Phishing Bancario.
Alicia, jubilada de 73 años, fue víctima de una estafa virtual y quedó endeudada por un millón de pesos. Lo curioso, estos delitos se materializan en segundos y los bancos pretenden eximirse de todo tipo de responsabilidad.
En diálogo con 2 abogados expertos en ciberdelincuencia revisamos cómo operan los estafadores virtuales, cuál es la responsabilidad de los entes bancarios y, qué tener en cuenta para protegernos.
Con la llegada de la pandemia se potenció la virtualidad y con un solo clic podemos acceder a lo que queremos sin movernos de la comodidad de nuestras casas. Ello, si bien resulta un gran beneficio, en el último año también contribuyó a que aumentaran los ilícitos informáticos. En concreto, según lo informado por la Unidad Fiscal Especializada en Ciberdelincuencia, se incrementaron un 3.000% las denuncias por este tipo de maniobras fraudulentas.
Te estafan, te dejan tu cuenta en cero y te endeudan de por vida con una suma a pagar millonaria, y si no tenés para pagarla pueden hasta embargarte tus bienes.
Cómo fue la estafa a Alicia:
Alicia, es jubilada y fue víctima de phishing, esta práctica donde se procede con una suplantación de la identidad con información confidencial obtenida de manera fraudulenta por medios electrónicos.
A Alicia le llegaron varios mails que procedían, aparentemente, de su banco de confianza, dirigidos a ella con su nombre y apellido. En el primer correo, se emitía una alerta se seguridad: en el segundo, le brindaban una clave con caducidad para operar de manera inmediata por la vulneración de su seguridad; y, en el tercero, que se habían detectado movimientos irregulares.
Esta seguidilla de mails hicieron que esta jubilada se pusiera en alerta y accediera al link que era brindado en el correo por el ciberdelincuente. Fue redirigida al sitio web que lucía igual que a la página oficial de su banco, colocó sus datos sensibles e instantáneamente el criminal ¨pescó¨ sus datos. La engañaron en cuestión de segundos.
Con esa información, el criminal aceptó el préstamo pre-aprobado ofrecido por el banco por una suma de $925.000, la que procedió a transferir a un tercero junto con la totalidad del dinero que la jubilada tenía en la cuenta.
Alicia es uno de los tantos casos diarios que se registran hoy en la Argentina, donde la falta de doble verificación por parte del ente bancario a la hora de otorgar un préstamo pre-aprobado beneficia a las organizaciones criminales que operan de esta manera y roban sumas millonarias por día. Es decir, los bancos están anoticiados de esta problemática y deciden, por ahora, no hacer nada.
En diálogo con Jorge Litvin (abogado, Director de Legales de Resguarda) y Martín Leguizamón (abogado, a cargo del Departamento de Nuevas Tecnologías - Estudio Jurídico Fernando Burlando) pudimos aclarar algunas cuestiones que procedemos a compartir para saber qué hacer si somos víctimas de phishing, la responsabilidad del banco, la legislación vigente y cómo evitarlo.
1. ¿Existen cifras exactas de cuantas estafas bancarias se están produciendo a diario?
J.L: Se estima que tan sólo en el último año aumentaron en un 3.000% (según el Observatorio de Delitos Informáticos de Latinoamérica -ODILA0).
Personalmente, noté un incremento exponencial desde junio del año pasado, recibiendo hasta 10 consultas diarias. Lamentablemente, no contamos con un número preciso ya que la cifra negra del delito (la cantidad de hechos que no llegan a conocimiento de las autoridades) sigue siendo muy elevada. Es fundamental que los individuos que sean víctimas de este tipo de hechos los denuncien.
2. ¿Cuánto dinero se roba diariamente?
J.L: Al no conocer el número real de hechos no podemos saberlo con exactitud. Pero para tener una noción de la magnitud de este fenómeno basta con que sepamos que a un criminal le toma unos pocos minutos engañar a una víctima y lograr acceso a su homebanking para efectuar las transferencias. En esas transferencias se vacía por completo la cuenta y además se generan préstamos en nombre de la víctima, cuyo monto también es transferido. Esa rapidez para operar nos permite estimar que lo recaudado (robado) diariamente son sumas millonarias, el número de personas que son víctimas al día es muy grande.
3. ¿Existe alguna regulación vigente del BCRA para controlar esta práctica?
J.L: La comunicación "A" 6832 sobre "requisitos mínimos de gestión, implementación y control de los riesgos relacionados con la tecnología informática, sistemas de información y recursos asociados para las entidades financieras". La cual considero que debería actualizarse para contemplar sistemas de detección de accesos sospechosos a las cuentas de los individuos; detección de operaciones sospechosas; prohibir la otorgación de préstamos pre-aprobados, entre otros focos de riesgo no considerados.
4. ¿Generalmente ocurre con las mismas entidades bancarias?
J.L: Los usuarios de todas las entidades están expuestos a los riesgos. Lógicamente recibimos más denuncias de los usuarios de las entidades que más clientes tienen. Los criminales parecen haberse ensañado con el Banco Galicia, el Santander, el BBVA y el ICBC.
