Seguridad

Ataque phishing: cómo responde el banco y garantías de protección al cliente

Escrito por Lara Olmo

Los ataques bancarios o ‘phishing’ cada vez son más frecuentes y muchos usuarios se preguntan hasta qué punto están protegidos y quién responde si son víctimas de alguno. Un experto en derecho TIC responde.

ING, el Banco Santander, PayPal, Apple… y hasta la Agencia Tributaria. Ninguna gran entidad financiera, institución ni servicio online escapa a las garras del phishing, esa técnica basada en la adquisición fraudulenta de información confidencial del usuario mediante la suplantación de identidad.

Si nos lees a menudo, sabrás que existen varias modalidades de phishing: una técnica consiste en infectar con un virus troyano el dispositivo u ordenador del usuario, en forma de PDF, complemento flash o incluso antivirus, y que se ejecuta al visitar la página web auténtica del banco. Es lo que le ocurrió a un cliente del Banco Santander, al que el troyano Citadel extrajo de su cuenta más de 55.000 euros.

A los bancos les cuesta identificar las transacciones fraudulentas

Otra técnica más extendida entre los ciberdelincuentes es la de mandar correos electrónicos supuestamente remitidos por la entidad bancaria del usuario, que le invitan a dirigirse a un enlace que les lleva hasta una página web falsa pero casi idéntica al sitio web de los bancos reales.

Una vez dentro, el usuario da sus datos creyendo que se encuentran en un entorno seguro y cae en la trampa.

Hasta hace poco, una manera de escapar de estas páginas clonadas era comprobar la dirección URL de los correos electrónicos. Sin embargo, la inventiva de los phisers no conoce límites y ya han logrado desarrollar la forma de robar los datos aunque el enlace ‘trampa’ redirija a la web oficial de la entidad. 

Tampoco los SMS o las llamadas telefónicas escapan a esta modalidad de malware bancario (…)

¿Cómo se organizan los phishers?

El objetivo del phishing no es otro emplear las claves y datos confidenciales obtenidos de forma fraudulenta para suplantar la identidad del titular de la tarjeta de crédito o cuenta corriente y acceder a sus cuentas bancarias desde cualquier equipo informático.

El abogado Manuel Carlos Merino, especializado en Derecho de las TIC, desgrana todo un entramado que existe tras las organizaciones y mafias de estos hackers, en el que cada uno desempeña un rol: están  “muleros”, encargados de abrir cuentas corrientes con una identidad falsa para después vaciarlas y entregar el dinero a los “transportistas”, que lo depositan en pequeñas cantidades en un punto de entrega como locutorios u oficinas de transferencia internacional de dinero, a su vez controladas por otros miembros de la organización.

¿Qué hago si me han hecho phishing?

Este abogado afirma que cualquier usuario que perciba transacciones o movimientos de efectivo no autorizados por éste, denuncie los hechos en cualquier oficina de denuncias de la policía o la Guardia Civil. Sin embargo, alerta de que esto no es garantía de nada: muchas veces resulta imposible identificar a los atacantes, y aunque así fuera, las posibilidades de la víctima de recuperar su dinero son aún más escasas porque los muleros dejan las cuentas bancarias bien vacías.

Pero nada de esto debe ser impedimento para que la víctima actúe. Como Merino recuerda, existe un mecanismo que otorga responsabilidad bancaria por los fallos de seguridad que la entidad presente. Es decir, el banco debe devolverle al cliente el dinero ilícitamente sustraído con la única excepción de que acredite la culpa o negligencia de la víctima.

Un renacido malware acecha a los cajeros automáticos de España

Para defender su argumento, el letrado recuerda que la Ley 16/ 2009 de 13 de diciembre de Servicios de Pago recoge que, sin declaración de voluntad o consentimiento del ordenante, la operación bancaria no está autorizada. Por mucho que la firma electrónica así lo “demuestre”, ya que este dato pude haber sido perfectamente sustraído por los ciberdelincuentes.

Existen varias sentencias en esta línea. El Tribunal Supremo dictaminó el 16 de diciembre de 2009 que la cláusula de exoneración de responsabilidad de las entidades bancarias por uso fraudulento de las claves y contraseñas del cliente era abusiva, depositando la responsabilidad en ellas para detectar los usos indebidos de dichas claves.

Recientemente hemos sabido que el Juzgado de Primera Instancia Número 48 de Madrid condenaba al Banco Santander a indemnizar a su cliente con la cantidad equivalente que un troyano le había sustraído, 55.275 euros, por fallos de seguridad del sistema del banco.

Los supuestos que eximen la responsabilidad del banco en casos de phishing son dos: cuando el cliente actúa fraudulentamente a la hora de adoptar los medios de protección y de seguridad o, cuando se da cuenta de que se ha producido un pago o transferencia sin su autorización y no lo comunica a la entidad.

Phishing

¿Cómo se protegen los bancos ante los ciberataques?

Los bancos aplican sofisticados controles informáticos de seguridad en sus oficinas virtuales, las cuales se desenvuelven en redes TCP/IP (Internet) o WAP (comunicaciones móviles).

Aparte el uso de protocolos seguros de cifrado de información SSL (Secure Sockets Layer) que permite establecer una conexión cifrada entre el usuario y la entidad de crédito para que terceras personas no puedan acceder a la información confidencial, los sistemas de seguridad empleados por las entidades de crédito en sus operaciones electrónicas están basados en infraestructuras de claves públicas (PKI) que garantizan la autentificación del usuario mediante el uso de claves de firma digital.

El pentesting como estrategia de seguridad 

La conclusión del letrado, basándose en casos y sentencias posteriores, es que la jurisdicción hasta ahora se ha mostrado bastante favorable al usuario víctimas de phishing. Aunque no significa que se pueda bajar la guardia; conviene prestar mucha atención a las recomendaciones de seguridad de nuestra entidad y, en cualquier caso, tener en cuenta los aspectos de seguridad cuando vayamos a contratar cualquier servicio bancario.

Vía | asociacionafectadosinternet.es

Sobre el autor de este artículo

Lara Olmo

Periodista 2.0 con inquietudes marketeras. Innovación, redes sociales, tecnología y marcas desde una perspectiva millenial. Vinculada al mundo startup. Te lo cuento por escrito, en vídeo, con gráficos o como haga falta.