Así es la estafa del 'smishing': Javi y miles de clientes de Unicaja reclaman hasta 100.000 euros

A Teófilo le quitaron 67.000 euros. A Silvia, 100.000: ella es de los que no quiere hablar porque está muy afectada también psicológicamente. Ambos son la excepción de la norma: el grueso de las víctimas oscila entre los pírricos 180 euros que tenían en la cuenta a los 10.000 euros que le sisaron a José Antonio el pasado noviembre. A Ana Rubio, este 29 de enero, le quitaron 3.500 euros de su cuenta. Todos tienen en común que han sido víctimas de una ciberestafa y que son clientes de Unicaja.

Ha habido dos grandes oleadas. Una, en primavera, tras la fusión de Unicaja con Liberbank, que tuvo lugar el 23 de mayo. La primera pilló a Teófilo, a Diego, o a Javier Misas. La de Javier tuvo lugar el 1 de septiembre. Le estafaron 2.000 euros, sin contar con el frigorífico de 600 euros que los delincuentes adquirieron en Carrefour y cargaron a su cuenta sin que mediase su permiso. Ocurrió a los ocho días después de advertir a su banco que había sido víctima de una ciberestafa.

Como en todos los casos, los ciberdelincuentes sabían su móvil, le llamaban con solvencia profesional por su nombre y conocían hasta su número de cuenta. Lleva siendo cliente de Unicaja desde hace 20 años, han pasado 6 meses y aún no ha recibido respuesta a su reclamación. 

Pese a que el fraude mediante smishing -pinchando en mensajes sms fraudulentos- sea común a las entidades bancarias, los clientes de esta caja de ahorros solo en la provincia de Málaga acumulan 300 denuncias, según datos aportados a este periódico por la Guardia Civil, que cifra la cantidad defraudada en casi un millón de euros.

[Cae en Alicante una red que estafó 600.000 euros a los clientes de un banco a través del envío de SMS]

En Cantabria hay unos 400 afectados, con cantidades que alcanzan los 3 millones de euros. "Son miles de víctimas en toda España", advierten los abogados Luis Felipe Gómez Ferrero, con despacho en Zamora, y Juan Manuel Brun desde su bufete de Santander. Eso cuenta también Diego, un malagueño a quien le estafaron 2.000 euros en junio de 2022. Es el administrador de una plataforma de afectados en Facebook exclusiva de Unicaja. "Hay casos en Andalucía, en Castilla-La Mancha, en Asturias, en Madrid, muchos también en Toledo..."

@elenacho41 Espero por favor que no le pase a nadie más. Todos los días estafán a alguien. #unicaja #unicajabaloncesto #estafa #hackers #ansiedad #miedo #alerta @Unicaja_malaga ♬ sonido original - Elena González Alcón

Ana Rubio es de las víctimas en la segunda oleada. Fue el 29 de enero. Recordará la fecha siempre porque fue el día de su cumpleaños. De madrugada empezaron a llegarle mensajes por sms en el mismo hilo que utiliza su banco, Unicaja. No pinchó ninguno ni siquiera al despertarse, y a mediodía recibió una llamada desde el mismo número de su entidad advirtiéndole de que le llamaban de Unicaja, que estaba siendo víctima de una estafa y que entrara en un sms que iba a recibir para parar el ciberataque. Unos mensajes que, como todos los afectados, recibía en el mismo hilo de sms de la cuenta oficial del banco.

[Si ha recibido un sms de su banco tenga cuidado: Málaga alerta de un repunte de ciberestafas]

A Ana Rubio le quitaron el dinero de la cuenta sin que pinchase el sms fraudulento. E.E.

"Para entonces ya estaban dentro de mi cuenta. Y antes habían entrado en la de mi padre y habían transferido de la suya a la mía 1.000 euros: porque yo me quedaba al descubierto y necesitaban más dinero para poder seguir operando, ya que la cuenta de mi padre tenía un tope de gasto de mil euros diarios, y yo no", cuenta indignada. A su nombre hicieron dos compras por más de mil euros en Vinted, la web de compraventa de ropa y complementos entre particulares. "Pero Vinted, al advertirle que era una estafa, me ha devuelto el dinero. Cosa que no ha hecho Unicaja".

