«Tras 4 meses, ya se cuentan por miles los afectados por la brecha de seguridad surgida durante la integración tecnológica de los bancos Unicaja y Liberbank, que provocó el robo de miles de euros a usuarios de estas entidades financieras», señala Íñigo Serrano, abogado especializado en casos de phishing del bufete Sello Legal.

Asegura que las estafas han sido «masivas», y que este despacho de abogados gestiona varios casos causados por la fusión de estas entidades, uno de ellos por un importe superior a 30.000€.

Durante la fusión de Unicaja y Liberbank se produjo, según este abogado, «una brecha de seguridad, sobre todo en lo relativo a su banca online», que posibilitó que los ciberdelincuentes pudieran acceder a las cuentas de clientes de estas entidades, robándoles dinero.

El banco asegura que «no hay brecha de seguridad» y niega «fallos en los sistemas» ni que se facilitara «datos o información de clientes». También destaca que la entidad nunca se pone en contacto con el cliente para pedirle datos como las claves de seguridad, las coordenadas, o el DNI. Y recuerda que el sistema de gestión de seguridad de la información de Unicaja Banco está certificado por Aenor.

El bufete señala otro fallo importante que aumentó considerablemente la cuantía sustraída en cada caso. Se trata de los límites para las transferencias, que durante la fusión desaparecieron o se ampliaron automáticamente, permitiendo que pudieran efectuarse transferencias inmediatas por importes de cerca de 40.000€ en cuentas que anteriormente estaban mucho más limitadas.

Las cantidades sustraídas han sido muy numerosas y los casos superan el millar.

El phishing mediante SMS ha sido el método más usado. En este caso, la víctima recibe en su teléfono un mensaje indicando que ha habido un problema de seguridad en su cuenta bancaria y que debe de ingresar sus claves en el enlace adjunto para resolverlo. Difícil sospechar de una estafa porque la web que se presenta suplanta con asombrosa habilidad la identidad corporativa del banco. Sin embargo, los datos introducidos para acceder a la banca acaban en manos de los estafadores.

También ha habido casos de vishing. Los delincuentes usan VoIP para realizar llamadas suplantando el número de teléfono oficial del banco. Si la víctima sospecha y busca este número en Internet verá que es el mismo número que el de la oficina bancaria, por lo que es fácil que deposite su confianza en quien le llama.

Además, algo muy común con los miles de casos de phishing contabilizados entre los usuarios de estas entidades bancarias ha sido el robo mediante transferencias inmediatas. Para realizar este tipo de operaciones bancarias, la entidad no solicitaba la doble autenticación, permitiendo que la brecha de seguridad fuera mayor.

Los afectados por esta situación están denunciando sus casos, con el objetivo de recuperar su dinero. En Sello Legal gestionan casos de phishing y ya cuentan con decenas de sentencias favorables, por lo que se muestran muy optimistas con esta situación. Serrano indica que hay que defender bien el caso, detallando todo lo sucedido, con el fin de que el tribunal falle a favor de la víctima a la mayor brevedad. La jurisprudencia avala a las víctimas porque establece la responsabilidad cuasi objetiva de los bancos frente a la custodia del dinero de sus clientes.