SMS del banco, webs clonadas, llamadas que suplantan al banco... las nuevas estrategias del phishing

Marcos G. García REDACCIÓN

ASTURIAS

Iñigo Serrano, socio fundador de Sello Legal Abogados, de Oviedo, y abogado de la zona norte de la Asociación Contra la Usura de Sociedades Acreedoras (Acusa)
Iñigo Serrano, socio fundador de Sello Legal Abogados, de Oviedo, y abogado de la zona norte de la Asociación Contra la Usura de Sociedades Acreedoras (Acusa)

Íñigo Serrano, abogado especializado en demandas ante este tipo de estafas cibernéticas, explica que se da un 85 por ciento, «si no un poco más», de porcentaje de éxito en los casos que llegan a los tribunales. Este letrado ovetense explica que «hoy en día, que tenemos que hacer todos los pagos y operaciones online, no se pueden permitir estos fallos de seguridad»

23 dic 2024 . Actualizado a las 05:00 h.

Iñigo Serrano Blanco, socio fundador de Sello Legal Abogados, de Oviedo, y abogado de la zona norte de la Asociación Contra la Usura de Sociedades Acreedoras (Acusa) es especialista en derechos del consumidor, especialmente reclamación de tarjetas revolving y phishing.

Este año en Asturias han llevado 242 casos, en los que se han recuperado 1,2 millones de euros, y también han ganado 51 litigios de phishing, con 162.718,50 euros que han tenido que devolver las entidades financieras. Alerta de que en los últimos años las estrategias de los estafadores se han refinado y actualizado enormemente, tal vez más que las barreras que las entidades bancarias han dispuesto para hacer frente al phishing.

Este letrado explica que las estrategias más habituales ante este tipo de estafas son dos. La primera es que «se le envía un sms al cliente haciéndose pasar por su entidad financiera». Esto funciona porque los delincuentes «logran meter el sms en la cadena de mensajes antiguos que tienes con el banco, lo que aporta credibilidad». Por tanto, el usuario «reconoce como propio del banco» la llamada entrante. Es entonces cuando el ciberdelincuente le explica que «están intentando acceder a su cuenta, y le pide que haga clic en el siguiente enlace para solucionarlo».

Íñigo Serrano resalta que el usuario, en muchas ocasiones, «está asustado, le pilla por la calle y muchas veces no está pendiente de lo que está haciendo». Es por eso que, en muchas ocasiones, «pincha en el enlace y le lleva a una web que es igual, clónica, que la del banco». «En el momento que metes ahí tu usuario y contraseña lo que estás haciendo es darle esos datos al ciberdelincuente», apunta. El estafador, una vez provisto de tus datos, «entra en la web real, con tu usuario y contraseña, y opera libremente».

La estrategia del voice phishing

El socio fundador de Sello Legal Abogados, de Oviedo, y abogado de la zona norte de la Asociación Contra la Usura de Sociedades Acreedoras (Acusa) comenta que otra estrategia es el vishing, o voice phishing, en el que los ladrones «lo que hacen es que te llaman desde el número oficial del banco».

Esto se logra utilizando voz sobre protocolo de Internet (VoIP). Esto equivale a que desde un programa de Internet «dices qué número quieres que le aparezca a la persona que va a recibir tu llamada». Por lo tanto, la víctima, si tiene guardado el teléfono, «le va a salir que es tal o cual banco o, en caso de que no lo tenga guardado, si busca en internet le aparecerá» que es el de una entidad financiera confiable. «Es como si estuviese hablando con su banco», explica este abogado.

Íñigo serrano comenta que «el ciberdelincuente le da nombre, apellidos, DNI y número de agente» al usuario para aportar verosimilitud, y a continuación le dice que se le van a enviar «una serie de sms para anular las transferencias que se hacen», por lo que la persona va a tener que «dar las claves que le llegarán por sms». Sin embargo, esas son las claves para autorizar la operación, «no para denegarla como te ha dicho el ciberdelincuente que actúa como agente de banca». Esto provoca auténticos «desfalcos de toda la cuenta», salvo que se hayan establecido límites «y muchas veces se los saltan al haber accedido a la cuenta».

Desde los despachos de abogados y entidades se le pide a las entidades financieras «que tengan medidas de seguridad mucho más elevadas ante estas prácticas», tales como «una tercera medida de acceso, no solo usuario y contraseña» o una triple autenticación, que es lo que emplean ya, por ejemplo, «las empresas de criptomonedas que, en esto, dan mil vueltas a las entidades financieras tradicionales».

Ante este tipo de litigios y reclamaciones, lo que intentan los tribunales es «empujar a los bancos a que adopten estas medidas de seguridad». «Si se abre la mano a que todo es negligente, lo razonable es que las entidades financieras adopten una postura conformista que, a la larga, provocará que cada vez haya más estafas de este tipo», comenta este letrado.

Y es que «hoy en día, que tenemos que hacer todos los pagos y operaciones online, no se pueden permitir estos fallos de seguridad». Íñigo Serrano comenta que en casos de phishing que llegan a los tribunales se da un 85 por ciento, «si no un poco más», de porcentaje de éxito para el demandante. En este sentido, «son contados los casos» en los que ha habido phishing por una negligencia grave de la persona estafada. «En Asturias la Audiencia Provincial lo tiene clarísimo ante este tipo de casos», concluye.