Asociacion Nacional Afectados Internet y Nuevas Tecnologias

GUÍA DE LA ESTAFA POR “ PHISHING” BANCARIO

1.-  ¿Qué es el “phishing”?

El origen etimológico del “phishing” proviene de  la contracción de los términos “password harvesting fishing”,  de ahí que el rasgo definitorio de esta actividad clásica de “ ciberdelincuencia económica” tenga por finalidad la “ pesca” de las credenciales y contraseñas de banca online de los  usuarios, lo que normalmente se llevará a cabo mediante el envío masivo de correos electrónicos tipo “ spam” , desde un emplazamiento geográfico ignorado.

 Para conseguir sus objetivos los ciberdelincuentes utilizarán técnicas de suplantación de identidad  o de contexto falso ( “spoofing”)  simulando que los correos electrónicos  proceden de una entidad bancaria, o de otras empresas de confianza, con la finalidad de que el usuario no sospeche que está siendo víctima de un fraude. Con la ayuda de  técnicas de ingeniería social, o manipulación psicológica, aquéllos emplearán cualquier pretexto o excusa ( una incidencia en la operativa bancaria, un premio, un descuento, un regalo, etc.)  para que sus víctimas accedan a un enlace  o “link”  que les llevará a una página web falsa donde figurará un formulario destinado a que el usuario introduzca sus datos confidenciales (número completo de tarjeta, CVV, fecha de caducidad, usuario y clave de banca online, entre otros).

2.- ¿  Cómo actúan los ciberdelincuentes?

Cualquier ataque de “phishing” está milimétricamente diseñado por un grupo criminal, en cuya cúspide  figura un “líder “, quién  resulta ser además el que mayores beneficios obtiene de la actividad fraudulenta.

Como cualquier otro fenómeno de codelincuencia o delincuencia grupal, la organización criminal se divide en varios grupos que se reparten distintos  “roles” o tareas para que el fraude sea un éxito; su estructura suele ser la siguiente:

a.- Informáticos.

Los informáticos al servicio de la organización asumen el cometido del envío masivo de miles de correos electrónicos “ spam” a las víctimas.

b.- Las redes de “cuentas puente” y  los “muleros”

Una vez que el usuario ha caído en la trampa y facilitado a la organización sus credenciales o contraseñas bancarias, los ciberdelincuentes acceden a la página web real del banco suplantando la identidad del cliente, y ordenan una transferencia de dinero a una cuenta corriente controlada por otros miembros de la organización.

Las cuentas a las que se transfiere el dinero, conocidas en el argot policial como “ cuentas puente”, pueden ser de dos clases: de primer grado, que se destinan a transferir el dinero a otra cuenta puente de la organización, o de  segundo grado, cuyo titular es conocido en el argot policial como “ mulero”.

El “ mulero” percibe una comisión por sus servicios y su actuación es decisiva para el éxito del fraude: la organización le avisa inmediatamente una vez que su cuenta ha sido la elegida para recibir la transferencia y  debe  retirar su importe con rapidez para evitar que el banco beneficiario pueda bloquear o retener el dinero transferido si tiene sospechas del irregular origen de los fondos.

Una vez detraído el importe de su comisión, el mulero tiene la misión de  “blanquear el dinero” enviando el grueso de su importe a los líderes de la organización criminal a través de locutorios o agencias de envíos de dinero en metálico, como  “MoneyGram” o“ Western Unión” .

c.- La red de transportistas

 Otras organizaciones más sofisticadas disponen de una red humana de “transportistas” para ocultar el origen ilícito de dinero, sistema que se conoce en el argot policial como del “ euro a euro nigeriano”.

A cambio de percibir la correspondiente comisión, aquéllos viajan a los países donde radica la organización criminal, con el dinero escondido entre su equipaje o entre su ropa, con la finalidad de entregárselo a los líderes.

