El PHISHING. ESPECIAL REFERENCIA AL PHISHING BANCARIO

Por Francisco José Quevedo Redondo

07 de Mar de 2023 - Jurídico

La intención del presente trabajo no es otra que tratar de exponer una realidad que crece exponencialmente: El “phishing” bancario por el que cada vez más personas se encuentran afectadas. Con ello, se trata de hacer una guía de prevención que sirva como formación a la ciudadanía, para que exista una anticipación a este tipo de fraudes ante los que las víctimas se muestran vulnerables por su desconocimiento. Además, se trata de ofrecer una “crítica constructiva” sobre cómo mejorar los sistemas de verificación de operaciones bancarias mediante otras herramientas que consigan reforzar la seguridad de una gestión bancaria ordinaria. En último lugar, se establece un caso práctico que determine los pasos a seguir en vía extrajudicial, así como que se dan los medios para construir una elaborada demanda en caso de tener que acudir al auxilio de los tribunales ante la pasividad de la entidad bancaria que no se haga responsable por su brecha de seguridad.

1. Introducción

Este trabajo se centra sobre todo en el Phishing en la modalidad específica del Phishing bancario. Para ello, debemos conocer en primer lugar aquello sobre lo que trata este “fenómeno”. Así pues, el mismo está considerado como una técnica a través de la que el atacante, o “phisher” , a través de una meticulosa técnica de ingeniería social, consigue disfrazar una serie de comunicaciones engañosas dirigidas a su víctima, que aparentan ser de una fuente de total confianza, cuando en realidad esconden un peligro para quien las sufre.

Podemos encontrar diferentes modalidades de Phishing, de entre las que vamos a destacar 2 de ellos, por la relación que tienen con el presente proyecto:

Vishing: Se perpetúa a través de llamada telefónica desde la centralita previamente “hackeada” de nuestra entidad bancaria. Así los atacantes se hacen pasar por personal de la entidad bancaria, con el fin de obtener la información que necesitan para la posterior comisión del ilícito.
Smishing: Se lleva a cabo a través de un mensaje de texto o SMS, el cual se recibe dentro del hilo del resto de SMS que nuestra entidad bancaria nos suele enviar en el transcurso de una operación bancaria habitual. Suelen contener un enlace de origen malicioso en el que al pinchar sobre el mismo nos redirecciona a una página espejo idéntica a la propia de la entidad bancaria, donde introduciremos los datos que el atacante necesita para cometer el ilícito.

1.1. Historia

El momento en que tiene lugar la primera aparición del concepto es en una conferencia que se celebra en 1987, cuyos ponentes, Jerry Felix y Chris Hauck denominan "Seguridad del sistema: La perspectiva de un hacker". En la misma se trataba de poner en contexto cómo una persona “x” pudiera hacerse pasar por una persona o entidad “y” que resultase ser de confianza a fin de engañar a la víctima, que de buena fe, accediese a facilitar cuanta información se le pedía. No obstante, no es hasta enero de 1996 cuando se da a conocer el primer ataque de Phishing, contra la compañía América Online AOL.

1.2. Evolución

Se desconocen tanto los objetivos como las posibilidades que ofrece el Phishing por la cada vez mayor progresión del mismo, pues se trata de obtener cualquier tipo de datos personales, resultando que cuantos más elementos se crean contra estos ataques, los ciberdelincuentes más perfeccionan su técnica.

El el “Anti Phishing Working Group” (APWG), indica las cifras de Phishing en el primer trimestre de 2022:

El nuevo Informe de tendencias de actividad de phishing del APWG revela que en el primer trimestre de 2022, el APWG observó un total de 1 025 968 ataques de phishing, el peor trimestre para el phishing que APWG ha observado hasta la fecha. Este trimestre fue la primera vez que el total de tres meses superó el millón. APWG observó 384,291 ataques en marzo de 2022, que fue un total mensual récord. (1)

Figura 1. Phising Activity 2022

Fuente: APWG. PHISHING ACTIVITY TRENDS REPORT. 1st Quarter 2022

1.3. Objetivos del proyecto

Dar a conocer el phishing bancario desde una perspectiva temporal hasta nuestros días.
Evaluar, en un horizonte a futuro, las posibilidades de desarrollo de este tipo de ataques informáticos.
Ofrecer una formación que sirva como orientación a la ciudadanía que se ve expuesta ante los continuos intentos de suplantación de identidad que acaban en sustracciones de dinero no autorizadas conscientemente.
Establecer una guía de identificación, prevención y posible solución ante posibles víctimas.
Proponer diferentes métodos de autenticación y/o verificación a mayores de los existentes a fin de que los bancos refuercen la seguridad de sus clientes en el desarrollo habitual de cualquier operación o gestión bancaria ordinaria.
Determinar una serie de pasos a seguir una vez se ha caído en el fraude.
Ofrecer un supuesto práctico que complemente todo lo expuesto con anterioridad.

