CaixaBank recibe ciberataques de suplantación de identidad, tras la integración con Bankia
En los últimos años, el incremento de la operativa electrónica bancaria, si bien ha mejorado en términos de eficacia los procesos operativos de servicios de pago y, en general, de la operativa bancaria, también ha introducido nuevos riesgos para los usuarios relacionados con la ciberdelincuencia. Los términos phishing, pharming o sniffing, hasta ahora desconocidos para la mayoría de los clientes bancarios, han tomado notoriedad, al sucederse, con cada vez más frecuencia[1], situaciones de suplantación de identidad electrónica con ejecución de transferencias, compras no autorizadas, disposiciones de dinero desde la banca electrónica, o incluso firmas de contratos, sin la autorización de los verdaderos titulares. La ciberdelincuencia ha puesto el foco en el sector bancario con un incremento exponencial de los ataques a sus sistemas informáticos.
Los ciberfraudes más comunes comparten tres características básicas: i) implican la obtención ilícita y oculta de datos sensibles del titular del servicio, ii) utilización de dichos datos para la suplantación electrónica de su identidad y iii) generan un perjuicio económico al usuario o la asunción de obligaciones económicas no autorizadas. Una vez el ciberdelincuente se encuentra en posesión de datos del usuario pueden darse varios supuestos de interacción con la entidad financiera: a) Interacción Directa, en la medida que el delincuente, suplantando al usuario, contacta con la entidad vía correo electrónico solicitando la ejecución de transferencias o, b) Interacción Indirecta, cuando el ciberdelincuente, sin contractar con la entidad, ordena electrónicamente transferencias utilizando la banca electrónica con claves del usuario o firma contratos vía electrónica con claves del usuario.
Algunos clientes de CaixaBank están sufriendo un ataque de phishing tras la integración de Bankia en la entidad. Esta práctica consiste en hacerse pasar por empresas o personas para solicitarles claves y contraseñas de carácter personal, con el fin de apropiarse del dinero del usuario. En este caso, algunos clientes de la entidad están recibiendo mensajes en los que supuestamente CaixaBank, que realmente no lo es, les informa de que «se ha procedido a desactivar su cuenta por actividades sospechosas», instando a los clientes, para activar la cuenta de nuevo (realmente nunca ha sido desactivada), a pinchar en un link de una web con los logotipos y colores de la entidad e introducir sus claves de seguridad. Con esas contraseñas, los ciberdelincuentes realizarán compras con tarjetas o transferencias bancarias, apropiándose del dinero de los usuarios. Los ciberdelincuentes han aprovechado la situación de integración entre CaixaBank y Bankia para generar confusión entre los usuarios, a fin de lograr un mayor alcance en la estafa.
Desde Sacristán&Rivas Abogados les recomendamos que para detectar este tipo de práctica, cuando reciban un mensaje sospechoso, antes de dar ningún dato de carácter personal, se dirijan a la entidad para explicarles lo sucedido. Además, se puede acudir a cualquier buscador de Internet y escribir el dominio desde el que ha sido enviado el mensaje, porque la mayoría de estas estafas se encuentran ya publicadas en la red.
En cualquier caso, entendemos que las entidades financieras que prestan servicios de pago asumen una responsabilidad de riesgo cuasi objetiva que se traduce en la asunción de una obligación general de restitución de toda disposición de fondos no autorizada por el usuario, salvo en casos de actuación fraudulenta o gravemente negligente de este (medida en el marco de su condición no profesional) que deberá ser acreditada por parte de la entidad financiera.
Sacristán&Rivas Abogados recomienda a todos aquellos que hayan sido víctimas de un ciberfraude, acudir, tan pronto sea posible, a expertos cualificados en la materia para la realización de un estudio del caso concreto y de las posibilidades de defensa, estando este Despacho a su disposición a tales efectos.
[1] Brunet, J.M.: La Fiscalía denuncia el imparable aumento de los delitos informáticos, Diario. El País de 7 de septiembre de 2020. Puede encontrarse en: