La Asociación de consumidores especializada en la protección del usuario financieros (Asufin) denuncia una desprotección sistemática del consumidor ante los casos de phishing debido a “un entramando de vacíos de seguridad” que acaban perjudicando al usuario, sobre todo con los bancos.
En un caso concreto, uno de los socios de la asociación comenzó un proceso judicial por haber sufrido phishing desde la página de su banco, pero el magistrado del número 53 de Barcelona acabó desestimando sus demandas. El juez si considera que fue víctima de esta estafa, pero quita toda la responsabilidad al banco. “Si el demandante, nervioso por la situación, facilitó los códigos OTP (autenticación con contraseña de un solo uso) a pesar de que en el mensaje se le indicaba que era para confirmar las compras, y no para anularlas, debe asumir las consecuencias de sus actos”, argumenta el fallo.
Dese Asufin critican que con esta conclusión se está quitando relevancia a algunas circunstancias fundamentales, que al final dan mayor responsabilidad a la empresa. Por una parte el SMS con el que se inició la estafa se colocó dentro de la línea de mensajes legítimos que el cliente había recibido con anterioridad y la posterior llamada se realizó desde un número identificable con la entidad.
Te puede interesar: La estafa de los iPhone: la nueva modalidad criminal para acceder a los datos de las víctimas de robos
A parte, los delincuentes fueron capaces de dar determinados datos personales, como nombre y apellido, que dieron legitimidad a los hechos. Todo se realizó desde un dispositivo que no era el que el asociado tenía registrado a su perfil, para conseguir confundirlo aún más.
Esto ocurre principalmente porque la Ley Vigente en España da diferentes responsabilidades a la entidad bancaria y al usuario, lo que, según la organización, es injusto, ya que es “la entidad bancaria la que dispone de los medios de seguridad para proteger adecuadamente los fondos y transacciones”. En el artículo 41 del Real Decreto-ley 19/2018, del 23 de noviembre, que alude a los servicios de pago y otras medidas urgentes en materia financiera, establece la obligación del usuario de “tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas”, sin especificar cuales son estas.
Hay que recordar que esta ordenanza también recoge que “corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave” y que “en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato”.
¿Qué es el phishing?
El phishing es un tipo de ciberestafa con la que se busca obtener información confidencial como contraseñas, números de tarjetas de crédito y otros tipos de datos de carácter personal de los usuarios. También existen casos en los que se utiliza para instalar programas maliciosas, conocidos comúnmente como malware, en los dispositivos.
Te puede interesar: ¿Cómo verificar que una URL es de confianza y no me van a estafar?
Para que sea considerado como phishing los ciberdelincuentes tienen que haber realizado una suplantación de algún tipo de organización o empresa. Una vez hecho, envían un mensaje o realizan una llamada a la víctima para conseguir su información con cualquier excusa o que abra un fichero malicioso.
Esta estafa es común verla con entidades bancarias, pero también puede ocurrir organizaciones públicas y otros tipos de empresas privadas que puedan de alguna manera solicitar datos a sus clientes.
Desde la Oficina de Seguridad del Internauta del Instituto Nacional de Ciberseguridad (Incibe) explican que hacer en caso de sufrir phishing. Lo primero será ignorar el mensaje y no hacer clic en ningún enlace ni descargar ningún archivo adjunto. Sin embargo, en el caso de ya haber caído se debe primero escanear el dispositivo con un antivirus y eliminar todos los archivos descargados.
Tras eso hay que cambiar todas las contraseñas de las cuentas implicadas, activar la verificación en dos pasos en dichas cuentas, contactar con el banco para cancelar cualquier pago no autorizado a nuestra tarjeta y por último recopilar todas las pruebas posibles para realizar una denuncia.