2. El Phishing

2.1. Phishing Bancario: ¿En qué consiste?

El phishing bancario consiste en captar la atención de los usuarios que dispongan de un servicio de banca on-line, y así detraer de sus cuentas corrientes un dinero de forma fraudulenta a través de la obtención de datos que de forma “voluntaria” la víctima proporcionará, valiéndose el atacante de un engaño bastante que consiga, o bien alarmar al usuario, o bien hacerle creer que está realizando una gestión bancaria con total normalidad, por cuanto el afectado, que no puede sospechar, facilita los datos que se le solicitan, con lo que finalmente el “ phisher” obtiene un lucro fraudulento.

2.2. Detección y prevención del phishing

Una formación y concienciación sobre estas conductas y cómo evitarlas, mantendrá a raya una buena parte de los ataques de phishing. (2)

De esta manera identificaremos los distintas vías por las que actualmente se propaga el phishing bancario (3):

2.2.1. Correos Electrónicos

Pautas a seguir para la identificación de correos fraudulentos:

Fijarnos en la ortografía del texto que contiene el correo.
Cómo o a quién se dirige el correo electrónico: El saludo inicial del mensaje, no se encontrará personalizado, sino que será generalista. Ejemplo: “Estimado cliente”.
¿Refleja una sensación de urgencia o peligro inminente?
Dirección del enlace. ¿Es auténtico? : Podremos prevenirlo si colocamos el cursor en el enlace, de manera que se refleje la auténtica dirección, de manera que podrá observarse en la parte inferior del navegador, u observar si el protocolo de comunicación de la página web o de la URL comienza por “https” o “http”.4
¿Quién es el emisor del correo?: Muchas veces una entidad nos enviará un correo que comience por noreply@nombre de la empresa o entidad.com.

2.2.2. SMS

Este tipo de ataque se lleva a cabo a través de un mensaje de texto o SMS dirigido a un concreto número de teléfono. Por lo general, el Smishing suele poner en alerta a la víctima ante una situación de peligro inminente ante la que debe tomar medidas con la mayor rapidez posible.

2.2.3. Llamadas telefónicas

Es conocido por el un tipo de Phishing que se realiza a través de voz, es decir, que el mismo se lleva a cabo a través de la falsificación de un número de teléfono que, por lo general, otorgue una confianza y así ofrezca una apariencia de seguridad.

2.3. ¿Qué hacer y cómo tratar de solventar la situación una vez se ha producido?

En primer lugar, muy a tener en cuenta es el actuar con rapidez, así como, poner los hechos en conocimiento del servicio de atención al cliente de la entidad bancaria, para que se bloqueen los medios de pago y se emitan nuevas credenciales de seguridad, así como interponer una denuncia ante los cuerpos y fuerzas de seguridad del Estado.

A mayores, sería de gran ayuda presentar la correspondiente reclamación extrajudicial ante la entidad bancaria. Para ello resultará vital recopilar cuanta información sea posible del ataque, ya sean capturas de pantalla de los sms recibidos, correos, extractos de la cuenta bancaria, o el historial de llamadas a nuestro número de teléfono, y así acreditar que el fraude ha venido de la mano de un “engaño bastante”.

Si todo ello no funciona, sólo quedará acudir al auxilio de los tribunales para tratar de demostrar que el banco no habría cumplido con sus obligaciones de seguridad o al menos no habría implementado las medidas suficientes para evitar este tipo de fraude. Llegado a este punto, habrá de ser el banco quien tenga la carga probatoria sobre este extremo en cuanto a la negligencia del usuario, según lo establecido en la Directiva 2015/2366 de Servicios de Pago y el Real Decreto-Ley 19/2018 de Servicios de Pago.

De esta manera, será la entidad reclamada quien deba acreditar que la operación presuntamente fraudulenta fue realizada con exactitud y sin errores por el afectado, siendo válidamente autenticada y registrada.

