Vishing: cómo protegerte de las estafas telefónicas bancarias
Qué es el vishing y cómo funciona
El vishing es una tipología de ciberestafa cada vez más extendida, y que va a seguir perfeccionándose debido al uso de la IA para imitar voces y de otras argucias tecnológicas.
La palabra vishing es un vocablo de nueva creación que deriva del concepto "phishing por voz". La finalidad de estas llamadas es muy similar a la de los correos electrónicos que recibimos y que pretenden que facilitemos nuestros datos de acceso a la banca online a través de un enlace.
En este caso, los ciberdelincuentes se hacen pasar por empleados de tu entidad bancaria para conseguir que les facilites tus credenciales de acceso y códigos de autenticación por teléfono.
Inteligencia artificial: la nueva arma de los estafadores
Ahora con la inteligencia artificial será muy sencillo para los ciberdelincuentes realizar una llamada utilizando la voz de la persona de confianza en la entidad bancaria (por ejemplo: tu asesor habitual del banco). Si eso ocurre será mucho más complicado detectar lo que está ocurriendo.
Deepfakes: la videollamada falsa
También se pueden hacer deepfakes y en ese caso se podría tratar de una videollamada utilizando la propia cara de la persona. Por ejemplo: una videollamada de tu gerente pidiéndote las claves de la cuenta bancaria de la empresa para poder hacer una transferencia urgente.
Redes sociales: la fuente de datos
Todos estos datos propios de la imagen de una persona (su rostro o la voz, etc.) pueden ser extraídos de las redes sociales con facilidad mediante la utilización de softwares destinados a ese fin, y los ciberdelincuentes pueden utilizarlos a su antojo para llevar a cabo sus estafas.
Caso real: anatomía de una estafa por vishing
Este es un caso de estafa muy similar a un asunto que hemos defendido en nuestro despacho, y que ilustra perfectamente cómo operan estos delincuentes.
A mitad de tarde, una persona recibe una llamada telefónica y el interlocutor dice ser su asesor habitual en el banco o caja (menciona nombre y apellidos), o, al menos, un subordinado que asegura conocerle.
La trampa inicial
El motivo de dicha comunicación imprevista es confirmar que la docena de transferencias bancarias que se han efectuado a lo largo de la última media hora desde su cuenta corriente son lícitas y han sido autorizadas correctamente.
El pánico como arma
La sorpresa inicial del cliente bancario se incrementa al escuchar que los envíos de dinero se dirigen hacia destinos tropicales como las Antillas Francesas, la Isla de Reunión o Mayotte... La urgencia se convierte en la protagonista de una llamada telefónica llena de tensión y miedo.
La estafa en acción
La agitada voz del cliente acata las órdenes de su supuesto asesor financiero que, por desgracia, es un ciberdelincuente muy bien entrenado. De forma metódica y pausada, el estafador le solicita las claves de acceso y los códigos de autenticación so pretexto de retrotraer lo antes posible dichas transferencias bancarias.
La cruda realidad
La realidad es bien distinta: esas contraseñas y combinaciones numéricas van a ser utilizadas en tiempo real para aprobar transferencias bancarias que dejarán la cuenta del cliente en números rojos. Al día siguiente, cuando el cliente se acerca por su banco a primera hora para agradecerle al asesor su diligencia y su oportuna llamada telefónica es cuando se percata de la estafa que ha sufrido…
Cómo protegerte: el consejo fundamental
Verifica siempre por tu cuenta
En todo caso, el primer consejo a tener en cuenta es: si nos están explicando que se han producido movimientos anómalos en nuestra cuenta corriente, debemos comprobarlo accediendo a la web o app para corroborar lo que se nos está explicando por vía telefónica. Nunca facilites tus credenciales por teléfono, aunque la persona parezca ser de confianza.
Jurisprudencia: el caso del Juzgado de Ferrol
En estos asuntos la defensa jurídica es un reto. Por ejemplo, el Juzgado de Primera Instancia de Ferrol falló en contra del perjudicado en un caso de vishing.
El tribunal sentenció que el propio cliente bancario no había aplicado "la debida diligencia en su responsabilidad de custodia tanto de sus credenciales de acceso a su banca online como las de las claves de autorización de las operaciones".
De otro modo, "las operaciones no reconocidas se habrían evitado", siendo estas circunstancias totalmente ajenas a la demandada y por las que no se le puede exigir responsabilidad, ya que no fue ella quien propició tal situación sino la propia actora.
El cliente, "con sus acciones, facilitó las claves de acceso, respecto de las cuales tiene el deber de custodia a un tercero, facilitándole así el acceso y la utilización de la tarjeta objeto de controversia".
Defensa legal: acreditar negligencia leve
Por todo ello, es necesario acreditar que la negligencia del usuario es en todo caso leve, fruto del ardid y del engaño que han puesto en práctica los ciberdelincuentes expertos.
El estándar del buen padre de familia
El usuario aplica la diligencia de un padre de familia conforme al artículo 1104 del Código Civil, pero no es suficiente, dado que el miedo le atenaza y el nerviosismo ante la desgracia de poder perder todos sus ahorros le hacen actuar de forma impulsiva.
Estrategia de defensa
Para estos casos, lo mejor es defender la idea de que la negligencia grave no surge del propio usuario, sino que es una negligencia que aparece porque el estafador telefónico se las ha ingeniado para que el usuario acabe facilitando las claves de acceso a su banca digital.
La clave está en demostrar que el engaño fue tan elaborado que cualquier persona razonable habría caído en la trampa.
¿Has sido víctima de vishing?
Si has sufrido un fraude telefónico bancario es importante tener un asesoramiento legal especializado. La diferencia entre demostrar negligencia leve o grave puede determinar si recuperas tu dinero.
