Este artículo surge al hilo de la desarticulación de una red de cibercriminales, liderados por un menor, a través de la cual se estafó a 200 personas en dos meses con técnicas como el «phishing». Pueden ver el detalle de la noticia publicada en El País haciendo clic aquí.
Entre las muchas variantes de ciberataques se ha popularizado el «phishing» en el que los atacantes suplantan la identidad de otro, fingiendo ser empresas conocidas u organismos públicos.
El objetivo del «phishing» es conseguir que la persona revele información personal como contraseñas, datos de tarjetas de crédito y números de cuentas bancarias para retirar fondos. Para conseguir dicho objetivo, el atacante enviará mensajes de texto (SMS) o correos electrónicos fraudulentos que parecen provenir de organizaciones legítimas, por ejemplo, una entidad bancaria. En los mensajes o correos se solicita a la víctima que actualice, valide o confirme cierta información, por ejemplo, para desbloquear su tarjeta de crédito, sugiriendo que hay un problema que obliga a su bloqueo. Haciendo clic en el enlace del mensaje para desbloquear la tarjeta se dirige a la víctima a una página web falsa y se le embaucada para que facilite la información pretendida por los atacantes. Para generar confianza en la víctima, los atacantes copiarán la estética del sitio web oficial de la entidad bancaria, emplearán sus señas de identidad como colores corporativos, tipografía, etc.
Esta es una estafa bastante común que se disfraza de múltiples formas, pero en la que es fácil caer, sobre todo si se desconoce la operativa del atacante.
Responsabilidad de las entidades bancarias
Frente a la reclamación del usuario –tras sufrir un perjuicio patrimonial por un ataque de «phishing»– la defensa habitual de las entidades bancarias es achacar al usuario una actitud negligente. Más que la negligencia en el usuario, la balanza se inclinará en favor o en contra de la entidad bancaria en función de la diligencia que haya tenido para proteger los intereses de sus usuarios.
No basta con medidas genéricas de protección o avisos estereotipados de cuidado o alerta, sino que la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas, a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos, sin que se repute suficiente los avisos genéricos de los bancos, por ejemplo, a través de su sitio web, que ostentan la calificación de fórmulas predispuestas, vacías de contenido.
Un ejemplo de diligencia debida por las entidades bancarias sería establecer un mecanismo por el cual comprobar que el número de teléfono desde el que se ordena la transacción se encuentra entre los que hubiera registrado a su nombre la víctima en su ficha de cliente.
No existe negligencia grave del cliente por introducir las credenciales de uso personal en una página que imitaba las del sitio oficial de la entidad bancaria emisora de su tarjeta (AP de Pontevedra, Sección 6ª, Sentencia nº 539/2021, de 21.12.2021, Rec. 346/2021).
Hacer clic en el link que se indicaba en el mensaje fraudulento y facilitar los datos y clave de la tarjeta, carece de la gravedad suficiente para atribuirle responsabilidad a la víctima, pues el método empleado es difícilmente detectable por un cliente medio. La responsabilidad exigida a la entidad bancaria, como proveedora del servicio de pago, le obliga a adoptar medidas técnicas de seguridad «antiphishing». La información sobre prevención facilitada a través de la página web corporativa es insuficiente. El hecho de que el cliente no tuviera activado el sistema de alarma en la tarjeta no exonera a la entidad que debe adoptar una conducta activa de prevención (AP de Madrid, Sección 2ª, Sentencia nº 184/2022, de 22.05.22, Rec. 945/2021).
A lo anterior se une otra circunstancia que sirve para declarar la responsabilidad de las entidades bancarias, por ejemplo, cuando no han tomado las medias de bloqueo de las cuentas en el momento en que el demandante llamó para poner en su conocimiento la desaparición de los fondos (AP de Burgos, Sección 3ª, Sentencia nº 482/2022, de 05.12.22, Rec. 340/2022).
Esta modalidad fraudulenta para realizar operaciones no autorizadas es conocida –sobradamente– por las entidades bancarias, por ello se les exige adoptar medidas de seguridad específicas. La entidad no puede ofrecer un sistema de banca online sin antes haber adoptado tales medidas de seguridad, pues es quien ofrece el servicio con conocimiento de los riesgos que comporta (AP de Zaragoza, Sección 5ª, Sentencia nº 804/2022, de 01.07.2022, Rec. 1130/2021).
Conclusión
Las entidades bancarias están tomando medidas técnicas y realizando advertencias constantes sobre el «phishing» a sus clientes y esto se tomará en cuenta por parte de los tribunales en caso de ser demandados por daños y perjuicios. Aunque pocos, ya hay pronunciamientos judiciales a favor de las entidades bancarias, cuando el usuario ha incurrido en negligencia grave, si bien la línea que separa la negligencia de la negligencia grave es muy delgada y eso da lugar a cierta inseguridad jurídica.
Como dice el siempre sabio refranero español: «Más vale prevenir que lamentar». Estén bien atentos a los ciberataques que cada vez son más elaborados y van en aumento.