2.4. Posibles soluciones para solventar el problema

Actualmente las entidades bancarias que sufren más ataques de este tipo, lo sufren en gran parte a través de “Smishing”. Los SMS se envían en el hilo de mensajes de la entidad bancaria que se han enviado con anterioridad en el transcurso de otras operaciones bancarias que se hayan podido realizar, por cuanto la sospecha es mínima, ya que no derivan de una fuente ajena al propio banco, sino que los SMS son originarios de la propia entidad.

Entre las medidas de seguridad que podrían y deberían implementarse por parte de las entidades bancarias, se encuentran las siguientes (5):

Firma digital de correos electrónicos seguros: habría de implementarse políticas SPF, basadas en un estándar de autenticación del correo electrónico, lo que permitiría que las comunicaciones a través de correo electrónico fuesen más seguras, pudiendo así verificar si los servidores de correos electrónicos provienen de un host validado por los administradores de dominio.(6)
Autenticación push: Se necesitan dos vías independientes entre sí, cuales serían internet y la red inalámbrica o telefónica del dispositivo móvil. Tendrían que encontrarse afectados por el ataque dos vías de autenticación inconexas entre sí. (Empleo de una aplicación alternativa a la de banca electrónica) (7).
Reconocimiento biométrico: Se basa en un tipo de autenticación que se da a través de los rasgos físicos u otro tipo de características inherentes a una única persona.
Tokens digitales/móviles: Su funcionamiento se encuentra basado en el envío de un código encriptado al dispositivo móvil, al que se podrá acceder mediante una aplicación accesoria vinculada con la aplicación de banca electrónica principal instalada y vinculada a la cuenta bancaria.

Dicha clave, además de encontrarse cifrada tiene un tiempo muy breve para utilizarse, o de lo contrario expirará, por lo que su ingreso para validar la operación debe ser rápido, y su acceso bastante complejo por los phishers, dado que la mencionada clave sólo se generará a título personal.

3. Normativa y jurisprudencia aplicable al Phishing Bancario

3.1. Normativa aplicable

Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera:
Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE:
Directiva 2007/64/CE del Parlamento Europeo y del Consejo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE, 2002/65/CE, 2005/60/CE y 2006/48/CE y por la que se deroga la Directiva 97/5/CE:
Real Decreto 736/2019, de 20 de diciembre, de régimen jurídico de los servicios de pago y de las entidades de pago.
Ley 16/2009 de 13 de noviembre de 2009 de Servicios de Pago:
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. ( No es objeto del presente trabajo la perspectiva penal del Phishing).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. Deroga la anterior Ley 59/2003, de 19 de diciembre, de firma electrónica.
Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias:
Ley 1/2000, de 7 de enero, de enjuiciamiento Civil

3.2. Jurisprudencia española sobre la materia aplicable al Phishing Bancario

Sentencia de la audiencia Provincial de Barcelona. Sección 14ª. Sentencia nº 151/2013 Recurso 150/2012 de 7 de marzo de 2013

“Pues, por más recomendaciones que se hagan al usuario o cliente, como se alega por la Caixa, es ésta la que ofrece un producto en principio seguro, pero con conocimiento de los distintos riesgos ajenos a un uso del cliente con todas las recomendaciones, por lo que corresponde a la misma adoptar las medidas de seguridad o control necesarias, y renovarse ante los distintos modos de "ataque" informático.”

Sentencia de la Audiencia provincial de Zaragoza. Sección 4ª. Sentencia nº 215/2013. Recurso 116/2013 de fecha 14 de mayo de 2013.

“Por ello, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante (art 32), la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago " no se vio afectada por un fallo técnico o cualquier otra deficiencia"

Sentencia de la Audiencia Provincial de Bilbao. Sección 3ª. Sentencia nº 429/2016. Recurso 386/2016 de fecha 10 de noviembre de 2016.

“(…) difícilmente podemos decir de que el Banco demandado no haya incurrido en negligencia grave de sus obligaciones, se han permitido efectuar operaciones bancarias (30 movimientos) sin superar ningún filtro cuando la legislación bancaria tiende precisamente a establecer que se efectúen y se establezcan diferentes controles por los bancos en protección de los clientes, tendiendo a establecerse una responsabilidad cuasi objetiva de las entidades bancarias en cuanto deben soportar los riesgos de su actividad profesional (…).”

Sentencia de la Audiencia Provincial de Alicante. Sección 8ª. Sentencia nº107/2018. Recurso 662/2017 de fecha 12 de marzo de 2018.

