Tecnología > SEGURIDAD INFORMÁTICA
Un uruguayo fue víctima de phishing, demandó al banco y le pagaron la mitad de lo robado
No recuerda qué cliqueó. Tampoco sabe cómo le entraron a su cuenta. Pero lo que sí es cierto que fue víctima de un phishing. Alguien se hizo pasar por la institución bancaria de la que es cliente, le mandó un mail con un formulario, él seguramente lo cliqueó, puso su usuario y su contraseña y sus cuentas quedaron en cero.
Este tipo de ciberdelito, minúsculo para el volumen de transacciones diarias que existen en Uruguay, es mayúsculo por el drama para la víctima.
“Es un tipo de ataque informático con el que se obtiene información personal o financiera de los usuarios como contraseñas, números de tarjetas de crédito o cuentas bancarias”, señala el portal del Estado uruguayo, trámites.gub.uy. Cada vez buscan parecerse más y cualquier usuario novato y no tan novato es capaz de morder el anzuelo y padecer un perjuicio económico.
El origen del episodio tiene fecha y hora de nacimiento: lunes 4 de junio a las seis de la tarde. Germán (su nombre fue cambiado porque prefirió el anonimato para contar la historia), entró en su cuenta de ahorro en dólares y se percató que en los seis días anteriores le habían robado todo el dinero que tenía ahorrado. Detectó que en cada día le transfirieron de una cuenta a otra dentro del mismo banco una suma de 2 mil dólares.
“Yo no había mirado mi cuenta porque el miércoles anterior me había ido para el litoral (del país). Jueves y viernes estuve trabajando sin mirar la cuenta. Sábado y domingo no la miré. Y el lunes, a última hora, cuando la observé me di cuenta que me habían hecho transferencias los seis días por el máximo permitido”, contó en diálogo con Cromo.
Tras percatarse del hecho, pidió al banco que “hicieran algo”. Lo primero que realizaron fue bloquearla para evitar más transferencias. “La primera respuesta que si alguien había incursionado en algún tipo de hackeo informático, me sería devuelto el dinero”, contó.
El 7 de junio le comunicaron que no iba a existir ninguna devolución. También le dijeron que habían citado al titular de la cuenta a quien el ladrón le había transferido el dinero, quien declaró que “en el marco de una transacción comercial se había realizado esa transferencia”. Germán les dijo a las autoridades del banco que no lo conocía. Desde el banco le indicaron que si él quería podía hacer una denuncia penal, pero que la institución no lo iba a hacer.
“Sentí el desamparo por parte del banco. Ese jueves me fui a buscar un abogado penalista. El viernes presenté la denuncia penal y en dos años no tuvo ninguna consecuencia. La vez que fui a Fiscalía me percaté que yo no era el único damnificado: había más en el mismo banco”, comentó.
La demanda civil
“Cuando pasaron los meses, volví a ir al banco a plantear al tema: me dijeron que como no había ningún tipo de vulneración al sistema del banco no iba a haber ningún tipo de resarcimiento”, relató.
Entonces, decidió ir por la vía civil, que se encaminó de forma paralela a la penal. La demanda civil falló a favor del banco en primera instancia y la segunda a favor de Germán. En palabras del afectado fue “un empate en la hora”.
Los argumentos del juez
En la sentencia del 27 de octubre de 2020 a la que tuvo acceso Cromo, del Juzgado Letrado Civil 5º Turno, se desprenden algunos comentarios que dijeron los abogados defensores de Germán ante el caso. Uno de ellos es que el cliente dejó depositado dinero “a custodia del banco” y “sin su conocimiento y consentimiento” el dinero desapareció de su cuenta.
También deja constancia sobre las habilidades tecnológicas del usuario. Por ejemplo, que nunca supo si tenía un antivirus en su computadora. “No soy un experto en informática (…) Siendo franco no lo tengo claro, intento actualizarlo pero hoy no sé si sigue actualizado, ni tampoco recuerdo si hace año y medio lo estaba”.
La Justicia dispuso una pericia informática que fue “totalmente inútil”, según concluyó el juez de segunda instancia. “Se desprende que el equipo analizado no es el equipo original con el que la parte actora accedía al servicio (bancario) en 2018”, indicó.
Desde el banco aseguraron que fueron las propias víctimas que dijeron haber padecido el ciberataque conocido como “phishing” y eso les deslindaba responsabilidad económica.
Para Juan José Benítez, juez a cargo del caso, “no parece discutible” la existencia del hecho que denunció la víctima. Y señala que su responsabilidad (que le hayan accedido a su cuenta sin su consentimiento) se encuentra “atenuada en la medida en que no es totalmente del causante”.
La sentencia señala que en este caso “había margen de acción” para que el banco aplique alguna barrera para limitar que el delincuente ingrese al sistema. “Las medidas de seguridad deben tener un carácter dinámico o renovable para combatir la suplantación de identidad”, señaló. También dijo que “se comprende que difícilmente” pueda evitarse, “incluso con una seguridad extrema, la primera transferencia” que sufrió Germán.
Que el usuario asuma las consecuencias por fallas en el sistema de seguridad resulta “inexigible”. Para el juez se trata de “una especie de garantía absoluta contra la suplantación de identidad, máxime cuando responde, por lo general, a un descuido del titular de la información personal de la cuenta bancaria”.
La Justicia decidió, por este motivo, devolverle la mitad de lo que le habían robado: US$ 6 mil. “Un gol en la hora”, describió la víctima de lo sucedido.
