Estaremos todos de acuerdo en que ésta es la puerta al conocido fraude del phising, que es la evolución del timo de las famosas cartas nigerianas de finales del siglo XX y que hoy todavía sigue funcionando bajo otras versiones.
Con el tiempo, los estafadores han ido desarrollando nuevas estrategias adaptadas a las actuales tecnologías, especialmente a través del teléfono móvil pues cada vez nos conectamos menos a la bandeja de email y en cambio estamos colgados del móvil para cualquier actividad ya sea profesional o de ocio.
Tenemos que tener claro a la hora de evitar una estafa que el objetivo principal de los estafadores no es engañarnos, sino ganarse nuestra confianza, ya que una vez lograda conseguir engañarnos será pan comido para estos profesionales de la estafa.
“Hay dos tipos de personas, aquellas a las que les han ciberestafado y aquellas a las que les van a ciberestafar”
Para obtener nuestra confianza cuentan con un poderoso aliado cual es la dependencia que tenemos de nuestros Smartphones, ya que a través de ellos realizan las prácticas cibernéticas con las que engañan a todo tipo de consumidores. Nadie está a salvo de ser engañado y como dice el dicho de Ciberseguridad: “Hay dos tipos de personas, aquellas a las que les han ciberestafado y aquellas a las que les van a ciberestafar”
El SMS SPOOFING.
La primera de estas técnicas, denominada SMS Spoofing, se realiza mediante el envío de mensajes de texto, pero a diferencia del SMISHING, en el que el mensaje procede de un número desconocido, el estafador envía el SMS con un texto interno "trampa" logrando confundir a nuestro Smartphone y haciendo que el mensaje se aloje en el hilo de SMS que nuestro banco nos ha mandado anteriormente por lo que en principio vamos a pensar que es un SMS enviado por nuestro banco.
En el mensaje, por tanto, se comunica un supuesto problema que sólo puede resolverse a través de un enlace adjunto. Puede ser un mensaje del tipo, “Se ha producido un acceso a tu cuenta bancaria desde un dispositivo no autorizado”, “Se ha producido un bloqueo o reducción del límite por seguridad de tu tarjeta de Crédito” o algún mensaje similar que nos cause alarma.
En el texto del enlace aparece el nombre de nuestro banco y al pinchar sobre él se carga una web aparentemente idéntica a la de nuestra banca digital y en la que nos piden los datos de contraseña y usuario para comprobar los datos que nos han sido comunicados por SMS. El cliente, confiando en que se encuentra en el sitio de su propio banco, introduce sus datos de acceso, lo que permite al estafador robarlos y utilizarlos inmediatamente para acceder desde su guarida a todos nuestros datos bancarios e intentar realizar transferencias a su favor. El problema que tiene el estafador es que debido a las medidas de doble autenticación implementadas por los bancos en los últimos tiempos necesita tener acceso al móvil del cliente para poder usar los códigos que el banco manda para completar las transferencias y es aquí cuando se produce el segundo engaño a través de la llamada telefónica usando la técnica del VISHING.
EL VISHING
Una vez obtenidos los datos bancarios del cliente a través del enlace, el estafador contacta con él por teléfono haciéndose pasar por el departamento de prevención del fraude del mismo banco, obteniendo la credibilidad del estafado dado que el estafador le tiene perfectamente identificado con sus números de cuentas bancarios, saldos, direcciones fiscales, recibos bancarios ya que está accediendo a todos los datos bancarios mientras habla con la víctima, incluso pueden lograr que el número que aparece en la pantalla de nuestro Smartphone sea el del banco en una nueva versión de Spoofing. Se conocen casos en los que, para ganarse aún más la credibilidad de la víctima, le envían mientras están hablando SMS con avisos de anulaciones de operaciones que gracias a su intervención han sido bloqueadas y que naturalmente no se han producido y que tampoco puede la victima comprobar porque ésta se encuentra colgada del móvil y no puede acceder a su app bancaria para comprobarlo
Una vez ganada la confianza de la víctima tras estos supuestos servicios del departamento de prevención del fraude, el estafador solicita más información, como claves temporales para autorizar la retrocesión de otros supuestos cargos realizados en su cuenta bancaria, recibiendo en ese instante la víctima un SMS de su banco con un código. Si la víctima le dice el código de ese SMS no estará anulando una operación bancaria, SINO COMPLETÁNDOLA, y el resultado será que el dinero sale de su cuenta para ir a otra controlada por el estafador.
