Las situaciones en las que los clientes de las empresas sufren la suplantación de su identidad están al alza y fuentes del sector financiero han expresado su preocupación por el hecho de que las entidades puedan ser culpabilizadas por “tener una brecha de seguridad” cuando no tienen nada que ver porque es un agente externo que en ningún momento entra en los sistemas de la entidad. Esta reflexión la han hecho llegar a MERCA2 fuentes financieras que observan de cerca la polémica de Asufin con Unicaja por un fraude que la asociación considera que es culpa de la entidad, que a su vez niega la mayor. Una autoridad como el Banco de España desliza en la Memoria de Reclamaciones de 2021 una opinión que va más en la línea de los bancos.
LA POLÉMICA
A la banca no le gusta convertir en categoría una anécdota, pero no por ello deja de poner atención. En este sentido, la disputa entre Unicaja y la Asociación de Usuarios Financieros ( Asufin) a cuenta de un fraude por suplantación está siendo fruto de observación en el sector por una cuestión que tiene que ver con la confianza y la reputación. Y es que Asufin ha colocado en el tapete tres palabras que pueden influir en la confianza de los clientes en sus entidades, en este caso en la de los usuarios de Unicaja y en la reputación de la entidad: brecha de seguridad.
si se empieza a considerar que las entidades son las culpables de las suplantaciones van a tener un problema muy serio con sus clientes
Es un tema serio porque si se empieza a considerar que las entidades son las culpables de las suplantaciones van a tener un problema muy serio con sus clientes. Por eso, los bancos quieren destacar que este tipo de ataques son estafas y que en nada tienen que ver ellos.
QUÉ DICE KASPERSKY
“La brecha de seguridad es un incidente que permite el acceso no autorizado a datos informáticos, aplicaciones, redes o dispositivos. Es decir, permite acceder sin autorización a información, explican en Kaspersky. “Normalmente, se produce cuando un intruso logra sortear los mecanismos de seguridad. Técnicamente, existe una diferencia entre una brecha de seguridad y una brecha o filtración de datos. Una brecha de seguridad comporta una intromisión, mientras que una brecha de datos consiste en la sustracción de información por parte de un ciberdelincuente. Imagínate a un caco: la brecha de seguridad se produciría cuando consigue colarse por la ventana y la brecha de datos cuando le roba la agenda o el ordenador portátil a su víctima”, apuntan.
El problema se puede agrandar, vía reclamaciones y eso puede contribuir a que los clientes pierdan la confianza en su entidad, lo que a su vez se convierte en un problema de reputación. Una vara de medir muy interesante en esta materia será el número de reclamaciones que reciba el supervisor que el año pasado contó con 839 reclamaciones, un 2,4% más.
LA ESTAFA
Sin entrar muy en el fondo, fuentes financieras consideran que la banca, cuando pasen casos como el de Unicaja, debería dejar claro que se trata de una estafa, que afecta a muchas sectores, no solo al financiero, y que ellos no tienen nada que ver. No obstante, la banca muchas veces prefiere dejar pasar las cosas, corriendo el riesgo de que el incendio se monte y se haga muy grande para cuando quiera sofocarlo.
En este caso concreto de Unicaja, Asufin hace la acusación a medias y sin aportar pruebas. Asufin ha presentado una reclamación ante el Banco de España por un fraude a un cliente de Unicaja Banco. Asufin asegura que ha acredita ante el regulador que existe una utilización ilícita del número del Servicio de Atención al Cliente, el 952 076 263, que aún no ha sido cambiado y agrega que “debe existir una brecha de seguridad en la custodia de los datos, sucedida en el proceso de fusión con Liberbank, en junio, dado que en la llamada se usa el DNI de los clientes para inspirar confianza”.
