Llamamos phishing a las prácticas ilegales de piratas informáticos para apropiarse de datos personales y claves bancarias con la intención de suplantar nuestra personalidad y atacar nuestro patrimonio. Un fenómeno de incidencia creciente frente a la que es necesario conocer nuestros derechos como consumidores y usuarios.
..........................................
La palabra phishing abarca un amplio catálogo de prácticas tan fraudulentas como a menudo sofisticadas con el denominador común de pretender «pescar» nuestros datos personales (de ahí el verbo inglés empleado para bautizarlo) para operar en nuestro nombre a través de servicios bancarios online y disponer a voluntad de nuestro patrimonio.
Las técnicas utilizadas por los ciberdelincuentes a la hora de hacerse con esta valiosa información son casi infinitas pero a menudo presentan un rasgo común: los piratas se ponen en contacto con nosotros haciéndose pasar por nuestra entidad financiera, por ejemplo, y nos solicitan que visitemos su página web para introducir información de seguridad (claves secretas, números PIN, contraseñas...) con la excusa de resolver algún tipo de problema relacionado con la operativa de nuestra cuenta, tarjetas de crédito, etc . El problema está en que ni la petición proviene del banco ni la página a la que se nos dirige es la de la entidad, aunque pueda parecer absolutamente idéntica, y lo que estamos haciendo es facilitar a los delincuentes la información que necesitan para realizar compras online, ordenar transferencias o contratar préstamos a nuestro nombre.
En otras ocasiones, la técnica utilizada por los hackers no es la de petición directa y camuflada sino que a través del correo electrónico, por ejemplo, introducen programas informáticos maliciosos en nuestros teléfonos móviles y equipos informáticos desde los que pueden rastrear nuestra actividad y grabar datos y contraseñas sin que seamos conscientes de ello.
Estas dos modalidades que acabamos de describir son, sin duda, las dos formas más habituales de phising a día de hoy, pero no las únicas. A continuación, le explicamos brevemente otras técnicas utilizadas por los ciberdelincuentes a la hora de captar ilícitamente nuestros datos personales:
- Phishing basado en las DNS: Una de las formas más sofisticadas. Los atacantes se apoderan del control del sistema host de una empresa (es decir, de los servidores donde se aloja su página web) para que cuando nosotros la visitemos, tecleando la dirección de la página a la que queremos llegar, se nos redirija a una página diferente controlada por ellos mismos. Esta página es de apariencia idéntica a la que nosotros queríamos visitar de tal forma que podemos no ser conscientes en ningún momento de que estamos en un sitio web diferente y de que la información que estamos vertiendo cae en manos de terceras personas.
- Phising en buscadores: En ocasiones, la táctica de los ciberdelincuentes es crear páginas web que no pretenden hacerse pasar por otras páginas sino que son sitios web de apariencia «legal» donde se anuncian, por ejemplo, servicios que en realidad no se ofrecen o productos inexistentes. En este caso, el problema está en que los datos que nosotros facilitamos para adquirir estos productos o servicios no se gestionan mediante la pasarela de pago de una entidad bancaria sino a través de un sistema -este sí fraudulento- creado por los propios delincuentes para captar la información. En algunos casos, estas páginas fraudulentas llegan a publicitarse a través de servicios de anuncios en buscadores como google ads, reforzando la falsa apariencia de estar frente a un sitio web ajeno a cualquier ánimo delictivo.
- Manipulación de páginas webs legales: Otra forma muy sofisticada de captación de datos de particulares es aquella en la que los piratas informáticos consiguen manipular y sustituir sólo una parte de un sitio web legal para apropiarse de los datos que allí se viertan aprovechándose de alguna debilidad o imperfección del sistema de seguridad de la propia página. Para las personas usuarias, ésta es una modalidad resulta casi indetectable pues la página web es realmente la que nosotros queríamos visitar y no tenemos forma de saber que está actuando, sin señal externa alguna, como un verdadero zombie, bajo control de los ciberdelincuentes.
- Redes wifi fraudulentas: Con esta técnica, los piratas crean redes wifi disponibles con capacidad para abarcar espacios públicos (cafeterías, por ejemplo) que identifican con el nombre del establecimiento. Cuando la gente se conecta creen que están haciendo uso de un servicio ofrecido por el espacio en el que nos encontramos pero, en realidad, están accediendo a una red donde toda la información que vertemos es fácilmente rastreable por los delincuentes.
