‘Phishing’, un problema de ciberseguridad en auge: ¿cómo hacerle frente?

El uso con fines delictivos de las herramientas tecnológicas basadas en la inteligencia artificial está detrás de este importante incremento. Como explica Alberto Maldonado, director regional Iberia de Zscaler: “Entre los tipos de phishing que están creciendo más rápidamente destacan el vishing y los ataques mediante deepfakes. El vishing, o phishing de voz, implica el uso de inteligencia artificial para realizar llamadas telefónicas automáticas convincentes que intentan engañar a las personas para que proporcionen información sensible”.

“Por otro lado, los ataques de phishing mediante deepfakes utilizan videos o audios falsificados para suplantar la identidad de personas de confianza, lo que puede ser extremadamente engañoso y efectivo. Ambos métodos están en auge y representan una amenaza significativa, tanto actualmente como en el futuro cercano”, explica Maldonado.

El estudio de Zscaler también ofrece interesantes datos sobre la situación del phishing en nuestro país. En el caso de España, el sector tecnológico registró el mayor volumen de ataques, con un 3% del total, esto es, casi 14,8 millones de ataques durante 2023 en territorio español.

Para el director regional, la cifra no solo subraya la magnitud del problema, sino también la sofisticación y persistencia de los ciberdelincuentes en la búsqueda y explotación de posibles vulnerabilidades. “El aumento en los ataques de phishing puede atribuirse a varios factores, como la adopción masiva de servicios en la nube, el teletrabajo y el uso de dispositivos personales para acceder a redes corporativas. Estos cambios han ampliado la superficie de ataque, ofreciendo más oportunidades para que los ciberdelincuentes desplieguen sus tácticas de ingeniería social”.

Consejos de seguridad para evitar el phising

Ante este panorama, resulta prácticamente inevitable tomar una serie de prevenciones. En el caso de los particulares, Maldonado recomienda que no accedamos a enlaces sospechosos o mensajes de texto que nos lleguen por vías desconocidas.

“Siempre debemos verificar la autenticidad de cualquier solicitud de información personal contactando directamente a la organización supuestamente solicitante. En segundo lugar, es fundamental utilizar contraseñas únicas y sólidas para cada cuenta, además de activar la autenticación de doble factor siempre que sea posible, añadiendo una capa adicional de seguridad. Finalmente, mantenernos informados sobre las tácticas de phishing más recientes y compartir esta información con familiares y amigos nos ayuda a estar mejor preparados para identificar y evitar estos ataques”, destaca Maldonado.

En cuanto a las medidas de ciberseguridad en las empresas, que es el ámbito en el que opera Zscaler, la tecnológica ofrece diferentes soluciones, como la plataforma Zero Trust Exchange, llamada así porque adopta la arquitectura zero trust, o confianza cero. “Esta estrategia parte de la premisa de que cualquier punto de la red puede ser vulnerable y establece medidas estrictas de control de acceso para minimizar riesgos. A su vez, integra soluciones de inteligencia artificial que detectan patrones de comportamiento inusuales y potencialmente maliciosos”, explica su director regional.

Una respuesta más rápida y diligente

¿Y cómo podemos defendernos cuando, a pesar de actuar de manera precavida, somos víctimas de alguno de estos múltiples ataques a los que estamos expuestos? El principal problema viene cuando los datos robados son especialmente sensibles, especialmente, si se trata de nuestros datos bancarios. En este punto concreto es donde ha puesto últimamente el foco la OCU. La organización de consumidores lanzó un comunicado en mayo en el que pide sancionar a los bancos que denieguen el reembolso automático del dinero sustraído mediante engaño.

El Banco de España calcula que las pérdidas derivadas de los pagos electrónicos producto de prácticas fraudulentas suman ya casi 500 millones de euros al año. “Y lo peor es que, cuando quien ordenó el pago mediante engaño fue el propio titular de la cuenta y el importe retirado fue elevado, las entidades financieras pueden llegar a negar el rembolso del dinero sustraído alegando que actuó con negligencia grave por facilitar sus credenciales”, denuncia Enrique García, portavoz de la OCU.

En otras ocasiones, lo que sucede es que se tarda demasiado tiempo en reaccionar. García critica “la lentitud de los bancos a la hora de devolver lo que claramente corresponde a los consumidores. Recordamos que, cuando somos víctimas de este tipo de engaño, tiene que ser el banco el que demuestre una actitud negligente por parte de la persona afectada. Así lo establece la Ley de servicios de pago”.

