El smishing es un ataque de ingeniería social basado en el envío de mensajes fraudulentos, ya sea mediante SMS o WhatsApp, en los que los ciberdelincuentes suplantan la identidad de una compañía, organismo público o persona para intentar que los usuarios, mediante un enlace incluido en el mensaje, accedan a una página web fraudulenta y proporcionen en ella su información personal o bancaria.
Estos ataques están a la orden del día, como solemos reportar en ADSLZone, y los organismos de ciberseguridad suelen recomendarnos que, en caso de haber hecho clic en alguno de estos enlaces, «contactemos lo antes posible con la entidad bancaria para informarles de lo sucedido y cancelar posibles transacciones que se hayan podido efectuar, bloquear el acceso a tu cuenta, tarjetas y actualizar los datos de acceso al servicio de banca online», además de poner la pertinente denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Sin embargo, ni lo uno ni lo otro sirvió a un afectado que ha perdido más de 9.000 euros en una de estas estafas.
Pierde más de 9.000 euros en una transferencia
El caso tiene como protagonista a un titular de una cuenta de Abanca que en agosto de 2021 recibió un SMS de smishing en el que, haciéndose pasar por su entidad, enviaban un falso SMS de acceso no autorizado a su cuenta: “Un dispositivo no autorizado está conectado a su cuenta online. Si no reconoce este acceso, verifique inmediatamente: https: (…)”.
Tras hacer clic en el enlace, se abrió una página web que simulaba ser la de Abanca, en la que este afectado introdujo datos personales como DNI y contraseña de la banca electrónica. Tras esto, recibió un SMS remitido por Abanca en el que se le solicitaba permiso para realizar una transferencia, usando el protocolo de verificación de dos factores (2FA). “Transferencia de 9.132,00 euros a cuenta (…). Para confirmar, teclea la clave (…). Si no eres tú llama al (…) o desde el extranjero al (…)”.
Por si fuera poco recibir este SMS, casi simultáneamente recibió una llamada telefónica haciéndose pasar por empleados de Abanca que solicitaron las claves que acababan de recibir por SMS, a lo que el afectado accedió. Realmente, era una suplantación de identidad, por lo que realizaron dicha transferencia.
La víctima, al percatarse de haber perdido su dinero, llamó al servicio de atención al cliente del banco, donde se le informó que acababa de autorizar una transferencia inmediata de 9.132 euros, y al día siguiente, tras solicitar sin éxito en el banco la retroacción de la transferencia por haberse realizado fraudulentamente, el hombre formuló una denuncia ante la Guardia Civil.
Abanca no es responsable del fraude
Tras formular la pertinente denuncia, en octubre de 2022, el Juzgado de Primera Instancia n.º 5 de Ferrol desestimó íntegramente la demanda planteada por el cliente de Abanca. Tras recurrir, la Audiencia Provincial de La Coruña acaba de desestimar este recurso, posicionándose a favor del banco.
Conforme a lo previsto en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, la primera obligación del afectado es adoptar todas las medias razonables a fin de proteger sus credenciales de seguridad personalizadas (elementos personalizados que el proveedor de servicios de pago proporciona al usuario de servicios de pago a efectos de autenticación).
En la última sentencia de cinco páginas se destaca la necesidad que tiene el afectado de haber leído “el SMS con un mínimo detenimiento para así percatarse del engaño”, pero en su lugar “procede a trasladar el código de verificación a su interlocutor. No es una negligencia, son tres”, subrayando los tres errores de la víctima. “La primera aún pudiera ser más o menos comprensible (pinchar en un enlace), la segunda ya es grave (facilitar usuario y contraseña), y la tercera es totalmente temeraria (informar de la confirmación)”.
Por último, acaba con una valoración sobre el riesgo existente en este tipo de servicios: “todo sistema tiene sus riesgos, como también existen billetes falsos”, denegando así la revocación de la transferencia al considerar que el cliente no tomó las medidas pertinentes para contrarrestar las posibles deficiencias de seguridad en el sistema del banco.