VISHING, PHISHING Y SUPLANTACIÓN DE IDENTIDAD ¿DEBEN LOS BANCOS RESPONDER POR FRAUDES COMETIDOS A CUENTAHABIENTES?

Por Rubén Moya Bocanegra

Hace un par de días me levanté tempranito y comencé sacramentalmente con mi rutina mañanera, la cual incluye, entre otras cosas, revisar Twitter y poder comenzar con los corajes del día; no fue ninguna sorpresa encontrarme a Don Ricardo Salinas Pliego ventilando ante todo México el infortunio de alguna pobre mujer a la que le suplantaron la identidad y le drenaron dinero de su cuenta. Nada raro, pues. Ni lo de la suplantación, ni lo del Tío Richie.

Sin embargo, poniendo un poco de atención a la historia podemos concluir que vivimos en un país en el que los delitos virtuales están a la orden del día (tanto, que ya hasta se nos hacen pan de cada día) y las instituciones bancarias carecen de los candados suficientes para evitarle sufrimientos innecesarios a sus cuentahabientes, pero ¿De verdad es culpa de los bancos? O ¿Es culpa de los usuarios y los bancos tienen toda la razón en hacerse los obtusos?

De conformidad con lo previsto en el estudio “Construyendo Onboarding Digital Competitivo para el sector Bancario” realizado por la empresa mexicana Innovación en Ciberseguridad e Identidad Digital (o IQSEC) con información de la CONDUSEF, tan solo de enero a septiembre de 2021, se registraron aproximadamente 4.5 millones de reclamaciones en el sector bancario, de las cuales, 3.4 millones se debieron a posibles fraudes; la propia CONDUSEF confirmó que en el último año el monto de los fraudes financieros en México en entornos digitales ascendió casi a 9mil MDP; bueno, pero que haya fraudes a cuentahabientes ¿Forzosamente es culpa de los bancos? ¿Ellos tendrían ‘a chaleco’ que reponerles el dinero robado a los usuarios? Yo creo que no.

El estudio antecitado también refiere que México ocupa el octavo lugar en suplantación de identidad en el mundo. ¿El número 8 global? ¿Pues que pasa en México? ¿Somos tontos? No tanto así, pero sí somos un país con un número considerable de víctimas de “vishing”, y ¿Qué es eso? El vishing es un tipo de ataque que se apoya en técnicas de ingeniería social y en el cual el perpetrante se comunica vía telefónica con la potencial víctima, haciéndose pasar por una empresa o entidad financiera confiable y reconocida, con la intención de engañarla y convencerla de que realice una acción que va en contra de sus intereses.

La palabra vishing nace de la unión de voice (voz, en inglés) y phishing (que es una palabra que deviene de “fishing” o pescando en inglés, haciendo alusión al acto de pescar usuarios mediante señuelos sofisticados y de este modo obtener información financiera y contraseñas). Es decir, el vishing es una técnica de engaño mediante el cual los atacantes contactan a la víctima mediante llamadas telefónicas masivas (algunas veces por medio de un call-center y otras desde adentro de los reclusorios) alegando supuestos problemas financieros o de seguridad en los celulares, apps o computadoras, tanto de la víctima en sí, como de cualquiera de sus familiares o amigos.

Entre los ataques más populares en nuestro país están las supuestas (y muy famosas) llamadas del Banco Bilbao Vizcaya Argenta: Si te llaman de BBVA y te ofrecen canjear tus puntos por efectivo es fraude por vishing; Si te llaman de BBVA y te solicitan claves de retiro sin tarjeta es fraude por vishing; Si te llaman de BBVA y te piden que descargues una nueva app del banco es fraude por vishing; Si te llaman de BBVA y te piden realizar una prueba o sincronización a distancia es fraude por vishing; Si te piden un CCV dinámico de tu tarjeta es fraude por vishing; Sin embargo, aun cuando todos conocemos estos ataques, la gente sigue cayendo ¿Por qué?

