Emails fraudulentos y phishing bancario: riesgos, responsabilidad y protección legal
Qué es el phishing y cómo funciona
Una de las tipologías más extendidas en el ámbito de los delitos bancarios digitales es el phishing. Se trata de un método sencillo de implementar y no fácilmente detectable por el usuario medio, que se basa en el envío masivo de correos electrónicos suplantando a una entidad bancaria. Estos emails suelen estar bien redactados y contienen un enlace malicioso que dirige a una página web con un diseño muy similar al de la plataforma de banca online del usuario.
El proceso del ataque: paso a paso
1. El email fraudulento
Al acceder a ese enlace, el usuario llega a una web fraudulenta en la que se le insta a cambiar sus claves bajo el pretexto de una supuesta brecha de seguridad o de la filtración de datos sensibles como contraseñas o claves de firma.
2. La manipulación psicológica
Este mensaje genera un estado de alarma y urgencia que influye negativamente en la capacidad de reacción del destinatario, que actúa de forma acelerada, presa del pánico o del miedo a sufrir un perjuicio inmediato.
3. El robo de credenciales
Cuando la víctima introduce su nombre de usuario y contraseña, está facilitando directamente sus credenciales al ciberdelincuente, que obtiene así acceso al proveedor de servicios de pago del usuario real. Con esos datos, el autor del fraude puede proceder a realizar transferencias bancarias u otras operaciones sin el consentimiento del titular de la cuenta.
Autenticación en dos factores: ¿realmente protege?
Este tipo de fraudes se ha intentado combatir mediante la implantación de la autenticación en dos factores. En muchas entidades bancarias, ya es necesario confirmar las operaciones con pasos adicionales, siendo uno de los métodos más habituales el envío de un código temporal por SMS al terminal en el que está insertada la tarjeta SIM del usuario.
El problema es que, en muchos casos, las organizaciones de ciberdelincuentes actúan en varias fases. A la víctima de phishing se le ha clonado previamente la tarjeta SIM, de modo que los códigos de confirmación son recibidos por el propio delincuente en su smartphone. En otros supuestos, estas comunicaciones son interceptadas mediante programas informáticos diseñados para ese fin.
Existen, no obstante, otras medidas de autenticación en dos factores que resultan mucho más eficaces y seguras. Es el caso de determinadas operaciones, como algunas transferencias o pagos mediante Bizum a partir de ciertos importes, que se confirman utilizando factores inherentes a la persona, como la huella dactilar o el reconocimiento facial. Estos sistemas presentan una mayor resistencia a la manipulación, aunque el avance de la inteligencia artificial plantea nuevos riesgos que obligan a extremar la precaución en los próximos años.
Qué dicen los tribunales sobre el phishing bancario
Desde el punto de vista jurídico, los tribunales españoles han analizado en numerosas ocasiones este tipo de fraudes. La Audiencia Provincial de Almería recoge el testimonio de un caso en el que el phisher se hizo pasar por una entidad bancaria mediante un correo electrónico, facilitando un enlace que conducía a una página web prácticamente idéntica a la oficial. El usuario, confiado en que se encontraba en un entorno seguro, introdujo sus credenciales sin advertir el engaño.
Responsabilidad de la entidad bancaria y Directiva PSD2
En cuanto a la responsabilidad de la entidad bancaria, la Audiencia Provincial de Alicante recuerda que, incluso cuando el usuario ha caído en la trampa y ha introducido sus datos en una web bajo dominio del phisher, el banco solo puede exonerarse de responsabilidad si demuestra que el cliente ha actuado con fraude o con negligencia grave. No basta cualquier conducta negligente. Esta exigencia deriva de la Directiva (UE) 2015/2366, sobre servicios de pago, conocida como PSD2.
Además, las cláusulas de exoneración de responsabilidad que algunas entidades incluyen en los contratos de banca digital se consideran no puestas cuando contravienen normas imperativas de protección del consumidor.
Qué se considera negligencia grave
La propia Directiva PSD2 trata el concepto de negligencia grave de forma restrictiva. En su Considerando 72 se indica que la evaluación de la negligencia debe realizarse atendiendo a todas las circunstancias del caso y conforme a la normativa nacional, y que la negligencia grave implica algo más que una mera falta de diligencia. Como ejemplo, se menciona el supuesto de guardar las credenciales utilizadas para autorizar una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable por terceros.
Tipificación penal del phishing
Desde la perspectiva penal, la Audiencia Provincial de Cáceres recuerda que la Sala Penal del Tribunal Supremo considera que el phishing constituye una estafa informática que integra todos los elementos del tipo penal previsto en el artículo 248.2 del Código Penal, al concurrir ánimo de lucro, manipulación informática, acto de disposición y engaño bastante. Aunque parte de la doctrina ha discutido si en estos casos existe un engaño personal equiparable al de otras estafas tradicionales, como el tocomocho o el trile, la jurisprudencia mayoritaria se inclina por su plena tipificación penal.
En la actualidad, este delito se recoge de forma autónoma en el artículo 249.1.a) del Código Penal, que sanciona a quienes, con ánimo de lucro y mediante manipulación informática o artificio semejante, consiguen una transferencia no consentida de activos patrimoniales en perjuicio de otro.
¿Has sido víctima de phishing bancario?
Si has sido víctima de phishing bancario o de cualquier otra ciberestafa, es importante actuar con rapidez y recabar asesoramiento especializado para analizar las posibles reclamaciones frente a la entidad bancaria.
