Este banco ha tenido que claudicar: devuelve 3.000 euros a un afectado por un caso de ‘smishing’

Un cliente de BBVA fue víctima del smishing, una técnica usada por los ciberdelincuentes para hacerse con tu dinero tras haber suplantado a la víctima. Los abogados de la Organización de Consumidores y Usuarios (OCU) lograron que BBVA le devolvieran a la víctima los 2.985 euros que le habían logrado sacar los delincuentes.

La víctima, en este caso una mujer, fue suplantada por los ciberdelincuentes y con varias operaciones llegaron a extraer de forma fraudulenta su dinero sin que el banco pudiese acreditar la aplicación de la doble autentificación de seguridad para estos movimientos.

Esta consumidora realizó una compra online a un comercio en el que ya había comprado, Dunnes Stores. En ocasiones anteriores el envío le había llegado a través del servicio de Correos. Ella estaba pendiente de que llegara su paquete y a la semana siguiente recibió un SMS informando de que el «paquete estaba en espera pues faltaba el número de la calle», al tiempo que le enviaron un enlace a una página para diese este y otros datos personales. Al acceder a este enlace, se encontró con una página falsa que se hacía pasar por correos y en la que le pedían 0,80 euros para que le reenviasen el paquete. Al ser un gasto razonable, la víctima rellenó los datos que le pedían de su tarjeta bancaria y autorizó el pago en la pestaña del banco.

Unos días más tarde se percató de que se habían realizado 14 cargos con su tarjeta en compras en eBay que ella no había hecho y que tampoco había autorizado. El dinero defraudado ascendió a 2.985 euros.

Ella decidió anular rápidamente la tarjeta bancaria en la app del banco. Después, se puso en contacto con la entidad, que confirmó que se habían producido esos cargos y le indicó que podría reclamar en cuanto se cargaran. Solicitó el extracto bancario y puso una denuncia en la comisaría. Ella presentó pruebas de este fraude y, con los documentos en mano, reclamó al banco la devolución de las cantidades estafadas

Sin embargo, la entidad bancaria rechazó de forma reiterada hacerse cargo de su responsabilidad patrimonial por los fallos de seguridad que se produjeron con este fraude. «Comprendemos que el cliente ha podido ser estafado, autorizando a un tercero a usar su tarjeta para efectuar una operación, pero el retroceso va contra el comercio, el cuál ha prestado correctamente el servicio y no tiene nada que ver con la tercera persona que lo ha engañado, además el cliente es responsable de custodiar los datos de su tarjeta», señaló por aquel entonces BBVA en su resolución desfavorable tras haber denunciado este smishing. Al final, por mediación de OCU consiguió recuperar el dinero que le habían sustraído.

¿Qué es el ‘smishing’?

Las entidades bancarias, entre ellas BBVA, definen el smishing como un ataque de ingeniería social basado en el envío de mensajes fraudulentos, ya sea mediante SMS o WhatsApp, en los que los ciberdelincuentes suplantan la identidad de una compañía, organismo público o persona para intentar que los usuarios, mediante un enlace incluido en la mensaje, accedan a una página web fraudulenta y proporcionen en ella su información personal o bancaria o descarguen alguna aplicación infectada con malware.

Los mensajes SMS fraudulentos que circulan en la actualidad informan sobre falsos avisos de paquetes que no han podido ser entregados, facturas de servicios, devolución de importes, actualización o verificación de la información bancaria, incidencias relacionadas con las cuentas o tarjetas, etc.

¿Cómo protegerse del ‘smishing’?

El Banco de España da una serie de recomendaciones a las entidades bancarias como BBVA, así como a sus clientes, para evitar caer en el fraude del smishing. Estos con los consejos que se dan:

• No proporciones información personal o bancaria en páginas web a las que has accedido desde un enlace incluido en un SMS. Por norma general, ninguna compañía u organismo público te va a solicitar información sensible a través de este canal.
• No respondas nunca a SMS que te resulten sospechosos. Elimínalos.
• Desconfía de todos aquellos mensajes alarmantes que tengan tono de urgencia, contengan faltas de ortografía o erratas y de los que no se dirigen a ti de forma personalizada.
• Instala un antimalware y un antivirus en tus dispositivos y realiza análisis periódicos.
• Mantén siempre actualizados el sistema operativo, el navegador y las aplicaciones de tus dispositivos.
• Descarga las aplicaciones exclusivamente desde los mercados o repositorios oficiales. Además, observa si la aplicación ha sido descargada por un elevado número de usuarios, tiene una valoración alta y opiniones positivas. Asimismo, comprueba que el nombre del desarrollador y el logo de la aplicación sean los oficiales.
• Recuerda que los mensajes SMS que BBVA envía no contienen enlaces. Si recibes alguno que incluya un link, aunque aparezca en el hilo de BBVA, es falso.

¿Cuáles son sus formas más habituales?

El objetivo del smishing es obtener información confidencial de las víctimas, como datos bancarios o claves, con el fin de vender productos inexistentes o infectar el móvil. Con el objetivo de lograr, envían un SMS al usuario con una promoción irresistible, la posibilidad de conseguir un premio o un aviso de una empresa de mensajería de una entidad bancaria.

Si se pincha en el mensaje, la víctima es dirigida a una página web fraudulenta que, bien imita a la original para robar sus datos bancarios o sus contraseñas, bien contiene código malicioso para instalar algún malware, bien engaña al usuario para que se instale una aplicación que recopilará y enviará información confidencial a terceros.

Otra práctica habitual es el envío de mensajes que piden que se llame a un número de teléfono de tarificación especial o suscribirse a un servicio SMS premium que supone un gasto adicional.