Las estafas por 'phishing' se refinan y dejan a decenas de gallegos sin ahorros

Los bufetes de abogados señalan que el último fallo de la Audiencia de Pontevedra abre la puerta a que algunos afectados recuperen su dinero
Una agente de la Policía Nacional, frente a un ordenador en una imagen de archivo. AEP
photo_camera Una agente de la Policía Nacional, frente a un ordenador en una imagen de archivo. AEP

Las mañas de los ciberdelincuentes han evolucionado y cada vez son más alambicadas. Si hace un tiempo los correos electrónicos maliciosos con los que pretendían simular una comunicación urgente del banco para robar las claves de un cliente podían identificarse por las faltas de ortografía y, por ejemplo, por proceder de direcciones sospechosas, hoy el riesgo de caer en las redes de las estafas por phishing es mayor.

"En nuestro despacho llevamos más de 200 reclamaciones", explica Sergio Silva Vila, del IBM Abogados, que confirma el aumento de este tipo de engaños. Los que más suelen morder el anzuelo son "consumidores medios, de unos 50 años o más", que se manejan poco con internet y que, por ello, "son más vulnerables". No obstante, el bufete vigués también asesora a jóvenes y ciudadanos con estudios superiores, aunque son menos. En cuanto al perjuicio económico, que varía en función del límite contratado con la entidad financiera para las transferencias electrónicas, oscila entre 1.500 y 35.000 euros.

Pero, ¿qué es el phishing? Consiste en el envío de emails o SMS por parte de un ciberdelincuente a un usuario simulando ser una institución pública, una red social o una entidad financiera. Como explica el Instituto Nacional de Ciberseguridad (Incibe), el fin es el robo de información privada –como los números de tarjeta y las claves– para realizar cargos y/o infectar los dispositivos electrónicos.

En el caso de sus defendidos, Sergio Silva explica que, suplantando a bancos, los estafadores alertaron de un supuesto "fraude" en la cuenta corriente, urgiendo al afectado a actuar con rapidez para preservar la "seguridad" de su dinero. "Al clicar en el enlace enviado e introducir su cuenta, el ciberdelincuente ya tiene las claves para entrar en su banca electrónica", refiere el letrado. Una vez que los perjudicados caen en la cuenta y acuden a reclamar su dinero a las entidades financieras, estas se niegan alegando una "negligencia" del cliente y escudándose en que sus sistemas de seguridad no fallaron.

En esta tesitura, Silva considera que "se ha abierto una puerta a sentar doctrina" en favor de los usuarios tras la sentencia dictada en abril por la Audiencia de Pontevedra, que ordenó a Abanca restituir 19.600 euros a una mujer a la que clonaron su banca electrónica para acceder a su cuenta. Los jueces concluyeron que, aunque es cierto que el mensaje que recibió presentaba "ciertas peculiaridades" que deberían haberla puesto sobre aviso, si el banco, "con los medios técnicos a su alcance", no detectó el fraude, no puede "tachar de no diligente" el proceder de la mujer.

Desde Pintos&Salgado Abogados, el especialista en Derecho TIC Víctor Salgado observa que los métodos han llegado a tal punto de "sofisticación" que los ciberdelincuentes "incluso llegan a utilizar números de teléfono de los bancos, páginas web clavadas y, en algún caso, a hablar en gallego". "Animados en la urgencia, las víctimas les facilitan las claves con las que se autorizan las transacciones", constata el letrado, que apunta a que estos casos hacen aflorar las "dudas" a respecto de si el sector bancario debería ser "más proactivo en la protección de los depósitos". El bufete coruñés, que aparte representar a una decena de particulares lleva la defensa de empresas víctimas, señala que el dictamen de la Audiencia "abre una puerta muy importante a no atribuir automáticamente la culpa por la no custodia de sus claves y tarjetas al usuario, sino también, en parte, al banco, que debería establecer medidas de seguridad más avanzadas".

Los juristas apuntan que, aunque por su elevada cuota de mercado en Galicia gran parte de los afectados son de Abanca, la actividad delictiva se extiende a clientes de CaixaBank, Santander, ING y a otras entidades como la alemana N26 Bank.

Ana Tizón, víctima: "O rastro do noso diñeiro perdeuse en Lituania"

El 23 de septiembre, al marido de Ana Tizón le vaciaron la cuenta corriente. La viguesa, que con otro centenar de afectados sopesa impulsar una acción colectiva y acudir a la Valedora do Pobo, explica que ese día su marido recibió "un SMS" a través del cual, supuestamente, Abanca les avisaba de que un dispositivo intentaba conectarse a su cuenta.

Tras "pinchar no enlace", fueron redireccionados a una página que parecía la de la banca online. "Antes de introducir o DNI e a clave de usuario chamamos á nosa oficina, pero a traballadora que estaba dentro non nos colleu. Se o fixera, non teriamos metido os datos", sostiene la empresaria. A los pocos minutos, recibieron una llamada de un 981 que resultó ser un número clonado del banco. Al otro lado de la línea, una supuesta operadora los alertó de una compra por 5.820 euros "que ela podía paralizar". Con tan mala suerte que la pareja, que no usaba la tarjeta para hacer compras online, desconocía que las transacciones a distancia se confirman con un código de verificación que se envía al móvil.

Engañados por la estafadora y confiados por que, en 2019, su entidad les había avisado al teléfono de que alguien les había hecho "un duplicado da tarxeta para facer unha compra por 400 euros nos EE UU" que sí impidieron, le facilitaron esta contraseña pensando que bloquearían el cargo. Fue un error, pues con ello autorizaron la compra de criptomonedas en Lituania, "onde se perdeu o rastro dos cartos".

La Ucgal abre una vía extrajudicial
Más de 60 clientes de Abanca afectados por casos de ‘phishing’ han confiado en la Unión de Consumidores de Galicia para que los represente para abrir una negociación extrajudicial. El secretario general de la Ucgal, Miguel López Crespo, indica que el diálogo con la entidad ha comenzado y se abre a impulsar procesos similares con otros bancos. Ante la sofisticación de las estafas, López confía en que este mecanismo dé algún fruto antes de "meternos de cabeza nos xulgados".

Más de 1 millón de €
Es el importe usurpado en Galicia con casos de ‘phishing’, según un primer cálculo de la Ucgal, que ha pedido al delegado del Gobierno en Galicia que las Fuerzas de Seguridad redoblen el esfuerzo para concienciar a la gente y al investigar. "Será máis doado recuperar o diñeiro se se proba que é fácil facerse pasar por un banco e se evidencian fallos de seguridade", apunta López.

¿Cabe hablar de una negligencia del cliente?
Sergio Silva defiende que no y apunta al Decreto 19/2018 de Servicios de Pago y a la Directiva DSP2. Esta obliga al banco a efectuar las órdenes de pago con "autenticación reforzada": con la contraseña personal y "un factor biométrico", como "la huella o una clave aleatoria generada para cada operación". "Si los ciberdelincuentes pueden realizar cualquier operativa en banca online, las entidades cometen alguna irregularidad, pues no aseguran la identidad del cliente", dice el letrado.

Comentarios