«Negligencia grave» de las víctimas en el phishing

phishing el 90% de las empresas ciber, IA

La consecuencia de incumplir por negligencia grave esta cautela con nuestras claves de seguridad es soportar las pérdidas económicas que el fraude ha tenido, según la ley española.

Esta entrada salió primero en Cuadernos de Seguridad


Banner_frasco-suscripcion-800x250

El phishing es la modalidad más habitual de fraude a través de internet y otras tecnologías de la comunicación en España. El Instituto Nacional de Ciberseguridad (INCIBE) define el phishing como una técnica consistente en el envío de un correo electrónico, SMS u otros contactos por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública…), con el objetivo de robarle información privada, realizarle un cargo económico o infectar un dispositivo.

«Negligencia grave» de las víctimas en el phishing

La forma de operar más habitual es la siguiente: se envía a la potencial víctima un email o SMS simulando que procede de una entidad bancaria o servicio habitual (de paquetería o suministros de luz o telefonía) y pidiéndole que realice determinada transacción económica o que facilite datos suficientes que permiten al ciberdelincuente acceder a sus datos bancarios de los cuales extraer las cantidades que desee.

Vea también: Remuneraciones: ¿cuánto ganará el nuevo presidente de Falabella y el renovado directorio?

Según el balance de ciberseguridad de 2022 publicado por el INCIBE, 1 de cada 4 incidentes gestionados en 2022 fueron fraude online, siendo el phishing 16.902 del total de los 118.820 incidentes del pasado año.

Obligaciones de los usuarios y de las entidades bancarias ante el phishing

Cada vez son más habituales, por el mayor número de casos, las sentencias judiciales que condenan a las entidades bancarias a la devolución a los clientes de las cantidades que los cibercriminales les han defraudado a través del phishing.

Las entidades bancarias se encuentran obligadas por el Real Decreto-ley 19/2018, de servicios de pago y otras medidas urgentes en materia financiera a rectificar las operaciones de pago no autorizadas únicamente si el usuario se lo comunica sin demora justificada (art. 43), es decir, cuando el cliente y víctima de phishing haya informado del fraude en cuanto haya tenido conocimiento del engaño; y a devolver el importe de dichas operaciones no autorizadas (art. 45).

Por tanto, en caso de operaciones de pago no autorizadas por el cliente de la entidad bancaria, el banco deberá devolver su importe porque tiene la obligación de asegurarse de que las órdenes de pago están consentidas por el usuario.

Sin embargo, los clientes y usuarios tienen la obligación de tomar «todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas» (art. 41). La consecuencia de incumplir por negligencia grave esta cautela con nuestras claves de seguridad es soportar las pérdidas económicas que el fraude ha tenido (art. 46).

Y en este sentido empiezan a llegar algunas sentencias que absuelven al banco de devolver las cantidades defraudadas a una víctima de phishing por actuar con negligencia grave. Así se ha pronunciado en dos ocasiones la Audiencia Provincial de A Coruña. En el primer de los casos, la víctima recibió una llamada telefónica en su domicilio indicándole que tenía que abonar 5€ por anticipado para la reparación de su ordenador. Para ello les indicó su número de tarjeta de crédito y su número de teléfono móvil, instaló la aplicación que le indicaron en su teléfono móvil y les facilitó los distintos códigos que le fueron llegando al dispositivo.

En el segundo de los casos la víctima recibió un SMS aparentemente remitido por Abanca Corporación Bancaria, S.A.” que le indicaba que había un dispositivo no autorizado conectado a su cuenta online y un enlace al que acceder para su verificación. Dicho enlace le llevó a una página web que simulaba la de Abanca en la que la víctima introdujo sus datos de acceso a banca electrónica. Al rato, la víctima recibió un SMS emitido ahora sí por la entidad bancaria con un código para la confirmación de una transferencia de 9.132€ y, al mismo tiempo, una llamada de aparentemente también Abanca en la que un supuesto empleado le solicitó el código de confirmación, que la víctima facilitó.

En ambos casos el tribunal considera que las víctimas actuaron con una negligencia grave al facilitar los datos a terceros a través de varios pasos y de forma reiterada, más claro si cabe en el segundo de los casos, ya que el propio SMS de la entidad bancaria informaba de que estaba autorizando una transferencia de 9.132€. El tribunal entiende que pinchar en el enlace es una negligencia comprensible, pero las demás acciones de facilitar las claves incluso por teléfono ya constituyen una negligencia grave, y por tanto las víctimas del phishing no tienen derecho a que el banco les devuelva las cantidades defraudadas.

Cómo evitar ser víctima de phishing

Para evitar ser víctima de phishing es importante tener cuidado con aquellos SMS, llamadas y correos electrónicos que recibamos. Lo primero en lo que hay que fijarse es si tenemos contratados servicios con la supuesta empresa que nos envía el aviso. En caso afirmativo, debemos fijarnos en otros puntos que pueden darnos pistas de que estamos ante un fraude:

  • Faltas de ortografía o semánticas, palabras con símbolos extraños sustituyendo alguna letra…
  • No recogen tu nombre y apellidos, sino solamente palabras genéricas como estimado, cliente, solamente el nombre.
  • Contiene un enlace al que te incita a pinchar de forma urgente amenazando con consecuencias en tus cuentas o servicios si no lo haces. Conviene inspeccionar el enlace antes de abrirlo para comprobar la dirección web.
  • El remitente parece real pero, si pinchamos sobre él, la dirección de correo no se corresponde con una corporativa de la empresa que nos escribe.

Lo más importante en estos casos es nunca pinchar enlaces sino ir por nuestra cuenta a la aplicación o web oficial del servicio para comprobar si tenemos un aviso. Y recordar que nuestro banco nunca nos pedirá por teléfono claves de acceso ni códigos de verificación.

Banner_azules
Reciba las últimas noticias de la industria en su casilla:

Suscribirse ✉