«Pinché en el SMS y me robaron 5.800 euros»

Se trata de una técnica que consiste en suplantar la identidad de empresas fiables y, más comúnmente, entidades financieras. Los delincuentes operan mediante correos, llamadas y SMS con mensajes hiperrealistas, y cuando la víctima cae en la trampa, le roban información personal, financiera o credenciales de acceso, como contraseñas o números de tarjetas de crédito. Un 'modus operandi' que está en pleno auge, a la vista de los datos: en el primer semestre del año, la Ertzaintza cifra en 12.962 las infracciones cibernéticas registradas en Euskadi, siendo la inmensa mayoría de ellas estafas (11.485), categoría donde encaja el 'phishing'. Por otra parte, la Agencia Vasca de Ciberseguridad (Cyberzaintza) detectó en 2024 unos 40.000 incidentes potencialmente dañinos, lo que supone un aumento del 48% en los últimos dos años.

Este aumento de casos ha generado una oleada de preocupación entre los consumidores. «Los casos de phishing se han disparado exponencialmente». Así de tajante se muestra al respecto Iñaki Velasco, responsable jurídico de EKA/ACUV (Asociación de consumidores y usuarios vascos). Lo que uno debe hacer cuando sospecha que ha sido víctima de 'phishing', afirma, es «documentar de la mejor manera posible todo lo que tengamos y notificarlo inmediatamente al banco», para así bloquear las cuentas y las tarjetas. Velasco sostiene que este tipo de estafas ha provocado una avalancha de demandas de consumidores contra sus bancos en los juzgados.

Una batalla que, además, ha encontrado un punto de inflexión en el ámbito judicial debido a una reciente sentencia del Tribunal Supremo (TS), que ha unificado criterio sobre los casos de 'phishing'. Según el Alto Tribunal, en el caso de que el banco no sea capaz de demostrar que el cliente cometió una negligencia grave -como guardar las credenciales en un formato fácilmente detectable para terceros o no informar del problema de inmediato-, debe ser el propio banco el que se haga responsable de las pérdidas.

En el caso analizado por el Supremo, un hombre demandó 83.000 euros a Ibercaja porque desde su cuenta se realizaron 17 transferencias en una sola noche -de las tres a las seis de la mañana, algo inusual en su patrón de uso-. Anteriormente, el cliente ya había alertado al banco sobre SMS sospechosos. Sin embargo, el banco no actualizó sus credenciales de acceso ni bloqueó la cuenta de forma efectiva. Finalmente, el TS dio la razón al demandante y obligó al banco a devolver toda la cantidad sustraída.

Este fallo histórico ha generado un intenso debate sobre la responsabilidad de las entidades bancarias. «El banco queda en una posición de garante de los fondos de sus clientes como depositario de los mismos y debe velar porque queden a salvo y seguros», afirma Diego Zapatero, abogado y socio de Asoban Abogados, despacho con especialistas en fraude online. «La entidad bancaria tiene una responsabilidad cuasi objetiva y conoce que este tipo de casos no son ni mucho menos aislados, y en lugar de poner medidas que lo eviten, delegan la responsabilidad en sus clientes», indica.

Sin embargo, no todos consideran que la sentencia resuelva todas las incógnitas legales. Velasco opina que el fallo sigue sin aclarar «qué se considera grave y qué no». Desde su perspectiva, «se debería crear jurisprudencia» sobre ello ya que en estos momentos «los jueces son bastante proclives a dar la razón al banco, porque muchos ya consideran negligente que, por ejemplo, el cliente responda a la llamada de la supuesta entidad».

También hay procesos que se solucionan lejos de los juzgados. Lynn Trigueros, abogada de San José Abogados, llevó el «curioso» caso de un cliente que fue estafado con una técnica «muy sofisticada». En abril de 2023, la víctima recibió una llamada de su banco, avisándole de que había recibido una transferencia que no le correspondía y solicitándole que la reenviara a otra cuenta. Efectivamente, al entrar en su app, se dio cuenta de que había 4.000 euros más de los que debían haber. Siguió las instrucciones y «cuando le llegó el extracto de la tarjeta de ese mes, no solo es que esos 4.000 euros no estuvieran, sino que el mismo cliente perdió 4.325 de su propia cuenta, esto es, los 4.000 que envió y 325 adicionales de comisión», relata Trigueros. Finalmente, pudieron conseguir un acuerdo y la entidad le devolvió todo el dinero sustraído.

Pero el 'phishing' no afecta solamente a los particulares, sino que los propios bancos se ven afectados de lleno. Desde Kutxabank señalan que esta última sentencia del Supremo «pone negro sobre blanco». Desde su posición, indican que el banco «despliega activamente programas de sensibilización, concienciación y formación, tanto con sus empleados como con sus clientes». Quien sea usuario de esta entidad habrá comprobado que, al entrar en la app, constantemente saltan mensajes que informan a los clientes «para evitar que caigan en phishing», y la comunicación con el cliente es continua. Tal y como recuerdan en su web, «Kutxabank nunca te va a enviar un email pidiéndote las claves o la numeración de tus tarjetas».

Todos estos avisos, comunicaciones cruzadas, informaciones y reglas de seguridad «son recordadas reiteradamente a los clientes» y además pueden servir de prueba en un posible juicio para demostrar que, en ese caso, el cliente ha cometido una negligencia grave y que, pese a los avisos constantes, ha terminado cayendo en la trampa.

Desde Laboral Kutxa también son conscientes de los ataques «diarios» que sufren tanto a nivel de empresa como particular. «La ingeniería de los ciberataques se está sofisticando», advierten. Al igual que Kutxabank, desde la cooperativa de crédito cuentan con «muchas píldoras y protocolos», así como pop ups para evitar que los usuarios caigan en las estafas. «Tenemos las herramientas más avanzadas en seguridad», aseguran.

La convergencia entre la ciberseguridad y la inteligencia artificial se ha convertido en un elemento transversal para la protección digital de la banca. Las entidades son conscientes de que puede ser una aliada fundamental gracias a su aptitud para poder detectar amenazas y reducir potenciales riesgos, pero a la vez conlleva una inversión muy cuantiosa.

Sin ir más lejos, en medio de una operación de gran calado como la opa lanzada por el BBVA sobre el Banco Sabadell, uno de los argumentos que esgrimió en su día el presidente del primer banco, Carlos Torres, para justificar la operación es que «el tamaño tiene una relevancia cada vez mayor en el sector financiero para afrontar los costes fijos asociados a las crecientes inversiones en digitalización, ciberseguridad, datos o Inteligencia Artificial». En este sentido, BBVA disparó su gasto en tecnología un 14,5% en 2024, hasta los 1.732 millones, mientras que Banco Sabadell lo hizo un 3,6%, alcanzando los 431.

Además, de cara a la nueva normativa PSD3 (Directiva de Servicios de Pago 3) que prepara Bruselas para finales de año, cuyo objetivo es aumentar la protección del consumidor frente al fraude, los bancos tendrán que hacer un esfuerzo inversor más que considerable en tecnología y formación, para modernizar sus sistemas y cumplir con requisitos de seguridad y autenticación reforzada.

Al mismo tiempo, la inteligencia artificial también está facilitando la labor de los hackers, y es una de las grandes razones por las que delitos como el 'phishing' están trazando una curva ascendente. El uso de esta tecnología se ha multiplicado, y se hace notar en los mensajes, cada vez más sofisticados y creíbles. Hace años, era muy probable encontrar fallos ortográficos o de coherencia, pero ahora las técnicas para suplantar la identidad de las organizaciones se han multiplicado hasta el punto de que son capaces de emular la voz de altos representantes de las empresas objetivo o calcar el estilo de comunicación de las compañías, y en general, elaborando mensajes más personalizados y difícilmente detectables. A nivel global, Kaspersky, empresa internacional de ciberseguridad, detectó en 2024 un total de casi 900 millones de intentos de 'phishing', y la curva va en aumento.