Estas navidades han sido catastróficas para varios afectados por ciberestafas que tienen en común el spoofing (usurpación de identidad de la entidad bancaria en cuestión). SMS o llamadas que simulan provenir del banco para, mediante una treta u otra, vaciar la cuenta de ahorros de las víctimas.
A Ignacio, de Valencia, le robaron 38.000 euros mediante este tipo de engaño. A Miguel Ángel, de Madrid, 11.300 euros. Y a nuestra compañera María, de Trendencias, 1.700 euros.
Y aunque el argumento principal tras estas estafas es que por su modus operandi hicieron las transferencias de forma voluntaria, aunque fuese a costa de un engaño, el banco no tiene responsabilidad... sí puede tenerla.
"Empieza a haber sentencias que entienden que es algo achacable al banco"
Este tipo de estafas, que a veces trascienden a la prensa, no son casos aislados, sino un problema mucho más extendido de lo que puede parecer. Eduardo del Río Dutú, abogado especializado en ciberestafas en Asoban Abogados, nos explica que solo en su bufete, en el que dirige el departamento junto a su compañero Diego Zapatero, llegan de media cinco o seis casos al día. "Eso solo en nuestro despacho, al día. Imagina los que llegan al cabo del año en toda España".
Y eso sin contar los casos en que no se presenta denuncia alguna, o se presenta pero no se toman acciones legales. A veces por vergüenza de haber caído en este tipo de engaños, donde simplemente se asume la pérdida silenciosamente.
En otras ocasiones, por no tener esperanzas en poder recuperar lo robado, según nos explica el abogado. Pese a que sí debería haber esperanza en recuperar el dinero en cualquier caso, aunque sobre todo cuando no hemos hecho nosotros la transferencia.
Nos lo explica Eduardo: "Si el propio cliente hace la transferencia, es más difícil, aunque hay casos en los que pese a ello los bancos sí pueden tener responsabilidad en las ciberestafas. Pero si te quitan el dinero de la cuenta sin que hayas hecho absolutamente nada, eso es mucho más reclamable".
Esos casos que requieren hacer transferencias a mano "requieren más detenimiento". Según el documento legal que dispone las obligaciones bancarias en materia de seguridad, el Real Decreto-ley de servicios de pago, el banco debe autenticar las transferencias que se realizan. Esto implica que si alguien nos roba las claves de acceso y se hace pasar por nosotros, el banco ha de tener sistemas que detecten que en realidad no somos nosotros.
¿Qué ocurre si realmente somos nosotros quienes hacemos la transferencia... pero engañados por otra persona? "Hay sentencias dispares", dice el abogado. "La mayoría culpan al usuario que hizo la transferencia, pero está empezando a haber sentencias que entienden que es algo achacable al banco porque hay una deficiencia en su servicio".
Desde Xataka hemos tenido acceso a una de estas sentencias. Concretamente, a la del caso de una mujer que fue víctima de spoofing y accedió a un portal fraudulento en el que ingresó sus claves de acceso y los SMS de verificación que le llegaron. Así perdió algo más de 17.000 euros.
La sentencia entiende que no hubo negligencia grave por parte de la cliente, sino que fue víctima de un fraude "muy específico", y que la entidad bancaria "actuó sin tomar las medidas de diligencia y seguridad exigidas", por lo que fue condenado a la devolución del importe sustraído.
Para estos casos de spoofing, en el que alguien recibe una llamada de un número idéntico al de su banco y le dicen que ha de transferir su dinero a otra cuenta transmitiendo urgencia y peligro, accediendo a una web muy bien hecha, idéntica a la de nuestro banco... "Ahí puede interpretarse que la culpa es del banco por una deficiencia. El banco tiene que tener medidas técnicas de detección de fraudes, medidas informáticas para prevenir que esto ocurra porque alguien robe el diseño de su web o clone su número de teléfono. El banco a final es quien te custodia el dinero, es el responsable".
Otro ejemplo de una de estas estafas es el de María, la madrileña a la que robaron 1.700 euros. Es joven y está más que acostumbrada a los entornos digitales, pero la sensación de urgencia que le transmitió un SMS de su banco que se coló en el hilo de mensajes habitual, según nos contó ella misma, fue suficiente como para vaciarle la cuenta. Durante la estafa, los SMS de los estafadores se intercalaban con los de su banco en la misma conversación.
Imagen: cedida, Xataka.
En los últimos años hemos visto cómo las medidas de seguridad han ido aumentando, desechando por ejemplo las viejas tarjetas de coordenadas como método de validación para la operativa online, siendo reemplazadas por SMS de verificación. Ante un auge de casos de spoofing es de esperar que veamos cómo las medidas siguen evolucionando.
"Por ejemplo, si un cliente solo realiza transferencias de 20, 50 o 100 euros de vez en cuando, y un día hace diez transferencias de 300 euros... O una en la que envía de golpe todos sus ahorros a otro número de cuenta... Son operaciones que podrían detectarse y requerir otro tipo de verificación", añade Eduardo.
La banca es un sector que fue pionero en digitalización y en el uso de macrodatos, por lo que no suena descabellado que en el perfil de cada cliente se calculen de forma automática las cantidades a partir de las cuales se considera una actividad anormal, y por tanto, susceptible a un mayor nivel de seguridad.
Al no disponer aún de este tipo de medidas, es más planteable para la víctima defender su caso en búsqueda de la devolución por parte del banco del dinero estafado, incluso si fue la propia víctima quien hizo transferencia, movida por un engaño. "Se trata de hacer ver al banco que al proteger el dinero tiene la obligación de verificar que las autorizaciones que hace son normales. Si de golpe se van todos los ahorros de una cuenta, quizás eso no es normal", comenta el abogado de Asoban.
"Esto debe dar esperanza a la gente para recuperar su dinero", expone. Los despachos de abogados suelen recurrir a peritos informáticos para que certifiquen que una web no incluía las medidas adecuadas.
Si podemos esperar que la banca aumente sus medidas de protección ante ese tipo de estafas no es solo por la presión que añaden las víctimas que hacen público su caso, sino también el hecho de que pasar de estafas por phishing a estafas por spoofing las hace mucho más eficaces y masivas, al cambiar el perfil del estafado.
"El spoofing ha crecido muchísimo últimamente, son estafas muy sofisticadas. Antes, las víctimas del phishing solían ser gente de cincuenta años hacia arriba o con una exposición a la tecnología muy reducida en su vida. Ahora con el spoofing vemos muchas más víctimas, y de cualquier edad y condición. Veo estafas sobre las que pienso que yo mismo también podría haber caído", añade Eduardo.
El phishing a menudo era, dicho para entendernos, cutre, con webs poco convincentes para el ojo mínimamente entrenado, o faltas de ortografía notables. El spoofing, además de permitir ataques dirigidos, es mucho más sofisticado. Hasta utilizan certificados de titularidad de cuenta que parecen auténticos.
En Xataka | Estafa del conocido en WhatsApp: qué es, cómo funciona y cómo identificar y evitar este timo
Imagen destacada | Cedida, Unsplash
Ver 7 comentarios