Las estafas informáticas suponen
el 90 % de todos los ciberdelitos en España.
Según los últimos datos publicados por el Ministerio del Interior (3T 2023 ) la “cibercriminalidad” supone un 16,7% de toda la delincuencia registrada en el año 2023, lo más llamativo es que las estafas informáticas suponen un 90% de todos los ciberdelitos, y que estos tienen crecimiento anual de aproximadamente el 20%
En este contexto se van perfeccionando formas de fraude electrónico para engañar a los usuarios y robar información confidencial o directamente acceder a sus cuentas bancarias.
¿Qué es el Phishing?
El phishing es una forma de fraude electrónico en la que los delincuentes se hacen pasar por entidades de confianza para engañar a los usuarios y obtener información confidencial, como contraseñas, números de tarjetas de crédito o información personal.
A este tipo de intentos de engaño se le conoce generalmente como phishing, y se basan en la suplantación de identidad de entidades bancarias y otras organizaciones a través de correo electrónico, esta denominación se aplica extensivamente a los fraudes mediante suplantación de identidad, aunque técnicamente según el método utilizado para la ejecución del fraude tiene una denominación u otra.
Es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico.
Características del Phishing:
- Suplantación de Identidad (Spoofing): Los estafadores falsifican la identidad de una entidad de confianza, como un banco o una empresa, utilizando correos electrónicos, mensajes de texto o páginas web fraudulentas.
- Urgencia o Amenazas: Los ataques de phishing a menudo incluyen mensajes que generan urgencia o amenazas para presionar a las víctimas a tomar medidas impulsivas, como hacer clic en enlaces o proporcionar información sensible para evitar cargo en cuenta o pérdida de credenciales, suspensión de determinado servicio etc..
- URLs Engañosas: Los enlaces en correos electrónicos de phishing suelen parecer legítimos, pero dirigen a las víctimas a sitios web fraudulentos que imitan a los originales, mediante los que capturan las credenciales legítimas de los usuarios.
Tipos de Phishing:
- Phishing de Correo Electrónico: Los ciberdelincuentes envían correos electrónicos fraudulentos que aparentan ser de una fuente confiable, solicitando información confidencial.
- Phishing de SMS (Smishing): Similar al phishing por correo electrónico, pero utilizando mensajes de texto para engañar a las personas.
- Phishing de Redes Sociales: Los estafadores crean perfiles falsos en redes sociales para obtener información personal o engañar a las personas para que hagan clic en enlaces maliciosos.
- Phishing de Ingeniería Social: Los atacantes utilizan información disponible públicamente sobre la víctima para personalizar los ataques, haciéndolos más convincentes.
El phishing de correo electrónico se combina a veces con el pharming, que es el ataque mediante la instalación de un código malicioso inserto en algún archivo de apariencia legítima, una factura, un informe, etc. El código malicioso que se utiliza en los ataques de pharming cambia la información de la dirección IP, lo que redirige a los usuarios a sitios web falsos sin su conocimiento o consentimiento. Una vez redirigidos a estas webs falsas, se pide a los usuarios que introduzcan información personal, que luego se utiliza para cometer robos de identidad o fraudes financieros.
Otra técnica al respecto es el sim swapping, que consiste básicamente en duplicar la tarjeta sim del teléfono de la víctima suplantando su identidad ante la operadora de telefonía, una vez que la víctima se queda sin servicio telefónico, el atacante accede a su información personal y toma el control de sus aplicaciones, suplantándole en sus redes sociales, cuentas de correo electrónico o banca digital, utilizando los SMS de verificación que llegan al número de teléfono. De esta forma el ciberdelincuente puede recuperar los mensajes de texto de confirmación con las claves y realizar algún ciberdelito con estas credenciales, como puede ser realizar una operación bancaria y suplantaciones de identidad.
El vishing es una técnica diferente porque se realiza mediante una llamada de voz, haciéndose pasar por una entidad bancaria u otra entidad conocida por la víctima. Es un fraude muy elaborado del tipo de ingeniería social, conlleva conocer ciertos detalles personales del usuario para generar confianza y de la entidad a la que se suplanta. Generalmente para que el atacante tenga acceso a este nivel de datos suele deberse a una brecha de seguridad en la que se ha accedido a varios tipos de datos de los usuarios (sucursal, número de cuenta, teléfono de contacto, nombre apellidos etc).
La prestación de los servicios de pago, su régimen jurídico, el nivel de información aplicable a estas operaciones y los derechos y obligaciones de proveedores y usuarios viene regulado en Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que traspone al ordenamiento español lo dispuesto en la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE.
Esta normativa incluye la obligación para la entidad bancaria de establecer autenticación reforzada cuando se acceda a la cuenta, se inicien operaciones de pagos o cualquier otra acción que conlleve riesgo de fraude en el pago.
¿Qué es la autenticación reforzada?
Es la autenticación (identificación) basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes –es decir, que la vulneración de uno no compromete la fiabilidad de los demás–, y concebida de manera que se proteja la confidencialidad de los datos de identificación. Esto se conoce como 2FA o doble factor de autenticación y se encuentra implementado en todas las entidades. Los ataques de phishing buscan romper o vulnerar esta medida de seguridad de modo que tengan acceso y modificar claves de acceso y medios de para comprobar identidad mediante autenticación reforzada, es decir, modifican número de móvil al que recibir sms o claves de acceso, emails en los que se reciben códigos de confirmación etc.
¿Cómo evitar caer en un fraude phishing?
