Las estafas bancarias electrónicas: ¿cuáles son? ¿puedo reclamar al banco en caso de ser víctima?
Gánale la carrera a la desinformación NO TE QUEDES CON LAS GANAS DE LEER ESTE ARTÍCULO
¿Ya tienes una cuenta? Inicia sesión para continuar
Las estafas bancarias electrónicas: ¿cuáles son? ¿puedo reclamar al banco en caso de ser víctima?
A medida que la tecnología avanza, los servicios financieros y bancarios se han ido sofisticando paulatinamente, cambiando la realidad de las transacciones que realizan millones de ciudadanos, tanto en Colombia como en el mundo.
De esta forma, las filas en los bancos para muchos trámites parecen cosa del pasado, pues las transferencias y consignaciones pueden realizarse desde el celular, el pago de los servicios públicos se efectúa por internet e incluso la apertura de distintos productos bancarios, incluyendo cuentas de ahorro, CDT y otros productos de inversión, se pueden solicitar y utilizar en línea.
A la par de lo anterior, también han nacido las denominadas billeteras digitales, las cuales permiten realizar pagos y otros movimientos financieros aun sin tener cuentas de ahorros en bancos tradicionales; Nequi y Daviplata son las billeteras digitales más populares en Colombia.
Estos servicios en línea se masificaron durante la pandemia, donde las transacciones presenciales eran muy restringidas e incluso el dinero físico se concebía como insalubre, al poder ser una fuente de contagio debido al virus COVID-19.
Al respecto, el Banco Mundial indicó que, durante la pandemia, cerca de 50 millones de personas en América Latina y el Caribe utilizaron por primera vez medios tecnológicos para realizar pagos digitales. El Índice de Inclusión Financiera en Colombia también ha confirmado la tendencia de un mayor uso de productos bancarios tras la pandemia, dentro de ellos los tecnológicos. Solamente en el año 2021, 1,5 millones de colombianos adquirieron productos financieros por primera vez.
Esta tendencia hacia el uso de medios digitales ha permitido que los ciudadanos ahorren tiempo, puedan efectuar transacciones de una forma más sencilla y eviten cargar dinero en efectivo. Sin embargo, no todo es “color de rosa”, pues la otra cara de la moneda en las transacciones electrónicas no se puede dejar de lado: la inseguridad y el ciberfraude.
Así como con el dinero en efectivo y transacciones presenciales las personas se exponen a los billetes falsos, los “paquetes chilenos”, el fleteo y el “cambiazo” o clonación de la tarjeta, cuando se realizan pagos electrónicos o se utilizan servicios digitales también existen riesgos.
El aumento en los delitos asociados al fraude de identidad y fraude en los pagos es un hecho innegable, tanto en Colombia como en el mundo. La plataforma Sumsub, en su informe de fraude de identidad publicado en el 2023, indicó que durante los años 2021 y 2022 se presentaron más de 500.000 casos de fraude. Este mismo informe señaló que la banca ha visto un aumento cercano al 100 % de los casos de fraude y el comercio electrónico ha visto un aumento en la proporción del fraude de 13 veces.
Otro informe, realizado por ESET Latinoamérica, encontró que el 81 % de las personas recibió al menos un intento de engaño que pudo repercutir en un fraude; los mecanismos más utilizados fueron a través de correo electrónico, apps de mensajería y redes sociales y justamente son los bancos las entidades que más utilizan los estafadores para efectuar esos engaños. Así mismo, este informe encontró que seis de cada 100 personas fue víctima de algún tipo de fraude.
Específicamente en Colombia, el panorama no es mucho más alentador: un estudio elaborado por Transunion mostró que los intentos de fraude digital crecieron en un 134 % y tres de cada diez colombianos estuvieron expuestos a ser víctimas de estos delitos.
Esta situación fue discutida en el Congreso de la República, donde se advirtió que específicamente los delitos de usurpación de identidad y fraude digital crecieron en un 409 % y solamente en noviembre de 2021 se llegó a un récord de cinco fraudes financieros virtuales por hora.