Recientemente, la Suprema Corte de Justicia emitió el criterio con registro digital 2025074 “TRANSFERENCIAS ELECTRÓNICAS BANCARIAS. CUANDO LA DIRECCIÓN DE PROTOCOLO DE INTERNET (IP) TIENE UN LUGAR DE ORIGEN INUSUAL Y A PESAR DE ELLO EL BANCO AUTORIZA LA OPERACIÓN SIN ANTES SUSPENDER EL SERVICIO DE BANCA ELECTRÓNICA O RECHAZAR LA TRANSACCIÓN PRECAUTORIAMENTE, DEBE CONSIDERARSE QUE EL CLIENTE NO OTORGÓ SU CONSENTIMIENTO, AUN CUANDO SE HAYAN UTILIZADO TODOS LOS FACTORES DE AUTENTICACIÓN NECESARIOS PARA APROBARLA”, la cual tiene la intención de blindar un poco a los tarjetahabientes que son víctimas de hackeo en sus teléfonos o computadoras y que los delincuentes digitales usan para drenar sus cuentas bancarias, soportando su razonamiento en que un gobernado deberá de ser respaldado por el banco cuando las transacciones fueron llevadas a cabo en un domicilio inusual; Sin embargo, si el movimiento se hace desde el IP de tu propia casa o si eres víctima de un secuestro exprés, ¿Cómo acreditas que no fuiste tú el que ordenó la transferencia?

Hace un año llevamos en mi Firma el caso de una señora de 80 años, que llevaba cuarenta años de su vida como cuentahabiente de BBVA y su nieto descargó la app del banco en su celular, la autenticó con su cara y se habilitaba innumerables retiros sin tarjeta drenando todos los ahorros de vida de la octogenaria, en este caso ¿El banco debería reembolsarle? Si bien el banco se mostró comprensivo y a través de la Policía Cibernética de la CDMX nos envió un sinfín de fotografías del nieto sacando el dinero de los cajeros, no lo devolvieron y nos sugirieron agotar los procedimientos penales conducentes hasta obtener la reparación del daño; sin embargo ¿No debieron ellos de verificar que el rostro del nieto, nada tenía que ver con los rasgos fisionómicos de la abuela? ¿Debieron de haber llamado por teléfono para corroborar si después de 40 años, ella por fin se estaba decidiendo en migrar al mundo bancario digital? ¿A la octogenaria le aplicaría la reciente tesis de la Suprema Corte con respecto a lo inusual de su domicilio, cuando el fraude ocurrió en su misma casa?

Aunado al vishing (que es el fraude por voz) y el phishing (que regularmente es el fraude con correos falsos que le dan acceso a tu computadora al delincuente), también existe el “smishing”, que es cuando te envían un mensaje SMS invitándote a que visites alguna página web fraudulenta y puedan acceder a tu teléfono móvil y el “pharming” que son anuncios llamativos (sobre todo en internet o por mail) que te invitan a cobrar una recompensa o el testamento de algún tío en Luxemburgo por medio de ingresar tus datos personales en alguna base en internet. POR FAVOR, NO INGRESES NADA, NO MANDES NADA, NO TIENES TÍOS EN LUXEMBURGO.

Habiendo tantos tipos de fraudes, y tantos gobernados mexicanos cayendo (ya sea por la edad que tienen, por la falta de escolaridad, o simplemente por incautos) ¿No sería conducente que nuestros aparatos legislativos hicieran algo al respecto? ¿Qué necesita la Cámara de Diputados y la Cámara de Senadores que suceda para que obliguen a las instituciones financieras a poner los candados necesarios? Si te encuentras en una situación similar, por favor contacta a la Policía Cibernética de tu Estado: https://ciberseguridad.ift.org.mx/reporte_ciudadano.php


Mtro. Rubén Moya Bocanegra

Maestro en derecho fiscal y administrativo de la Facultad de Derecho de la Barra Nacional de Abogados y socio de las áreas fiscal y administrativa de Sabag, Becker & Gerrit Cohen.

LinkedIn: Rubén Moya Bocanegra

Twitter: @rubenmoya41