- Phishing a través de los servicios de atención al cliente de compañías: Una modalidad a medio camino entre una clásica estafa «analógica», por decirlo de algún modo, y una cibernética. Los piratas consiguen los datos de contacto de personas que han volcado quejas o críticas en redes sociales a determinadas empresas. Las contactan haciéndose pasar por representantes de la propia empresa y acaban solicitándoles la información que requieren con la excusa, por ejemplo, de devolverles el dinero correspondiente a un servicio que no ha sido satisfactorio.
- Duplicado de la tarjeta SIM: Una de las modalidades de phishing que está adquirido mayor relevancia por el gran número de personas afectadas es el que tiene que ver con el duplicado de la tarjeta SIM de los teléfonos móviles. Con los datos que los piratas consiguen captar sobre nosotros, se ponen en contacto con nuestro operador de telefonía suplantando nuestra identidad para vincular la tarjeta SIM a un nuevo dispositivo. De esta forma, cuando ordenan una operación online fraudulenta -por ejemplo una transferencia desde nuestra cuenta bancaria a la de los delincuentes- están en disposición de introducir el código que la entidad nos hará llegar para validar la operación.
Estas y otras modalidades de phishing que acabamos de describir brevemente son cada vez más recurrentes y van tomando el relevo de las formas de estafa online que habían sido más habituales y que hemos mencionado anteriormente consistentes en hacernos llegar un correo que nos dirige a un sitio web fraudulento o instala programas malware para acceder a la información sensible que podamos transmitir en un momento dado.
Sea cual sea la estrategia de los delincuentes informáticos, el objetivo es idéntico: apropiarse de nuestro dinero y beneficiarse de la ingente cantidad de información que a diario circula por internet.
Protección reforzada
Consciente de la magnitud del problema de seguridad que representa la actividad de los ciberdelincuentes, la Unión Europea aprobó una directiva, llamada de Servicios de Pago en el Mercado Interior, obligando a los Estados miembros a introducir en su ordenamiento jurídico toda una serie de medidas de obligado cumplimiento para las empresas y entidades financieras destinadas a reforzar los controles y la protección de los usuarios. En el caso de España, estas medidas impuestas por la UE se adoptaron y aprobaron mediante la Ley de Servicios de Pagos que, entre otras medidas, establecía una nueva regulación de los servicios de pago y enfatizaba la necesidad de reforzar la ciberseguridad, creando un marco extenso de responsabilidad para las entidades a la hora de garantizar un entorno digital seguro para sus clientes y clientes.
Por un lado, existe el compromiso de autenticación reforzada, con el que nos hemos ido familiarizando a lo largo de los últimos años y que implica, básicamente, que cualquier orden de pago esté supeditada a un proceso de doble validación. Es decir, que para concluir una operación sea necesario no sólo introducir nuestra contraseña o código PIN sino también, adicionalmente, algún otro mecanismo que sólo pueda depender de la persona usuaria, ya sea utilizando una aplicación específica de validación instalada en el móvil o factores exclusivamente inherentes a la propia persona como datos biométricos como puede serlo la huella digital.
Responsabilidad de las entidades
La normativa europea y su transposición a la legislación española no sólo introduce medidas significativas en cuanto a reforzar la seguridad de las personas usuarias. También acentúa la responsabilidad de las propias entidades a la hora de supervisar las operaciones de sus clientes y usuarios para detectar la existencia de prácticas fraudulentas que puedan suponer riesgo o indiquen, aunque sea de forma indiciaria, que la seguridad del la operación podría haber sido comprometida. Por tanto, las entidades (que son las proveedoras de los servicios de pago online) deben estar en disposición de detectar si la integridad de los diferentes elementos de autenticación utilizados para validar una operación han sido objeto de sustracción o la presencia de software malicioso (conocido como 'malware') en las posibles transacciones. Asimismo, las entidades tienen la obligación de analizar las diferentes operaciones realizadas a través de los medios que pone a disposición de sus clientes y clientes para identificar operaciones susceptibles de ser fraudulentas, hasta el punto de poder bloquearlas y no autorizarlas hasta validar de forma fehaciente que es el usuario y no alguien que ha suplantado su personalidad con fines delictivos quien realmente está autorizándolas.