El grave panorama obliga a tomar varias medidas: de un lado, los usuarios deben adoptar mayores cuidados a la hora de utilizar servicios digitales y, de otro, las entidades financieras deben reforzar sus sistemas de seguridad, mantener informados a sus usuarios y responder integralmente por cualquier perjuicio que puedan sufrir los ciudadanos cuando corresponda.
¿Cómo me pueden estafar?
Cada día que avanza se crean nuevas formas de estafa por medios electrónicos, lo cual hace más compleja la labor para las entidades financieras y para las posibles víctimas de estos delitos, pues los factores de riesgo son cada vez mayores. Los ciberdelincuentes realizan sus fraudes a través de diversas modalidades, como el acceso ilegítimo a las cuentas de la persona, el registro de múltiples cuentas y el engaño por medio de suplantaciones biométricas, entre otras actividades fraudulentas.
Si bien son múltiples las formas de estafa y suplantación, a continuación se resumen las más comunes:
Llamadas fraudulentas: De acuerdo con un reportaje de Xataka, un ingeniero de España fue víctima de fraude gracias a una llamada recibida. La persona que llamaba se hizo pasar por funcionario del banco de la víctima, alertándolo de un movimiento sospechoso e instándolo a transferir todo su dinero a “una cuenta segura”.
Aparentemente este tipo de fraude es rudimentario, pero realmente no lo es, pues los delincuentes utilizan el llamado “spoofing telefónico”, donde la víctima cree que está recibiendo la llamada de un número oficial de su entidad bancaria porque así aparece en su identificador de llamadas, cuando ello no es así. Solamente en España los delincuentes ya han logrado conseguir más de 830.000 euros a través de esta modalidad.
En Colombia, se han presentado denuncias de usuarios financieros que han recibido llamadas, con el objetivo de que cambien la tarjeta débito o crédito del cliente, afirmando que la misma ha sido bloqueada por seguridad; los delincuentes acuden a la residencia de la persona y entregan una tarjeta supuestamente de remplazo, cortan con una tijera el plástico del cliente en su presencia y se quedan con los plásticos extrayendo la información que se encuentra almacenada en el chip y posteriormente realizan diversas compras por internet.
Phishing: Una de las modalidades más “antiguas” de las estafas digitales. Pese a que se conoce de larga data, el phishing sigue captando víctimas y ha ido evolucionando a lo largo del tiempo. Se basa en el diseño de páginas web o correos electrónicos que simulan ser legítimos, pero que en verdad no lo son.
La persona confía, por ejemplo, en una página web fraudulenta, porque aparentemente se ve igual a la página original, debido a que utiliza los mismos colores, la misma letra y tiene una disposición gráfica muy similar o incluso exactamente igual. Además de ello, estas páginas utilizan dominios muy similares al dominio legítimo.
Este tipo de estafa también es muy común cuando se trata de mensajes de texto: la Comisión Federal de Comercio de los Estados Unidos indicó que los mensajes de texto que aparentan ser de la entidad bancaria de la víctima se han multiplicado casi por veinte desde el año 2019, dado que los ciberdelincuentes se aprovechan de que los SMS son una vía tradicional de comunicación entre el banco y sus usuarios.
En el mismo sentido, reportes de Anti Phishing Working Group citados por ESET Latinoamérica encontraron que en el tercer trimestre de 2022 hubo un récord histórico de ataques de phishing, registrando más de 400 mil ataques cada mes.
Uso ilegal de datos personales: La ciberdelincuencia también puede atacar directamente bases de datos de entidades financieras, o de otro tipo, con la finalidad de extraer información personal, así como utilizar información obrante en dispositivos hurtados. Según un reporte del Identity Theft Resource Center, solo en el año 2022 hubo más de 400 millones de personas afectadas por la sustracción ilegítima de sus datos en todo el mundo.
Estas bases de datos se comercializan en mercados ilegales y pueden contener información prácticamente de cualquier tipo, desde nombres y números de cédula, hasta datos completos de tarjetas de crédito, contraseñas e información biométrica, como imágenes de su rostro o capturas de su huella digital, información con la cual resulta mucho más fácil hacer fraudes electrónicos.
