Multa ejemplar y sin precedentes sobre phishing: un banco deberá pagarle $140 millones a una pyme que sufrió una ciberestafa

Una pyme de Chivilcoy, Buenos Aires, que sufrió el robo de casi $38 millones a través de su home banking, obtuvo un fallo judicial sin precedentes que obliga a un banco a restituirle la suma sustraída y pagarle un total de $140 millones por fallas en sus medidas de seguridad.

La sentencia, dictada por el Juzgado en lo Civil y Comercial N° 9 de La Plata, determinó que la entidad financiera deberá abonar una penalización equivalente a 100 canastas básicas, lo que actualmente asciende a $103.371.600, además de reintegrar el dinero perdido por la empresa afectada, Grupo Logística Uno S.R.L.

El fraude ocurrió el 20 de marzo de 2023, cuando José Luis Aronna, socio gerente de la firma, intentó realizar una transferencia desde la plataforma online del banco. Durante el proceso, el sistema le solicitó datos adicionales, incluido el token de seguridad, lo que aparentaba ser un procedimiento habitual.

Sin embargo, tras ingresar la información, la sesión se cerró abruptamente y, en menos de 30 minutos, los delincuentes lograron desviar $39.999.342,29 mediante 18 transferencias fraudulentas a distintas cuentas bancarias.

Además, los atacantes contrajeron un préstamo a nombre de la pyme por $3.500.000, agravando aún más el perjuicio financiero.

Al detectar la actividad fraudulenta, el socio gerente se comunicó de inmediato con la línea de asistencia del banco privado en cuestión para intentar revertir las transacciones. La respuesta no fue la esperada: la entidad bancaria informó que no podía hacer nada para detener o anular las operaciones.

En ese contexto, el juez subrogante Juan José De Olivera argumentó en su resolución que “la sociedad actora es una consumidora financiera que en nada se aparta de cualquier otro consumidor financiero que resultara persona física (...), lo hace en una relación asimétrica en cuanto a sus conocimientos y experticia de la actividad financiera en comparación con su co-contratante, hoy demandado”.

Además, cuestionó la eficacia del sistema de seguridad bancaria, señalando que el mecanismo de verificación utilizado por el banco resultó insuficiente. “El banco no tiene la obligación de controlar las computadoras de los clientes, verificando si cuentan o no con antivirus; sino que, el banco está obligado con el usuario de un servicio financiero a prevenir un daño en caso de vaciamiento de una cuenta”, sostuvo.

“Los magistrados comprendieron que el único camino para que los bancos realicen las inversiones necesarias en materia de seguridad informática, y a su vez cambien el trato al cliente, es a través de la imposición de multas ejemplificadoras como la que se ha puesto en este caso”, señaló el abogado defensor de la pyme, Marcelo Szelagowski.

Y concluyó: “Esta multa resulta significativa frente a lo que es una entidad bancaria, poniendo a nuestro departamento judicial a la altura de los fallos dictados en los Estados Unidos, líder en materia de derecho del consumidor”.

¿Cómo funciona el pishing?

El phishing se enfoca en ganar la confianza de los internautas para “obligarlos” a ceder información personal sumamente importante como accesos a redes sociales, contraseñas o datos a cuentas bancarias, sin que las personas se den cuenta en ningún momento, de que están siendo víctimas de un robo cibernético. Solo hasta que ven sus cuentas de banco vacías o un mensaje de doxing (chantaje con información robada en la web), es que caen en cuenta de su error; sin embargo, ya es demasiado tarde.

La estrategia de un ciberdelincuente para que un internauta suministre su información por medio del phishing es muy sencilla: en el caso de un correo electrónico, solo es necesario que el delincuente envíe un e-mail haciéndose pasar, por ejemplo, por su banco, asegurando que es necesario dar clic a un enlace adjunto e ingresar los datos de acceso a su usuario virtual o sino puede sufrir grandes consecuencias legales.

En caso de que la persona acceda, primero a dar clic y segundo a ingresar a su cuenta virtual en una página perfectamente recreada y muy similar a la original, el delito quedará consumado. Los hackers habrán obtenido la información de primera mano (el dueño de la misma) y tendrán total disposición de hacer con ella lo que gusten.