Cómo reclamar casos de phishing bancario

¿El phishing bancario es un delito?

El phishing es un delito de estafa, regulado por Sección 1ª del Capítulo VI, Título XIII, del Código Penal, cuyo objetivo es obtener información confidencial.

A través del uso de diversos medios, como correos electrónicos, mensajes de texto o sitios web falsificados, los atacantes se presentan como organizaciones confiables y recurren a esta técnica fraudulenta para solicitar información delicada. Lo más normal es que la víctima baje la guardia y facilite sus datos sin sospechar que se trata de un fraude.

Cómo consiguen los delincuentes perpetrar una estafa de phishing

El ciberdelincuente consigue engañar a los usuarios para conseguir sus números de cuenta, contraseñas, los datos de tarjetas de crédito u otros datos financieros.

Los mensajes de phishing se suelen detectar por su tono de urgencia y el uso inadecuado del lenguaje en las comunicaciones. Sin embargo, hay otras características comunes que también pueden revelar esta naturaleza fraudulenta.

• Suplantan la identidad. El ciberdelincuente se hace pasar por una entidad legítima para ganarse la confianza de la víctima. Por tanto, se trata del común denominador de estos atacantes.
• Medios electrónicos. Esta estafa se realiza a través de los medios digitales, como correos electrónicos, SMS, WhatsApp, Messenger, etc.
• Información confidencial. El objetivo del ciberdelincuente es obtener información confidencial para cometer el fraude financiero.
• Manipulación y engaño. Los atacantes usan métodos psicológicos para engañar a las víctimas, como la creación de un sentido de urgencia que suscita miedo y preocupación. También es posible que ofrezcan premios o descuentos que en realidad son falsos.
• Spear phishing. Los ataques de phishing pueden realizarse masivamente, pero también dirigirse a una persona específica. En este caso, se incluyen los datos específicos de la víctima, algo muy habitual en el fraude bancario.

Además de las técnicas de manipulación a través de los medios digitales, también es habitual usar la suplantación mediante URL falsas. El ciberdelincuente podría crear páginas web que imitan a un sitio legítimo y confiable. Incluso, la dirección suele ser similar, con diferencias mínimas, como un cambio de dominio, o una letra extra. 

Cuando los usuarios acceden a estos sitios engañosos, piensan que están en una plataforma fiable, por lo que meten estos datos, como contraseñas o números de cuentas y tarjetas de crédito. El ciberdelincuente utilizará esta información para realizar el fraude.

También podría usar otras estrategias como notificaciones de seguridad o verificación de la cuenta.

Para reconocer estos sitios fraudulentos, hay que comprobar la URL en la barra de direcciones del navegador. Los sitios que son seguros deben iniciar con “https://” y mostrar un ícono con un candado, lo que indica que la conexión es segura.

Verificar que la dirección del sitio coincida exactamente con la oficial, sin variaciones ni errores tipográficos, es la mejor manera de asegurarse.

Pasos a seguir ante un caso de phishing bancario

Un usuario que ha sido víctima de un delito de phishing se siente indefenso y no sabe cómo actuar.

La información sobre los pasos que debe seguir para alertar a las autoridades correspondientes ayudará a tomar el control de la situación:

• Cambio de contraseñas. En primer lugar, habría que cambiar inmediatamente las contraseñas de las cuentas que se hayan visto comprometidas.
• Notificarlo al banco. Después, se tendría que contactar con la entidad bancaria para informar sobre la estafa. En estos casos, se suele bloquear la cuenta o las tarjetas afectadas.
• Denuncia en la Policía Nacional o Guardia Civil. También es recomendable presentar la denuncia ante las fuerzas de seguridad, aportando toda la información sobre el fraude.
• Reclamación ante la AEPD. Igualmente, es muy recomendable informar a la Agencia Española de Protección de Datos para que pueda tomar las medidas pertinentes, según el Reglamento (UE) 2016/679 del Parlamento Europeo, en relación con la protección y tratamiento de los datos personales.

Cómo prevenir este tipo de estafas: buenas prácticas para evitar el phishing

Para protegerse eficazmente del phishing, es importante adoptar ciertas prácticas de seguridad online. De este modo, el usuario puede minimizar la posibilidad de convertirse en víctima de este tipo de fraude. En este listado se ofrecen algunas medidas preventivas.

• Verificar siempre la legitimidad de los sitios web antes de ingresar datos sensibles.
• No hacer clic en enlaces sospechosos, puesto que a menudo llevan a sitios web fraudulentos diseñados para robar información personal.
• Evitar proporcionar información personal o financiera a través de correos electrónicos o mensajes.
• Hacer uso de soluciones de seguridad, como programas antivirus y filtros de correo electrónico, para detectar y bloquear estos intentos de phishing.
• Actualizar los sistemas operativos y las aplicaciones.

Principales objetivos de ataques de phishing en España en los últimos años

En nuestro país, al igual que ocurre en muchas partes del mundo, las entidades que más a menudo son susceptibles de ataques de phishing son aquellas en las que la mayoría de las personas confían.

E-commerce. Algunas de las compañías más importantes en el sector del comercio electrónico, como Amazon y eBay, se han visto afectadas. Los ciberdelincuentes frecuentemente envían mensajes masivos para informar sobre problemas en una compra o para solicitar la actualización de la información financiera.

Proveedores de correo electrónico y redes sociales. Los atacantes también cometen sus delitos a través de los servicios de correo electrónico más populares (Gmail, Outlook y Yahoo), y las redes sociales (Facebook, Instagram y Twitter). Suelen advertir sobre inicios de sesión no autorizados para robar las credenciales de acceso del usuario.

Bancos y entidades financieras. Las entidades financieras son el blanco preferido de los ciberdelincuentes. Tanto el Banco Santander, BBVA o CaixaBank, entre otros, se han visto afectados por estos intentos de phishing.

Proveedores de servicios de internet y telecomunicaciones. Entre las empresas que han sufrido mayores consecuencias se encuentran Movistar, Vodafone y Orange. Algunos de sus usuarios han recibido comunicaciones fraudulentas, ya sea a través de mensajes o correos electrónicos, en los que se solicita la verificación de las cuentas o la actualización de información personal.