Una mujer pierde todo su dinero en una ciberestafa y el BBVA es condenado a abonárselo por no tener suficiente protección contra fraudes

El Juzgado de Primera Instancia número 7 de Las Palmas de Gran Canaria ha estimado la demanda de una vecina de la capital grancanaria que perdió todo su dinero al ser víctima de unos ciberdelincuentes que se hicieron pasar por el banco BBVA, donde tenía su cuenta, y ha condenado a la entidad a abonar a la afectada la suma que le fue sustraída mediante phishing (4.902 euros) más los intereses legales devengados. Asimismo, la sentencia condena en costas a la parte demandada.

La ciberestafa ocurrió el verano de 2023 cuando la clienta del banco recibió un SMS por “el canal habitual de comunicación” de la entidad en el que se le informaba de “una alerta de seguridad” en su tarjeta. Para poder solucionarlo debía seguir un enlace que se le facilitaba y tras darle click accedió a “una web con todos los rasgos identificadores de la web del banco”.

Una vez dentro “la actora insertó clave y contraseña para acceder, no lográndolo”. Al día siguiente recibió una llamada de “quien dijo ser empleado del banco con conocimiento de datos personales de la actora, nombre, apellidos, últimas operaciones… informándole de que se había producido una situación de grave riesgo de seguridad informática y que debía de transferir todos sus fondos a una nueva cuenta, con un Iban que se le remitió por el hilo de SMS de la entidad financiera”.

La actora le hizo caso y llevó a a cabo dos transferencias a la cuenta indicada de 1.152 y 3.750 euros, “perdiendo toda disponibilidad sobre las referidas cantidades, dando lugar a la denuncia ante el Cuerpo nacional de Policía”. La afectada entonces intentó recuperar la cantidad sustraída, pero el BBVA se opuso a su reclamación, alegando ella era la única responsable de haber caído en la trampa.

Sin embargo, la opinión del juez es diferente y ha establecido que existe responsabilidad patrimonial por parte del banco, ya que “siendo la demandada la que prestar el servicio de pago en un entorno tan tecnológico y susceptible cada vez más de ataques como el que ha sido objeto la actora, implica la responsabilidad patrimonial, dado que es el mismo el que debe de aumentar las medidas de seguridad específicas, y no meramente informativas, a la altura de los medios de pago que ofrece”.

En la sentencia añade que que no puede pretenderse que la actora “desplegara una actitud sospechosa o inquisitiva en cuanto al mensaje remitido”, que entendió legítimo “toda vez que incluso recibió llamadas de quien decía ser empleado de la demandada, que explicaban el motivo de los SMS remitidos (…) dentro de la línea de conversación que mantenía” con su banco.

“No existen datos que supongan acreditar la existencia de una actuación imprudente por parte de la actora”, continúa el fallo, “teniendo en cuenta que se usó un sistema tecnológico complejo constando una serie de ataques mediante SMS a la confianza de la actora en quien creía ser la entidad financiera, remitiendo un enlace que le lleva a una página web de contenido idéntico”. La sentencia es susceptible de recurso de apelación ante la Audiencia Provincial de Las Palmas.

La suplantación de identidad en Internet se ha convertido en un problema creciente que afecta a millones de personas en todo el mundo, según la Oficina de Seguridad del Internauta (OSI). Este delito, que puede acarrear penas de prisión, se ha intensificado especialmente entre los adultos mayores, aunque las autoridades advierten que nadie está exento de ser víctima de estas estafas.

Para llevar a cabo la suplantación de identidad, los ciberdelincuentes necesitan acceder a datos personales, lo cual logran explotando vulnerabilidades en los sistemas de seguridad informática. Entre las técnicas más comunes se encuentran el phishing, el malware, la creación de perfiles falsos en redes sociales y la intercepción de información personal a través de redes no seguras mediante ataques de tipo man-in-the-middle.

El phishing, una de las técnicas más utilizadas, consiste en engañar a las personas para que revelen información confidencial, como contraseñas o números de tarjetas de crédito, a través de correos electrónicos o sitios web falsos que imitan a entidades legítimas. Por otro lado, el malware se refiere a programas maliciosos que se instalan en los dispositivos sin el conocimiento del usuario, permitiendo a los delincuentes acceder a información sensible.