Dicha demora provoca que, en multitud de casos, haya que acudir a la vía de la reclamación. Primero, ante el propio servicio de atención al cliente de la entidad financiera, que debe responder en un mes. En caso de no recibir respuesta, o de que sea insatisfactoria, el siguiente caso es reclamar ante el Banco de España. “Pero esta última reclamación no es vinculante y, en muchos casos, aboca a los consumidores a acudir a la vía judicial”.

García recomienda a las personas afectadas que se planteen llegar a los tribunales que lo hagan siempre contando con el asesoramiento de alguna asociación de consumidores. En el caso de la OCU, la entidad cuenta con una campaña de información, apoyo y, llegado el momento, defensa legal en casos de phishing.

La asociación de consumidores también recuerda que la Autoridad Bancaria Europea no solo define como fraudulentas las transacciones de pago no autorizadas, también aquellas en las que se manipuló al pagador para admitir una orden de pago. También cita al Código Civil, que en su artículo 1.265 y siguientes considera que el consentimiento será nulo si se presta por error.  Por todo ello, exige al Banco de España que sancione a aquellas entidades financieras que, una vez informadas del fraude, nieguen el reembolso automático del dinero sustraído.

La OCU también pide a los poderes públicos un mayor precisión y claridad en la normativa aplicable. “Reclamamos a las Administraciones públicas que quede muy clara esta obligación de las entidades financieras de devolver el dinero al cliente cuando es víctima de un uso fraudulento”, insiste García.

Iniciativas del sector bancario

Precisamente es a dicha falta de precisión legal a la que aluden las fuentes del Banco de España consultadas por Revista Haz en relación con las demandas de la OCU. De hecho, desde las mismas insisten en que solo pueden aplicar la ley vigente, que no faculta a sancionar a las entidades financieras en los términos fijados por la organización de consumidores. También se ha requerido sobre el mismo particular a la Asociación Española de Banca (AEB), una de las principales voces del sector, que ha denegado manifestarse sobre las exigencias planteadas por la OCU.

Ambas entidades sí que han querido dejar claro su compromiso contra las ciberestafas aportando información sobre diversas acciones que están poniendo en marcha. Desde el Banco de España insisten en que están realizando campañas “de forma permanente para alertar a los consumidores contra el fraude”, principalmente a través de dos de los sitios web de la entidad reguladora, como son el Portal del cliente bancario, especialmente su apartado Protégete contra el fraude, y también Finanzas para todos, dedicado a la educación financiera y que ofrece esta Guía contra Estafas y Fraudes.

En el caso de la AEB, a finales de abril, se lanzó la  campaña ‘Protégete, evitar el fraude está en tus manos’ , en el que las cuatro asociaciones del sector financiero —además de la citada, están la Confederación Española de Cajas de Ahorros (CECA), la Unión Nacional de Cooperativas de Crédito (Unacc) y la Asociación Nacional de Establecimientos Financieros de Crédito (Asnef)— colaboran con el Instituto Nacional de Ciberseguridad (Incibe), la Guardia Civil y la Policía Nacional. La iniciativa de concienciación e información está basada en videos y audios con cautelas básicas y consejos prácticos enfocados a prevenir los engaños.

Cómo actuar si has sufrido phishing

Ofrecemos por último unas recomendaciones de la OCU sobre cómo debemos proceder, paso a paso, nada más ser conscientes de haber sido víctimas de una operación de pago no autorizada:

• El primer paso es comunicar inmediatamente a la entidad financiera lo que ha sucedido. Tiene que hacerse lo antes posible, para evitar que el banco pueda alegar que se ha actuado de manera negligente.
• A continuación, debemos bloquear la tarjeta bancaria, bien pidiendo a la entidad emisora que lo haga ella directamente o bien tomando la iniciativa la propia víctima a través de la aplicación móvil. El uso de la app del banco para bloquear la tarjeta no nos exime de comunicar al banco el uso no autorizado de la misma.
• Posteriormente, hay que acudir presencialmente a la policía o la guardia civil para denunciar los hechos aportando todas las pruebas que tengamos.
• El siguiente paso es reclamar la devolución a la entidad emisora de la tarjeta. A dicha reclamación habrá que aportar una copia de la denuncia presentada previamente.
• En el caso de que el banco no devuelva el dinero y haya que acudir a la vía judicial, se recomienda dar este paso contando con el apoyo de una asociación de consumidores.