“En conclusión, , la responsabilidad del proveedor de los servicios de banca online, es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos”

Sentencia de la Audiencia Provincial de Sevilla. Sección 6ª. Sentencia nº 285/2018. Recurso 8228/2017 de fecha 4 de octubre de 2018.

“Por lo tanto, la responsabilidad de la proveedora del servicio sólo cesa en caso de fraude o culpa grave, supuestos que no concurren en el presente caso, por lo que debe responder por una incorrecta prestación del servicio lo que incluye los fallos de seguridad por lo que el recurso ha de ser desestimado y la sentencia confirmada.”

Sentencia de la Audiencia Provincial de Madrid. Sección 25ª. Sentencia 24/2020. Recurso 527/2019 de fecha 20 de enero de 2020.

“La carga de la prueba del cumplimiento de los requisitos en materia de información establecidos en el presente título y sus disposiciones de desarrollo recaerá sobre el proveedor de servicios de pago. “ por tanto no cabe presumir que la demandada proporcionó la información necesaria para poner en conocimiento de la titular de la cuenta las operaciones de pago realizadas(…)”

Sentencia de la Audiencia Provincial de Pontevedra. Sección 6ª. Sentencia nº 113/2021. Recurso 587/2020 de fecha 7 de abril de 2021.

““É a prestadora dos servizos de pagamento quen ten a obligación de facilitar un sistema de banca telemática segura, e non son os seus clientes usuarios os que deben previr nin averiguar as modalidades de riscos que o sistema conleva, non podendo en suma a parte obligada legalmente a ofrecer un modelo de servizo de Caixa que require dun especial nivel de seguridade, obxectar que o usuario debía coñecer aspectos técnicos tales como identificar unha web como falsa -cando non consta que fora burda e por tanto, evidente de toda falsidade-(…)”

Sentencia de la Audiencia Provincial de Sevilla. Sección 6ª. Sentencia nº 289/2021. Recurso 8540/2019 de fecha 30 de julio de 2021.

“Así las cosas, no pude considerarse que se guardara la diligencia debida por una entidad bancaria en la autenticación de las órdenes de pago, diligencia que como ya hemos dicho no es la de un buen padre de familia, sino la de un experto comerciante y en consecuencia la responsabilidad de BS es evidente.”

Sentencia de la Audiencia Provincial de Pontevedra. Sección 6ª. Sentencia nº 539/2021. Recurso 346/2021 de fecha 21 de diciembre de 2021.

Sentencia de la Audiencia Provincial de Cáceres. Sección 1ª. Sentencia 132/2022. Recurso 1370/2021 de fecha 16 de febrero de 2022.

"(…) dado que, no puede olvidarse que el sistema de pago y reintegro mediante la utilización de un sistema electrónico como es de las tarjetas de crédito y débito entraña un riesgo (utilización de microcámaras y reproductores de tarjetas instalados en los cajeros), y la experiencia diaria confirma como son utilizadas fraudulentamente tarjetas que han sido sustraídas o extraviadas, sin que pueda garantizarse una seguridad absoluta en la utilización de tales instrumentos, doctrina que trae como consecuencia que corresponda a la entidad financiera la carga de acreditar que el sistema utilizado es completamente seguro e infalible y que el acceso a sus servicios sólo puede verificarse con el marcado de un número PIN, número que es en sí mismo indescifrable, o dicho de otro modo, que la única forma que tiene el tercero de acceder a tales servicios es visionando previamente el PIN en cualquier forma, y, tal circunstancia no ha sido probada, como tampoco lo ha sido que la posibilidad de conocimiento del número secreto por parte de terceros no autorizados por causas ajenas a la voluntad del titular de la tarjeta es un hecho insólito o extraordinario ni ajeno a la propia dinámica de funcionamiento del sistema;(…)”

4. Caso práctico Phishing Bancario: modelo de reclamación extrajudicial y modelo de demanda

4.1. Reclamación extrajudicial a la entidad bancaria

RECLAMACIÓN

4.2. Modelo de demanda

Debido a la extensión permitida para el resumen del presente trabajo, resulta muy complejo sintetizar el modelo de demanda que consta íntegramente recogida en el proyecto original y que recoge tanto los hechos, como sobre todo los fundamentos de Derecho y Suplico de la demanda que ha de interponerse contra la entidad. No obstante, se ofrece mediante el resumen de cada uno de los puntos en los que se estructura este trabajo, todos los elementos para elaborar una demanda sólida sobre la materia en cuestión.

