Spear phishing: por si no teníamos bastante con el phishing
Cuando ya estábamos acostumbrados a leer o escuchar el término “phishing”, representativo de una actividad delictiva dirigida a la obtención de las claves bancarias de las personas con la finalidad, siempre inoportuna y desagradable, de apropiarse de su dinero, nos topamos con un nuevo vocablo, como siempre en la lengua de Shakespeare, que primero nos aturde y nos desorienta y, después, nos llena de inquietud la existencia, ante la inmediata intuición de que bueno bueno, no es.
Me estoy refiriendo al “spear phishing”, una modalidad de “phishing” que comparte con éste parte de su estructura, pues el engaño comienza con el envío de correos electrónicos en el que el remitente es una entidad o institución real, como puede ser la Seguridad Social, un servicio público de empleo, una entidad financiera, o similar, pero que, en realidad, no lo es, sino que detrás está el delincuente, y en el que el contenido del mensaje pretende de su destinatario, bajo una excusa creíble, se dirija a una página web donde se le solicitan datos o claves relativos a su persona o cuentas bancarias. La finalidad, recordemos, inoportuna y desagradable, es obtener dinero, pero también puede pretender obtener información.
Hasta aquí, estamos ante un típico “phishing”, pero lo que lo diferencia de éste es que en el “spear phishing” el envío de los mensajes no es tan masivo e indeterminado, sino que es más individualizado, es decir, está dirigido conscientemente a empresas, instituciones o entidades concretas, y no a un gran colectivo heterogéneo. Hay, digamos, una selección de las posibles víctimas, las cuales han sido previamente estudiadas y analizadas a través de la información que sobre las mismas puede encontrarse en redes sociales, foros, o en su propia página web.
Ese análisis de las posibles víctimas hace que también los mensajes de “spear phishing” presenten un contenido más elaborado y más adaptado a aquéllas que el phishing común, por lo que el engaño es más sofisticado, más creíble, y, por tanto, más peligroso.
El “spear phishin” puede utilizar distintas vías para hacerse presente en nuestras vidas:
- Por correo electrónico directo a la víctima, siendo el cauce más tradicional.
- Por redes sociales, contactando con la víctima a través de su perfil en las plataformas online profesionales o de ocio.
- Por teléfono, aparentando el interlocutor ser empleado de una de esas entidades o instituciones reales que se utilizan en el engaño, desplegando en el diálogo con la víctima una gran profesionalidad y demostrando a ésta un conocimiento técnico propio de un miembro de la mismas, además de un conocimiento de la propia víctima, y todo ello con la finalidad de obtener de ella los datos necesarios para poder operar sobre sus cuentas bancarias. Esta modalidad de phishing también es conocida con el término de “vishing”.
Como decimos, toda esta modalidad de ciberdelincuencia tiene como principal objetivo el acceso a la banca electrónica o a distancia de la víctima y, con ello, la apropiación de alguna forma de su dinero, por lo que enseguida surge un nuevo conflicto paralelo a la actividad delictiva, el que protagonizan la víctima y su entidad bancaria, conflicto que se resume con el siguiente interrogante: ¿tiene alguna responsabilidad la entidad financiera en los casos de fraude bancario derivado del spear phishing?
Afortunadamente, los servicios de pago cuentan en nuestro país con una regulación específica (Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera), de la que podemos deducir lo siguiente:
1.- Los fraudes bancarios, como el que puede provocar un acto de spear phishing, son considerados técnicamente como “operaciones de pago no autorizadas” por el cliente.
2.- El cliente es responsable de estos fraudes y, por tanto, tiene que asumir las consecuencias económicas de los mismos, sólo cuando haya actuado fraudulentamente o con negligencia grave. Al respecto, los Juzgados y Tribunales de Justicia vienen declarando que, cuando el cliente ha sido víctima de una actividad delictiva de este tipo, la negligencia no puede calificarse como grave, por lo que no se le puede hacer responsable.
3.- La ley (y la jurisprudencia) proclama en estos casos una responsabilidad cuasi-objetiva del banco, puesto que éste solamente puede exonerarse de responsabilidad si prueba la culpa grave o la actuación fraudulenta del cliente.
En definitiva, si hemos sido objeto de un “phishing” o “spear phishing”, y hemos cumplido con las obligaciones derivadas de nuestro contrato de cuenta bancaria o de banca a distancia, incluyendo la inmediata comunicación a la entidad en cuanto detectemos el fraude y la presentación de la correspondiente denuncia ante la policía, podemos exigir a la entidad que nos indemnice con el importe sustraído.
Si el sistema creado por el banco tiene fallos de seguridad (que los tiene, a las pruebas nos remitimos), la responsabilidad por estos fallos no puede recaer en el cliente, salvo que haya actuado de forma fraudulenta o con culpa grave, sino que debe recaer en la entidad financiera que ha creado y puesto a disposición de los clientes ese sistema.
Autor: Rafael Carrellán García