En este sentido, es muy importante recordar que la Ley de Servicios de Pago establece con claridad que las únicas operaciones válidas son aquellas que cuentan con el consentimiento de la persona ordenante y, por tanto, cuando un usuario niega haber otorgado este consentimiento, las entidades están obligadas a devolverle de forma inmediata el importe de la operación.
Deber de diligencia
Sin embargo, es habitual cuando se da uno de estos supuestos en los que los datos han sido obtenidos ilícitamente por un tercero con fines delictivos, el cliente afectado se encuentre, en primer término, con la negativa de la entidad a devolver los dinero. ¿Sobre qué fundamento lo hacen? Pues básicamente, pretenden ampararse en una supuesta falta de diligencia del propio cliente a la hora de conservar y proteger sus datos personales.
La falta de diligencia, efectivamente, exonera de responsabilidad a las entidades, tal y como prevé el artículo 46 de la Ley de Servicios de Pago. Ahora bien, y según la legislación vigente, esta negligencia debe ser grave e imputable en exclusiva a la propia persona y, en este sentido, los tribunales españoles no suelen apreciar negligencia por parte de los usuarios y usuarias salvo en los casos más graves y evidentes, especificando una y otra vez en numerosas sentencias que son los bancos los responsables de mantener la seguridad de los medios utilizados para operar de forma telemática, adquirir productos o servicios y realizar transferencias, además de cualquier otra operación financiera. En todo caso, y esto conviene tenerlo bien presente, para quedar exento de responsabilidad deberá ser el propio banco quien demuestre de forma fehaciente que su cliente ha actuado con negligencia y que los perjuicios sufridos son imputables en exclusiva a su propia persona.
¿Qué debemos hacer si hemos sido víctimas de phishing?
En primer lugar, e imprescindible, si detectamos operaciones que nosotros no hemos ordenado, es necesario contactar de forma inmediata con nuestra entidad para que anule el medio de pago intervenido por los ciberdelincuentes y genere lo más rápidamente posible unas nuevas credenciales de seguridad.
Una vez realizado este trámite, debemos acudir a los cuerpos y fuerzas policiales para denunciar los hechos. A la hora de hacerlo, es necesario aportar toda la documentación e información que sea posible sobre el medio utilizado por los piratas para conseguir nuestros datos y cómo se ha cometido el fraude del que hemos sido víctimas. Esta información es primordial no sólo para ayudar a esclarecer los hechos sino también para demostrar ante la entidad que no ha habido negligencia por nuestra parte.
Después de denunciar, es necesario dirigirse al servicio de atención al cliente de nuestra entidad para reclamar la devolución de los importes correspondientes a las operaciones realizadas fraudulentamente por los ciberdelincuentes informándoles de los hechos y de la presentación de la denuncia. Como explicábamos antes, es responsabilidad de la entidad restituir estos importes. En caso de negativa a hacerlo o si la entidad se limita a decir que se siguieron los procesos de autenticación establecidos por la normativa vigente y que los hechos no les son imputables, seguramente no habrá más alternativa que emprender las acciones legales pertinentes para obligar a la entidad a asumir sus responsabilidades. Recordemos, una vez más, que esta responsabilidad está contemplada por la legislación vigente y que la obligación de demostrar la existencia de una posible negligencia corresponde a la entidad que, en caso de no poder hacerlo, tal y como es habitual, incurre en responsabilidades legales y contractuales respecto al perjuicio que hemos sufrido.
Un equipo a su servicio
Tal y como hemos ido insistiendo a lo largo de este artículo, el fenómeno del phishing está teniendo, por desgracia, una creciente incidencia entre la población y el número de personas afectadas no deja de aumentar a medida que se generaliza la realización online y por medios telemáticos de todo tipo de gestiones y transacciones. Ante esta situación, resulta imprescindible ser conscientes de cuáles son los derechos que nos amparan como consumidores y clientes, pues mucha gente desconoce los recursos que la legislación ofrece para reclamar por el perjuicio sufrido.
En el Col·lectiu Ronda disponemos de expertos en la materia que trabajan en colaboración con consultores informáticos para asesoraros si habéis sido víctimas de la cada vez más sofisticada ciberdelincuencia.