Phishing: la amenaza permanente


El Instituto Nacional de Ciberseguridad alertó sobre una intensa campaña de phishing o robo de datos personales a través de Internet y telefonía que aprovecha el inicio de la campaña de la Renta para apropiarse de información bancaria a través de falsos SMS . Un ejemplo más de esta activa (y muy lucrativa) industria criminal.

.................................................

La campaña sobre la que ha alertado recientemente el Instituto Nacional de Ciberseguridad consiste en el envío masivo de SMS dirigidos, supuestamente, por Hacienda o la Seguridad Social donde se nos informa que nos deben ingresar 411 euros en concepto de devolución correspondiente a nuestra declaración de renta. Pero para recibir la transferencia, debemos actualizar nuestros datos bancarios en la web de la Agencia Tributaria, que aparece enlazada en el propio mensaje. Y al hacerlo, acabamos de abrir la puerta y dar acceso a nuestras cuentas bancarias a piratas informáticos porque no existe la orden de devolvernos 411 euros, el mensaje no proviene de ninguna administración ni la página web es de la Agencia Tributaria, aunque sea una réplica exacta.

Éste es tan sólo un ejemplo de reciente de phishing, las prácticas ilegales de piratas informáticos que durante 2023 afectaron a más de 300.000 personas en todo el Estado, con consecuencias millonarias. Pero hay muchos otros ejemplos. Quizás la práctica más extendida sea la de hacernos llegar un mensaje aparentemente dirigido por nuestra propia entidad bancaria en el que se nos dice que no sido posible realizar una determinada operación. Al comprobar de qué se trata, porque nosotros no hemos ordenado esta operación, accedemos a una página web que parece la de nuestro banco, pero no lo es, sólo tiene su apariencia. Y a través de las credenciales que introducimos en esta falsa web los piratas acceden a nuestros datos.

¿Qué ocurre a partir de ese momento? ¿Qué debemos hacer si a través de estas u otras formas de engaño los ciberdelincuentes han conseguido nuestros datos y accedido, por ejemplo, a nuestras cuentas bancarias?

La responsabilidad de los bancos

Muchas de las personas que han sufrido alguna de las variadas y cada vez más sofisticadas formas de estafa informática destinadas a obtener nuestros datos bancarios o suplantarnos con fines delictivos piensan que no tienen verdaderas posibilidades de recuperar el dinero sustraído. Pero eso está lejos de ser cierto. La realidad es que la legislación vigente en España establece que los bancos son responsables de velar por la seguridad de sus clientes y usuarios y garantizarles protección frente a riesgos inherentes a la utilización de medios digitales de pago. Y esa norma tiene muy pocas excepciones.

Efectivamente, la normativa vigente en materia de medios de pago digitales es Real Decreto-Ley 19/2018, que se aprobó de forma urgente para adaptar la Ley española a las exigencias de la UE referentes a protección de los consumidores de entidades bancarias. Esta norma es, por ejemplo, la que hizo obligatorio el doble sistema de autenticación que nos obliga a confirmar la identidad a través del teléfono móvil cuando realizamos una compra por Internet o a la hora de ordenar una transferencia.

El RDL 19/2018 establece lo que se denomina un sistema de “responsabilidad cuasi objetiva” de los bancos. Es decir, las entidades son responsables de preservar la seguridad de nuestros datos bancarios y personales y para ello, tienen la obligación de mantenerse alerta e impedir maniobras fraudulentas, llegando incluso a suspender temporalmente nuestra capacidad para operar si es necesario comprobar fehacientemente que somos nosotros y no una tercera persona quien ha ordenado un pago o transferencia. De esta forma, son los bancos quienes tienen la responsabilidad de comprobar que no existe ninguna intención fraudulenta detrás de las operaciones que afectan a nuestros datos y cuentas bancarias y adoptar todas las medidas necesarias para impedir y anticiparse a la actividad de los delincuentes informáticos si, por ejemplo, detectan movimientos o acciones poco habituales (pagos inusuales, importes poco habituales, destinatarios sospechosos...).

