Hizo una consulta por mensaje privado en la cuenta oficial de su Banco en la red social Instagram y terminó hackeado: en minutos pasó a ser deudor de un préstamo que nunca gestionó y se vio obligado a iniciar el largo camino de una denuncia penal.
Primero perdió la demanda por “daños y perjuicios” contra el Banco de la Nación porque un juzgado federal de primera instancia de Junín dio la razón a la entidad: el cliente suministró la información necesaria para el ingreso a su cuenta a través del homebanking.
Lo hizo a pedido de un supuesto empleado que se contactó con él por privado para “solucionarle” el problema y para ello le fue requiriendo datos vinculados a sus claves de homebanking.
Pero los hechos fueron algo diferentes, entendió ahora la Cámara Federal de La Plata que revocó esa decisión y ordenó indemnizar al cliente del banco.
Tipos de estafas electrónicas
En la sentencia los jueces hicieron un repaso de dos formas de estafas electrónicas
Una es el phishing, que es un “término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza, haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad), para manipularla y hacer que realice acciones que no debería realizar, por ejemplo: revelar información confidencial, contraseñas o abrir un enlace web”
“Para realizar el engaño, el atacante habitualmente hace uso de la ingeniería social. A veces también se hace uso de procedimientos informáticos que aprovechan vulnerabilidades. Habitualmente el objetivo es robar información, pero otras veces es instalar malware, sabotear sistemas o robar dinero a través de fraudes”
Resolución judicial
El principio que sustenta la ingeniería social es el de que, en cualquier sistema, los usuarios son el ‘eslabón más débil’ en la cadena de seguridad”
La segunda forma es el vishing, la versión telefónica del phishing. Es un poco más sofisticado y usa técnicas de ingeniería social para obtener información personal para que otros la usen con el fin de acceder y usar las cuentas. Los ciber atacantes suelen llegar a la víctima mediante llamadas telefónicas masivas, tal como un centro de atención telefónico empresarial.
El vishing es una técnica de ataque más efectiva que el phishing, ya que es un ataque directo y personal
El cliente sufrió las dos formas de estafa
Al terminar su análisis los camaristas platenses César Alvarez y Roberto Lemos Arias concluyeron que el cliente fue víctima de las dos maniobras juntas
Para ello recordaron la normativa del Banco Central vinculada al procedimiento cuando se gestiona un crédito por vía informática y que deben verificar la identidad.
“Se debe tener especial atención en que, ante la asimetría entre las partes, se debe priorizar la protección del usuario frente a las entidades financieras, ya que son distintas las posibilidades del cliente consumidor y las de la entidad bancaria prestadora del servicio en cuanto a la conducta que es dable esperar de cada uno de ellos en el desarrollo del vínculo contractual”, advirtieron en la resolución judicial
En el caso se probó que ” la ausencia de medidas eficaces para incorporar sistemas de alerta ante la existencia de movimientos inusuales en la cuenta bancaria” del cliente “permitió que se concretara el daño”
” Los elementos probatorios incorporados al expediente dan cuenta de que P fue víctima de una estafa llevada a cabo bajo las prácticas conocidas como phishing y vishing“, advirtió la Cámara
La falta de sistemas de seguridad eficaces y la ausencia de control a los patrones no habituales en la cuenta del accionante (cambio de credenciales de acceso, solicitud de préstamo y transferencias realizadas en un lapso inusual) han sido determinantes para que la estafa tuviese lugar.”
De esta manera se condenó al banco a restituir el importe del crédito más intereses y a pagar por daño moral.