Los malware que pueden quedarse con la información personal de los usuarios incluidos los datos bancarios
En los últimos años, el incremento de la operativa electrónica bancaria, si bien ha mejorado en términos de eficacia los procesos operativos de servicios de pago y, en general, de la operativa bancaria, también ha introducido nuevos riesgos para los usuarios relacionados con la ciberdelincuencia. Los términos phishing, pharming o sniffing, hasta ahora desconocidos para la mayoría de los clientes bancarios, han tomado notoriedad, al sucederse, con cada vez más frecuencia[1], situaciones de suplantación de identidad electrónica con ejecución de transferencias, compras no autorizadas, disposiciones de dinero desde la banca electrónica, o incluso firmas de contratos, sin la autorización de los verdaderos titulares. La ciberdelincuencia ha puesto el foco en el sector bancario con un incremento exponencial de los ataques a sus sistemas informáticos. Los ciberfraudes más comunes comparten tres características básicas: i) implican la obtención ilícita y oculta de datos sensibles del titular del servicio, ii) utilización de dichos datos para la suplantación electrónica de su identidad y iii) generan un perjuicio económico al usuario o la asunción de obligaciones económicas no autorizadas. Una vez el ciberdelincuente se encuentra en posesión de datos del usuario pueden darse varios supuestos de interacción con la entidad financiera: a) Interacción Directa, en la medida que el delincuente, suplantando al usuario, contacta con la entidad vía correo electrónico solicitando la ejecución de transferencias o, b) Interacción Indirecta, cuando el ciberdelincuente, sin contractar con la entidad, ordena electrónicamente transferencias utilizando la banca electrónica con claves del usuario o firma contratos vía electrónica con claves del usuario[2].
Por su parte el malware es un código informático que infecta un equipo y busca alterar su funcionamiento, inutilizar sistemas y robar información. El más conocido es el virus, que busca impedir el correcto funcionamiento de un sistema mediante un código maligno, es indispensable que el usuario lo ejecute para su funcionamiento, por lo que su intrusión es evitable. Esta última propiedad es compartida con el troyano (otro tipo de malware), que se hace pasar por un software legítimo pero que incluye una funcionalidad que permite el control remoto o la instalación de sistemas ocultos para acceder a los dispositivos, siendo éste el responsable de los fraudes relacionados con el ámbito bancario, pues puede introducirse fácilmente en un teléfono móvil o un ordenador al instalar una aplicación o ejecutar un archivo. Cuando el cliente accede a la banca electrónica, se muestra un logotipo de la banca y un nombre verídico que solicita las claves bancarias necesarias para producir un pago[3]. Hay otros malware para los que el usuario se encuentra más indefenso, porque no precisan de ningún permiso para actuar, como el gusano o el adware. El primero no suele infectar los archivos del dispositivo, sino que se desplaza a otro ordenador de la red y se reproduce a sí mismo y el segundo provoca la aparición de ventanas con publicidad no deseada. El spyware es un tipo de aplicación que infecta el dispositivo y recopila información sobre la navegación, extrayendo contraseñas. El ransomware restringe determinadas partes del sistema afectado y exige un pago para recuperar su control[4].
Sobre quién es responsable ante estos ciberataques relativos a la sustracción de datos bancarios, la jurisprudencia ha determinado la existencia de responsabilidad del Banco que presta el servicio de pago siempre que no aplique protocolos de seguridad efectivos, en este sentido, la Ilma. Audiencia Provincial de Alicante se pronunciaba a favor de un usuario de servicios de pago en un caso de falsificación de una orden de transferencia al considerar como insuficiente que la entidad hubiese seguido el sistema de autenticación pactado entre las partes, dado que la responsabilidad de la seguridad de dicho sistema recae en el profesional financiero, no el usuario del servicio de pago: “En consecuencia, es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes”. Cuando ignore las evidencias de fraude tales como movimientos sospechosos a cuentas extrajeras, órdenes sospechosas en su dicción y/o contenido, cantidades extrañas en función de la operativa del cliente, tal y como ha señalado la Ilma. Audiencia Provincial de Barcelona en sentencia de 7 de marzo de 2013 condenó a Caixa Catalunya por no haber adoptado medidas adecuadas de seguridad, remarcando como constitutivo de responsabilidad ignorar las evidencias de fraude al haberse producido: i) movimientos inusuales de fondos en la cuenta corriente y ii) transferidos a cuentas sospechosas. Cuando, ante la denuncia del usuario, se mantiene pasivo sin detener las transferencias o reacciona de forma tardía, cuando, ante operaciones sospechosas, no realiza comprobaciones eficaces con los usuarios (no contacta con los usuarios o apoderados, o remite correos a la misma dirección de email que ordena las transferencias, es decir, interactúa con el delincuente)[5].
El Banco de España ha publicado en su página web lo siguiente sobre las estafas por bizum: “Entre las tretas que utilizan está la del falso comprador. Una persona interesada en un artículo de segundo mano que has puesto en venta te pide el número de móvil para hacerte un bizum en concepto de señal, pero en vez de enviarte el dinero hace uso de la funcionalidad de solicitarlo. Aunque en el mensaje se especifica claramente que es una solicitud, los estafadores saben que con las prisas es probable que no nos fijemos en ello y caigamos en el engaño. En el caso del falso vendedor, que vende cosas muy apetecibles a un precio por debajo del de mercado, te pide que le adelantes el dinero o una parte para hacer el envío, pagas por Bizum, el producto nunca llega y el vendedor desparece con el dinero rápidamente. Otro caso que se ha producido es el de las falsas prestaciones de la seguridad social o ERTEs. Pueden contactarte, bien por SMS o por llamada (vishing), simulando ser un organismo público en relación con una prestación que has de recibir y bajo el pretexto de que se realizará el envío de dinero por Bizum. De nuevo, realmente se está solicitando el dinero en vez de recibirlo. Los organismos oficiales no utilizan este cauce para estos trámites y nunca te solicitarán datos personales”.
En conclusión podría entenderse que las entidades financieras que prestan servicios de pago asumen una responsabilidad de riesgo cuasi objetiva que se traduce en la asunción de una obligación general de restitución de toda disposición de fondos no autorizada por el usuario, salvo en casos de actuación fraudulenta o gravemente negligente de este (medida en el marco de su condición no profesional) que deberá ser acreditada por parte de la entidad financiera.
Sacristán&Rivas Abogados recomienda a todos aquellos que hayan sido víctimas de un ciberfraude, acudir, tan pronto sea posible, a expertos cualificados en la materia para la realización de un estudio del caso concreto y de las posibilidades de defensa, estando este Despacho a su disposición a tales efectos.
[1] Brunet, J.M.: La Fiscalía denuncia el imparable aumento de los delitos informáticos, Diario. El País de 7 de septiembre de 2020. Puede encontrarse en:
[2] http://www.sacristan-rivas.es/ciberdelincuencia/
[3] Los malware que pueden atacarte y quedarse los datos del banco o tu información (lavanguardia.com)
[4] Los malware que pueden atacarte y quedarse los datos del banco o tu información (lavanguardia.com)
[5] Ciberdelitos: responsabilidad de las entidades financierasSACRISTÁN&RIVAS ABOGADOS (sacristan-rivas.es)