Si ha sido víctima de phishing bancario, no entre en pánico. Desde Indalics Peritos Informáticos le vamos a dar unas sencillas pautas de actuación. Eso sí, debe actuar con la máxima celeridad una vez que se percate de que ha podido ser víctima de phishing bancario.
¿Qué es el phishing bancario?
El “phishing” bancario consiste en un ataque de ingeniería social, suplantando a una entidad bancaria al objeto de obtener claves de acceso, teléfonos, mails y diversa información personal para poder acceder a los recursos dinerarios. Se trata del fraude bancario digital más común.
Para cometer phishing bancario los ciberdelincuentes envían un correo electrónico suplantando la identidad de nuestro banco para obtener toda la información personal y bancaria que puedan conseguir de nosotros, como usuarios y contraseñas, direcciones, datos de tarjetas de crédito, etc., realizar un cargo económico o infectar el dispositivo electrónico que estemos utilizando. Para ello, suelen adjuntar archivos infectados o enlaces a páginas web fraudulentas.
Conviene tener muy presente que se puede suplantar al remitente de un correo electrónico con relativa facilidad. Así mismo, los ciberdelincuentes han perfeccionado tanto la técnica que resulta cada vez más difícil distinguir un correo electrónico fraudulento de uno auténtico.
¿Existen variantes del phishing bancario?
Sí, existen una serie de variantes del phishing bancario. Se trata de una de formas más sofisticadas de fraude bancario digital, y se aprovechan de un fallo de seguridad consistente en un cifrado de las comunicaciones inexistente o de baja robustez, además de la credulidad de la víctima. Estas son las más conocidas:
Smshing bancario
Otra técnica de fraude bancario digital muy habitual, parecida al phishing bancario, es el smishing bancario. Se trata de una variante del phishing bancario, para lo que se remite al teléfono de la víctima un sms fraudulento haciéndose pasar por el banco, solicitando que se pulse sobre un link para introducir una serie de datos personales que realmente van a parar a los ciberdelincuentes. Con estos datos se pueden acceder a correos electrónicos, cuentas bancarias o redes sociales, directamente por el ciberdelincuente o tras vender los datos obtenidos a otras redes de ciberdelincuencia. También puede recibir indicaciones para llamar a un número telefónico, supuestamente de personal del banco, por un incidente de seguridad con sus datos que resulta ser ficticio: ¡es el ciberdelincuente el que atiende su llamada!
Caller ID Spoofing
Una variante de fraude sofisticada del phishing bancario es el Caller ID Spoofing o suplantación de identidad en llamada telefónica. Para conseguirlo el ciberdelincuente cambia el ID de llamada o número de teléfono para hacer creer a la víctima que se trata de personal de su banco. Un caso habitual de este tipo de fraude bancario digital es el del falso técnico informático del banco que llama para solucionar un supuesto problema con el equipo. El ciberdelincuente intenta convencer al usuario de que, para solucionar la incidencia, es necesaria la instalación de un programa de acceso remoto y a partir de ahí no sólo accede a información bancaria y personal, sino que puede realizar operaciones bancarias no autorizadas, robar información de todo tipo, dejar abierta una puerta trasera para seguir robando información, secuestrar el equipo e incluso destruirlo a distancia.
Man in the middle
El ataque man in the middle (hombre en medio) es un tipo de ciberataque destinado a interceptar sin autorización, la comunicación entre su dispositivo electrónico y los sistemas informáticos de su banco. Este ataque permite al ciberdelincuente manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso o información financiera, como para suplantar su identidad y realizar operaciones bancarias fraudulentas. Aquí no interviene el engaño, como en el phishing
He sido víctima de phishing bancario. ¿Qué hago ahora?
Una vez haya constatado haber sido víctima de phishing bancario debe actuar con celeridad. Para ello siga en riguroso orden los siguientes pasos.
Pida información de los movimientos bancarios en su sucursal bancaria
Acuda inmediatamente a su sucursal bancaria más cercana, poniendo en conocimiento que ha sido víctima de phishing bancario. Requiera que le aporten copia de los movimientos bancarios fraudulentos para poder acudir a interponer la correspondiente denuncia.
Así mismo, con ayuda del empleado bancario, proceda a cambiar las contraseñas de acceso a su banca electrónica, al objeto de que no sigan sustrayéndole dinero.
Por último, realice una reclamación en la propia oficina bancaria, poniendo en conocimiento por escrito que ha sido víctima de phishing bancario y qué transacciones serían fraudulentas. Obtenga una copia firmada de dicha reclamación.
