Unicaja ha sido condenada a devolver 6.000 euros a un cliente víctima de una ciberestafa. La Audiencia Provincial de Oviedo ha rechazado, en una sentencia fechada el pasado mes de marzo, el recurso de la entidad andaluza contra un fallo de diciembre de 2023 de un juzgado de Mieres (Oviedo). Esta condena ratifica la sentencia del Juzgado de Primera Instancia número 3 de Mieres, que mostraba que la entidad es “responsable” de la sustracción por ciberdelincuentes de los ahorros de esta persona al haber ejecutado “la orden de pago sin comprobar la debida autorización”. 

En este caso, el juez de la Audiencia Provincial explica en su sentencia, que el afectado “recibió un SMS, aparentemente del banco del que era cliente en los siguientes términos AVISO: un acceso no autorizado está conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: https:/is.gd/Clientes_Unicaja”. El cliente clicó en el enlace y le llegó otro nuevo SMS que explicaba: Unicaja Banco: Introduce la clave de seguridad NUM000 para finalizar con la vinculación de dispositivo de Banca Digital. Pocos minutos después, el banco le informaba que había ejecutado una transferencia por importe de 6.000 euros, que en realidad no había sido ordenada por él sino por un tercero defraudador, que había obtenido los datos bancarios del demandante y la autorización para realizar la operación en la forma indicada.

En primera instancia, el juzgado de Mieres dio la razón al cliente al considerar que existió un incumplimiento contractual por parte del banco al no haber comprobado la autorización de la orden de pago y no disponer de un adecuado sistema de seguridad que previniera este tipo de órdenes fraudulentas, por lo que condenó a la entidad a reembolsar los 6.000 euros.

Asimismo, la Audiencia afea a Unicaja “el gran número de estafas de este tipo” perpetradas en pocos días lo que evidencia “la falta de medidas o la quiebra de las que pudiera haber tomado”; se trata además de una práctica “poco habitual”, lo que debió haber llevado al banco a constara que se trataba de un fraude.

El cliente procedió «como con toda probabilidad habría realizado gran parte de la población, por más que sea usuaria de esos canales tecnológicos, en los que el refinamiento en el desarrollo de la actividad delictiva parece ir un paso por delante de las barreras que se ponen para evitarla, y pese a que, sin duda, es a la entidad a quien corresponde implementar todos los medios precisos para anticiparse a esa actividad», señalan los magistrados.

Los bancos son unas de las empresas más afectadas por la suplantación de identidad y los hackeos. Mensajes con url muy parecidas a los de los bancos que hacen que el usuario pinche sin pensar que hay una letra ‘l’ en vez de una ‘i’ o que le falta una letra al nombre. En ese momento, el hacker entra en la cuenta del cliente y roba todo el dinero posible. En otras ocasiones, la estafa llega por teléfono con suplantación de identidad y robo del número de la empresa, lo que hace confiar al cliente. 

Banco Santander sufrió el robo de datos de clientes y trabajadores en España, Chile y Uruguay. En un primer momento, el banco aseguró que no había datos de posiciones bancarias y los más afectados fueron los trabajadores de la entidad. Sin embargo,  unos días más tarde, un grupo de hackers pusieron a la venta estos datos. ShinyHunters pide dos millones de dólares por los datos de más de 28 millones de clientes. 

Pero la entidad presidida por Ana Botín no ha sido la única que ha sufrido ciberestafas. Este diciembre, un cliente de ING denunció a través de la red social X, antes conicidad como Twitter, que había sido estafado. En su caso, le llamó un supuesto miembro de seguridad de ING para alertar de que alguien se había metido en sus cuentas. 

La persona le dio detalles de sus cuentas y una serie de medidas de seguridad y le avisó de que su dinero seguramente estaría en riesgo. Le dio dos opciones: ir a una oficina de su banco (que no hay muchas) o seguir los pasos por teléfono. En ese momento, tal y como cuenta, dudó de la fiabilidad de la llamada, al preguntarle, la persona al otro lado del teléfono les dijo que podían colgar e ir a una oficina o “pueden mirar en internet el teléfono desde el que le estoy llamando”. 

Y es en este punto en el que habían suplantado el número de teléfono de una sucursal de Madrid, por lo que cuando se buscaba el número salía como correcto: “Desde ese momento no dudé”. Por lo que realizó una serie de transferencias a una supuesta cuenta segura de la entidad y le llegaron claves de seguridad desde un teléfono de ING, pero en 25 minutos lo había perdido todo.

El Banco de España es consciente de este tipo de ciberestafas y reconoce que no se pueden evitar . Por eso, su prioridad ahora es trabajar con las entidades en la ciberresilencia. “Vamos a mejorar las barreras de entrada para evitar ciberataques, pero siempre hay alguien que pueda entrar. Por ello, vamos a mejorar todos los planes de restauración del servicio lo más rápido posible”, así de claro lo dejó Mercedes Olano, directora general de Supervisión del Banco de España, en la presentación de la Memoria de Supervisión.

En los últimos años, los ciberataques y las incidencias han aumentado muchísimo. Mercedes Olano apuntó que el supervisor no supervisa, “sino que vigila que el sistema funcione”, como fue en el caso de Redsys (cuyo servicio dejó de funcionar algunas horas durante varios días seguidos). Así, explicó que ha habido interrupciones del servicio importantes y se han hecho actuaciones concretas sobre ello y recomendaciones. Este caso, añadió, “conecta con el nuevo concepto ciberresilencia”.