Suplantación de tarjetas SIM: Actualmente las cuentas de productos financieros están asociadas a un número de celular, a través del cual se reciben mensajes de texto, notificaciones y se realiza validación de identidad del titular. Por ello los delincuentes han optado por realizar la denominada “estafa de portabilidad numérica” donde el delincuente suplanta la identidad de la víctima ante el operador de telecomunicaciones, quien le entrega una nueva SIM con el número de la víctima y, a partir de ello, pueden ejecutar operaciones financieras, dado que ya cuentan con el número de celular asociado a cuentas de correo electrónico, aplicaciones móviles y productos bancarios, pudiendo recibir mensajes de seguridad y cambiar las claves de acceso.
Uso de software ilegítimo: Los ciberdelincuentes, mediante diversos engaños, como correos electrónicos fraudulentos o llamadas telefónicas que parecen ser legítimas, consiguen que sus víctimas instalen software malicioso en sus computadores o teléfonos móviles. Una vez el software está instalado, el ciberdelincuente toma control del equipo de la víctima y puede conocer y manipular toda su información.
Por ejemplo, en la actualidad, con la llegada de las redes 5G, los ciberdelincuentes están enviando mensajes fraudulentos donde se solicita la instalación de software malicioso en los teléfonos para poder acceder a las redes 5G. Así mismo, en el marco de billeteras digitales, las autoridades han detectado el uso de Nequi Glitch, una app con la misma interfaz de Nequi, capaz de emitir comprobantes falsos de transacciones
Suplantación y falsedad a través de datos biométricos: Los ciberdelincuentes han empezado a crear documentos de identidad sintéticos, en el marco de mercados negros de “alquiler de identidades”, que se forman a través del tráfico ilegal de datos. Además, la manera más sofisticada de este tipo de suplantación es a través de los denominados “deepfakes”, donde se crean, por medio de inteligencia artificial, audios, imágenes o videos que simulan la identidad de una persona.
Un estudio hecho por Kaspersky indicó que el 63 % de los colombianos ignora la existencia de los deepfakes y, por ende, no sabe reconocerlos, lo cual es sumamente preocupante y genera una alta vulnerabilidad frente a las estafas. A esto se suma que, según lo establecido en el Foro Económico Mundial, el deepfake crece a un ritmo del 900 %, lo cual significa que es una amenaza latente para la seguridad de todos los ciudadanos.
A través de los deepfakes los delincuentes buscan burlar los sistemas de seguridad que se basan en el reconocimiento facial, aun cuando este reconocimiento tenga un test de vida, donde la persona debe mover la cabeza, parpadear y hacer otros movimientos frente a la cámara. Así mismo, también se pueden hacer deepfakes vocales, donde se copia la voz de la víctima para engañar a su interlocutor. Esto demuestra que los sistemas biométricos, que antes se concebían como los más seguros, ahora también son vulnerables y requieren de mayores protocolos tecnológicos para proteger a los usuarios bancarios.
Extorsiones digitales: Otra modalidad consiste en que los estafadores, también denominados “gota a gota digitales”, envían a su cuenta bancaria o billetera digital un préstamo no solicitado. Posteriormente se contactan e indican que se debe devolver dicho dinero más unos intereses sumamente altos (incluso de hasta $100.000 la hora), pues de lo contrario compartirán información personal y realizarán denuncias públicas en redes sociales. Esta modalidad suele venir acompañada de la sustracción de su información personal o de sus contactos, generalmente por instalar aplicaciones móviles engañosas o software malicioso.
Si soy víctima de un delito ¿Mi banco o billetera digital debe devolverme el dinero?
Desde el punto de vista jurídico, las entidades financieras se conciben como profesionales especializados, que prestan un servicio público. Esto implica que los bancos deben tener un grado especial de diligencia, dado que de su labor depende la protección del patrimonio de todos los colombianos.
El Tribunal Superior de Bogotá y la Corte Suprema de Justicia, entre otras autoridades judiciales, han señalado que la relación contractual entre el banco y el cliente es de carácter asimétrico, es decir, el banco es la “parte fuerte” dentro del contrato y, por ende, debe correr con los riesgos y contingencias que surjan de sus tareas, al mismo tiempo que tienen deberes para proteger a sus usuarios.
