AGENCIA: 121pr
Diego Machín es graduado en Derecho en la Universidad Complutense de Madrid (2014-2018), así como dispone de un Máster de Acceso a la Abogacía en la Universidad Complutense de Madrid (2019-2020).
¿Qué es el phishing?
Se trata de una técnica utilizada por los ciberdelincuentes para obtener información personal y bancaria de los usuarios, haciéndose pasar por entidades legítimas, como bancos, empresas, personas físicas o incluso organismos institucionales, con el fin de enviar mensajes, engañar y manipular a las víctimas para que realicen acciones que comprometan sus datos. La estafa comienza con un mensaje (correo electrónico, SMS, WhatsApp…) diseñado para asustar a los usuarios e incitarlos a seguir las instrucciones del mensaje para facilitar sus datos bancarios personales.
¿Qué tipos de phishing conocemos?
Existen cuatro tipos, dependiendo de por quién se hacen pasar estos delincuentes.
Si se hacen pasar por un banco, a menudo envían un mensaje de texto o correo electrónico en el mismo hilo en el que el dispositivo lo envió legítimamente, por lo que el usuario piensa que el mensaje de texto o correo electrónico fue enviado por su banco. En el mensaje de texto o correo electrónico, le informan que su cuenta ha sido cancelada o que los detalles deben actualizarse debido a cambios operativos y le piden que haga clic en un enlace en el mensaje de texto/correo electrónico.
Mientras, si suplantan la identidad de una empresa de correos, envían un mensaje al igual que en el caso anterior, pero esta vez informando que hay un paquete esperándolos y que deben hacer clic en un enlace para obtener más información. Al hacer clic en el enlace, accederán al sitio web del phisher, que le pedirá que pague 5 céntimo con su tarjeta para obtener información de entrega. Debido a que la cantidad es tan pequeña, las personas a menudo hacen clic para pagar ingresando el número de tarjeta, el nombre del titular y el código CVC.
Otra forma común es hacerse pasar por técnicos. Comienza con una llamada telefónica de alguien que se hace pasar por un técnico de Microsoft y le dice que su equipo tiene una vulnerabilidad de seguridad y necesita ser reparada. Al proporcionar datos que sólo el cliente conoce, confiará en el teléfono y seguirá las instrucciones, en las que le pedirán que instale un programa que permite el acceso y control remoto del ordenador.
Por último, las plataformas de compra y venta de segunda mano también recurrentes para este tipo de estafadores. Fingen que están interesado en comprar artículos que los clientes venden en Wallapop y envía una instrucción de pago con tarjeta para pagar el envío, donde solicita a la víctima que ingrese su número de tarjeta para poder gestionarlo.
¿Qué hace el estafador con los datos que consigue?
Cuando tiene la información de la víctima que necesita, suele actuar de tres formas: realizando pagos con tarjeta en comercios electrónicos, sacar dinero en efectivo de cualquier cajero y realizar transferencias a otras cuentas de su propiedad para disponer ahí de este dinero.
¿Cuáles son los primeros pasos que debe dar una víctima de fraude bancario?
En primer lugar, contactar con su banco para informarles y entender el protocolo de la entidad en este tipo de situaciones. Se recomienda entonces presentar una denuncia explicando los hechos con el mayor detalle posible y aportando la mayor cantidad de pruebas posibles. Estos dos pasos van de la mano y son considerados necesarios por dPG Legal y, en la medida de lo posible, siempre respaldados por una firma especializada en la defensa de las víctimas de este tipo de estafas.
¿Qué responsabilidad recae en las entidades bancarias?
A menudo los bancos se esconden detrás del hecho de que no tienen conocimiento ni control sobre lo que terceros hacen en su nombre, pero cada vez hay más pruebas de que las estructuras bancarias son responsables de evitar que los delincuentes lleven a cabo con éxito estos ataques de phishing en línea. La empresa está obligada a garantizar por cualquier medio que la identidad del cliente de la operación bancaria es verdadera. Está claro que los bancos todavía tienen mucho que hacer para evitar el phishing, y aunque redoblen sus esfuerzos, creo que todavía no es suficiente.
¿Cuáles son las posibilidades reales de recuperar el dinero perdido en estafas de phishing?
Muchas víctimas creen que las posibilidades de recuperar su dinero son escasas, en parte porque se consideran culpables de haber caído en el engaño y también porque las transferencias de dinero desde la cuenta de la víctima a la cuenta del delincuente son muy comunes. Por eso no se atreven a denunciar para recuperar su dinero. Pero en realidad, las posibilidades de recuperar el dinero son mayores de lo que pensamos, porque es un fraude, no un acto voluntario. El elemento de fraude convierte la conducta en un delito penal y elimina cualquier indicio de que la víctima actuó voluntariamente, abriendo la puerta a una reclamación exitosa.
¿Existe algún caso histórico que siente un precedente legal importante en esta área?
Se han dictado numerosas sentencias a favor de las víctimas de phishing, algunas de hasta 20.000 euros, e incluso se les ha condenado a pagar honorarios legales. En nuestra oficina, hemos recopilado casos exitosos en los que los clientes fueron víctimas de phishing, nos informaron sobre su banco, ganaron y recuperaron su dinero.