Según las Estadísticas de Cibercriminalidad realizadas por el Ministerio de Interior, en 2023 hubo 470.388 cibercrímenes; un 20% del total de crímenes penales cometidos durante el período. Se trata de un aumento del 25,5% respecto al 2022, lo que supone un boom de cibercrímenes entre los que destaca la estafa informática.
Juan Carlos Fernández Martínez es abogado y CEO de Tecnogados, un despacho especializado en Derecho Tecnológico, Protección de Datos y Ciberseguridad. En una entrevista con Derecho Práctico, ha profundizado en los resultados del Informe y nos ha dado una visión amplia sobre cómo prevenir estafas económicas y sobre cómo reclamar la recuperación del dinero sustraído en caso de ser víctima. Un proceso en el que pueden intervenir legaltech.
¿Por qué se han disparado los cibercrímenes?
La estafa informática representa un 90,7% de toda la cibercriminalidad y el 17,3% de toda la delincuencia registrada de enero a diciembre. Para Juan Carlos, la prevalencia de la estafa informática se debe a que “el delincuente busca obtener una recompensa económica”. A tales efectos, un factor que ha propiciado el aumento de la estafa en el 2023 ha sido “el auge del comercio electrónico” o “e-commerce”, concretamente, “el incremento en el número de transacciones realizadas a través de la Banca Electrónica”.
Juan Carlos nos explica que “las entidades bancarias están promoviendo activamente el uso de la Banca Electrónica entre sus clientes”, ya que “realizar una transferencia bancaria en persona, suele conllevar costos adicionales en comparación con hacerlo a través de la banca electrónica”. Esto tiene un gran riesgo, ya que, como Juan Carlos dice, “algunos de los sistemas de autenticación de los bancos, que utilizan el protocolo SS7, están obsoletos”. Como alternativa, Juan Carlos plantea el uso de “certificados electrónicos cualificados de entidades como la Fábrica Nacional de Moneda y Timbre o la Agencia Tributaria, que podrían proporcionar un nivel de seguridad más alto”. Para ello, hace falta que “se incentive a los usuarios a utilizarlos en aplicaciones bancarias” y así prevenir estafas.
Los usuarios víctimas de engaños por los cibercriminales, sumados a las técnicas de los estafadores, que “están constantemente ideando nuevos métodos para llevar a cabo sus acciones”, constituyen el boom de cibercrímenes del 2023. Como se puede comprobar en la siguiente gráfica, el impacto es exponencial en el último año respecto a los previos:
¿Cómo podemos reconocer la estafa?
Entre los métodos, destaca el conocido “mal in the middle”: llega un SMS o correo electrónico advirtiendo de un cargo indebido en la cuenta y pidiendo la verificación del usuario. Este entra en un enlace que conduce a una página falsa con el logo y diseño de la banca. Cuando el usuario ingresa su usuario y contraseña, los datos son enviados al ciberdelincuente. La página puede dar un error de contraseña y le lleva a la web oficial, así que el usuario vuelve a ingresar sus datos. “Este es el punto donde surgen las deficiencias bancarias, con el envío del código OTP de autenticación de transacciones”, explica Juan Carlos.
Puede pasar también que el ciberdelincuente se haga pasar por un agente del banco en una llamada telefónica y diga al cliente que han detectado un compromiso en sus credenciales. La víctima tendrá que verificar la autenticidad de su número de teléfono. Y recibirá un mensaje con un código que el ciberdelincuente le pedirá. Este código es el token para la autorización de transferencia o pago. El ciberdelincuente aprovechará y repetirá el proceso varias veces, hasta que el cliente se niegue o el sistema bloquee la transacción por motivos de seguridad. “Al revisar la banca electrónica, el cliente encontrará múltiples cargos fraudulentos”, concluye Juan Carlos.
¿Cómo podemos recuperar nuestro dinero?
El primer paso suele ser presentar una denuncia policial. Al acudir al banco es fundamental documentar adecuadamente la comunicación sobre el fraude, preferiblemente mediante un registro escrito de la fecha y hora de la presentación para, llegado el caso, poder respaldar una futura reclamación en un proceso judicial.
También es clave contar con “una prueba tecnológica”. Juan Carlos nos cuenta que, cuando un cliente acude a Tecnogados tras ser víctima de una estafa informática, el medio de pruebas puede ser redes sociales, una conversación de WhatsApp, un blog, un foro, etc. Puede ser una “prueba volátil”, ya que “lo que el cliente nos enseña hoy, si lo queremos certificar mañana, quizá no esté”. A tales efectos, es obligatorio certificar el contenido en ese mismo instante.
“Para ello, nos apoyaremos sobre una empresa proveedora de servicios cualificados, como puede ser una legaltech regulada en el reglamento eIDAS. Desde el despacho, certificamos el contenido de esa red social, blog o foro para garantizar la prueba”. Aquí, Juan Carlos subraya la importancia de que las pruebas aportadas por un prestador de servicios cualificado (una legaltech) tienen un peso especial en el proceso judicial.
“Si la otra parte impugna estas pruebas, se invierte la carga de la prueba, y la responsabilidad recae en la parte que impugna”. Añade que, “si se demuestra que la impugnación fue temeraria, la parte impugnante puede ser sancionada con multas”.
Hay casos en los que las entidades bancarias se limitan a “a afirmar que las transferencias se realizaron correctamente y que no hubo errores técnicos”, lo que obliga al cliente a acudir a los tribunales para recuperar su dinero. Juan Carlos, a lo largo del proceso, solicita a la autoridad judicial que ordene a la entidad bancaria proporcionar esta información durante el proceso legal.
En muchas ocasiones, la información obtenida revela anomalías, como direcciones IP extranjeras inusuales en los accesos a la banca electrónica del cliente, lo cual sugiere una posible suplantación o compromiso de seguridad.
La clave está en los detalles y, como ejemplo, Juan Carlos nos cuenta lo siguiente: “Hace poco, hemos visto una resolución judicial donde los titulares nos decían que no se aceptaban las capturas de pantalla en un recurso de apelación del TSJ de Madrid, todo ello debido a que no quedaba acreditada la autenticidad ni integridad del contenido aportado como prueba documental”.
Finalmente, Juan Carlos nos indicó que, para prevenir ser víctima de una estafa informática a nivel empresarial, es esencial implementar protocolos de seguridad y sistemas de trabajo, algo que Juan Carlos ya está aplicando: “En nuestro despacho, nuestros clientes, en materia de protección de datos, nunca serán víctimas de este tipo de estafas”.
¿Quieres conocer la firma Tecnogados? ¡Pincha aquí!