3.- ¿ Qué es lo primero que debe hacerse si hemos sido estafados por  “phishing”?

Tan importante es que la víctima denuncie los hechos a las fuerzas y cuerpos de seguridad del Estado, como que inmediatamente lo notifique a su banco a través de los canales de comunicación que haya establecido la entidad.

Aunque las entidades bancarias solicitarán al cliente una copia de la denuncia, aquéllas tienen la obligación de realizar de manera inmediata gestiones con el banco destinatario de la transferencia, incluso si el cliente aún no ha presentado la denuncia.

a.- La  dificultad de la investigación policial.

El componente internacional de los delitos tecnológicos, en los que se desconoce tanto el origen del ataque informático como la titularidad de la cuenta corriente receptora de la transferencia, si esta se encuentra en el extranjero,  determina que, en  la mayoría  de los casos de “phishing”,  esta acción delictiva quede impune para su autor o autores.

En nuestro ordenamiento jurídico, y por así disponerlo el artículo 284-2º de la Ley de Enjuiciamiento Criminal ( LECrim.) , cuando la policía recibe una denuncia sin que la víctima pueda identificar al autor  del delito – lo que sucede en todos los ataques de “phishing”-  y sin que las investigaciones policiales puedan llegar identificarlo – como sucede en los supuestos de que la cuenta corriente a la que se hubiera transferido el dinero esté situada en el extranjero-la policía está facultada, en aplicación de criterios de oportunidad o conveniencia, para no remitir la denuncia al juzgado, abortándose de esta forma cualquier posibilidad de investigar la autoría y restantes circunstancias del hecho delictivo.

Tan solo si la “cuenta puente “ está en territorio español, la policía procederá a investigar los hechos. En tal caso deberá  solicitar de  la autoridad judicial la correspondiente autorización  para recabar de la entidad bancaria los datos  de identidad correspondientes a quién o quienes figuren como  titulares y/o apoderados de aquéllas.

 Muy difícilmente la policía solicitará autorización al juez para recabar  los datos IP ( Internet Protocol) de conexión del dispositivo atacante y  datos asociados a las empresas proveedoras de servicios de acceso a Internet ( ISP), bien porque en la mayoría de ocasiones se requerirá  su tramitación a través de comisiones rogatorias, o bien porque aún conociendo estos datos de tráfico tampoco aportaría a los investigadores una información concluyente de la identidad de los autores del fraude.

A lo sumo, la investigación policial concluirá con la identificación y detención de los “ muleros” titulares de las “ cuentas puente” en territorio español y , en su caso, con la identificación de los líderes de la organización, quienes se suelen cobijar en países donde resultan inmunes a la justicia española. En ninguno de los casos mencionados, las investigaciones policiales resultaran determinantes para que las víctimas puedan recuperar su dinero.

b.- Las prácticas bancarias.

  La Circular de la  Asociación Española de Banca  (AEB), número 1625, de fecha 17 de mayo de 2010, establece cual es el protocolo de actuación que las entidades bancarias están obligadas a seguir, cuando tienen conocimiento de un caso de  “phishing”. No obstante, a pesar de su observancia, en la inmensa mayoría de ocasiones el dinero transferido se habrá puesto a buen recaudo por el “mulero”, y tampoco en este caso las gestiones realizadas conseguirán recuperar el dinero.

Las gestiones mencionadas en la Circular de la AEB son las siguientes:

  • Entre la entidad ordenante y el cliente

 Si la incidencia la detecta la entidad, debe confirmar con su cliente la existencia de fraude. En cualquier caso, indicara al cliente la necesidad de que presente denuncia por estos hechos y aporte copia de la misma.

  • Entre las entidades implicadas ( ordenante y beneficiaria)

 La entidad ordenante se pondrá en contacto telefónico con la entidad beneficiaria ( aún sin haber recibido todavía copia de la denuncia) y solicitará por fax o correo electrónico la retención del importe transferido. La entidad beneficiaria, si no hubiera abonado todavía la transferencia, la dejará en situación de pendiente. Si la transferencia se hubiese abonado, la entidad beneficiaria deberá proceder a retener los importes reclamados. Al tiempo, tratará de localizar a su cliente beneficiario y advertirle de la situación.

