Le roban 3.900 euros de su cuenta bancaria y esto es lo realmente importante: "Lo hubiera hecho cualquiera"

Marina es el nombre simulado de una persona real que vio cómo se esfumaban de su cuenta 3.800 euros. Una cuenta en un banco de renombre y del que lleva años siendo clienta.

La historia de Marina es la de cualquier ciudadano normal, con su cuenta bancaria, sus gastos domiciliados y su ingreso por nómina.

Como le ocurre a todos los ciudadanos, Marina suele recibir información del banco, avisos y hasta comunicación sobre precauciones ante posibles fraudes.

Pero nada de eso ha sido suficiente para evitar ser víctima de una de las modalidades de ciberataque que se produjo además con una técnica "sofisticada" lo que hizo imposible detectar el engaño. 

Así lo cuenta José Carlos Cutiño, abogado de la organización de consumidores OCU que ha logrado que después del disgusto y con mucho trabajo, Marina recupere su dinero y sea el banco el responsable de reintegrar esa suma a su clienta tras el fraude. ¿Y en qué consistió esta modalidad de ciberataque? Pues en un sistema conocido como spoofing.

spoofing, lo que los ciberdelincuentes pueden conseguir con sus técnicas para engañarte: "Cada vez más "

Una de las técnicas que usan los ciberdelincuentes, es conocida como spoofing y se ha convertido en una amenaza cada vez más común y sofisticada. ¿Qué es el spoofing? 

El spoofing es una técnica de ciberataque en la que un delincuente se hace pasar por otra persona o entidad para engañar a sus víctimas. Esto puede lograrse mediante la falsificación de direcciones de correo electrónico, números de teléfono, direcciones IP o incluso sitios web enteros. El objetivo final es obtener información confidencial, como contraseñas, datos bancarios o información personal, o incluso infectar dispositivos con malware. 

En el caso de Marina los servicios jurídicos de la Organización de Consumidores y Usuarios (OCU) han obtenido una nueva sentencia firme, del Juzgado de Primera Instancia e Instrucción nº2 de Carmona, condenando a la entidad bancaria Deustche Bank a soportar el perjuicio sufrido por esta usuaria víctima de un caso de “phishing” y “spoofing” telefónico. 

Es cierto que "las técnicas son cada vez más sofisticadas", más difíciles de detectar, como indica Cutiño, pero en este caso la justicia ha dado la razón a la víctima incluso habiendo seguido todos los pasos que indicaba el estafador. 

En concreto, recibió en su teléfono un mensaje SMS, procedente del teléfono desde el que habitualmente recibía las comunicaciones de su entidad bancaria. Se le informaba de que un dispositivo no autorizado se había conectado a su cuenta online. Por eso le pedían que accediera mediante un enlace a un sistema de verificación si no reconocía como propia esa conexión, para así subsanar la grave incidencia que se le estaba comunicando.   

Alertada por dicha circunstancia, y abriendo dicho enlace, la víctima accedió a una página de banca online que identificó como la habitual de su entidad bancaria, donde le pidieron los datos y claves habituales para habilitar su operativa. De inmediato, la víctima recibió varias llamadas del teléfono habitual de su entidad que le indicaba que estaban trabajando en la solución de la incidencia producida, pidiéndole que verificara las operaciones fraudulentas para poder abortarlos desde el supuesto departamento de fraudes del banco.     

La sentencia es de gran importancia, al considerar que la usuaria no incurrió en negligencia grave ni aún cuando autenticó las operaciones fraudulentas,"porque cualquiera hubiera hecho lo mismo", debido a que nada parecía indicar que fuera una estafa tal y esto es lo realmente importante tal y como recoge el tribunal:   “… tampoco resulta posible apreciar negligencia grave en la actora con motivo de la ulterior autorización -a todas luces, no consentida, y materializada a causa de un palmario vicio en el consentimiento- por parte de la misma de las dos operaciones de 1.950 euros litigiosas, ya que actuaba en la confianza absoluta -no había motivos razonables para dudar de ello- de que seguía instrucciones de un empleado de su entidad financiera para impedir una operación fraudulenta y no deseada. No le era exigible un comportamiento diferente. En vista de cómo acontecieron los hechos, hizo lo que hubiera hecho cualquier persona”.   

Es decir, valora que tal consentimiento de la usuaria estaba viciado y por tanto era inválido, siendo lógico que en una situación de estrés como ésta, siguiera las indicaciones de quien además se identificaba a través del teléfono del banco, tal y como reiteradamente le decían que comprobara.   

Por otro lado, el juez considera que “…la realización de dos transferencias de tan alto importe por la demandante, sin solución de continuidad, debió haber llamado la atención de la mercantil demandada, ante un comportamiento sumamente anómalo por parte de Dña. Margarita, y haber permitido la ejecución de algún mecanismo -con el que no parece que la mercantil demandada cuente- para enmendar una operación financiera cuya naturaleza fraudulenta era fácilmente deducible y comprobable por una entidad financiera como la hoy demandada”.   

En este caso, el Juzgado considera que existe engaño suficiente que excluye la culpa grave de la usuaria, pero además considera que la entidad debió tener medios para detectar la naturaleza fraudulenta de las transacciones, por lo que obliga al banco a asumir la responsabilidad sobre la cantidad defraudada.