Como consecuencia de esta responsabilidad cuasi objetiva, la legislación obliga a los banca a devolvernos los importes que pueden haber sido sustraídos de nuestras cuentas bancarias con una única excepción: que el banco demuestre que hemos sido nosotros quienes de forma deliberada o por negligencia grave hemos incumplido con la obligación de custodiar nuestros datos. Y eso, tengámoslo claro, no es fácil de demostrar.

La negligencia grave de las usuarias

La única circunstancia que permite a los bancos rehuir la obligación de devolvernos el dinero es acreditar ellos mismos han adoptado todas las medidas posibles para impedir la acción delictiva y que ésta sólo ha sido posible como consecuencia de nuestra propia negligencia.

Aunque cada caso se debe analizar individualmente, lo cierto es que los tribunales españoles casi siempre descartan la existencia de negligencia por parte de las víctimas de phishing. Se considera que imputar negligencia a las personas que han sufrido una estafa sólo es posible en aquellos casos en que ésta resulta flagrante dada la creciente sofisticación de los métodos empleados por los delincuentes informáticos que, a menudo, hacen casi indetectable los intentos de robo, especialmente para personas que no son expertas en ciberseguridad o pueden no estar familiarizadas con el entorno digital. Además, debe considerarse que el Código Civil español determina que la negligencia grave implica «no proceder con la más mínima diligencia» o, sencillamente, «no hacer lo que todo el mundo hace y no prever lo que todo el mundo prevé».

Si no hay negligencia, ¿cómo recuperar el dinero?

Si hemos sido víctimas de un caso de phishing y detectamos operaciones que nosotros no hemos ordenado lo primero y más urgente que debemos hacer es contactar de forma inmediata con nuestra entidad para que anule el medio de pago intervenido por los ciberdelincuentes y genere lo más rápidamente posible unas nuevas credenciales de seguridad. Así evitaremos que el perjuicio pueda agravarse.

Una vez realizado este trámite, es necesario denunciar los hechos ante las fuerzas policiales. Para ello, es importante aportar toda la documentación e información que sea posible sobre cuál ha sido el medio utilizado por los piratas para conseguir nuestros datos y cómo se ha cometido el fraude del que hemos sido víctimas. Esta información es primordial no sólo para ayudar a esclarecer los hechos sino también para demostrar ante la entidad que no ha habido negligencia por nuestra parte.

Después de denunciar, debemos dirigirnos al servicio de atención al cliente de nuestra entidad para informarles de la denuncia presentada ante la policía y reclamar la devolución de los importes sustraídos. Teóricamente, la entidad dispone de 60 días para responder a nuestro requerimiento, a pesar de que éste es un plazo que no siempre se respeta. Si nuestro banco acepta los hechos y nos devuelve los importes, aquí habrá terminado nuestro problema. Pero, por desgracia, esto no es habitual. Los bancos responden en la mayoría de casos diciendo que por su parte se siguieron los procesos de autenticación establecidos por la normativa vigente y que los hechos no les son imputables sino que derivan de nuestra propia falta de diligencia. En este caso, no queda otro remedio que buscar el asesoramiento de personas expertas en la materia y acudir a los tribunales para exigir que el banco asuma su responsabilidad y obtener la devolución del dinero. Eso sí, ahora podemos hacerlo sabiendo que la legislación vigente nos reconoce el derecho a ver devuelto el dinero y que la obligación de demostrar la existencia de una posible negligencia corresponde a la entidad que, en caso de no poder hacerlo, tal y como es habitual, incurre en responsabilidades legales y contractuales respecto al perjuicio que hemos sufrido. Diariamente recibimos consultas de este tipo y en nuestro despacho no dejamos de obtener nuevas sentencias que reconocen los derechos de las personas afectadas que, por desgracia, cada vez son más. Por suerte, los juzgados suelen valorar la condición de víctimas de las personas afectadas por el phishing y descartar la existencia de negligencia.

