Los datos oficiales de ciberseguridad muestran el incremento constante de los fraudes digitales. En Ribón Abogados comprendemos la inquietud que surge al ser víctima de estas estafas. Ya sea por phishing u otros métodos fraudulentos, si tu dinero ha sido transferido sin tu consentimiento y la entidad bancaria no responde, estamos a tu disposición. Contacta con nuestro equipo de expertos que, con más de 20 años de experiencia en la defensa de los derechos del consumidor, te acompañarán en cada paso para recuperar el capital defraudado.
Tipos de fraudes bancarios
Existen diferentes modalidades de fraudes bancarios, citamos los más habituales:
Phishing: Sofisticada estafa informática que se puede definir como la «pesca de datos», cuyo objetivo es causar un daño patrimonial a un tercero mediante la utilización fraudulenta de sus claves. Este tipo de fraude se ha convertido en una amenaza constante en el mundo digital, evolucionando junto con la tecnología para engañar incluso a los usuarios más cautelosos.
Pharming: Es un ciberataque utilizado para obtener datos personales de los usuarios, por medio de enlaces de sitios web falsos.
SIM swapping: Estafa que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil de una persona suplantando su identidad, y después, una vez que la víctima se queda sin servicio telefónico, accede a su información personal y toma el control de su banca digital utilizando los SMS de verificación que llegan al número de teléfono.
Smishing: Es una modalidad de estafa en la que los ciberdelincuentes utilizan mensajes de texto (SMS) engañosos para conseguir información personal o financiera de sus víctimas, como contraseñas o números de tarjetas de crédito.
Spear phishing: Los ciberdelincuentes, tras conseguir información de los usuarios disponible en Internet (por ejemplo, en redes sociales) dirigen correos electrónicos más personalizados.
Vishing: Técnica de estafa de ingeniería social que se lleva a cabo a través de llamadas telefónicas. Durante la llamada, el estafador se hace pasar por un empleado de una empresa conocida y solicita datos personales sensibles bajo el pretexto de realizar algún tipo de verificación o incluso intenta obtener acceso remoto a los dispositivos de la víctima.
Whaling: Se trata de un phishing dirigido a los peces gordos (de ahí su nombre, whale = ballena), a los altos ejecutivos de una empresa, con el objetivo de conseguir datos confidenciales, información sensible, mediante el engaño.
¿Cómo funciona el phishing?
El phishing consiste en la captación ilícita de datos personales, principalmente relacionados con claves para el acceso a servicios bancarios y financieros. Esto se logra a través de correos electrónicos o páginas web que imitan la imagen de una entidad bancaria o financiera.
El término «phishing» proviene del inglés «password harvesting fishing», que significa cosecha y pesca de contraseñas. En este proceso, se utilizan personas llamadas «muleros», quienes abren cuentas corrientes para transferir los fondos obtenidos fraudulentamente, cobrando una comisión por ello.
Técnicas de engaño
Con frecuencia, el phishing se inicia con la suplantación de la identidad del banco por parte del phisher, con el fin de adquirir información confidencial sobre contraseñas de cuentas bancarias, tarjetas de crédito u otra información sensible. El internauta recibe un correo electrónico o mensaje instantáneo que le informa de la necesidad de cambiar sus claves bancarias, proporcionándole un enlace a una página web que simula ser la del banco. Esta página fraudulenta captura las credenciales originales y las envía al phisher.
Ejemplo de caso real: Recepción de un correo electrónico que aparenta provenir de la entidad bancaria de la víctima. Estos correos suelen incluir el logo y diseño corporativo del banco para parecer legítimos. Mediante el e-mail se notifica al usuario sobre un problema de seguridad en su cuenta, con un mensaje alarmante que expresa «actividad sospechosa» o «bloqueo temporal» debido a un intento de acceso no autorizado, instando al usuario a hacer clic en un enlace proporcionado en el correo para «verificar su identidad» o «restablecer su contraseña». Este enlace dirige a una página web falsa que imita la página de inicio de sesión del banco real. Una vez en la página web falsa, se solicita al usuario que introduzca sus credenciales de acceso (usuario y contraseña), así como otros datos personales como el número de tarjeta de crédito, fecha de caducidad y código CVV. Con la información obtenida, los ciberdelincuentes acceden a la cuenta bancaria real del usuario y realizan transferencias no autorizadas, compras online o solicitan préstamos a su nombre.
