Perder todos tus ahorros de la noche a la mañana. Es la pesadilla que ha vivido durante estas navidades Miguel Ángel Sánchez, un cliente de ING que ha sido víctima de una estafa tan peligrosa como fácil de caer en ella.
El propio afectado cuenta su experiencia, que combina dos técnicas como son el vishing y el spoofing telefónico. Un engaño que ha acabado con el usuario sin sus ahorros y donde el banco se desentiende argumentando que la responsabilidad es del cliente por haber sido estafado.
La llamada que puede hacerte perder los ahorros
Según cuenta el cliente, la estafa comienza cuando un supuesto miembro del equipo de seguridad de ING le llamó para alertar de que se había detectado que alguien se había metido en sus cuentas desde la provincia de Cádiz y un iPhone 7.
En aquella llamada, donde ya tenían algunos detalles de su cuenta bancaria, se le dieron consejos de seguridad, como acudir a una oficina cercana de ING, porque su dinero podía estar en peligro. La alternativa era seguir unos pasos por teléfono para asegurar la protección de la cuenta, traspasando el dinero a una cuenta segura durante la resolución de la incidencia.
En ese punto es donde Miguel Ángel desconfió. Y aquí vino el principal engaño. "¿Cómo sabemos que usted es trabajador de ING?", preguntó el afectado. La respuesta fue "pueden colgarme e ir a una oficina o pueden mirar en internet el teléfono desde el que le estoy llamando".
El usuario miró y vio que el número era el de la sucursal de ING en la calle O'Donnell, de Madrid. "Desde ese momento no dudé", explica el afectado. Craso error.
Los estafadores estaban aplicando la técnica del spoofing telefónico, que consiste en falsificar el número de teléfono del remitente en la llamada para que parezca que proviene de la citada entidad. Pero en realidad no es ese su número real. La llamada procedía de otro número, pero se había falsificado la identidad haciéndose pasar por el número del verdadero banco.
"Hay que vivir la situación", defiende Miguel. "Una de las cosas que planteé fue transferir todo el dinero a la cuenta de mi mujer. El estafador (con acento español) me comentó que seguramente las cuentas de las personas a las que habitualmente hago transferencias podían estar también en peligro. Está muy bien montado."
"Realicé una serie de transferencias a una supuesta cuenta segura de ING para proteger mi dinero. Para realizarlas, me llegaron SMS desde un teléfono de ING, con el número de cuenta y un código de seguridad. En 25 minutos lo habíamos perdido todo".
Posteriormente el afectado decidió devolver la llamada y en ese momento sí estuvo hablando con ING. La respuesta fue que había sido víctima de una estafa. Tras contactar con el banco, la respuesta de ING es que ellos "no se responsabilizan de que alguien esté usando su número de teléfono para engañar a los usuarios".
El banco argumenta que "constatada la falta de diligencia" de sus elementos de seguridad y datos personal, no procede abono por parte de la entidad.
En conversación con Xataka, Miguel Ángel Sánchez explica que una vez se ha viralizado el caso, ING ha vuelto a contactar con él, para mantener su posición aunque con una respuesta más suave. El afectado ironiza sobre el hecho de que además ha recibido una encuesta para valorar su respuesta y trato. "Muy poco humano todo", expone.
Cómo evitar caer en estos fraudes
El spoofing es una estafa que se ha popularizado recientemente, pero es bien conocida. La Policía Nacional ha alertado sobre su uso y ha llegado a detener a más de 200 personas por defraudar más de 830.000 euros con este método.
La recomendación de la Policía para evitar ser víctimas de este tipo de fraude es clara. Aquí os dejamos con un par de consejos:
- No dar datos personales o bancarios vía telefónica o por SMS; tu entidad bancaria nunca te solicitará información personal por estos medios.
- Si sospechas que una llamada puede ser fraudulenta cuelga directamente y llama al número oficial de tu entidad bancaria (o con el que habitualmente contactes) y no al teléfono que te haya facilitado el interlocutor.
- Nunca facilites contraseñas por teléfono. Si te dicen que te llaman desde una entidad o empresa, toma nota y ponte directamente en contacto con ellos, verificando la autenticidad del interlocutor y de la incidencia.
- Utiliza las aplicaciones oficiales de las entidades bancarias y nunca realices pagos ni actualices datos a través de links que te envíen mediante correo electrónico o SMS.
Una conclusión similar es la de Miguel, que recomienda que si hay un caso parecido: "colgar y llamar al banco. O ir a la oficina más cercana". Adicionalmente apunta que es mejor "confiar en bancos con bastantes sucursales físicas" y que si ya se ha caído en la estafa, no caer "en la trampa de los "tenías que haber hecho X". Los usuarios no podemos tener la culpa final", concluye.
Qué responsabilidad tienen los bancos en estas estafas
Sobre el aspecto de la responsabilidad penal ya hay jurisprudencia. En el caso de Miguel Ángel Sánchez ha denunciado ante la Policía el caso y ha abierto un proceso con el Defensor del Usuario del propio banco, independiente a este. Aún así explica que tiene que ponerse en manos de asociaciones de consumidores y posiblemente un abogado.
En 2022, Facua consiguió que ING se hiciera cargo de la devolución de una sustracción por phishing. Inicialmente se negaron, pero la organización de consumidores consiguió la devolución pues demostró que el banco "no podía mostrar pruebas de haber llevado a cabo la doble autenticación de las operaciones que es preceptiva para las entidades bancarias“.
La jurisprudencia en España es consistente: el banco tiene que devolver el dinero que fue tomado ilícitamente por terceros. El matiz legal en estos casos es demostrar si existe una "negligencia grave" por parte del cliente. Si es así, el banco se libra de la responsabilidad. Sin embargo, el mero hecho de caer en la estafa no cuenta como tal.
En julio de 2023, la Justicia determinó que el Banco Santander tenía que devolver 6.000 euros a una clienta de phishing. En septiembre de 2023, fue Abanca quien tuvo que devolver unos 30.600 euros a los clientes afectados.
Según argumenta la Audiencia Provincial en otro caso de phishing, no existe esa negligencia grave porque existe un engaño premeditado de un tercero para ganarse su confianza. Y sí hay un incumplimiento por parte del banco por no aplicar medidas de seguridad suficientes.
No hay una legislación clara ni un pronunciamiento del Tribunal Supremo que aclare la norma para todas estas estafas, pero la tendencia de los casos conocidos es hacia un criterio que posiciona a la víctima como un "simple sujeto pasivo" y al banco como una ente con "responsabilidad activa".
Imagen | Justin Pumfrey | R/DV/RS
Ver 30 comentarios