5. ¿Cuál es la responsabilidad de la entidad bancaria? Según su práctica, ¿suelen responder frente al reclamo de sus clientes o, por el contrario, estos asuntos se resuelven en los tribunales?
M.L: Es clara la responsabilidad del banco por no haber implementado las normas de seguridad para evitar este tipo de delitos, hay una muy simple que es la doble verificación en forma previa a hacer cualquier transferencia, hacer un llamado telefónico al cliente para verificar identidad y la veracidad de la operación. Generalmente los reclamos administrativos o privados no tienen ningún resultado positivo y hay que recurrir a la vía judicial donde si se tienen resultados y se han conseguido infinidad de medidas cautelares para proteger a la víctima.
J.L: Hace tiempo los bancos reconocían -a la mayoría de los usuarios- los importes por los que fueron defraudados. Hoy en día, el crecimiento exponencial del ciberfraude determinó que las instituciones tomen políticas unificadas para considerar -a veces sin evaluar cada caso concreto- que el delito fue consecuencia de que la víctima entregó sus credenciales de acceso y operación a los criminales producto de un engaño. Existe la voluntad de intentar interrumpir aquellas operaciones que no se perfeccionaron o se encuentran pendientes de operación, pero no reintegran los montos defraudados, ya que consideran que no fue la consecuencia de un déficit en sus sistemas de seguridad. Tal como sugiere el Observatorio de Delitos Informáticos de Latinoamérica, resulta indispensable que se genera un centro de atención de incidentes de este tipo para que las víctimas puedan comunicarse de forma inmediata y canalizar sus denuncias.
6. ¿Existe una línea jurisprudencial clara en esta materia? Hay precedentes que hagan lugar a este tipo de reclamos?
M.L: Generalmente estos temas se resuelven por la vía judicial y la vía jurisprudencial de los últimos tiempos es totalmente a favor de las víctimas, no solo en la Ciudad de Buenos Aires sino en todo el país donde los magistrados están dictando medidas cautelares que protegen a las víctimas de delitos virtuales y en contra de la falta de aplicación de la normas de seguridad por parte de los bancos, cada vez hay mas jurisprudencia a favor de las víctimas de este tipo de delitos.
7. ¿Hay algún proyecto o medida en vista para evitar este tipo de prácticas?
M.L: No hay proyectos pero este tipo de delitos están tipificados en el Código Penal, lo que hay que hacer es aplicar el Código a los delitos virtuales, en este caso hay una estafa con clara responsabilidad del banco que no ha procedido a la doble verificación antes de transferir semejante suma de dinero.
8. ¿Qué recomiendan para evitar esta práctica engañosa?
J.L: Número 1: Saber que los bancos jamás piden datos personales, información de acceso a las cuentas, claves, ni mucho menos el token o las coordenadas de la tarjeta. No compartir estos datos nunca, con nadie.
Número 2: Estos hechos se dan mayoritariamente en redes sociales, mediante cuentas falsas que suplantan la identidad de los bancos. Siempre corroborar la autenticidad de la cuenta revisando que estén verificadas y, ante la duda, viendo cómo promocionan las redes en la página oficial de la entidad. Si se sospecha de un contacto telefónico, cortar y llamar uno mismo al canal de atención al cliente para corroborar la información.
Número 3: Si el contacto es por correo electrónico, no fiarse del remitente sin revisar que el dominio (la dirección de correo) coincida con el oficial que el banco publicita en su web.
Número 4: Nunca hacer clic en enlaces ni descargar archivos que vengan adjuntos en correos electrónicos de este estilo.
Número 5: Descreer de premios o beneficios, si algo se ve u oye demasiado bueno para ser verdad, es probable que haya algo oculto detrás.
9. ¿Qué hago y cómo opero si soy víctima de este tipo de estafa?
M.L: Primero mandando una carta documento al banco, poniendo en conocimiento fehaciente la situación que ha ocurrido y posteriormente si en el termino de 48 horas no hay ninguna novedad del banco, haciendo la denuncia penalmente y pidiendo las medidas cautelares que correspondan para restituir el estado de las cuentas previo al delito y evitar cualquier cobro o debito de sumas de dinero que sigan perjudicando a la victima.
J.L: Primero: Comunicarse con el banco de inmediato para intentar frenar las operaciones.
Segundo: Anotar lo sucedido con precisión y de forma cronológica, no borrar conversaciones, llamadas, correos electrónicos ni ningún elemento vinculado al hecho.
Tercero: Realizar la denuncia, preferentemente en la Unidad Fiscal Especializada en Ciberdelincuencia -UFECI- (5071-0040/0041 - denunciasufeci@mpf.gov.ar).
Cuarto: Si además de vaciar la cuenta, generaron préstamos pre-aprobados, asesorarse con un abogado para interponer medidas cautelares para frenar el cobro por parte del banco.
Antes uno le temía al delincuente que estaba en la calle, al que podía enfrentarse cara a cara, pero hoy de esta manera no los vemos, pero ahí están, robándote todo tu dinero y dejándote un déficit económico con tan solo un clic.
Es importante estar atentos, poder comunicarle a los demás sobre este tipo de maniobras y cómo hacer para evitarlas. Si fuiste víctima de phishing te dejamos todas las opciones para saber cómo proceder.