_
_
_
_

Fácil acceso y préstamos automáticos: los ciberdelincuentes atacan el mercado de los créditos rápidos

La Agencia Española de Protección de Datos sanciona a Vivus con 480.000 euros por la falta de medidas para prevenir el robo de datos de 9.500 clientes

Pantalla de un ordenador con la página web de una empresa de créditos rápidos.
Pantalla de un ordenador con la página web de una empresa de créditos rápidos.Luis Sevillano Arribas
Nuria Morcillo

Los microcréditos permiten conseguir dinero rápido para afrontar un imprevisto o costear unas vacaciones, entre otros muchos motivos. Y sin salir de casa en gran parte de las ocasiones, ya que la gestión se puede hacer por Internet. De ello hacen gala las empresas prestamistas en sus anuncios publicitarios y los ciberdelincuentes, que conocen bien esta dinámica, se aprovechan de esta forma de operar para ampliar sus estafas. Así ocurrió con Vivus, que en febrero de 2023 advirtió que sus barreras de seguridad habían estado fallando durante meses y la información confidencial de casi 9.500 clientes fue robada, de los cuales centenares fueron víctimas de un fraude. Por ello, la Agencia Española de Protección de Datos (AEPD) sancionó a la compañía con 480.000 euros, que finalmente quedó en 360.000 euros por el pronto pago y reconocimiento de la responsabilidad.

El modus operandi fue el siguiente. Los piratas informáticos pusieron su objetivo en personas que ya habían solicitado un préstamo con anterioridad, a sabiendas de que el acceso a sus áreas personales en la plataforma de las prestamistas (con una simple autenticación de usuario y contraseña) le abría la puerta a pedir créditos que serían aceptados, prácticamente, de manera automática. En muchos de estos casos, los datos personales de estos clientes ya se encuentran grabados en bases de datos, lo que facilita que futuras peticiones de dinero se cierren de una manera más rápida y sencilla. Así, una vez que se realizaba dicho proceso y los importes requeridos se ingresaban en las cuentas bancarias asociadas a los clientes, los estafadores contactaron por WhatsApp con cada una de las víctimas haciéndose pasar por Vivus y les hicieron creer que por error se había concedido un nuevo crédito. Así, solicitaron su devolución a un número de cuenta que, en verdad, era controlada por los propios atacantes.

Según la AEPD, que abrió una investigación en abril de 2023 para determinar una posible vulneración de la normativa de protección de datos, con esta operativa llevada a cabo, al menos, durante seis meses fue suplantada la identidad de 9.497 clientes de Vivus. En concreto, los ciberdelincuentes se apoderaron de información sustancial de dichos usuarios relativa a nombre, documento de identidad, fecha de nacimiento, dirección postal, correo electrónico, número de teléfono, y número de tarjeta bancaria pseudonimizada, según detalló el organismo público en una resolución con fecha del pasado 8 de abril, consultada por este periódico.

La agencia subraya en dicho documento que la falta de medidas preventivas para evitar la captación de todos estos datos sitúan a los clientes en una “posición de vulnerabilidad financiera significativa”, ya que dicha información no solo es “sensible desde el punto de vista financiero”, sino que puede contener detalles sobre la situación económica y necesidades personales que podría ser utilizadas como “chantaje” contra los perjudicados. Asimismo, la resolución señala que toda la información confidencial recabada permite a los ciberdelincuentes elaborar un perfil sobre los individuos afectados para “diseñar estrategias de engaño altamente personalizadas” que permite aumentar “significativamente la probabilidad de éxito”.

Discrepancias con la valoración del riesgo

La agencia de protección de datos tuvo conocimiento de las estafas en febrero de 2023 cuando la propia Vivus comunicó que había sido objeto de accesos indebidos y que ya había iniciado una investigación interna para detectar qué había fallado en sus controles de seguridad. También seis víctimas presentaron denuncias al respecto ante el organismo público. La compañía se puso en alerta tras un último aviso del afectado, pero no detectó la fecha concreta del inicio de la amenaza. Según la AEPD, de acuerdo a toda la documentación analizada, el primer fallo fue constatado el 11 de agosto de 2022 cuando, por primera vez, la empresa recibió un aviso de un cliente. En septiembre, la entidad de crédito rápido tuvo conocimiento de, al menos, 11 casos, mientras que en noviembre la cifra ascendió a 83.

Este avance es suficiente para la AEPD para reprochar que la compañía no tratara de atajar el problema desde la primera advertencia. “La brecha no fue notificada ante la presente autoridad hasta el día 17 de febrero de 2023, cuando ya se tuvo constancia de afectación de, al menos, 427 defraudados”, afirma. Es más, afea que tardara en reforzar sus niveles de seguridad e implantar un doble proceso de autenticación, ya que Vivus opera en un mercado en el que “la confianza y la seguridad de la información resulta fundamental”. En este sentido, la agencia advierte de que la quiebra de seguridad no solo pone en riesgo los activos financieros de los afectados, sino que “también puede tener un impacto negativo duradero en su historial crediticio y su reputación financiera”.

A ello, la agencia añade su sorpresa por el hecho de que la compañía rehuyera de informar, de manera individualizada, a los afectados de la suplantación de datos hasta que no le obligó a hacerlo. Vivus aseguró a AEPD que puso en conocimiento de la Policía estos hechos, pero no a cada uno de los clientes cuyos datos fueron robados, porque sus análisis concluyó que no había un “alto riesgo”. Entre el 4 y el 14 de febrero de 2023, Vivus constató picos de hasta 18 millones de intentos de acceso fallidos en un único día, indica la resolución.

En opinión del organismo público, el riesgo asignado por la empresa a variables como “contexto del incidente”, “facilidad de identificación” y “circunstancia del incidente” fue “inferior al que se debió asignar”. Por todo ello, por “las carencias en las medidas técnicas preventivas implantadas [en el momento de los hechos] para monitorizar y, fundamentalmente, alertar ante la existencia de múltiples intentos de inicio de sesión fallidos”, la AEPD concluye que Vivus es responsable de una vulneración de la ley de protección de datos.

Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días

Newsletters

Inscríbete para recibir la información económica exclusiva y las noticias financieras más relevantes para ti
¡Apúntate!

Para seguir leyendo este artículo de Cinco Días necesitas una suscripción Premium de EL PAÍS

_

Sobre la firma

Nuria Morcillo
Periodista de Tribunales con más de 10 años de experiencia. Tras dar los primeros pasos en El Mundo y ABC, llegó a la agencia de noticias Europa Press, donde comenzó a profundizar en el mundo jurídico. Después pasó por La Información, donde siguió especializándose en ese área. En CincoDías desde diciembre de 2022.
Tu comentario se publicará con nombre y apellido
Normas
Rellena tu nombre y apellido para comentarcompletar datos

Más información

Archivado En

_
_