LA DISPUTA
En respuesta a esta grave acusación, fuentes del banco aseguran a MERCA2 que “no se puede hablar de fallos ni de brecha en los sistemas de seguridad de Unicaja Banco, ni de que la entidad facilite datos o información de clientes, sino que se produce una interacción directa entre el ciberdelincuente y la víctima, que es quien al facilitar al ciberdelincuente sus claves, permite la actuación fraudulenta. Esa interacción se produce fuera de los sistemas del banco y por mucho que las entidades desplieguen, como lo hacen, una intensa actividad para detectar actividades delictivas, no es posible evitar que se produzca esa interacción y que el propio cliente acabe facilitando sus contraseñas y claves al delincuente” Las ciberestafas son un fenómeno que afecta de forma frecuente a clientes de todo tipo de empresas y sectores.
el Banco de España se refiere en la Memoria de Reclamaciones de 2021 a los ciberdelincuentes
Por cierto, el Banco de España se refiere en la Memoria de Reclamaciones de 2021 a los ciberdelincuentes. “En los expedientes analizados durante 2021 se ha observado el aumento de reclamaciones en las que intervienen técnicas empleadas por ciberdelincuentes, como el phishing (por correo electrónico), vishing (de forma telefónica) o el smishing (vía SMS)”, señala el superviso. “Mediante estas técnicas, los ciberdelincuentes se hacen pasar por las entidades financieras, o incluso por organismos públicos o empresas de reconocida trayectoria, suplantando su identidad y pidiendo a las potenciales víctimas que faciliten, después de clicar en un enlace —aparentemente genuino, pero, en realidad, malicioso— determinados datos personales y bancarios, bajo diferentes pretextos, como evitar el supuesto bloqueo de la cuenta o de una tarjeta o prevenir un inexistente pago fraudulento, realizar un pago de escasa cuantía por la prestación de un servicio (supuestos servicios informáticos a distancia o la entrega de un paquete por una empresa de transportes o Correos), o permitir la supuesta devolución de un importe debido por la Seguridad Social o la Agencia Tributaria, y con el verdadero fin de lucrarse, realizando operaciones de pago a cargo de la víctima”.
“Con el ánimo de evitar ser víctimas de este tipo de estafas, este departamento viene indicando a los usuarios de servicios de pago que deben extremar las precauciones a la hora de dar credibilidad a comunicaciones de ese tipo que pudieran recibir en sus dispositivos —teléfono fijo, móvil, ordenadores—, siendo recomendable consultar con sus entidades financieras, o con las presuntas empresas o entidades remitentes, la veracidad de estas (sin utilizar para ello los enlaces incluidos en los mensajes), pues no suelen pedir datos bancarios ni personales por ninguna de esas vías”, señala el supervisor.
Fuentes financieras entienden que lo expresado por el Banco de España, sobre todo al apuntar el término estafa, se refiere a una cuestión de tipo de individual que no se debe a que el banco tenga algo que ver.
ANÁLISIS DE EXPERTOS
Preguntado por esta cuestión, el director de securizame (https://www.securizame.com), Lorenzo Martínez, señaló que «no se puede culpar al banco de la suplantación de su número de teléfono o del nombre origen en un SMS puesto que esto es algo técnicamente posible para un ciberdelincuente que busca estafar a alguien, sin importar cuantas veces lo cambie». Según Martínez, el usuario debería estar concienciado de que cuando sea «alguien que dice ser su banco quien le llama y le pide datos personales o de conexión al mismo, sea el usuario quien directamente corte esa comunicación y lleve a cabo desde su teléfono una llamada al banco autenticándose y notificando que se han puesto en contacto con él. Asimismo el banco debería poner en conocimiento al usuario de qué hacer en caso de recibir este tipo de comunicaciones que dicen proceder desde el banco». Sin embargo, recalca que el hecho de que «los ciberdelincuentes tengan en su poder datos específicos de usuarios de una entidad financiera, y que dichas comunicaciones se dirijan única y exclusivamente a clientes de dicho banco a los que se les facilite además su DNI, implica que la fuente de dicha información tiene que provenir de una sustracción desde el propio banco o desde un tercero que tenga acceso a los mismos, lo que sería achacable a las medidas de seguridad de la víctima del robo».