Phishing Bancario: nociones básicas y refuerzo del TJUE

Phishing bancario

Conocer la manera en la que debemos operar con nuestra cuenta bancaria de forma on-line se ha ido convirtiendo cada vez más en un asunto de absoluta relevancia. Todo ello para prevenir los numerosos ataques que se producen con cada vez más frecuencia a un buen número de usuarios de banca electrónica en el más conocido como “phishing”.

¿Te gustaría saber en qué consiste este fenómeno y cómo tratar de prevenirlo? Entonces este artículo te interesa.

De un tiempo a esta parte, es bien sabido que un buen número de personas, empujados también por la cada vez más reducida operativa de caja que ofrecen las entidades bancarias, así como a la comodidad que ofrece gestionar las operaciones bancarias a través de internet, han comenzado a utilizar estas aplicaciones de banca on-line que los bancos ofrecen, y que pueden resultar muy útiles para realizar cuantas gestiones bancarias consideremos oportunas.

Así pues, valiéndose del conocido “engaño bastante” recogido en el artículo 248 Código Penal, entran en escena los conocidos como “Phishers”, quienes utilizan una técnica de ingeniería social para confundir a sus víctimas, en este caso, usuarios de banca electrónica, con el objetivo principal de detraer de sus cuentas bancarias el dinero que puedan conseguir.

¿Cómo lo consiguen?

Por lo general, el “Phishing de manual”, se rige por los siguientes patrones:

La centralita de la entidad resulta previamente hackeada por el atacante, quien habitualmente enviará un SMS en el resto del hilo de SMS que nuestra propia entidad nos había enviado con anterioridad en el transcurso de anteriores operaciones.

Dicho mensaje contiene un enlace malicioso en el que pincharemos bajo la previa alarma que el meritado SMS contiene, y en el que se nos advierte de que un tercero está intentando acceder a nuestra cuenta, poniendo así en una situación de alarma a la víctima.

El enlace al que hacemos referencia, como cabe esperar, nos redirigirá a una página espejo idéntica a la de la propia entidad donde la víctima ingresará una serie de códigos “OTP” que a continuación se nos irán enviando a través de sucesivos SMS, que a su vez autentificarán las operaciones realizadas de forma fraudulenta.

Por supuesto, la víctima del “Phishing” en ningún momento sospechará de lo que está ocurriendo, con lo que el ilícito quedará perpetrado. Esta variante se conoce como “Smishing”.

Por supuesto, el Phishing tiene numerosas variantes, y nunca son idénticas entre sí, pero la que se expone resulta la más habitual. No obstante, la otra variante más habitual se perpetra en una conjunción de “Smishing”, a través del SMS, con el “Vishing”: a través de llamada telefónica, y una vez pinchado en el enlace malicioso del SMS previo que nos redirecciona a la página espejo, un supuesto gestor de la entidad, que no es tal, nos llamará para ayudarnos, indicándonos que introduzcamos los códigos “OTP” que se nos enviarán en sucesivos SMS de la propia entidad.

¿Cómo podemos prevenirlo?

Por lo general, dado que cualquier ciudadano está expuesto a este tipo de riesgos, hay que permanecer en constante alerta y nunca pinchar en los enlaces que se envían adjuntos. Consejo que por otra parte resulta válido también de cara a los numerosos correos electrónicos fraudulentos que se hacen pasar por tiendas u organismos oficiales que nos ofrecen una solución a un problema si pinchamos en el enlace que contienen. Este tipo de correos electrónicos suelen darse en épocas de afluencia de compras como el “Black Friday” con el pretexto de que el paquete no puede entregarse, o incluso en la campaña de la declaración de la Renta.

¿Existen medios de autenticación reforzada a disposición de las entidades para salvaguardar los intereses de sus usuarios?

  • Autenticación push: Se necesitan dos vías independientes entre sí, cuales serían internet y la red inalámbrica o telefónica del dispositivo móvil. Tendrían que encontrarse afectados por el ataque dos vías de autenticación inconexas entre sí. (Empleo de una aplicación alternativa a la de banca electrónica).
  • Reconocimiento biométrico: Se basa en un tipo de autenticación que se da a través de los rasgos físicos u otro tipo de características inherentes a una única persona.
  • Tokens digitales/móviles: Su funcionamiento se encuentra basado en el envío de un código encriptado al dispositivo móvil, al que se podrá acceder mediante una aplicación accesoria vinculada con la aplicación de banca electrónica principal instalada y vinculada a la cuenta bancaria. Dicha clave, además de encontrarse cifrada tiene un tiempo muy breve para utilizarse, o de lo contrario expirará, por lo que su ingreso para validar la operación debe ser rápido, y su acceso bastante complejo por los phishers, dado que la mencionada clave sólo se generará a título personal.

Relevante sentencia del Tribunal de Justicia de la Unión Europa al respecto

Resulta de extraordinaria relevancia, tras la cantidad de personas afectadas por este tipo de práctica, y ante la desidia o negativa de los bancos en cuanto a la retrocesión de los cargos detraídos fraudulentamente y sin autorización consciente del usuario de banca on-line, la recientísima Sentencia del Tribunal de Justicia de la Unión Europea, (Sala Quinta) de 16 de marzo de 2023, en el asunto C-351/21, que sin lugar a dudas servirá como piedra angular en la que las víctimas sustentarán su argumentación.

Así pues, la Sentencia analiza el alcance de la obligación del proveedor de servicios de pago, prevista por una disposición de la Directiva 2007/64, de facilitar, en su caso, al ordenante, información relativa al beneficiario de una operación de pago.

Mediante su sentencia, el Tribunal de Justicia de la Unión Europea, declara que el proveedor de servicios de pago de un ordenante está obligado, en virtud de esta misma disposición, a facilitar a este la información que permita identificar a la persona física o jurídica que se ha beneficiado de una operación de pago en la cuenta de dicho ordenante en la que se ha efectuado un cargo, y no solo la información de que dispone dicho proveedor, tras haber desplegado los mayores esfuerzos, respecto de esa operación de pago.

Por lo tanto, el proveedor de servicios de pago del ordenante de que se trate deberá facilitar a este la información necesaria para cumplir plenamente las exigencias derivadas de esta disposición en el marco del elemento adicional contemplado en la segunda parte de la frase de dicho artículo 47, apartado 1, letra a), a saber, la “información relativa al beneficiario”.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ARTÍCULOS RELACIONADOS