Esta marbellí matiza que a ella esos 3.500 euros de su cuenta no se los han quitado: "Se los han quitado a Unicaja". La nómina que ha ingresado a primeros de mes se ha ido íntegramente a abonar el descubierto que le han dejado. Para pagar la hipoteca, la luz, y el agua ha tenido que solicitar un préstamo.

No obstante, Ana es de las afortunadas. Hay casos, según refieren varias víctimas que prefieren omitir su nombre, en los que además de esquilmarles la cuenta se han pedido hasta créditos fraudulentos que ahora tienen que pagar. 

A Patricia Freire le estafaron el pasado domingo 2.000 euros, entre una transferencia de 1.000 euros y dos bizum de 500. "Los mil euros, sin llamarme ni nada", explica a EL ESPAÑOL. Cuando ya lo tenía todo denunciado, el miércoles le llegó una notificación de que estaban intentando retirarle otros mil euros. Ya había cambiado las claves y anulado la tarjeta. "Si llego a tener otros mil euros en la cuenta, también me los quitan", advierte.

Como el grueso de las víctimas, Patricia subraya que ella no ha pinchado en un sms fraudulento: "Yo he pinchado en un sms de Unicaja Banco", que le lleva a una pantalla -clonada- de acceso a su cuenta "incluyendo el candado de que la operación es protegida". Y critica la falta de sensibilidad de su oficina bancaria. "Con el segundo intento, el director me dijo que no me preocupara, que para algo me había servido lo que me había pasado el otro día".

Según el abogado Luis Felipe Gómez, "si bien todos los bancos son susceptibles de que sus clientes sean víctimas de smishing o phishing, Unicaja Banco, que es la quinta entidad en importancia de España, acumula más de la mitad de casos. Hay muchos bancos que son víctimas también, pero la más asaltada es Unicaja". El abogado Juan Manuel Brun tiene claro que en este tema "hay un aspecto fundamental: que por lo menos, ha habido una fuga de datos segura: los números de teléfono asociados a la cuenta on line" de los clientes. 

Pasos para reclamar

Los pasos para reclamar cuando se es víctima de una estafa de estas características son, en primer lugar, comunicar los hechos a la entidad bancaria e interponer la correspondiente denuncia ante la Policía Nacional o la Guardia Civil; a continuación, interponer una reclamación por escrito ante la sucursal bancaria de la que se es cliente, requiriéndoles el reintegro del importe sustraído de forma fraudulenta por las operaciones que no se han autorizado.

En caso de que sean rechazadas o no haya respuesta, el siguiente paso es reclamar también por escrito ante el Departamento de Atención al Cliente. Este trámite es imprescindible puesto que es el que da pie a poder reclamar, a continuación, ante el Banco de España.

Esta entidad ha detallado a EL ESPAÑOL que en 2022 se presentaron un total de 10.515 reclamaciones de operaciones fraudulentas, y de enero al 9 de febrero de este año, 1.224. De todas ellas, las reclamaciones presentadas contra Unicaja Banco ascendieron en 2022 a 740. Los meses en los que se dispararon las reclamaciones fueron a partir del mes de agosto. Entre enero y el 9 de febrero de 2023 se han presentado 155.

En el caso de que el Banco de España no se pronuncie o desestime la reclamación, hay que recurrir a la vía civil. Según la Ley de Servicios de Pago, el banco debe hacer frente a esos pagos fraudulentos a excepción de si demuestra que el cliente cometió una negligencia grave, algo que debe demostrar la entidad bancaria, en todo caso.

En los casos de fraude mediante sms, la entidad debe demostrar que la operación fue autenticada, registrada y contabilizada, algo que es obvio, pero con un matiz: que el cliente tiene un cargo en la cuenta que no ha autorizado y que fueron ejecutadas por un tercero mediante engaño.