Aquí os dejamos enlazadas algunas de las sentencias recientes conseguidas por Col·lectiu Ronda para que podáis ver qué razonamientos que suelen aplicar jueces y juezas:

.................................................

La campaña sobre la que ha alertado recientemente el Instituto Nacional de Ciberseguridad consiste en el envío masivo de SMS dirigidos, supuestamente, por Hacienda o la Seguridad Social donde se nos informa que nos deben ingresar 411 euros en concepto de devolución correspondiente a nuestra declaración de renta. Pero para recibir la transferencia, debemos actualizar nuestros datos bancarios en la web de la Agencia Tributaria, que aparece enlazada en el propio mensaje. Y al hacerlo, acabamos de abrir la puerta y dar acceso a nuestras cuentas bancarias a piratas informáticos porque no existe la orden de devolvernos 411 euros, el mensaje no proviene de ninguna administración ni la página web es de la Agencia Tributaria, aunque sea una réplica exacta.

Éste es tan sólo un ejemplo de reciente de phishing, las prácticas ilegales de piratas informáticos que durante 2023 afectaron a más de 300.000 personas en todo el Estado, con consecuencias millonarias. Pero hay muchos otros ejemplos. Quizás la práctica más extendida sea la de hacernos llegar un mensaje aparentemente dirigido por nuestra propia entidad bancaria en el que se nos dice que no sido posible realizar una determinada operación. Al comprobar de qué se trata, porque nosotros no hemos ordenado esta operación, accedemos a una página web que parece la de nuestro banco, pero no lo es, sólo tiene su apariencia. Y a través de las credenciales que introducimos en esta falsa web los piratas acceden a nuestros datos.

¿Qué ocurre a partir de ese momento? ¿Qué debemos hacer si a través de estas u otras formas de engaño los ciberdelincuentes han conseguido nuestros datos y accedido, por ejemplo, a nuestras cuentas bancarias?

La responsabilidad de los bancos

Muchas de las personas que han sufrido alguna de las variadas y cada vez más sofisticadas formas de estafa informática destinadas a obtener nuestros datos bancarios o suplantarnos con fines delictivos piensan que no tienen verdaderas posibilidades de recuperar el dinero sustraído. Pero eso está lejos de ser cierto. La realidad es que la legislación vigente en España establece que los bancos son responsables de velar por la seguridad de sus clientes y usuarios y garantizarles protección frente a riesgos inherentes a la utilización de medios digitales de pago. Y esa norma tiene muy pocas excepciones.

Efectivamente, la normativa vigente en materia de medios de pago digitales es Real Decreto-Ley 19/2018, que se aprobó de forma urgente para adaptar la Ley española a las exigencias de la UE referentes a protección de los consumidores de entidades bancarias. Esta norma es, por ejemplo, la que hizo obligatorio el doble sistema de autenticación que nos obliga a confirmar la identidad a través del teléfono móvil cuando realizamos una compra por Internet o a la hora de ordenar una transferencia.

El RDL 19/2018 establece lo que se denomina un sistema de “responsabilidad cuasi objetiva” de los bancos. Es decir, las entidades son responsables de preservar la seguridad de nuestros datos bancarios y personales y para ello, tienen la obligación de mantenerse alerta e impedir maniobras fraudulentas, llegando incluso a suspender temporalmente nuestra capacidad para operar si es necesario comprobar fehacientemente que somos nosotros y no una tercera persona quien ha ordenado un pago o transferencia. De esta forma, son los bancos quienes tienen la responsabilidad de comprobar que no existe ninguna intención fraudulenta detrás de las operaciones que afectan a nuestros datos y cuentas bancarias y adoptar todas las medidas necesarias para impedir y anticiparse a la actividad de los delincuentes informáticos si, por ejemplo, detectan movimientos o acciones poco habituales (pagos inusuales, importes poco habituales, destinatarios sospechosos...).