La razonabilidad del engaño
El éxito del phishing radica en la capacidad del phisher para crear una apariencia de urgencia o peligro que induce a la víctima a actuar precipitadamente. Esto puede incluir el bloqueo de tarjetas de crédito o la simulación de una relación legítima con la empresa suplantada. La colaboración activa de la víctima es crucial, y los autores se esmeran en que la comunicación sea creíble.
Medidas de prevención
- Sospechar de correos electrónicos no solicitados que soliciten información personal o financiera.
- Verificar la autenticidad del remitente del correo electrónico.
- No hacer clic en enlaces incluidos en correos electrónicos sospechosos.
- Acceder a la página web del banco directamente a través del navegador, en lugar de utilizar enlaces proporcionados en correos electrónicos.
- Mantener el software de seguridad actualizado.
- Contactar directamente con el banco ante cualquier duda o sospecha.
¿Qué hacer si he sido víctima de un fraude bancario?
Lo primero que debe hacer un afectado por phishing es contactar con el banco lo antes posible tras detectar el fraude.
La notificación rápida permite a la entidad financiera adoptar medidas para tratar de bloquear la operación fraudulenta solicitando al mismo tiempo la retroacción de cualquier cargo no autorizado (devolución de un cobro que se ha realizado sin autorización en una cuenta bancaria o tarjeta de crédito).
En segundo lugar, acude a la Policía Nacional o Guardia Civil para interponer la correspondiente denuncia, a la que podrás adjuntar el certificado de las operaciones no autorizadas que deben facilitar las entidades financieras.
El siguiente paso es el de presentar una reclamación extrajudicial. Esta reclamación debe estar bien fundamentada y acompañada de toda la documentación que acredite el fraude sufrido.
Si la respuesta de la entidad bancaria es omisiva (no responden) o negativa, y además alegan negligencia grave del usuario, nuestro consejo es actuar a través de la jurisdicción civil mediante la interposición de una demanda en ejercicio de la acción de responsabilidad civil del artículo 45 de la Ley de Servicios de Pago.
Jurisprudencia relevante
AP Cantabria, Sec. 4.ª, 458/2024, de 12 de julio. Recurso 788/2023: El hecho de pinchar en un link e introducir la clave para vincular el dispositivo a la banca digital no se considera negligencia grave pues la usuaria no fue consciente que estaba autorizando al banco a realizar una transferencia
AP Madrid, Sec. 10.ª, 462/2024, de 7 de noviembre. Recurso 368/2024: Condena a la entidad bancaria a restituir de inmediato el importe de la operación al no apreciarse negligencia grave en la actuación de los actores, víctimas de phishing, observándose que el banco actuó sin tomar las medidas de seguridad exigidas
Aspectos Legales del Phishing
El marco legal aplicable se encuentra en el Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago. Esta disposición establece en su art. 45 que las entidades bancarias tienen una responsabilidad «cuasi objetiva» para reintegrar al titular de la cuenta las cantidades dispuestas no autorizadas, excepto en casos de fraude o negligencia grave por parte del cliente.
Destacar también los arts. 41 y 42 que establecen las obligaciones del usuario y de las entidades bancarias respectivamente.
Conclusión
El phishing representa un desafío significativo para la seguridad cibernética y patrimonial.
Los usuarios deben estar siempre alerta, y las entidades financieras deben esforzarse por implementar medidas de seguridad más robustas para proteger a sus clientes de estas sofisticadas estafas. La educación y la concienciación son herramientas clave para prevenir este tipo de fraudes.
Imagen de Mohamed Hassan en Pixabay
