El Phishing, es una modalidad de engaño que, normalmente, se lleva a cabo mediante el envío de un correo electrónico o SMS por parte de un ciberdelincuente a un usuario, simulando ser una entidad legítima, con el objetivo de robarle información privada, credenciales de acceso, en este caso, bancario (usuario y contraseña de acceso), para posteriormente realizar una estafa con transferencias económicas fraudulentas.
Las vulnerabilidades de las organizaciones, entidades, empresas, organismos, etc., están permitiendo que los ciberdelincuentes se apropien de información de los usuarios como puede ser nombre, dirección, DNI, número de teléfono, correo electrónico y, hasta es posible, el nombre de la entidad bancaria en la que tengamos alguna cuenta de pago de recibos.
Esto permite a los ciberdelincuentes enviar correos electrónicos y SMS personalizados donde se les indica a la posible víctima que existe algún problema con su cuenta bancaria y se proporciona un enlace con apremio para ponerse en contacto con la supuesta entidad bancaria, para que sea resuelto el supuesto problema con nuestra cuenta, normalmente, anular algún pago o cargo incorrecto, desbloquear la cuenta, etc.
Primera medida de prevención, el banco nunca se pondrá en contacto con los usuarios a través de un enlace en un correo electrónico o SMS. Por lo que nunca se debe clicar en el enlace, en su lugar, ante la duda, llamar a la entidad bancaria o personarse en la oficina y exponer el tema.
Si se clicla o pincha en el enlace, la supuesta entidad bancaria se pondrá en contacto, conociendo información personal (nombre apellidos, dirección, DNI) que ha sido robada en ciberataques anteriores, para solicitarnos información en relación a nuestra identificación bancaria de usuario y contraseña para realizar cualquier tipo de supuesta operación para resolver el problema que no san comunicado que había en la cuenta.
Segunda medida de prevención, no proporcionar nunca el usuario y la contraseña bancaria a ningún tercero porque, con ello, los delincuentes pueden operar como si de la víctima de tratase. Ante la duda de que exista un problema real con la cuenta, llamar a la entidad bancaria o personarse en la oficina y exponer el tema.
Si tras proporcionar el usuario y contraseña se le solicita a la victima la segunda contraseña o se le solicita que se confirme una operación proporcionando el código de seguridad o confirmación recibido por un SMS o un Token de confirmación (valor código o tarjeta coordenadas), nunca proporcionar esta información.
Se ha de tener en cuenta que si la operación la han realizado terceros, aunque sean los supuestos trabajadores del banco, la víctima no sabe qué es aquello que realmente está autorizando al introducir y proporcionarles el código de conformación.
Tercera medida de prevención, nunca proporcionar la segunda contraseña, el código de seguridad o de conformidad, recibido por SMS o un Token de seguridad de confirmación en operaciones que NO ha realizado personalmente la propia víctima en la aplicación del banco, puesto que, sin lugar a dudas, se trata de una estafa.
En aquellos supuestos en los que por medio de Phishing se haya robado/obtenido las credenciales de acceso (usuario y la contraseña), pero NO se haya proporcionado el segundo factor de validación (código numérico, segunda contraseña, Token, coordenadas tarjeta), el banco es responsable de cubrir los daños y perjuicios ocasionados al estafado.
Las entidades bancarias están obligadas a implementar medidas de seguridad de “autenticación reforzada” para confirmar las transferencias bancarias con un segundo factor de validación.
Las obligaciones y responsabilidades de los usuarios y de las entidades bancarias en las operaciones de pago quedan recogidas en los art. 41 a art. 46 y art. 68 del RD 19/2018 del 23 de noviembre de servicios de pago.
A la hora de plantear una demanda o denuncia ante un juzgado, es de gran ayuda el que por medio de un informe pericial informático se pueda validar la existencia o no de las comunicaciones existentes en el proceso fraudulente: Correo o SMS fraudulentos, recepción de los códigos de seguridad otros mensajes solicitando los códigos de seguridad.
La constatación de estas evidencias ante el Tribunal refuerza el relato de la víctima y obliga a la entidad bancaria a tener que demostrar que el proceso ha sido correcto y que ha sido diligente en su labor ya que, en caso contrario de no demostrarse, la entidad bancaria ha de devolver las cuantías defraudadas a la víctima.
Perito Informático y Tecnológico - PeritoIT 