1. Debemos desconfiar siempre de sms o emails de entidades de confianza (bancos, correos, agencia tributaria, empresas de servicios) en los que nos pidan acceso a nuestra cuenta, o modificar urgentemente datos de acceso, y nunca acceder a nuestra cuenta mediante el enlace que se adjunta.
2. No facilitar nunca las claves de acceso, ni mediante mensajes ni mediante llamadas de voz. Las entidades bancarias nunca solicitarán nuestras credenciales. Nada es tan urgente que no nos permita identificar y verificar la comunicación recibida mediante el canal oficial de nuestro banco.
Si hemos sido víctimas de una acceso indebido o suplantación.
1. Comunicarlo a la mayor brevedad posible a la entidad bancaria y procediendo al bloqueo de las tarjetas o cuentas corrientes expuestas al fraude.
2. Indicar a la entidad bancaria que abra una incidencia por el fraude sufrido solicitando que reembolse las cantidades defraudadas.
3. Denunciar los hechos en la comisaría de policía y facilitar los datos de la denuncia a la entidad bancaria para que tenga conocimiento de la denuncia.
4. Contratar a un abogado porque el banco no te va a devolver el dinero voluntariamente.
¿Tienes derecho a que te reembolsen el dinero que te hayan sustraído?
Sí. Si has sufrido un fraude y han accedido a tu cuenta vulnerando las medidas de seguridad puedes reclamar que el banco te devuelva las cantidades que te hayan sustraído.
Establece el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que en caso de operaciones no autorizadas el proveedor de servicios de pago deberá devolver el importe de la operación de pago no autorizada.
La excepción a esta responsabilidad de la entidad se encuentra en los supuestos en los que el usuario de los servicios incurre en negligencia grave o actúa de manera fraudulenta.
Esta excepción es la que utilizará la entidad bancaria para defender que no tiene obligación de devolución de cantidad alguna y achacará a la víctima del engaño la responsabilidad en la custodia de sus claves de acceso y credenciales,aún cuando se haya acreditado la estafa por parte de terceros y los cargos no autorizados. Sin embargo, existe jurisprudencia bastante contundente en este sentido y confirma la obligación de las entidades de devolver las cantidades defraudadas siempre que el usuario haya actuado diligentemente.
¿Qué fundamentos legales existen para reclamar la devolución de los fondos sustraídos?
En mi opinión partimos de la base de que nos encontramos ante un contrato de cuenta corriente (contrato atípico) mediante el cual el banco ejecuta las instrucciones del cliente en cuanto a los pagos a realizar a cambio de determinadas comisiones, asumiendo la responsabilidad de un comisionista, tal y como establece el Tribunal Supremo, STS 29/12/1995, en el mismo sentido la STS nº 311/2016 de 12 de mayo de 2016, indica que la revisión y confirmación de la identificación del cliente es exigible a la entidad como supuesto básico de diligencia exigible en relación con sus obligaciones de gestión y custodia de los fondos depositados. Es indudable que la disposición de fondos depositados en una cuenta corriente o de depósito bancaria por parte de una persona que no podía hacerlo por no ser la titular ni estar autorizada por ésta supone un incumplimiento contractual, con la correspondiente obligación de la entidad de la devolución de los fondos y la indemnización de daños y perjuicios de los artículos 1101 y 1106 del C. Civil (STS nº 915/2011, de 16/12/2011) .
Por otra parte, el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera traspone la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, y establecen un régimen de responsabilidad para los proveedores de servicios de pago cuasi objetivo para estos supuestos. Los artículos 43 a 46 RDL 19/2018 establecen la obligación de reembolso de los fondos salvo en caso de que el cliente haya actuado fraudulentamente, o incurrido en negligencia grave incumpliendo voluntariamente las obligaciones en cuanto a custodia de calves y datos de acceso a su cuenta.
Esta excepción de la responsabilidad de la entidad bancaria por actuación negligente del usuario es sobre la suele girar la defensa jurídica las reclamaciones judiciales. La negligencia grave exigida debe ser algo más que un descuido, ya que la norma la coloca a un nivel similar a una conducta fraudulenta. No custodiar adecuadamente las credenciales o claves de acceso o dejar una sesión abierta en un equipo informático de acceso público podría considerarse negligencia grave pero no, en mi opinión, cuando se accede a páginas web simuladas por error inducido o cuando se facilitan claves a un tercero mediante engaño.
Como resumen enlazo la reciente sentencia de 23 de noviembre de 2023 del Juzgado de Primera Instancia nº 2 de San Bartolomé de Tirajana en la que se recoge muy acertadamente tanto las obligaciones legales, la doctrina jurisprudencial como el concepto de negligencia una vez se ha sido víctima de un engaño. En esta resolución se estima nuestra demanda y la clienta obtuvo la devolución de las cantidades sustraídas así como la condena en costas de la entidad bancaria.
- FUN FACT. La entidad bancaria exige que se interponga denuncia en comisaria para poder gestionar la incidencia y reclamar la devolución de los fondos sustraídos posteriormente en el procedimiento judicial alegará prejudicialidad penal (aunque la naturaleza indemnizatoria es diferente y no es en esencia un obstáculo para la prosecución del procedimiento en vía civil).
- FUN FACT 2. La clienta que sufrió el fraude en el asunto analizado en la sentencia enlazada llamó a la cadena de tiendas especializada en electrodomésticos y productos informáticos en la que se efectuaron los cargos indeseados y no le dieron información sobre las compras porque no había sido ella quien compró los productos. 😊
*Fuente datos incidencia cibercriminalidad. Informe Ministerio del Interior tercer trimestre 2023.
Blog de Raúl G. Gámez 