Sin embargo, la jurisprudencia está fallando a favor de las víctimas, porque en la mayoría de las ocasiones el usuario es objeto de un fraude con capacidad para engañar a una amplia generalidad de personas. "Desde agricultores, personas mayores y jóvenes. Hay ingenieros, abogados, policías nacionales..." enumera Brun. Por tanto, los jueces no consideran que haya habido una grave negligencia. De hecho, en Asturias, donde se produjeron los primeros casos, ya hay sentencias. En concreto, de los juzgados de Oviedo, a las que ha tenido acceso este periódico. Todas ellas dan la razón a las víctimas frente a Unicaja con este fundamento.

Si bien en un principio la entidad se negó a reembolsar cualquier cifra a las víctimas, en Cantabria o Málaga ha estado ofreciendo en noviembre cifras que oscilan entre el 50 y el 80% de lo defraudado, como corrobora Juan Manuel Brun, para evitar los juicios. Luis Felipe Gómez Ferrero, cuyo despacho colabora con ASUFIN (Asociación de Usuarios Financieros) advierte que "si la entidad hace una oferta es porque ve que pintan bastos, y es muy probable que los tribunales acaben reconociendo los derechos de los afectados".

La respuesta de Unicaja

Desde Unicaja Banco detallan a este periódico que "las ciberestafas son un fenómeno que afecta de forma frecuente a clientes de todo tipo de empresas y sectores, como ponen de manifiesto las fuerzas de seguridad o las instituciones de ciberseguridad, y que también sucede en otros países".

Así, "como es habitual, y para cualquier ámbito, Unicaja Banco atiende a sus clientes por los distintos canales, y gestiona sus solicitudes siguiendo lo establecido en la normativa aplicable con la mayor diligencia, siendo consciente de la importancia y alcance del fenómeno de las ciberestafas en la sociedad, y del efecto que pueda tener en sus clientes, y por ello, presta toda la colaboración posible en esta materia tanto a su clientela como a las autoridades".

Con respecto a lo que está sucediendo, la entidad subraya que "no se puede hablar de fallos ni de brecha en los sistemas de seguridad de Unicaja Banco, ni de que la entidad facilite datos o información de clientes, sino que se produce una interacción directa entre el ciberdelincuente y la víctima, que es quien al facilitar al ciberdelincuente sus claves, permite la actuación fraudulenta".

Esa interacción, abunda, "se produce fuera de los sistemas del banco y por mucho que las entidades desplieguen, como lo hacen, una intensa actividad para detectar actividades delictivas y pese a las reiteradas advertencias de las fuerzas de seguridad y autoridades, y de la propia entidad también por distintos canales, no es posible evitar que se produzca esa interacción y que el propio cliente acabe facilitando sus contraseñas y claves al delincuente".

Unicaja Banco "viene realizando una labor constante y reiterada de alerta y de concienciación mediante la publicación de información referente a nuevas modalidades de fraude online, tanto en redes sociales como en otros soportes, en la que se refuerzan una serie de pautas para evitar ser víctimas de los ciberdelincuentes". Por último, ultima la entidad que "nunca pide al cliente por teléfono, SMS o email las claves de acceso a la banca digital ni datos confidenciales".

Venta de datos

EL ESPAÑOL ha tenido acceso a un informe pericial realizado por IP Peritos Informáticos, con sede en Madrid, que vincula lo ocurrido a una mezcla de pshishig (obtención de datos personales a través de internet, fundamentalmente bancarios) que se han subastado y usado posteriormente, y smishing (el fraude por mensajes sms).

Así, mediante una investigación OSINT (Open Source Intelligence, es decir, mediante fuentes de internet abiertas), se ha determinado que en agosto de 2022 existía "una campaña subasta y venta de bases de datos de clientes de Unicaja", realizada mediante canales de Telegram. 

Captura del video tutorial detectado en Telegram para realizar estafas a clientes de Unicaja. Cedida

En ella "aparte de bases de datos de clientes, se vendían los procedimientos de phishing y de robo de contraseñas", y se encontraron  "varios vídeos demostrativos", a los que ha tenido acceso este periódico, sobre "la herramienta vendida en Telegram de como efectuar a nivel técnico el fraude".

Durante la investigación OSINT se ha encontrado "un listado de 300 afectados, donde se indican fechas de denuncia. Nombres, apellidos y metodología utilizada de fraude".