Unicaja acumula más de 50 sentencias condenatorias por estafas de «phising» a sus clientes, asegura UCE

La Unión de Consumidores de Asturias (UCE) cargó con dureza contra el Banco de España al que acusaron de «indolencia» a la hora de tomar medidas por el caso de clientes de Unicaja perjudicados por estafas de phising, un fraude que consiste en el envío de correos electrónicos que suplantan la identidad de la entidad financiera y solicitan información personal y bancaria al usuario. La asociación considera que el banco actuó de forma negligente perjudicando a las víctimas.

«Más de 1.000 familias asturianas, tienen que bloquear los Juzgados para recuperar el dinero saqueado en su cuenta por ciberdelincuentes», denunció la UCE haciendo responsable a Unicaja «por no implementar las medidas de refuerzo adecuadas para garantizar su primera obligación como es proteger las cuentas y depósitos de sus clientes», un situación que denuncian que ha sido corroborada por los tribunales en más de 50 sentencias. 

En su comunicado, la unión de consumidores señala que «que no implementó medidas de refuerzo y seguridad antiphishing cuando se unificaron las plataformas de Liberbank y Unicaja hace 2 años. Cuando se han cumplido dos años de aquel episodio hemos llegado a conocer con detalle la operativa del fraude y los fallos de seguridad de Unicaja, con ayuda de un magnifico equipo de peritos muy cualificados, profesores de Informática en la Universidad de Oviedo, y estamos acumulando sentencias, que en todos los casos están estimando las demandas, condenando a Unicaja a reembolsar la totalidad del importe defraudado más su interés legal y el pago de las costas del procedimiento judicial».

Según la UCE, la operativa funcionaba de la siguiente manera: los estafadores enviaban un SMS (o una serie de ellos) a clientes de Unicaja. A su juicio, esto sugiere que existió algún tipo de filtración que permitió el acceso a una lista de clientes con sus números de teléfono. En el mensaje, se alertaba sobre un acceso irregular a la banca digital, una operación sospechosa o la posible cancelación del acceso a la cuenta digital. Se indicaba que podían evitarlo entrando en la web, supuestamente del banco, mediante el enlace incluido en el SMS. Al hacer clic en el enlace, los clientes eran dirigidos a una página que imitaba perfectamente la del banco, donde se les solicitaban sus claves de acceso a la banca digital. Después, se les pedía introducir una clave para vincular el dispositivo (supuestamente para desvincular el acceso no autorizado y volver a vincular su propio dispositivo), clave que recibían en otro SMS enviado genuinamente por Unicaja. Al introducir esta clave, en realidad estaban vinculando el dispositivo de los estafadores, quienes podían realizar transferencias respetando los límites establecidos para cada cliente.

En la nota, la UCE señala que Unicaja mantuvo el sistema de SMS a pesar de las advertencias del Banco de España de que se estaban produciendo este tipo de estafas con este método y que «los SMSs con la claves de cambio de dispositivo o autorizando las transferencias eran enviados realmente por Unicaja, pero quien desencadenaba inicialmente la operación y provocaba la remisión de esos SMSs era el estafador. Unicaja estaba actuando simultáneamente con dos aparatos distintos entre sí, distantes, con sus propios IPs, sin detectar nada anómalo».

La asociación ha remitido además a los medios una sentencia de la Audiencia Provincial sección 5ª., confirmando una condena a Unicaja «que ya sancionó el juzgado nº-4 de Oviedo., obligando a reintegrar a nuestra asociada los 6.000€ saqueados de su cuenta por ciberdelincuentes, de la que es responsable por no tener las medidas de seguridad adecuadas para proteger a los clientes con medidas anti phishing».

---

---

---