Los fraudes a los consumidores continúan asolando a los usuarios de medios de pago electrónicos. Aunque la fuente principal de abusos y de fraude son las tarjetas, en esta ocasión le ha tocado el turno a la banca electrónica. ADICAE ha tenido conocimiento y ha podido constatar documentalmente varios casos de fraude cometidos sobre clientes de la entidad Barclays. Un fraude que parece poseer una operativa novedosa y particular que haría todavía más inseguras, si cabe, las transacciones de los consumidores a través de la banca electrónica.
Si bien son el phising y el pharming los fraudes más habituales para obtener números de cuenta y claves bancarias llevando al consumidor a una web que no es la del banco, esta operativa delictiva se ha sofisticado. “El primer grupo de consumidores afectados que ha acudido a ADICAE, unos 30, sostiene y prueba que realizaron una serie de operaciones en la propia página web de Barclays, el último fraude conocido data de 15 de julio. En este caso, la mejor prueba de que los usuarios entraron a la web del banco es que la operación real que se pretendía realizar efectivamente se llevó a cabo. Durante el proceso se les solicitó que introdujeran sus claves, algo que, dado el margen de confianza que ofrecía la página y tal y como parecía razonable, hicieron. Al día siguiente comprobaron y denunciaron cómo se había realizado la operación que ellos querían pero que también se les había sustraído entre 6.000 y 20.000 euros dependiendo del caso” denuncian los Servicios Jurídicos de ADICAE.
En su primera reacción, la entidad ha lanzado balones fuera “señalando al consumidor como único responsable del fraude, al haber introducido sus claves en una página web desconocida. Esta afirmación puede resultar gratuita si, como se espera poder probar de forma masiva, los afectados realizaron una transacción sólo en la web del banco sin acceder a través de ningún enlace externo, y durante la misma la página web contenía el candado de seguridad”, añaden desde los Servicios Jurídicos de ADICAE.
Los denunciantes, en ningún caso contestaron de forma imprudente a ningún correo electrónico (phising), sino que el fraude se produjo en la propia página del banco. Es el método llamado ‘Man in the middle’, de persona interpuesta en el que el delincuente se introduce entre el banco y el consumidor, engañando a ambos, a través de una puerta abierta del sistema y pide y obtiene los datos, manipulando todas las comunicaciones entre estos dos, evitando con ello los mecanismos que alertan al usuario de la existencia de una comunicación no segura.
Esto conllevaría admitir que el protocolo cifrado SSL que utilizan las entidades financieras y Barclays en concreto no es seguro y puede ser vulnerado, algo que ya ha quedado demostrado desde el año 2009 por Moxie Marlinspike. De hecho ADICAE realizó un proyecto internacional en 2008 que analizaba la problemática e inseguridad de los usuarios de banca electrónica y tarjetas de crédito con tecnología chip entre otros, alcanzó preocupantes conclusiones para los usuarios en cuanto a su seguridad.
“La respuesta dada por la entidad en ningún caso puede entenderse como suficiente. No sirve escudarse en que se envió información (a destiempo parece ser) ni que la entidad cuenta con un sistema para paralizar y verificar transferencias de más de 2.500 euros. Todo eso falló y mientras las entidades bancarias no instalen al menos el sistema de doble validación de las operaciones, como por ejemplo banca electrónica y teléfono móvil, el usuario estará totalmente expuesto a estos ataques”, destaca el responsable de este caso en ADICAE, Santiago Pérez.
ADICAE está agrupando a los afectados por este caso y cualquiera relacionado con fraudes para exigir que el banco asuma que sus sistemas no son infalibles y que, por tanto, ante un colectivo de 30 personas que ha sufrido el mismo abuso, deba reconocer su responsabilidad. En este sentido la ley de servicios de pago prevé (art. 30) que sea la entidad la que tenga que demostrar la negligencia del consumidor, algo que se acerca a la responsabilidad cuasi-objetiva de la entidad que pide ADICAE en los casos de medios de pago, que, tal y como se ha demostrado, no son ni mucho menos infalibles.