De acuerdo con lo anterior, ¿El banco siempre responderá en casos de estafas? La respuesta será el común “depende”, pues son varios los factores que deben evaluarse en cada caso, incluyendo la conducta del cliente financiero y el tipo de estafa y fraude que se realizó. Concretamente, la jurisprudencia de la Corte Suprema de Justicia ha indicado los siguientes parámetros sobre la responsabilidad de los bancos ante las estafas digitales:
· Los bancos deben obrar de manera “cuidadosa, diligente y oportuna” para impedir que sus clientes sufran un perjuicio.
· Las entidades financieras deben realizar las acciones necesarias y tomar las precauciones para que los productos financieros de sus clientes sean seguros.
· Los delitos electrónicos son un riesgo inherente a la actividad bancaria y, por ende, se trata de riesgos previsibles para las entidades financieras. Esto implica que los bancos deben tomar medidas para proteger a sus clientes de delitos electrónicos, sin que puedan esgrimir, por ejemplo, que el delito constituye una fuerza mayor.
· De acuerdo con el punto anterior, las entidades financieras deben cumplir con todas las medidas de seguridad indicadas por la Superintendencia Financiera y las normas técnicas que resulten aplicables, de tal manera que puedan proteger adecuadamente a sus usuarios.
· Como regla general, si el banco ofrece la posibilidad de llevar a cabo transacciones electrónicas, deben asumir el riesgo de dichas transacciones, lo cual conlleva que deban responder integralmente a sus usuarios en caso de que sean víctimas de fraudes o delitos electrónicos.
A partir de estos parámetros, para que el banco se exonere de su responsabilidad y, en consecuencia, no devuelva el dinero perdido a sus clientes, debe demostrar que la estafa electrónica ocurrió por culpa o negligencia del usuario.
Por ejemplo, la Corte Suprema de Justicia, en sentencia bajo radicado SC18614-2016, estudió un caso donde la víctima perdió su dinero debido a fraudes cometidos mediante la modalidad de phishing (la víctima ingresó a una página falsa del banco). La entidad financiera indicó que no debía responder porque se trataba de un ilícito penal y hubo culpa de la víctima, quien cayó en esta modalidad de estafa sin tomar las medidas de precaución necesarias y, especialmente, no tener diligencia y cuidado con sus claves.
Las distintas autoridades judiciales, incluida la Corte Suprema de Justicia, confirmó que la entidad financiera sí debía devolver el dinero a la víctima, pues los bancos no solo deben demostrar su diligencia, sino también su constante proactividad para evitar que existan víctimas de fraudes electrónicos. Dentro de esta proactividad se incluye el deber del banco de detectar transacciones anómalas, dispositivos como celulares o computadores que no son habituales para realizar las transacciones, entre otros.
Por otro lado, el reporte en centrales de riesgos es otra consecuencia del fraude en la suplantación de identidad, sobre todo en casos donde una persona solicita productos a nombre de otra, algo usual en materia de servicios públicos y en el sector de la telefonía móvil. Al respecto, la Corte Constitucional ha establecido una línea jurisprudencial clara, recopilada en sentencias como la T-360 de 2022, donde se resalta la importancia de la veracidad del dato y el deber de las entidades de establecer mecanismos seguros de validación de identidad de sus clientes; así mismo, por regla general se debe eliminar el reporte negativo en centrales de riesgo.
En otras latitudes, como en España, las entidades financieras deben responder, aun en casos de estafas, entendiendo que son los responsables de garantizar la seguridad de las transacciones, salvo que haya negligencia grave del cliente. Con base en ello, por ejemplo, en el año 2023 se ordenó al Banco Santander devolver 6.000 euros a una de sus clientes, que fue víctima de phishing.
En conclusión, debido a la multiplicidad de estafas y las características particulares de cada caso, no es posible establecer una regla que aplique de manera general en torno a la responsabilidad bancaria, pues cada situación tiene sus matices. No obstante, lo cierto es que ante hechos delictivos, la entidad financiera debe demostrarle a usted, como cliente, que aplicó todas las medidas de seguridad necesarias y fue proactivo para evitar que se consumara la estafa.
