Ciberataque bancario y el deber de diligencia
El Banco de España alerta de que cada vez hay más tipologías de fraudes bancarios ligados a ciberataques y más sofisticadas
La ciberdelincuencia se ha incrementado exponencialmente los últimos años, siendo el bancario uno de los sectores más castigados, principalmente porque cada vez son más los usuarios que utilizan medios electrónicos para gestionar sus operaciones, y porque las cuentas bancarias o cualquier medio electrónico de pago son el blanco perfecto para una delincuencia que persigue rédito económico de forma fraudulenta.
Si bien el modus operandi de los ciberdelincuentes suele variar, el objetivo siempre es el mismo: suplantar la identidad del usuario a fin de poder disponer de toda su información. El propio Banco de España alerta cada vez más de las diferentes tipologías y las cada vez más sofisticadas formas de fraudes bancarios ligados a ciberataques.
Entre estos tipos de fraude más comunes encontramos el phishing (correos electrónicos con enlaces o documentos que, una vez abiertos, infectan el dispositivo electrónico), el vishing (llamadas telefónicas que suplantan la identidad de la entidad financiera) o el spoofing (en línea de los anteriores, pero en este caso los ciberdelincuentes utilizan SMS o números de teléfono de las entidades financieras). En muchas ocasiones, junto a dichos ciberataques, los delincuentes duplican la tarjeta SIM del móvil, de forma que, además de suplantar la identidad, consiguen también recibir los mensajes de seguridad de las entidades financieras.
En el plano empresarial, los ciberataques más utilizados son el fraude CEO (remitir correos electrónicos a mandos intermedios de una organización con acceso a los recursos económicos, solicitando transferencias desde la empresa), los ataques ransomware (cifrado de los discos duros de la compañía) o los ataques a los servidores de los correos electrónicos, interceptando las comunicaciones de la empresa, suplantando su identidad y modificando los datos bancarios.
En este contexto, y junto a la propia inversión en ciberseguridad, las empresas deben implementar protocolos de actuación para evitar dichos ataques, formar y concienciar a los profesionales con acceso a los recursos económicos y contar con los medios necesarios para evitar estas situaciones.
Las entidades financieras cuentan con férreos controles de seguridad. Prácticamente todas las transacciones en banca online solicitan a los usuarios un doble o triple control de seguridad (usuario y contraseña; clave aleatoria con tarjeta de coordenadas; clave OTP –one-time password–; doble firma digital a través de app, etcétera). Además, las entidades monitorizan las operaciones de forma que, ante movimientos anómalos, se procede a su bloqueo automático y se informa al usuario. Por su parte, el artículo 41 del Real Decreto Ley 9/2018, de 23 de noviembre, de servicios de pago, establece las obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad, exigiendo a los clientes “tomar las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas”. Ni qué decir cabe que, por ejemplo, facilitar a un tercero que se hace pasar por empleado de la entidad el usuario, contraseña y sistema de seguridad reforzado no es proteger la información con medidas razonables de seguridad. Máxime si, como decimos, las propias entidades financieras advierten a todos sus clientes en reiteradas ocasiones de los posibles fraudes.
El artículo 46 del texto legal establece, además, que la responsabilidad para el caso de que el usuario no haya tomado las medidas necesarias para proteger los elementos de seguridad se traducirá en soportar las pérdidas derivadas de las operaciones realizadas con negligencia grave en la custodia del instrumento de pago y las credenciales de seguridad.
La banca online y los instrumentos de pago facilitan a los usuarios la realización de cualquier operación. No obstante, custodiar los datos con diligencia es cuestión de extrema relevancia por parte de cada uno de nosotros.