Abrimos la puertas de Hispacolex Bufete Jurídico en COPE Más Málaga para hablar de una de las estafas más comunies hoy día.

María Arjona, es abogada integrante del departamento civil y mercantil de Hispacolex y con ella vamos a descubrir lo que hay detras del 'phishing' y cómo podemos evitarlo.

QUÉ SIGNIFICA

Requisito fundamental es saber que significa esta palabra que a muchos ni siquiera les sonará, pues bien la palabra “phishing” proviene del inglés “fishing” que significa pescar. Se acuñó a mediados de la década de 1990, cuando los hackers comenzaron a utilizar correos electrónicos fraudulentos para pescar información de usuarios incautos. El estafador lanza la caña a ver qué pesca. Por lo que los protagonistas que tenemos son por un lado el estafador (phisher) y por otro lado el estafado.

EN QUÉ CONSISTE

Podemos decir que el phishing es un tipo de estafa fraudulenta empleada por ciberdelincuentes para conseguir, mediante distintos medios, que el usuario “pique el anzuelo” y revele información personal confidencial como contraseñas bancarias o información de tarjetas de crédito.

Como decíamos el phishing es una técnica de ingeniería social que consiste en el envío de correos electrónicos que suplantan la identidad de compañías u organismos públicos y solicitan información personal y bancaria al usuario. Se remite en el email un enlace que te redirige a una página web fraudulenta para que introduzca su número de tarjeta de crédito, DNI o cualquier contraseña de acceso a la banca online.

En muchos casos, el usuario afectado no sabrá que ha sido víctima de este tipo de estafa hasta que no recibe una comunicación bancaria o transferencia o movimientos bancario sospechoso de un importe elevado.

UN EJEMPLO

El ejemplo más claro es el envío de correos que inspiran confianza o curiosidad, suplantando la identidad de una entidad bancaria, de una plataforma de video en streaming o, simplemente, escribiendo un mensaje atractivo que impulse a clicar en un enlace o archivo anexo.

Aunque el remitente sea aparentemente conocido y el mensaje muy tentador, no se debe confiar en correos inesperados o en respuestas que no hayamos solicitado.

• Left6:No existe configuración de publicidad para el slot solicitado

Imagínate que en tu correo de entrada aparece un email de tu entidad bancaria y lo único que cambia es la última letra de la denominación, si te fijas determinadamente en el remitente verás que la cuenta no es real.

PROTEGERNOS

Ante una sociedad como la actual en la que se comparten millones de enlaces cada día es fácil hacer clic por acceder a información o por la prisa que es un comportamiento muy común. Los ciberdelincuentes lo saben por eso utilizan técnicas de ingeniería social para conseguir que los usuarios hagan clic en enlaces maliciosos. De esa forma consiguen información personal de las víctimas que luego venden en el mercado negro o utilizan para cometer delitos de suplantación de identidad.

Consejos para no caer en la red de los ciberdelincuentes:

1.- Observar el remitente del mensaje. En primer lugar hay que ver quién es el remitente. Si vemos que es desconocido debemos poner todas las alarmas. También puede ser que la fuente sea conocida pero haya algo sospechoso, es recomendable contactar con esa persona o entidad a través de otro medio para comprobar si ha enviado ese mensaje.

2.- Observar el contexto del mensaje. El dirigirse al destinatario utilizando palabras generales como “cliente” o “usuario” en lugar del propio nombre y apellidos o que el mensaje contenga falta de ortografías.

3.- Revisar las letras del enlace. Si la URL comienza por ´https:// es buena señal. Si por el contrario no empieza por https o no tiene el candado cerrado, se puede acceder al icono de información y ver si la conexión con ese sitio es segura. Los atacantes pueden falsificar dominios con combinaciones engañosas de letras, números, mayúsculas y minúsculas, y son, a simple vista, difíciles de detectar.

4.- Mantener actualizado el sistema operativo, las aplicaciones y el antivirus en todos los dispositivos.

5.- Hacer clic en enlaces acortados únicamente si la fuente que lo ha enviado es de total confianza y no hay riesgo que haya sido suplantada.

6.- No dejarse llevar por la prisa. Ante la sospecha o la falta de tiempo para comprobar la fiabilidad de un enlace, mejor no hacer clic.

7.- No descargar archivos adjuntos en correos electrónicos que resulten sospechosos o que no estabas esperando.

NORMATIVA

Sí, nos encontramos con el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera y de la legislación de consumidores y usuarios.

En su artículo 36 indica que es necesario contar en todas las operaciones de pago con el consentimiento del ordenante. La falta de consentimiento de este, en cualquier operación de pago, conllevará que la misma se considere no autorizada.

Si tenemos en cuenta que el usuario nunca autorizó la operación porque su consentimiento fue viciado, y obtenido mediante estafa informática y engaño, se concluye que la operación jamás se autorizó. La entidad bancaria es la que responde en este caso de las consecuencias económicas

No es suficiente con que el afectado niegue haber prestado su consentimiento, debe cumplir con el protocolo de notificación al banco que establece el artículo 43 del mencionado Real Decreto-ley. Existe la obligación de que el afectado notifique a su entidad bancaria cualquier operación de pago no consentida y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.

Una vez cumplido dicho requisito la entidad crediticia estará obligada a devolver a su cliente el importe del adeudo de inmediato y a más tardar al final del día hábil siguiente a la notificación de la operación.

TRIBUNALES

Pues los Tribunales españoles han acogido la normativa europea en los que en la mayoría de casos responde la entidad financiera las consecuencias del phishing en lugar de que sea el usuario el responsable que esto ocurre en casos minoritarios.

La jurisprudencia exige un alto grado de negligencia, en base al Real Decreto-Ley 19/2018 para imputar cualquier culpa al usuario y que no sea la entidad bancaria la que responda del fraude.

En nuestro despacho podemos hablar de casos de éxito en esta materia, el 14 de diciembre de 2022 obtuvimos una Sentencia favorable dictada por la Audiencia Provincial de Jaén en la que se indicó que “constituye obligación esencial de las entidades prestadoras del servicio de banca “online” el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema”.

Es por ello que recomendamos a todos nuestros oyentes que puedan sufrir 'phishing' a que contacten con nosotros para estar bien asesorados ante este tipo de peligro.