Incluso puede ocurrir que el estafador convenza a su víctima de que sus cuentas bancarias están siendo atacadas por hackers y que por tanto lo mejor sería que realice él mismo las transferencias desde su cuenta a otra cuenta bancaria del supuesto departamento de prevención del fraude para que allí quede a salvo su dinero, logrando que la propia víctima transfiera sus fondos a una cuenta controlada por el estafador.
Por lo general, ante estos casos de variantes de phising, los bancos atribuyen la responsabilidad a la víctima, ya que es culpable de una falta "grave" en la custodia de sus claves, consistente en haber facilitado sus datos de acceso al estafador, con lo que la entidad de crédito permanece ajena al asunto.
La única manera de recuperar las sumas robadas, por tanto, sería identificar al defraudador, operación que dista mucho de ser sencilla.
Sin embargo, en referencia a estas formas más recientes de fraude, varias sentencias, tanto de Juzgados Ordinarios, como de Audiencias Provinciales, han dictaminado una responsabilidad "cuasi-objetiva" a las entidades bancarias con la condena al reembolso de la suma sustraída a la víctima por el defraudador.
Más concretamente, en este tipo de procedimientos, además de la responsabilidad contractual derivada de la relación con el usuario, la entidad bancaria tiene la carga de probar la negligencia del usuario, demostrando así que la víctima actuó con dolo o negligencia grave al facilitar sus credenciales o datos personales, y dado que el nivel demostrado por los estafadores es realmente elevado, se puede considerar que hubo engaño suficiente y que por tanto un consumidor bancario puede ser fácilmente engañado por esta operativa.
El banco también tiene la carga de probar que no hubo un mal funcionamiento del software, que no recibió informes de operaciones sospechosas y anómalas y, sobre todo, que dispone de un sistema de seguridad "fuerte", capaz de proteger las operaciones, cuentas y datos personales de sus titulares, y es aquí cuando surge la pregunta fundamental para decretar la responsabilidad bancaria en este tipo de casos:
¿Tenía el Banco la obligación de avisar a su cliente de que alguien estaba intentando acceder con su contraseña y usuario desde una dirección IP distinta a la habitual o desde un terminal no reconocido anteriormente e impedir el acceso a la misma hasta que el consumidor lo autorizara?
Según los protocolos de doble autenticación el banco debería haberlo impedido, de hecho, hay entidades bancarias que ya están implementando aplicaciones (APP) de firma para estos casos en los que se detectan intentos de accesos a la banca digital de sus clientes desde dispositivos no habituales y que no se permite el acceso hasta que el cliente lo autoriza desde la APP de su móvil.
En los casos citados correspondientes a estas modalidades fraudulentas específicas, al ser más difíciles de reconocer con la normal diligencia debida al usuario, pueden permitir eximir a la víctima de la negligencia "grave" necesaria para imputar la responsabilidad por lo ocurrido; de hecho, la entidad de crédito, al no acreditar la conducta negligente del titular de la cuenta y la seguridad real de sus sistemas, será considerada responsable de la apropiación indebida del dinero de la cuenta corriente, con la consiguiente condena al reintegro de las cantidades correspondientes.
Si ha sido víctima de estos tipos de phishing, es recomendable que:
- DENUNCIE LA ESTAFA en la comisaría de la Policía Nacional o Cuartel de la Guardia Civil más cercano.
- RECLAME ANTE SU ENTIDAD BANCARIA
- PONGASE EN CONTACTO con su DESPACHO DE ABOGADOS DE CONFIANZA