(+34) 910 42 42 93 [email protected]

Hace apenas unas semanas publicaba en mi página personal un tutorial explicando en qué casos el banco está obligado a devolverte el dinero de una campaña de fraude de la que has sido víctima.

La ley, en este caso, es bastante clara con las limitaciones de la responsabilidad de las entidades bancarias, así que básicamente si puedes demostrar que el ataque se ha realizado gracias a explotar la seguridad del banco, y no que tú, proactivamente, hayas hecho el pago fraudulento, tienes las de ganar.

Claro que, lo normal, es que los bancos pongan impedimento en ello. Y puesto que las plataformas son cerradas, demostrar que esto es así no siempre es fácil… o incluso posible.

Sin embargo, recientemente hemos tenido acceso al dictamen afirmativo (ES) de la Audiencia Provincial de Pontevedra a favor de una denunciante de un caso de phishing.

Abanca condenado a devolver el dinero de una víctima de phishing

Este banco español (Abanca) es condenado a pagar a una de sus clientas, víctima de phishing, el dinero que le sustrajeron de su tarjeta. La entidad ha sido obligada a pagar a la víctima del phishing todo el dinero que le fue sustraído por los cibercriminales, y que asciende aproximadamente a 4.000 euros.

El ataque en sí es por todos en esta casa conocido: Un mensaje suplantando la identidad de Correos, el servicio postal español, donde se le informaba de que debía pagar una tasa extra para que le enviasen el paquete.

ejemplo phishing correos
Ejemplo de una campaña de phishing de Correos como la que le llegó a la víctima, que justo me acaba de llegar a mi mientras escribía este artículo

La casualidad ha querido que la víctima estuviera en ese momento esperando a que le llegase el pedido que hizo en una compra online (al parecer, unas mascarillas), por lo que supuso que se trataba de una notificación oficial de Correos. Entró en la página (una fraudulenta calcada de la oficial de Correos), metió sus datos de la tarjeta, y el mal ya estaba hecho.

Los cibercriminales, ya con los datos de la víctima, accedieron a la cuenta bancaria, y de ahí hicieron varios cargos hasta llegar a la suma de esos 4.000€ sustraídos, que era al parecer todo lo que había en dicha cuenta.

¿Cómo consiguió la víctima demostrar que el fallo era de la entidad, y no de sí misma?

Pues debido a que, para realizar el robo, los cibercriminales tuvieron que instalar la aplicación bancaria en uno de sus terminales, con un número de teléfono diferente. A la víctima se le enviaron varios SMS de confirmación, pero en dichos SMS no constaba el número de teléfono desde donde se estaba gestionando la operativa bancaria. Y esto, a ojos del tribunal, supone un incumplimiento de los deberes de diligencia en la prevención del fraude mediante phishing.

He aquí la razón de la sentencia. Aunque la víctima proactivamente dio sus datos en una página fraudulenta, el robo solo se pudo hacer debido a que la entidad bancaria no había diseñado su sistema para evitar un ataque de phishing como este, informando correctamente a la víctima con sus notificaciones.

Y por ello, aunque en principio se negaron a hacerse cargo de los importes, ahora tendrán que hacerlo.

Un ejemplo de la importancia que tiene ya no solo securizar los sistemas informáticos de nuestra organización, sino hacer un estudio completo de todo el embudo comunicativo de procesos.

De cara a las víctimas, un aviso de que, en efecto, no siempre es culpa de ellas. A fin de cuentas el usuario es el eslabón más débil de la cadena, pero el deber de estos servicios es crear herramientas que eviten, en la medida de lo posible, que un fraude acabe en tragedia.

Te dejo, para terminar, la guía que publicamos en su día sobre qué hacer en caso de haber sido víctima de un fraude.

Otros timos que deberías conocer:

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