El phishing, una técnica de ciberdelincuencia que busca obtener información sensible como contraseñas o datos bancarios, se basa en engañar a los usuarios haciéndose pasar por entidades confiables. Los atacantes envían correos electrónicos o mensajes aparentemente legítimos que incluyen enlaces a sitios web falsos que imitan a los reales. Cuando la víctima introduce sus datos, estos caen en manos de los ciberdelincuentes.
En algunos casos, clientes bancarios han perdido miles de euros tras ser engañados mediante llamadas telefónicas. El estafador se hace pasar por un trabajador del banco y convence a la víctima de transferir su dinero a una cuenta supuestamente segura, que en realidad pertenece al delincuente.
Este tipo de estafas ha llevado a que algunos bancos sean condenados por la Justicia por no haber tomado las medidas necesarias para prevenir el phishing. Por ejemplo, el Juzgado de Primera Instancia nº3 de Oviedo ordenó a BBVA devolver 5.000 euros a un cliente estafado a través de un SMS que parecía provenir del banco. La entidad había autorizado operaciones sospechosas desde Lituania, aunque el cliente residía en Asturias. La Audiencia Provincial ratificó la decisión al considerar que BBVA actuó de manera cuestionable.
Un caso similar afectó a Unicaja, que fue condenada por el Juzgado de Primera Instancia e Instrucción Nº2 de Lena a devolver 5.000 euros a una clienta víctima de phishing. Durante el proceso de fusión con Liberbank, ciberdelincuentes aprovecharon para robar credenciales de usuarios mediante mensajes que solicitaban la actualización de datos bancarios.
Gonzalo Oliver Martín, experto en ciberseguridad de KPMG, explica que los bancos tienen obligaciones claras para prevenir ciberestafas, establecidas en la Ley de Servicios de Pago. El artículo 39 de esta ley obliga a las entidades financieras a garantizar que las credenciales de seguridad de los usuarios no sean accesibles a terceros y que las operaciones se realicen a través de canales seguros. Además, el artículo 45 establece que el banco debe devolver inmediatamente el importe de una operación no autorizada.
Las entidades financieras deben implementar una autorización reforzada, que valide cada operación mediante una contraseña personal y un dato biométrico. También deben utilizar medios de comunicación seguros, preferiblemente cifrados, y tienen la obligación de bloquear la cuenta si sospechan de una operación no autorizada. Finalmente, en caso de sospecha de fraude, el banco debe tomar medidas preventivas contra el phishing y comunicar el incidente al Banco de España.
El phishing ha evolucionado con el tiempo, adoptando formas cada vez más sofisticadas que dificultan su detección. Además de los correos electrónicos y mensajes de texto tradicionales, los ciberdelincuentes han comenzado a utilizar técnicas como el phishing dirigido” o spear phishing, en el que los ataques son personalizados para un individuo específico o una organización, haciendo que el engaño sea aún más creíble. Por ejemplo, pueden utilizar información personal de la víctima disponible en redes sociales para hacer que el mensaje parezca aún más auténtico. Este tipo de ataques son particularmente peligrosos para empresas y organizaciones, ya que pueden resultar en la filtración de información confidencial a gran escala.
Las pérdidas globales por phishing y otros tipos de ciberfraudes ascienden a miles de millones de euros anualmente. Según un informe de la Europol, en 2023 se registró un incremento significativo en los casos de phishing en Europa, con un aumento del 25% en comparación con el año anterior. Esto ha llevado a los gobiernos y las instituciones financieras a reforzar sus sistemas de seguridad y a desarrollar campañas de concienciación dirigidas tanto a empleados como a clientes, para que puedan identificar y evitar estos intentos de estafa. A pesar de estos esfuerzos, la rápida adaptación de los ciberdelincuentes a las nuevas tecnologías y su capacidad para explotar vulnerabilidades humanas siguen siendo un gran desafío.
Por otro lado, la implementación de nuevas tecnologías, como la inteligencia artificial y el aprendizaje automático, está comenzando a jugar un papel crucial en la detección y prevención del phishing.
Los sistemas de inteligencia artificial pueden analizar grandes volúmenes de datos y detectar patrones sospechosos en tiempo real, permitiendo a las instituciones financieras responder de manera más efectiva a posibles amenazas. Sin embargo, estos avances también plantean nuevos riesgos, ya que los ciberdelincuentes están empezando a utilizar estas mismas tecnologías para crear ataques más sofisticados y difíciles de detectar. La lucha contra el phishing es, por tanto, un campo en constante evolución, donde la innovación y la colaboración entre empresas, gobiernos y expertos en ciberseguridad son esenciales para mantenerse un paso adelante.