 La entidad ordenante deberá ratificar su petición, durante los dos días hábiles siguientes, por fax o por correo electrónico, adjuntando copia de la denuncia. Si no lo hiciera, la entidad beneficiaria podría levantar la retención.

 La entidad beneficiaria tendrá un plazo de tres días desde esa ratificación para devolver la transferencia, por su importe total o por la parte no dispuesta ( si no hubiera fondos suficientes). Si hubiera varias denuncias, la entidad deberá devolver el máximo posible de los importes, atendiendo al orden de recepción de las reclamaciones.

  • Entre la entidad beneficiaria y su cliente, cuando este reclame la reposición de los fondos devueltos:

 La entidad beneficiaria reclamará a la entidad ordenante ese importe y, una vez devuelto, lo consignará en el juzgado, donde se tendrán que personar la entidad ordenante o su cliente como perjudicados.

6.-  ¿ Cómo reclamo a mi banco que me reintegre el dinero?.

Hasta tanto no sea aprobada la ley reguladora del  sistema institucional de protección del cliente financiero, los usuarios deberán dirigir su reclamación al  servicio de atención al cliente del banco, que está obligado a resolver lo que proceda en el plazo de dos meses. La actuación de este servicio se acomodará a las disposiciones de la Ley 7/2017, de 2 de noviembre por el que se incorpora al ordenamiento jurídico español la Directiva 2013/11/UE del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, relativa a la resolución de litigios en materia de consumo.

 La reclamación del cliente se tramitará de conformidad al procedimiento previsto en la Orden del Ministerio de Economía 734/2004/, de 11 de marzo, y la  decisión del servicio de atención al cliente, que siempre será motivada, motivará su decisión en función del tenor de las cláusulas del contrato suscrito por el cliente con el banco; las normas de transparencia y protección de la clientela que sean aplicables; así como las buenas prácticas y los usos financieros.

No existen unos criterios uniformes que permitan aventurar la estimación de la reclamación del cliente, aunque parece claro que debe dársele la razón en todos aquellos casos en los cuáles  las transferencias de fondos  hubieran superado los límites cuantitativos fijados en el contrato suscrito con la entidad, así como en todos los casos que se hubieran  ordenado movimientos inusuales de fondos a cuentas corrientes en el extranjero. Ambos supuestos son muy frecuentes en las estafas por “phishing”.

Si, por el contrario, el servicio de atención al cliente rechazase la reclamación lo hará, presumiblemente, imputando al usuario su negligencia en la custodia de las claves y contraseñas facilitadas por el banco. Este argumento suele encontrar su apoyo en el hecho de que el banco advierte públicamente a sus clientes de que nunca les solicitará información confidencial por correo electrónico ni tampoco utilizará  para ello un formulario en su página web. De este hecho cabría concluir que, si el cliente ha facilitado sus claves a un tercero, sólo él debe ser el responsable de sus consecuencias.

7.- ¿ Puedo presentar una reclamación contra mi banco en el  Banco de España?.

El servicio de reclamación del Banco de España tiene por finalidad atender las quejas y reclamaciones que presenten los usuarios de servicios financieros que estén relacionadas con sus intereses y derechos legalmente reconocidos, y que deriven de presuntos incumplimientos por las entidades reclamadas, de la normativa de transparencia y protección de la clientela, o de las buenas prácticas y usos financieros.

