Nos vamos de ¨phishing¨

Por Mª Dolores Caro Cals, abogada socia de RuaCals Abogados.
Por Mª Dolores Caro Cals, abogada socia de RuaCals Abogados.

Phishing, esta palabra nos perturba dada la profusión de correos electrónicos que a diario recibimos y filtramos, sabiendo que muchos de ellos son estafas informáticas, tenemos que estar siempre ojo avizor. 

El origen del nombre “phishing” es fácil de rastrear. El proceso de llevar a cabo una estafa de phishing es muy similar al de la pesca (“fishing” en inglés). Se prepara el anzuelo pensando en engañar a una víctima, y luego se lanza y se espera a que pique.

La página Malware bytes, lo explica así: “Phishing es el delito de engañar a las personas para que compartan información confidencial como contraseñas y números de tarjetas de crédito. Como ocurre en la pesca, existe más de una forma de atrapar a una víctima, pero hay una táctica de phishing que es la más común. Las víctimas reciben un mensaje de correo electrónico o un mensaje de texto que imita (o “suplanta su identidad”) a una persona u organización de confianza, como un compañero de trabajo, un banco o una oficina gubernamental. Cuando la víctima abre el correo electrónico o el mensaje de texto, encuentra un mensaje pensado para asustarle, con la intención de debilitar su buen juicio al infundirle miedo. El mensaje exige que la víctima vaya a un sitio web y actúe de inmediato o tendrá que afrontar alguna consecuencia”. 

Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una imitación del legítimo. A partir de aquí, se le pide que se registre con sus credenciales de nombre de usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas bancarias, y vender información personal en el mercado negro. ¨

¿Pero quién debe de custodiar datos y quienes incurren en negligencia en las vueltas del phishing? 

La Audiencia Provincial de Pontevedra condena en su sentencia del 21 de Diciembre de 2021 a una entidad bancaria a abonar 4.000 euros a una clienta, que le fueron sustraídos de su cuenta bancaria, a través de la tarjeta de débito, mediante la técnica del phishing. 

Los magistrados consideraron responsable al Banco por no ser diligente en el control de este tipo de operaciones bancarias. Según el fallo, las cantidades que le fueron detraídas de su cuenta bancaria respondieron a órdenes de pago realizadas por un tercero que usó de manera fraudulenta los datos de su tarjeta de débito.

En el supuesto que nos ocupa observamos la actuación de tres agentes que completan la estafa, la negligencia de la cliente , el propio engaño  y  la negligencia del banco. 

“El Tribunal reconoce que la lectura atenta del correo electrónico hubiera permitido a la cliente percatarse tanto de su contenido impreciso, al no identificar el pedido al que se refería, como de las dos faltas de ortografía. Datos relevantes para adoptar su decisión de aceptar o no el pago electrónico que se le solicitaba, por lo que la falta de lectura reflexiva habría de considerarse una falta de diligencia por parte de la cliente. 

En el phising se usan técnicas de ingeniería social para ganarse la confianza del usuario del instrumento de pago y aprovecharse así de una interpretación errónea en la toma de decisiones. En este caso se habría concretado en la simulación del envío a nombre de una entidad de confianza para la usuaria (Correos y Telégrafos), y en el aprovechamiento de la falta de confirmación.

Según la resolución, la cliente explicó que estaba esperando un pedido de mascarillas y creyó que se refería a él la entrega del paquete, que se le anunciaba en el correo electrónico. En este sentido, los mensajes que la entidad bancaria envió a la clienta comunicándole el código que había de utilizar para instalar su tarjeta en la aplicación de pago, y el que le envío después de su activación no proporcionaban información sobre el número del terminal telefónico en el que se había solicitado y después activado la citada aplicación de pago.

Tal omisión, afirma la sentencia, supone un incumplimiento de los deberes de diligencia en la prevención del fraude mediante “phishing”. Los magistrados entienden que la entidad debía conocer que el teléfono desde el que se le había solicitado la activación no se encontraba entre los que había registrado a su nombre la clienta en su ficha de cliente.

Por todo ello, la Audiencia Provincial condena a la entidad bancaria ya que no actuó con la diligencia exigible en la autenticación de las operaciones de pago, pues ni habría probado haber implementado un mecanismo antiphising de protección de los usuarios, ni habría puesto en conocimiento del usuario los datos necesarios para que este conociera que se trataba de instalar su tarjeta en una aplicación de pago del terminal telefónico de un tercero.”

En definitiva , habrá que estar con mucho ojo ante este tipo de estafas económicas y en el caso de ser víctima ponerse rápidamente en manos de las autoridades policiales y de un abogado que lo asista, para intentar la recuperación de lo sustraído. 

Comparte esta noticia:

NOTICIAS RELACIONADAS