia a devolver importes de operaciones no autorizadas. En concreto, dice: «en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato».
Por tanto, ¿qué obligaciones tiene la entidad financiera? El experto ha detallado que el banco debe tener autorización reforzada, que implica que cada operación que el cliente realiza se validó por dos vías, la contraseña personal y un dato biométrico.
Además, la entidad debe disponer de medios de comunicaciones seguras, en lo posible, cifradas. Asimismo, en el caso de que el banco sospeche que una operación no ha sido autorizada legítimamente por el cliente, tiene la obligación de bloquear inmediatamente la cuenta.
Por último, el banco debe tomar alguna medida de prevención de «phishing» por sospecha de fraude y debe comunicar al Banco de España el incidente.