A mayores, se extractan partes de la demanda confeccionada a modo ilustrativo, de entre los que se destacan algunos de los hechos y el suplico, considerando que, por la longitud de dicha demanda, así como por el material que se ofrece en el presente trabajo, los Fundamentos de Derecho podrán plasmarse sin ningún tipo de inconveniente en cualquier demanda similar a la que aquí, de modo parcial, se expone:

modelo demanda

modelo demanda 2

modelo demanda 3

modelo demanda 4

Fundamentos (...)

5. Conclusiones

En un sentido evaluador, puede observarse desde una perspectiva temporal que los medios informáticos avanzan a una velocidad vertiginosa, a medida que la sociedad también lo hace. Por supuesto, ello supone que dicha evolución del uso de los medios tecnológicos o informáticos incurre en mayores peligros para la sociedad, siendo que la ciudadanía debe estar concienciada en el uso de las tecnologías, así como advertida de las posibles amenazas que sin lugar a duda se darán de forma cada vez más depurada.

En cuanto al phishing bancario, no pueden pretender los bancos evadirse de su responsabilidad cuando ni tan siquiera atajan un problema de seguridad interno. Todo ello, y máxime cuando existen medios suficientes como los ya sugeridos al alcance de su mano para reforzar esa seguridad con la que deberían operar.

Debe hacerse expresa mención a que no se puede reducir el problema, haciendo, como se pone de manifiesto, que la entidad bancaria pueda zafarse de una responsabilidad que debe asumir, pues el usuario no puede pechar con la culpa por la brecha de seguridad de una banca que se presume como segura. De lo contrario el cliente bancario guardaría su dinero bajo el colchón.

Dada la complejidad del asunto, es necesario que todos los intervinientes que puedan verse involucrados, desde los bancos y empresas de servicios financieros, las desarrolladoras de software, antivirus, y consultoras de seguridad, todos ellos servicios que el propio banco debe haber contratado, abordasen dicha problemática, por cuanto debe ser un compromiso por todos estos agentes colaborar, cada uno en su ámbito de actuación, a fin de solventar un problema cada vez mayor, que pueda devolver la confianza y seguridad a unos usuarios que se mantienen en alerta por los peligros que los avances tecnológicos ofrecen, dado que estamos encaminados al uso del medio informático como herramienta imprescindible, todo lo cual, ya es una realidad patente a día de hoy.

Referencias

1. APWG (7 de junio de 2022). PHISHING ACTIVITY TRENDS REPORT. 1st Quarter 2022. https://docs.apwg.org//reports/apwg_trends_report_q1_2022.pdf

2. Ramiro, R. (2020). Todo sobre la detección y prevención del Phishing. [Artículo en Blog] https://ciberseguridad.blog/todo-sobre-la-deteccion-y-prevencion-del-phishing/

3. Oficina de Seguridad Internauta. (s.f.) Conoce a fondo qué es el phishing. https://www.osi.es/es/banca-electronica

4. Acibeiro, M. (2021). ¿Cuál es la diferencia entre HTTP y HTTPS?. GoDaddy. https://es.godaddy.com/blog/diferencia-entre-http-y-https/

5. MeSign /s.f.) Sistema de comunicación cifrada de banca online. https://www.mesign.com/es- es/solutions/online-banking-encrypted-communication-service-system-solutions.html

6. Grupo Ático 34. (s.f.) Phishing:Qué es y tipos. Identificarlo y protegerse. https://protecciondatos- lopd.com/empresas/phishing/#Firma_digital_de_correos_electronicos_seguros

7. GBM. NIST declara insegura a la autenticación con doble factor basada en SMS (19 Abril, 2018) https://www.gbm.net/es/nist-declara-insegura-a-la-autenticacion-con-doble-factor-basada-en- sms

Normativa

A nivel europeo:

Europa. Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE.
Europa. Directiva 2007/64/CE del Parlamento Europeo y del Consejo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE, 2002/65/CE, 2005/60/CE y 2006/48/CE y por la que se deroga la Directiva 97/5/CE

A nivel nacional:

España. Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera:
España Real Decreto 736/2019, de 20 de diciembre, de régimen jurídico de los servicios de pago y de las entidades de pago.
España Ley 16/2009 de 13 de noviembre de 2009 de Servicios de Pago:
España Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
España Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
España Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
España Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. Deroga la anterior Ley 59/2003, de 19 de diciembre, de firma electrónica.
España Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.
España. Ley 1/2000, de 7 de enero, de enjuiciamiento Civil.