En relación a los casos de “phishing” , esto es,  cuando el usuario hubiese  a su entidad que fue un tercero el que accedió a sus claves y contraseñas, aunque  lo hiciera en la creencia de que aquel tercero era el banco, el Banco de España ha adoptado el criterio de abstenerse de emitir pronunciamiento alguno, y remite la resolución de cualquier  controversia a los tribunales de justicia; serán éstos, como expresa la Memoria de Reclamaciones del Banco de España (2017),   los que, apreciando los medios de prueba necesarios,  fijen “ el modo en que acontecieron los hechos y evalúen, en su justa medida, el grado de diligencia  empleado por todas las partes en el cumplimiento de sus obligaciones contractuales, estableciendo las consecuencias que pudieran derivarse para los interesados”.

8.-  ¿ Puedo demandar al banco si el servicio de atención al cliente desestima la reclamación?

Cuando el cliente vea rechazada su reclamación por el servicio de atención al cliente del banco deberán ser los juzgados los que deban resolver la controversia de conformidad a criterios estrictamente jurídicos y , en particular , en la interpretación de las normas contenidas en La Ley de Servicios de Pago ( LSP), de 13 de noviembre de 2009, que consagra el principio de responsabilidad “ cuasiobjetiva” de las entidades bancarias con fundamento en dos presupuestos distintos:

  1. Deficiencia o insuficiencia de las medidas de seguridad informáticas implementadas por el banco.

La progresiva sustitución de los servicios de atención personalizados por otros de banca electrónica a distancia, se asientan en la confianza de los clientes de que la operativa bancaria se lleva a cabo en un entorno seguro.

En virtud de este principio básico, los bancos asumen el correlativo deber de adoptar las medidas de vigilancia y control que sean necesarias para proteger los datos confidenciales de sus clientes, así como para  evitar el acceso inconsentido al sistema por terceros no autorizados para hacerlo, y además actualizarse permanentemente ante los ataques cada vez más sofisticados de los ciberdelincuentes.

Adicionalmente, estas medidas deben de complementarse con la implementación de otros filtros adicionales de seguridad que son particularmente relevantes en los casos de “phishing”, como aquellos programas destinados a la detección de ordenes irregulares de traspasos de fondos, bien porque,  como ya indicamos anteriormente, el importe de la transferencia supere los límites cuantitativos fijados por cada cliente en el contrato suscrito con la entidad, o bien porque se emitan  órdenes inusuales de traspasos de fondos a cuentas corrientes en el extranjero.

En todos estos supuestos, el artículo 30 de la LSP desplaza la carga de la prueba del correcto funcionamiento del sistema informático al banco, sin que sea el cliente quien tenga la obligación de detectar ni sufrir las consecuencias de las disfunciones o insuficiencias del sistema.

b.- La presunción a favor del cliente de la falta de autorización de la operación de traspaso.

Cuando, a pesar de la utilización de sus contraseñas y claves personales,   el cliente hubiera notificado inmediatamente al banco su disconformidad con la transferencia de fondos, la ley presume a favor de aquél la falta de autorización y conformidad con la orden de pago.

 Esta presunción resultaría determinante, de conformidad con lo dispuesto  en el  artículo 31 LSP,  para que el banco proceda a devolver inmediatamente al cliente el importe de la operación no autorizada, o, en su caso, restablecer en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada.

9.- ¿ En qué casos el banco está exonerado de responsabilidad?

El artículo 32 LSP dispone que el banco estará exento de responsabilidad tan solo cuando el cliente hubiese actuado fraudulentamente o con negligencia grave en la custodia de la claves y contraseñas, o en el caso de que no haya comunicado a la entidad el pago no autorizado, en cuanto tenga conocimiento del mismo.

La carga de la prueba de la negligencia del cliente, que además debe ser grave, corresponde al banco, lo que en la mayoría de ocasiones supondrá desestimar la oposición de la entidad bancaria  a reintegrar los fondos transferidos en base a las advertencias genéricas de seguridad que hubieran podido realizar a sus clientes.

¿Te gusta este artículo?

Share on facebook
Share on Facebook
Share on twitter
Share on Twitter