PACTARIA
Innovación · 8 min de lectura

Phishing bancario: concepto, recomendaciones y claves legales

Cómo identificar un ataque de phishing, qué pasos seguir si has sido víctima y cuál es la responsabilidad de la entidad financiera según la normativa de servicios de pago y la jurisprudencia.

PA
Patricia Aira
14 de julio de 2021
Innovación

Artículo del archivo histórico de Pactaria, publicado originalmente el 14 de julio de 2021. La normativa analizada puede haber evolucionado desde entonces.

¿Qué es el phishing?

El término "phishing" es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta, como puede ser, por ejemplo, una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima. El medio más utilizado para recibir este tipo de mensajes hasta ahora ha sido el email personal, si bien cada vez es más habitual el uso de otros canales: SMS o mensajería instantánea como WhatsApp (Smishing), telefónica (Vishing) o vía web (URL Phising).

¿Cómo distinguir un ataque de phishing?

Distinguir un mensaje de phishing de otro real puede no resultar fácil para un usuario que haya recibido un correo de tales características, en especial cuando, poniendo por ejemplo el caso del sector bancario, un mensaje de phishing bancario lo recibe una persona que es efectivamente cliente de la entidad financiera de la que supuestamente proviene el mensaje. Sin embargo, existen métodos para identificar este tipo de ataques:

  1. Valorar el mensaje: el primer paso para identificar un phishing es valorar el contenido del mensaje o correo electrónico. El objetivo es intentar asustar al usuario e instarle a actuar según las indicaciones del mensaje. Se suele añadir también una excusa ("problemas técnicos o de seguridad") y proporcionan una solución sencilla del tipo "acceda a su banco utilizando este enlace". De forma adicional, hay que desconfiar si la escritura de la comunicación no es la correcta, si faltan tildes o hay faltas de ortografía, etc. Muchas veces los estafadores son extranjeros y cometen errores de ortografía, si bien últimamente la calidad de los mensajes recibidos a aumentado significativamente.

  2. Mensajes genéricos o no personalizados: cuando una entidad tiene que dirigirse por correo electrónico a un usuario o cliente, siempre lo hará enviando correos electrónicos personalizados, donde utilizará el nombre de la persona e incluso en algunas ocasiones, parte de su DNI. Si recibimos un correo no personalizado, estamos probablemente ante un caso de intento de estafa.

  3. Petición de claves y otros datos: también es muy habitual que en el mensaje de phishing soliciten nombre de usuario, claves y otros datos de acceso a las cuentas, práctica que las entidades legítimas nunca llevarían a cabo.

  4. Urgencia: otra técnica utilizada habitualmente en el phishing es la de hacer pensar a la víctima que se encuentra en situación de urgencia. Mensajes como "tendrá un plazo de 8 horas para realizar esta acción" son los habitualmente utilizados por los delincuentes. Una entidad de confianza no le pedirá que lleve a cabo una acción de este tipo sujeta a plazo.

Recomendaciones generales a seguir ante un caso de phishing bancario

a) Recopilar la información

En caso de haber sido víctima de un fraude de tipo phishing, es necesario recopilar toda la información que sea posible: correos, capturas de conversaciones mediante mensajería electrónica, documentación enviada, etc.

b) Contactar con la entidad

Para los casos de phishing bancario, es imprescindible contactar con la entidad financiera lo antes posible para informarles de lo sucedido, preferentemente por escrito.

c) Modificar contraseñas

Adicionalmente, es necesario modificar la contraseña de todos aquellos servicios en los que se utilizaba la misma clave de acceso que para el servicio de banca que ha sido comprometido.

d) Contactar con el INCIBE

Además, es recomendable contactar con el Instituto Nacional de Ciberseguridad (INCIBE) a través del Centro de Respuesta a Incidentes de Seguridad de referencia para los ciudadanos y entidades de derecho privado en España (INCIBE-CERT). Este organismo pone a disposición de los afectados un buzón desde el que reportar los casos de fraude que se detecten: correos de phishing, tiendas online fraudulentas, sitios web que alojan malware, etc.

e) OMIC – Fuerzas y Cuerpos de Seguridad del Estado

De forma más local, se puede acudir a la Oficina Municipal de Información al Consumidor (OMIC) correspondiente al lugar de residencia de la persona afectada, ya que es un servicio que informa, ayuda y orienta a los consumidores. Entre sus funciones está la tramitación, mediante procedimientos de conciliación, de las reclamaciones que los consumidores les hacen llegar derivadas de problemas en compras de productos o en la contratación de servicios.

Si el problema no se puede solucionar mediante los pasos anteriores expuestos, es necesario interponer la denuncia correspondiente ante las Fuerzas y Cuerpos de Seguridad del Estado.

Responsabilidad civil de la entidad financiera en casos de phishing

Las obligaciones legales de las entidades financieras en relación con el phishing están reguladas en la Directiva (UE) 2015/2366 de Servicios de Pago (DSP2) y en el Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago (LSP).

La LSP, en su artículo 45, relativo a la responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas, establece lo siguiente en su primer punto:

"… en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada…".

Por otra parte, la Sentencia de la Audiencia Provincial de Alicante de 12 de marzo de 2018 estableció que:

"…la responsabilidad del proveedor de los servicios de banca online es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos…".

Debe tenerse en cuenta que las medidas de seguridad en el ámbito bancario no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes, sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes, de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad de la entidad financiera por "culpa in vigilando" o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica.

Por lo tanto, podemos considerar la responsabilidad de las entidades de banca online es de naturaleza casi objetiva, derivada de la exigencia a la entidad titular del servicio online de adoptar medidas de seguridad necesarias y renovables ante los distintos modos de fraude informático, de tal modo que salvo que se acredite la negligencia grave por parte del usuario de la banca electrónica, la entidad financiera debe responder del reintegro de los importes obtenidos de forma fraudulenta. Además, debe ser la entidad de crédito la que pruebe el uso negligente por parte del cliente de la banca.

La obligación que recae sobre las entidades financieras es de carácter cuasi-objetivo, lo que quiere decir que se presume que el titular de la tarjeta no ha autorizado la operación, de forma que es el banco el que debe probar:

a) Que ha implementado las medidas técnicas de seguridad necesarias establecidas en la DSP2 y desarrolladas por el Reglamento 2018/389. b) Que remitió al titular la clave dinámica aleatoria de un solo uso y que fue él quien la recibió en su dispositivo y usó para validar la operación. c) Que el demandante ha incurrido en negligencia grave.

En definitiva, será necesario que el juez valore cada caso de phishing de forma individualizada, con el fin de:

  • Determinar la actuación llevada a cabo por parte de la entidad financiera y la suficiencia de las medidas adoptadas, y también si ha cumplido con sus obligaciones legales en materia de seguridad
  • Determinar si puede considerarse que el cliente actuó incurriendo en una negligencia grave cuando fue víctima de phishing.

En todo caso, y a modo de conclusión, recomendamos que, en caso de estar afectado por caso de phishing, se busque asesoramiento legal prestado por profesionales del más alto nivel y que cuenten con experiencia contrastada en Derecho Bancario y Financiero.