Si el banco debe ser proactivo y garantizar la seguridad, ¿El cliente financiero nunca es responsable en casos de fraude electrónico?
Pese a que las entidades financieras deben cumplir con numerosas obligaciones y medidas de seguridad, estos factores no eximen a los ciudadanos de tener una debida diligencia. En este sentido, todos los usuarios de servicios bancarios o financieros digitales deben cumplir ciertos cuidados y previsiones, pues de lo contrario la entidad bancaria no será responsable de la estafa.
Dentro de estas medidas de seguridad se encuentran:
· No brindar información personal, claves y credenciales a través de medios telefónicos, aun cuando parezca una llamada legítima. (Recuerde que puede ser víctima del “spoofing telefónico”).
· Utilice contraseñas seguras, que no sean fácilmente reconocibles por estar relacionada con su información personal, como su nombre o su fecha de nacimiento. Modifique sus contraseñas periódicamente y verifique que sean de seguridad alta, agregando minúsculas, mayúsculas, números y caracteres especiales, si ello es posible
· Utilizar las aplicaciones móviles oficiales de su entidad financiera.
· Debe abstenerse de acceder a la página de su banco por medio de links que lleguen a su correo electrónico o por SMS.
· No utilice redes wifi públicas y tampoco realice transacciones financieras digitales en sitios públicos o no seguros, puesto que las personas a su alrededor pueden ver su pantalla y captar sus claves e información personal.
· Si tiene dudas de la legitimidad de una llamada o una comunicación recibida, establezca contacto directo con su entidad financiera.
· Los servicios bancarios digitales normalmente están asociados a cuentas de correo electrónico, apps y números de celular, Por ello, tome las medidas necesarias para mantener seguras estas herramientas.
· Abstenerse de descargar software a su celular que puede ser malicioso. Revise cada una de las apps que instala en su celular y absténgase de descargar software no oficial. Muchas de las apps tienen programas maliciosos que se apropian de sus datos y pueden conocer sus contraseñas e información financiera.
· Revisar el dominio y el certificado SSL: Al ingresar a la página web de su banco, asegúrese que la dirección de la página web sea correcta (muchas veces, por ejemplo, la página legítima termina en .com y los delincuentes copian el mismo nombre, pero al final colocan .co, lo cual puede llevar a confusiones) y que tenga un certificado SSL que sea de propiedad de su entidad financiera (Se puede revisar en la barra de navegación, haciendo click en la imagen de un candado).
· Al navegar en internet, utilice antivirus, cortafuegos y otras medidas de seguridad digital que eviten la descarga de software malicioso y el acceso a páginas web que pueden captar su información personal de manera ilegal.
¿Qué debo hacer si soy víctima de un fraude en el uso billeteras virtuales?
· Comuníquese lo antes posible con su entidad financiera para cambiar sus claves e informar del delito, dado que en ocasiones se pueden anular las transacciones.
· Interponga rápidamente la denuncia en la Fiscalía General de la Nación. Para ello, busque el botón de “denuncia fácil”, en el portal de la fiscalía www.fiscalia.gov.co y siga las instrucciones. También podrá presentar su denuncia en el Sistema Nacional de Denuncia Virtual de la Policia Nacional en www.policia.gov.co – Delitos informáticos.
· Resguarde todas las pruebas posibles, incluyendo capturas de pantalla, correos electrónicos, entre otros, asegurándose de no descargar software malicioso.
· Si considera que la culpa es de la entidad financiera y que usted actuó con el debido cuidado, puede acudir a la Defensoría del Cliente Financiero de la respectiva entidad y también podrá acudir a la Superintendencia Financiera, donde podrá reportar una inconformidad para que sea atendida por la entidad financiera, conciliar con una entidad del sistema financiero, para lo cual será convocado para que asista a una audiencia junto con la entidad para buscar una solución a su inconformidad con la participación de un conciliador de la Superfinanciera y, finalmente, podrá presentar una demanda contra la entidad financiera, para lo cual se adelantará un proceso con un funcionario de la Superfinanciera quien actúa como juez para decidir de fondo sobre su inconformidad.