Hasta hace poco, el phishing era algo bastante desconocido. Incluso, pensábamos que era algo que solo les podía pasar a otros, que nunca caería esa pelota en nuestro tejado. Sin embargo, está entre los ciberdelitos más habituales y la mayoría de nosotros conocemos a alguien a quien le ha pasado algo similar… y si no lo conoces, es que eres tú. Hoy quiero ir un poco más a lo concreto y hablarte del phishing bancario, algo que, por desgracia, está cada vez más a la orden del día.
Quiero ayudarte a resolver algunas de las dudas más habituales: ¿puedo recuperar mi dinero? ¿Es el responsable el banco? ¿Hay alguna fórmula infalible para evitar que me suceda? Este tema es importante, así que toma asiento y regálame cinco minutos de tu tiempo para que puedas aprender más sobre este tema y sepas cómo prevenirlo y cómo actuar ante él.
¿Qué es el phishing bancario?
Lo primero, antes de entrar en harina, es dejar claros los conceptos más importantes. ¿Qué es el phishing? Se trata de una estafa muy común que tiene como escenario internet y consiste en una suplantación de identidad. Los delincuentes (ciberdelincuentes en este caso) se hacen pasar por un tercero, ya sea una empresa o incluso una persona, con el objetivo de instalar malware o robarte, ya sean tus datos, tus credenciales, incluso tu dinero.
Basada en la ingeniería social, aprovecha la ingenuidad de la víctima o la buena reputación de la empresa en cuestión para hacer su agosto. Cuando se utiliza un servicio bancario o financiero para llevar a cabo esta estafa, se conoce como phishing bancario.
¿Cuál es el mayor peligro del phishing bancario?
Además de los evidentes problemas de privacidad (nuestros datos son mucho más importantes de lo que crees y desde que me convencí de esto yo misma soy mucho más “celosa” del uso que hago de mis datos), pero en el caso del phishing bancario lo que más peligroso es que pueden robarte tu dinero.
Basta darse una vuelta por Twitter / X para ver numerosos casos de este estilo. 1.000 €, 3.000 €, incluso hemos visto casos de 30.000 €. No es para tomarlo a broma.
Un caso reciente: la estafa de 30.000 euros a la suegra de Valeria Castro
Recientemente, una usuaria muy activa en X abría un hilo que despertó las alarmas. Se trata de Valeria Castro (@Noval33t), quien tiene más de 53.000 seguidores en esta red social. Valeria, evidentemente preocupada, compartía un hecho que le acababa de ocurrir a su suegra. En este hilo tienes todas las capturas de pantalla de cómo lo hicieron:
Bueno, voy a contar còmo le han estafado màs de 30000€ a mi suegra con la ayuda de un gestor negligente de Caixa Popular. Ya os imaginàis còmo empieza esto, con un WhatsApp de alguien hacièndose pasar por su hijo. Cuento paso a paso todo lo que ha pasado: pic.twitter.com/b0CIWWm47w
— Valeria Castro (@Noval33t) August 23, 2024
“Bueno, voy a contar cómo le han estafado más de 30.000 euros a mi suegra con la ayuda de un gestor negligente de Caixa Popular. Ya os imagináis cómo empieza esto, con un WhatsApp haciéndose pasar por su hijo“.
En este hilo, se inicia una conversación con esta señora, suplantando la identidad de su hijo y le indica que se le ha estropeado el teléfono porque se le ha mojado al fregar los platos. El hijo pide ayuda a su madre, que por supuesto no duda ni dos segundos en ofrecérsela. Le pide que vaya al banco a hacer una TRANSFERENCIA INMEDIATA (remarco esto porque es importante en la historia), con la excusa de tener que pagar unos recibos y no poder acceder a la app del banco, ya que su teléfono está estropeado.
Primero intentan que la señora haga la transferencia online, con la llamada de un estafador que se hace pasar por gestor del BBVA. Sin embargo, no consiguen que la señora sepa realizar dicha transferencia, por lo que acude al banco a realizarla. Una vez allí, realiza hasta cinco transferencia, con un valor total de 30.000 euros.
Cuando se dan cuenta de que ha caído en una estafa, acuden a la Policía, pero les indican que no es posible rastrear el número de cuenta destino y que, además, probablemente se trate de una cuenta mula. Es decir, un “intermediario” (posiblemente con problemas con drogas, como le indican en comisaría), que simplemente se abren estas cuentas a cambio de un dinero prepactado. Este dinero probablemente ya esté fuera de España.
También, en la Policía, le indican que fue un problema acudir a la oficina, ya que si la transferencia se hubiese hecho desde la app no podrían haberle estafado más de 3.000 euros, que es el límite diario de la cuenta.
¿Cómo puedo evitar esta ciberestafa?
No hay ningún método infalible para evitar una ciberestafa, incluso los que estáis tan seguros de que a vosotros nunca os pasaría, alerta, spoiler, también te puede pasar a ti. Toma nota de estos consejos del Instituto Nacional de Ciberseguridad (INCIBE) que te pueden ayudar a mantenerte alerta y no picar en la trampa en caso de que el phishing bancario toque a tu puerta:
- No abras correos o mensajes cuya procedencia desconoces y mucho menos los respondas, pinches en enlaces ni descargues documentos adjuntos: elimina el correo y bloquea al remitente.
- Incluso si conoces al remitente, asegúrate de que realmente es esa persona.
- Mantén actualizados todos tus dispositivos y programas.
- Activa la autenticación en dos factores, siempre que el servicio lo permita. Esto cada vez es más fácil y común.
¿Es el banco el responsable de los casos de phishing bancario?
La posible responsabilidad del banco en casos de phishing bancario está recogida en el Real Decreto-Ley 19/2018, donde se exige que estas entidades deben contar con sistemas de seguridad avanzados. Los bancos deben mostrarse proactivos a la hora de luchar otra estos ataques, aunque hay un componente importante: la negligencia del usuario. En este documento se recoge también la Ley de Servicios de Pago, que le da ciertas obligaciones al usuario: usar el método de pago según las condiciones del contrato, tomar las medidas necesarias para proteger sus credenciales y notificar sin demora cuál uso indebido, extravío, sustracción, etc.
Si se demuestra que ha sido “culpa” del usuario, va a ser mucho más difícil que el banco se haga responsable y ayude al consumidor a recuperar el dinero. Sin embargo, hay un cierto vacío legal al respecto. Y es que, según el artículo 248.2 del Código Penal, el phishing es muy difícil de detectar, algo que podría actuar como atenuante y exculpante de la responsabilidad del usuario.
¿Puedo recuperar el dinero si he caído en la trampa?
Depende el caso. Si has sido víctima de un delito de phishing bancario, lo primero que debes hacer es notificarlo a tu banco y poner una denuncia en la Policía Nacional, en este orden. A continuación, es necesario presentar una reclamación por escrito al banco, solicitando el reintegro de estas operaciones.
Aquí pueden ocurrir varias cosas: que el banco lo reponga sin mayor problema, que se responda de forma negativa o que no se responda directamente. En los dos últimos casos, es recomendable contratar un abogado especialista en delitos informáticos, para que ayuden a emprender las acciones legales necesarias para recuperar el dinero, en caso de que consideren que debe hacerse. Hay que tener en cuenta que, según la legislación vigente, es el banco quien debe probar que la negligencia ha sido por parte del usuario y esto no siempre es tan sencillo.