Acuda a dependencias policiales a interponer denuncia
El segundo paso es acudir inmediatamente a dependencias policiales a interponer denuncia por haber sido víctima de phishing bancario. Resulta indiferente acudir al puesto de Guardia Civil o comisaría de Policía Nacional más cercano. Las fuerzas de seguridad realizarán la investigación a través de la Unidad de Investigación Tecnológica de la Policía o el Grupo de Delitos Telemáticos de la Guardia Civil.
Para iniciar las pesquisas deberá aportar la documentación obtenida en su oficina bancaria, esto es, copia de las transacciones fraudulentas, en las que se pueda ver la fecha y hora del movimiento, así como la cuenta bancaria a la que va destinada. Es muy importante realizar esta gestión cuanto antes, por si todavía pudiera paralizarse la transacción y recuperar el dinero sustraído mediante phishing bancario.
¿Se puede identificar a quien cometió delito de phishing bancario?
Las posibilidades de encontrar al responsable directo del phishing bancario son muy escasas. Con frecuencia, se trata de grupos delictivos o de delincuentes que se encuentran fuera del territorio nacional y de redes criminales que operan desde muy diversos lugares, sobre todo Asia.
Acuda a un abogado para reclamar las cantidades sustraídas
En caso de que no puedan revertirse las transacciones realizadas mediante phishing bancario, deberá reclamar el reintegro de las cantidades sustraídas a su banco. Para ello le recomendamos que acuda inmediatamente a ver a un abogado especializado en phishing bancario al objeto de que pueda realizar debidamente la reclamación en su nombre. Así mismo, tenga presente que, en caso de no resolver amistosamente la reclamación, deberá interponerse una demanda civil reclamando las cantidades sustraídas. Además, para que este tipo de demandas tenga posibilidades ciertas de prosperar, necesitará aportar una pericial informática que determine falta de seguridad de los sistemas informáticos de su banco.
¿Cuál es la responsabilidad del banco ante el phishing bancario?
El banco no es el responsable directo del phishing bancario, ya que es un delito cometido por terceros. Sin embargo, los bancos tienen la obligación legal de proteger las cuentas de sus clientes y de tomar medidas de seguridad «suficientes» para prevenir y detectar a tiempo los intentos de phishing bancario.
El Real Decreto Ley 19/2018, de 23 de noviembre, regula la responsabilidad de las entidades financieras, y establece medidas de seguridad y protección para los usuarios de servicios de pago. Las medidas para prevenir y mitigar el phishing bancario consisten en:
- Sistemas de autentificación de alta seguridad. El banco debe poder asegurar que sólo la persona autorizada realiza operaciones bancarias.
- Supervisión continua de las transacciones, con el objetivo de detectar y prevenir posibles actividades sospechosas e invalidarlas. El banco debe implementar procedimientos claros para discriminar y evitar transacciones fraudulentas.
- Campañas de información para ayudar a los clientes a evitar el phishing bancario.
Así pues, en caso de phishing bancario la controversia con el banco pivotará alrededor de si el sistema de autenticación es realmente seguro, así como si el banco dispone de procedimientos lo suficientemente seguros para evitar transacciones fraudulentas.
¿Está obligado el banco a reintegrar lo sustraído por phishing bancario?
Efectivamente, el banco está obligado a reintegrar lo sustraído por phishing bancario, salvo que haya mediado una negligencia manifiesta por parte del usuario.
El Real Decreto Ley 19/2018 establece las situaciones en las que el banco debe reembolsar a los usuarios afectados en caso de fraude.
El artículo 36.1 indica que “las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada”
El artículo 44, referido a la “prueba de autenticación y ejecución de las operaciones de pago”, dispone que “cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago”.
Así mismo, el artículo 45 establece:
“En caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada”.
Su artículo 61, segundo párrafo, establece:
Corresponderá al proveedor de servicios de iniciación de pagos demostrar que el proveedor de servicios de pago gestor de cuenta del ordenante había recibido la orden de pago de conformidad con el artículo 50 y que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas a la no ejecución, la ejecución defectuosa o la ejecución con retraso de la operación.
Además, su artículo 62 dispone:
Sin perjuicio de las indemnizaciones adicionales que pudieran determinarse de conformidad con la normativa aplicable al contrato celebrado entre el usuario y su proveedor, cada proveedor de servicios de pago será responsable frente a su respectivo usuario de todos los gastos que ocasionen y sean de su responsabilidad de conformidad con lo dispuesto en el artículo 60 y 61, así como de los intereses que hubieran podido aplicarse al usuario como consecuencia de la no ejecución o de la ejecución defectuosa o con retraso de operaciones de pago.
