Un banco argentino fue obligado a indemnizar a un cliente que sufrió una estafa. Cuánto le tienen que pagar y cómo fue el engaño.
El phishing es una de las técnicas más utilizadas por los ciberdelincuentes para robar datos. Esta modalidad es muy simple pero efectiva: el atacante se hace pasar por alguna entidad o persona (por ejemplo, un banco, un proveedor de comercio electrónico o una empresa de tecnología) para engañar a un usuario y convencerlo para que ingrese sus datos personales o descargue malware (por ejemplo, software que espía contraseñas) sin darse cuenta. Estos mensajes de phishing suelen alentar a las personas a hacer clic en un enlace o abrir un archivo adjunto. A veces, dirigen al usuario a una página falsa que parece legítima, donde se solicitará que ingrese información personal y financiera. Pese a ser una forma de ataque muy conocida, alcanzó el máximo histórico en el primer trimestre de 2022.
Por ser uno de los blancos más redituables, las entidades financieras (en especial los bancos) son las preferidas por los ciberdelincuentes. Este fue el caso de una cliente de Banco Santander, a quien le extrajeron ilegalmente de su cuenta única $ 54.535 en siete transferencias, vendieron u$s 228 de su ahorro y le solicitaron un préstamos personal preaprobado por $ 500.000, que extrajeron en 38 transferencias a distintas cuentas.
La mujer hizo el reclamo ese mismo día al banco y, tras numerosos reclamos vía mail, la entidad «rechazó expresamente asumir responsabilidad por lo ocurrido, por cuanto de acuerdo a sus investigaciones no se habrían detectado posibles riesgos informáticos en el Online Banking».
Sin embargo, para el juez Pablo Frick, «resulta insoslayable el incumplimiento por parte de la entidad bancaria de los requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras». En este sentido, afirmó que los bancos «deben disponer de mecanismos de monitoreo» en sus canales electrónicos. El debate en cuestión es si, en el caso de una estafa de ingeniería social, la culpa es del banco (por no proteger sus canales) o del cliente que cae en un engaño (como proveer sus claves de acceso) que son muy difíciles de prevenir desde la seguridad tradicional de un banco.
Así fue como se condenó al Santander Río a entregarle en el plazo de 10 días a la demandante $ 350.407,04, más la suma de suma de $ 150.000 por daño moral y $ 200.000 en concepto de multa civil.