As estafas por 'phishing' refínanse e deixan a decenas de galegos sen aforros

Os bufetes de avogados sinalan que o último fallo da Audiencia de Pontevedra abre a porta a que algúns afectados recuperen o seu diñeiro
Una agente de la Policía Nacional, frente a un ordenador en una imagen de archivo. AEP
photo_camera Unha axente da Policía Nacional, fronte a un ordenador nunha imaxe de arquivo. AEP

As mañas dos ciberdelincuentes evolucionaron e cada vez son máis alambicadas. Se hai un tempo os correos electrónicos maliciosos cos que pretendían simular unha comunicación urxente do banco para roubar as claves dun cliente podían identificarse polas faltas de ortografía e, por exemplo, por proceder de direccións sospeitosas, hoxe o risco de caer nas redes das estafas por phishing é maior.

"No noso despacho levamos máis de 200 reclamacións", explica Sergio Silva Vila, do IBM Avogados, que confirma o aumento deste tipo de enganos. Os que máis adoitan morder o anzol son "consumidores medios, duns 50 anos ou máis", que se manexan pouco con internet e que, por iso, "son máis vulnerables". No entanto, o bufete vigués tamén asesora a mozas e cidadáns con estudos superiores, aínda que son menos. En canto ao prexuízo económico, que varía en función do límite contratado coa entidade financeira para as transferencias electrónicas, oscila entre 1.500 e 35.000 euros.

Pero, ¿que é o phishing? Consiste no envío de emails ou SMS por parte dun ciberdelincuente a un usuario simulando ser unha institución pública, unha rede social ou unha entidade financeira. Como explica o Instituto Nacional de Ciberseguridad (Incibe), o fin é o roubo de información privada –como os números de cartón e as claves– para realizar cargos e/ou infectar os dispositivos electrónicos.

No caso dos seus defendidos, Sergio Silva explica que, suplantando a bancos, os estafadores alertaron dun suposto "fraude" na conta corrente, urxindo ao afectado a actuar con rapidez para preservar a "seguridade" do seu diñeiro. "Ao clicar no enlace enviado e introducir a súa conta, o ciberdelincuente xa ten as claves para entrar na súa banca electrónica", refire o letrado. Unha vez que os prexudicados caen na conta e acoden a reclamar o seu diñeiro ás entidades financeiras, estas néganse alegando unha "neglixencia" do cliente e escudándose en que os seus sistemas de seguridade non fallaron.

Nesta tesitura, Silva considera que se abriu unha porta a sentar doutrina" en favor dos usuarios tras a sentenza ditada en abril pola Audiencia de Pontevedra, que ordenou a Abanca restituír 19.600 euros a unha muller á que clonaron a súa banca electrónica para acceder á súa conta. Os xuíces concluíron que, aínda que é certo que a mensaxe que recibiu presentaba "certas peculiaridades" que deberían tela posto sobre aviso, se o banco, "cos medios técnicos ao seu alcance", non detectou a fraude, non pode "tachar de non diligente" o proceder da muller.

Desde Pintos&Salgado Avogados, o especialista en Dereito TIC Víctor Salgado observa que os métodos chegaron a tal punto de "sofisticación" que os ciberdelincuentes "incluso chegan a utilizar números de teléfono dos bancos, páxinas web cravadas e, nalgún caso, a falar en galego". "Animados na urxencia, as vítimas facilítanlles as claves coas que se autorizan as transaccións", constata o letrado, que apunta a que estes casos fan aflorar as "dúbidas" a respecto de se o sector bancario debería ser "máis proactivo na protección dos depósitos". O bufete coruñés, que aparte representar a unha decena de particulares leva a defensa de empresas vítimas, sinala que o ditame da Audiencia "abre unha porta moi importante a non atribuír automaticamente a culpa polo non custodia das súas claves e cartóns ao usuario, senón tamén, en parte, ao banco, que debería establecer medidas de seguridade máis avanzadas".

Os xuristas apuntan que, aínda que pola súa elevada cota de mercado en Galicia gran parte dos afectados son de Abanca, a actividade delituosa esténdese a clientes de CaixaBank, Santander, ING e a outras entidades como a alemá N26 Bank.

Ana Tizón, vítima: "Ou rastro do noso diñeiro perdeuse en Lituania"

O 23 de setembro, ao marido de Ana Tizón baleiráronlle a conta corrente. A viguesa, que con outro centenar de afectados sopesa impulsar unha acción colectiva e acudir á Valedora do Pobo, explica que ese día o seu marido recibiu "un SMS" a través do cal, supostamente, Abanca avisáballes de que un dispositivo intentaba conectarse á súa conta.

Tras "picar non enlace", foron redireccionados a unha páxina que parecía a da banca online. "Antes de introducir ou DNI e a clave de usuario chamamos á nosa oficina, pero a traballadora que estaba dentro non nos colleu. Se ou fixera, non teriamos metido vos datos", sostén a empresaria. Aos poucos minutos, recibiron unha chamada dun 981 que resultou ser un número clonado do banco. Alén da liña, unha suposta operador alertounos dunha compra por 5.820 euros "que ela podía paralizar". Con tan mala sorte que a parella, que non usaba o cartón para facer compras online, descoñecía que as transaccións a distancia confírmanse cun código de verificación que se envía ao móbil.

Enganados pola estafadora e confiados por que, en 2019, a súa entidade avisáralles ao teléfono de que alguén lles fixo "un duplicado dá tarxeta para facer unha compra por 400 euros nos EE UU" que si impediron, facilitáronlle este contrasinal pensando que bloquearían o cargo. Foi un erro, pois con iso autorizaron a compra de criptomonedas en Lituania, "onde se perdeu ou rastro dous cartos".

A Ucgal abre unha vía extraxudicial
Máis de 60 clientes de Abanca afectados por casos de phishing' ‘confiaron na Unión de Consumidores de Galicia para que os represente para abrir unha negociación extraxudicial. O secretario xeral da Ucgal, Miguel López Crespo, indica que o diálogo coa entidade comezou e ábrese a impulsar procesos similares con outros bancos. Ante a sofisticación das estafas, López confía en que este mecanismo dea algún froito antes de meternos "de cabeza nos xulgados".

Máis de 1 millón de €
É o importe usurpado en Galicia con casos de phishing', ‘segundo un primeiro cálculo da Ucgal, que pediu ao delegado do Goberno en Galicia que as Forzas de Seguridade redobren o esforzo para concienciar á xente e ao investigar. "Será máis doado recuperar ou diñeiro se se proba que é fácil facerse pasar por un banco e evidencíanse fallos de seguridade", apunta López.

¿Cabe falar dunha neglixencia do cliente?
Sergio Silva defende que non e apunta ao Decreto 19/2018 de Servizos de Pago e á Directiva DSP2. Esta obriga ao banco a efectuar as ordes de pago con autenticación "reforzada": co contrasinal persoal e "un factor biométrico", como "a pegada ou unha clave aleatoria xerada para cada operación". "Se os ciberdelincuentes poden realizar calquera operativa en banca online, as entidades cometen algunha irregularidade, pois non aseguran a identidade do cliente", di o letrado.

Comentarios