Como consecuencia de esta responsabilidad cuasi objetiva, la legislación obliga a los banca a devolvernos los importes que pueden haber sido sustraídos de nuestras cuentas bancarias con una única excepción: que el banco demuestre que hemos sido nosotros quienes de forma deliberada o por negligencia grave hemos incumplido con la obligación de custodiar nuestros datos. Y eso, tengámoslo claro, no es fácil de demostrar.

La negligencia grave de las usuarias

La única circunstancia que permite a los bancos rehuir la obligación de devolvernos el dinero es acreditar ellos mismos han adoptado todas las medidas posibles para impedir la acción delictiva y que ésta sólo ha sido posible como consecuencia de nuestra propia negligencia.

Aunque cada caso se debe analizar individualmente, lo cierto es que los tribunales españoles casi siempre descartan la existencia de negligencia por parte de las víctimas de phishing. Se considera que imputar negligencia a las personas que han sufrido una estafa sólo es posible en aquellos casos en que ésta resulta flagrante dada la creciente sofisticación de los métodos empleados por los delincuentes informáticos que, a menudo, hacen casi indetectable los intentos de robo, especialmente para personas que no son expertas en ciberseguridad o pueden no estar familiarizadas con el entorno digital. Además, debe considerarse que el Código Civil español determina que la negligencia grave implica «no proceder con la más mínima diligencia» o, sencillamente, «no hacer lo que todo el mundo hace y no prever lo que todo el mundo prevé».

Si no hay negligencia, ¿cómo recuperar el dinero?

Si hemos sido víctimas de un caso de phishing y detectamos operaciones que nosotros no hemos ordenado lo primero y más urgente que debemos hacer es contactar de forma inmediata con nuestra entidad para que anule el medio de pago intervenido por los ciberdelincuentes y genere lo más rápidamente posible unas nuevas credenciales de seguridad. Así evitaremos que el perjuicio pueda agravarse.

Una vez realizado este trámite, es necesario denunciar los hechos ante las fuerzas policiales. Para ello, es importante aportar toda la documentación e información que sea posible sobre cuál ha sido el medio utilizado por los piratas para conseguir nuestros datos y cómo se ha cometido el fraude del que hemos sido víctimas. Esta información es primordial no sólo para ayudar a esclarecer los hechos sino también para demostrar ante la entidad que no ha habido negligencia por nuestra parte.

Después de denunciar, debemos dirigirnos al servicio de atención al cliente de nuestra entidad para informarles de la denuncia presentada ante la policía y reclamar la devolución de los importes sustraídos. Teóricamente, la entidad dispone de 60 días para responder a nuestro requerimiento, a pesar de que éste es un plazo que no siempre se respeta. Si nuestro banco acepta los hechos y nos devuelve los importes, aquí habrá terminado nuestro problema. Pero, por desgracia, esto no es habitual. Los bancos responden en la mayoría de casos diciendo que por su parte se siguieron los procesos de autenticación establecidos por la normativa vigente y que los hechos no les son imputables sino que derivan de nuestra propia falta de diligencia. En este caso, no queda otro remedio que buscar el asesoramiento de personas expertas en la materia y acudir a los tribunales para exigir que el banco asuma su responsabilidad y obtener la devolución del dinero. Eso sí, ahora podemos hacerlo sabiendo que la legislación vigente nos reconoce el derecho a ver devuelto el dinero y que la obligación de demostrar la existencia de una posible negligencia corresponde a la entidad que, en caso de no poder hacerlo, tal y como es habitual, incurre en responsabilidades legales y contractuales respecto al perjuicio que hemos sufrido. Diariamente recibimos consultas de este tipo y en nuestro despacho no dejamos de obtener nuevas sentencias que reconocen los derechos de las personas afectadas que, por desgracia, cada vez son más. Por suerte, los juzgados suelen valorar la condición de víctimas de las personas afectadas por el phishing y descartar la existencia de negligencia.

Aquí os dejamos enlazadas algunas de las sentencias recientes conseguidas por Col·lectiu Ronda para que podáis ver qué razonamientos que suelen aplicar jueces y juezas: