La banca se enfrenta a una oleada de reclamaciones por fraudes 'online'

La banca encara un nuevo frente legal derivado de su digitalización. Las reclamaciones de clientes afectados por ciberestafas se han disparado en los últimos meses y podrían hacerlo más en adelante, debido a la intensificación y mejora de este tipo de ataques, según fuentes del sector consultadas por este medio. El Banco de España recibió 839 reclamaciones por "transferencias presuntamente fraudulentas efectuadas a través de internet", un 157% más que un año antes. Cifras que se dispararán todavía más en 2022, según dichas fuentes.

Prácticamente, los clientes de todos los bancos son objeto de estos ataques, aunque una de las que más ha estado en el foco recientemente es Unicaja Banco. Esta entidad es la única que cuenta con una plataforma de afectados por ciberestafa. Es a raíz de ataques sufridos este verano, coincidiendo con la integración tecnológica de la fusión de Liberbank. Los fallos típicos de estos procesos fue el caldo de cultivo perfecto para los atacantes. Junto a la plataforma, este caso ha provocado también la entrada en escena de la asociación Asufin, que ha presentado recientemente su primera reclamación ante el Banco de España. Además, tiene sobre la mesa más de 200 casos de la entidad malagueña que perdieron entre 3.000 y 5.000 euros por la ciberestafa.

TE PUEDE INTERESAR

Ciberestafa masiva a clientes de Unicaja: SMS, 'phishing' y llamadas de falsos gestores

P. D. Almoguera. Málaga J. Zuloaga

En la reclamación de Asufin, a la que ha tenido acceso este medio, se explica que su cliente recibió un SMS el pasado mes de agosto "de la línea segura de Univía", de Unicaja, con un enlace al que accedió. Al darse cuenta de que podía ser objeto de un ataque de smishing (suplantación vía SMS), "trató de ponerse en contacto telefónico con el servicio de atención al cliente de Unicaja", sin éxito.

Acto seguido recibió una llamada de este número de teléfono de atención al cliente de Unicaja que supuestamente había detectado el ataque y querían impedirlo: "El interlocutor identifica el DNI del socio y le solicita sus claves para poder bloquear las operaciones presuntamente realizadas por un tercero", añade la reclamación. Durante esta conversación, los estafadores le fueron pidiendo información para hacer tres transferencias de 3.000 euros en total.

Debate legal

Según la reclamación, "debe existir una brecha de seguridad en la custodia de los datos de sus clientes por parte de Unicaja, toda vez que en la llamada se usa el DNI de los clientes para inspirar confianza y así lograr obtener el acceso a sus cuentas. Parece que dicha brecha se produjo en el proceso de fusión con Liberbank, en el mes de junio de 2022".

TE PUEDE INTERESAR

Oleada de ciberataques a los bancos españoles a raíz del covid-19

Jorge Zuloaga

Desde el grupo malagueño defienden que "no se puede hablar de fallos ni de brecha en los sistemas de seguridad de Unicaja Banco, ni de que la entidad facilite datos o información de clientes, sino que se produce una interacción directa entre el ciberdelincuente y la víctima, que es quien al facilitar sus claves, permite la actuación fraudulenta. Esa interacción se produce fuera de los sistemas del banco y por mucho que las entidades desplieguen, como lo hacen, una intensa actividad para detectar actividades delictivas, no es posible evitar que se produzca esa interacción y que el propio cliente acabe facilitando sus contraseñas y claves al delincuente". "Unicaja Banco nunca pide al cliente por teléfono, SMS o e-mail las claves de acceso a la banca digital ni datos confidenciales", añade.

"No solo se hacen pasar por quienes no son"

Junto a ello, el Banco de España ha alertado en el pasado de la sofisticación de los ataques con técnicas como el phishing (suplantación vía correo electrónico), vishing (teléfonica) o smishing: "Los ciberdelincuentes cada vez emplean técnicas más sofisticadas. No solo se hacen pasar por quienes no son, sino que también imitan y suplantan los canales habituales de contacto de los bancos".

Desde Asufin, defienden que la regulación establece que "si el proveedor de servicios de pago del ordenante no exige autentificación reforzada del cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta".

TE PUEDE INTERESAR

Bancos bajo ataque: "La ciberseguridad de las entidades es un festival del humor"

Mercè Molist

La clave en estos procesos está la posible negligencia del cliente. En caso de imprudencia suya, la entidad no cubre nada. Y en caso de que haya algún fallo del banco, tiene que devolver todo el dinero sustraído. En este caso, Unicaja niega su responsabilidad, aunque está llegando a acuerdos para reembolsar entre el 50% y el 80% del dinero con algunos clientes.

Más allá de este caso de la entidad malagueña, los ciberataques a entidades son cada vez más frecuentes y no se descartan casos similares o más graves en el futuro. De hecho, el Instituto Nacional de Ciberseguridad de España (Incibe) alertó en octubre de ataques a nueve entidades: Santander, CaixaBank, Unicaja, Bankinter, Openbank, Ibercaja, BBVA, Abanca y Kutxabank.