Es importante tener en cuenta que el banco intentará demostrar que el phishing bancario ocurrió por alguna negligencia del usuario, por la que autorizó la operación u ofreció datos para que esta se realizara. De esta manera la entidad se liberaría del reembolso de lo robado mediante phishing bancario.
Jurisprudencia sobre phishing bancario
El cliente de una entidad financiera tiene la obligación de proteger sus datos bancarios de forma suficiente. Si no lo hace, tendrá responsabilidad en el fraude, aunque haya sido víctima de engaño para robarle la información. Así mismo, el banco deberá acreditar qué medidas tienen implantadas para evitar o mitigar el phishing bancario, así como de qué forma acredita qué persona concreta es la que está realizando la operación bancaria.
A continuación una limitada selección de jurisprudencia, si bien podrá encontrar abundante material en cualquier base de datos jurisprudencial, como LaLey o Aranzadi.
Sentencias iniciales sobre responsabilidad ante phishing bancario
La Sentencia 429, de 10 de noviembre, de la Audiencia Provincial de Álava y la Sentencia 215/2013 de la Audiencia Provincial de Zaragoza, son dos casos de sentencias judiciales en España que atribuyen la responsabilidad del phishing bancario al usuario y deslindan la responsabilidad del banco.
En ambos casos, el Tribunal correspondiente consideró que el cliente había proporcionado información personal y bancaria a los estafadores y no había actuado de acuerdo con las medidas se seguridad recomendadas por el banco. Los usuarios fueron negligentes, y, por lo tanto, el banco no fue considerado responsable del phishing bancario. Como consecuencia, el banco no reembolsó el importe de lo robado y el cliente perdió.
Sin embargo, se trata de sentencias iniciales ante el fenómeno del phishing bancario que han sido ampliamente superadas por una nueva corriente doctrinal, según la cual, aún habiendo aportado sus datos a terceros, ello no implica necesariamente negligencia por parte del cliente afectado. Ello se debe a la muy alta sofisticación del phishing bancario de un tiempo a esta parte y a la dificultad de equiparar la actitud del cliente estafado con una acción cercana al dolo.
Sentencias condenando a bancos ante phishing bancario
Son muchas más las sentencias condenando a bancos ante phishing bancario, especialmente en los últimos tiempos.
La sentencia de la Audiencia Provincial de Barcelona de 7 de marzo de 2013 condenó a una entidad bancaria a devolver a una sociedad la cantidad de 32.099 euros por cuanto la entidad no adoptó las medidas de seguridad adicionales previstas en las Condiciones Generales del Contrato, al haberse (i) producido movimientos inusuales de fondos de la cuenta corriente, y (ii) ser transferidos a cuentas sospechosas que la entidad debió detectar como phishing bancario.
La sentencia de la Audiencia Provincial de Zaragoza de 14 de mayo de 2013 condenó a un banco a reintegrar 20.947 euros a un cliente al señalar que la Ley de Servicios de Pago [Ley 16/2009, de 13 de noviembre, derogada por Real Decreto-ley 19/2018 el 25 de noviembre de 2018], expresa con claridad que “salvo una tardanza injustificada del usuario del servicio de banca electrónica en comunicar la irregularidad de las operaciones, será el banco quien deberá devolverle de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada. Por ello y salvo actuación fraudulenta o negligencia grave del titular de la cuenta, la responsabilidad de la operación es del banco, al que corresponde además probar el correcto funcionamiento del sistema informático”.
La sentencia 178 de la Sección 9ª de la Audiencia Provincial de Madrid de 4 de mayo de 2015 condenó a un banco a abonar a un usuario la cantidad de 17.390,35 euros. En este caso, la víctima de phishing bancario facilitó sus claves y contraseñas a una página web clonada que simulaba ser la del banco. La sentencia razona que el artículo 31 LSP –de la derogada Ley 16/2009 por el vigente Real Decreto-ley 19/2018-, establece “un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago”. En igual sentido la sentencia de la Audiencia Provincial de Badajoz, Sección 2ª de 7 de febrero de 2013-, “con inversión de la carga probatoria al presumirse la falta de autorización de la orden de pago o transferencia si el cliente lo niega”.
Así, sentencia de la Audiencia Provincial de Albacete de 23 de febrero de 2016 recoge que “establecen un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago (…) pues en este ámbito de la contratación electrónica, el prestador del servicio deberá reembolsar el importe de la sustracción a su cliente con el que tuviera contratado el servicio de pago electrónico en operaciones no autorizadas por éste, presumiéndose la falta de autorización si lo niega, con las exclusivas salvedades previstas en el artículo 32 de la citada ley: que el cliente haya actuado con negligencia grave (no basta la simple o leve falta de diligencia) en sus obligaciones (consistentes exclusivamente en aplicar los “medios razonables de protección” de seguridad personalizados de que vaya provisto, y comunicar el pago no autorizado “en cuanto tenga conocimiento del mismo”, ex art.27) o haya actuado fraudulentamente (claro está), amén de una especie de “franquicia” de 150 euros como máximo para los exclusivos supuestos de extravío o sustracción de los sistemas de acceso (que incluso no se aplicaría en caso de que el expolio haya tenido lugar después de la comunicación o aviso de la falta de falta de autorización a la entidad proveedora)”
En relación a la negligencia grave en casos de phishing bancario, es amplia la jurisprudencia que determina que la misma frisa con el dolo. Así, sentencia del Tribunal Supremo de 30 de enero de 2003 revisa en profundidad el concepto, concertándolo con el de “falta de diligencia inexcusable” o de “declaraciones por dolo que tiene por finalidad el engaño”, o el de “infringir el deber de buena fe que ha presidir las relaciones”. También la sentencia de 12 de marzo de 2018 de la Audiencia Provincial de Alicante, reconoció que “en caso de pérdida, extravío, sustracción o uso por persona no autorizado, el deber del titular del instrumento no es otra que la de comunicar el hecho sin demora al proveedor de servicios que asume, desde ese momento y a salvo de que medie fraude por el titular del medio de pago, las consecuencias económicas por el uso del instrumento de pago»
Así mismo, si con carácter general el banco tiene la obligación, dice la STS 311/2016, de 12 de mayo, de comprobar la veracidad de la firma del ordenante -lo que no deja de ser una obviedad-, tanto más relevante lo es el ámbito de la banca electrónica a través de cualquiera de los sistemas ya existentes y que prestan un elevado nivel de garantía como son las claves aleatorias remitidas por la entidad directamente al usuario para cada operación y la firma electrónica”. Por tanto, la entrega de la cosa depositada a una persona distinta de las expresadas en esa última norma no produce el efecto extintivo de la obligación del depositario relativa a la devolución del objeto del depósito.
Como ve, hay amplísima jurisprudencia relativa a phishing bancario, con numerosas condenas a los bancos.
¿Necesitaré aportar una pericial informática sobre phishing bancario?
En la mayoría de casos resulta indispensable aportar un informe pericial sobre phishing bancario. En caso de litigio el banco tratará de escamotear su responsabilidad aduciendo que se ha producido el incidente por negligencia del cliente. También tratarán de aportar algún tipo de informe técnico, bien elaborado por personal propio, bien elaborado por otro perito informático, para tratar de acreditar que sus sistemas informáticos son seguros.
Por tanto, en este tipo de procedimientos, resulta capital realizar un peritaje informático que acredite que no hubo negligencia por parte de cliente. Así mismo, el perito informático deberá sembrar la duda, de forma técnicamente fundamentada, sobre el grado de diligencia del banco para evitar incidentes de phishing bancario. Por último, puede tener que rebatir pericial informática aportada por el banco, mediante un contraperitaje informático.
Expertos en peritaciones informáticas de phishing bancario
En Indalics Peritos Informáticos somos expertos en la realización de peritaciones informáticas sobre phishing bancario, en sus diversas modalidades, tanto para reclamar el reintegro de las cantidades sustraídas como por parte de entidades bancarias para acreditar una actuación diligente exenta de responsabilidad. Peritos informáticos colegiados y legalmente habilitados. Intervenimos en procesos civiles por phishing bancario en toda España.
Partners técnicos de confianza para letrados
Somos los peritos informáticos de confianza para su despacho jurídico y sus clientes. Aportamos amplios conocimientos técnicos y periciales, pero siempre desde una óptica legal y procesal adaptada al caso concreto. Además, todos nuestros peritos cumplen los requisitos legales para realizar la actividad de perito informático, acreditando su cumplimiento. Le ayudamos en su proceso por phishing bancario desde el minuto uno.