«Te hacen sentir culpable, tonta». Cuando Marta (nombre ficticio) se dio cuenta de que habían sustraído 5.000 euros en varias transferencias de la cuenta de su padre fue al banco a reclamar. «Y la primera respuesta fue que me hiciera a la idea de que había comprado un coche de segunda mano y había tenido un accidente». Ella, vecina de un pequeño municipio de la provincia de Cáceres, es una de los cientos de afectados por la ciberestafa en nombre de Unicaja, que solo en Extremadura supera los 300.000 euros.
Al Instituto de Consumo de Extremadura (Incoex) han llegado 33 reclamaciones, pero los afectados estiman que la cifra es muy superior y ante la falta de respuestas de la entidad han comenzado a movilizarse a través de la plataforma 'Estafados Unicaja', con la que se puede contactar en redes sociales.
El Real Decreto 19/2018 obliga a la entidad bancaria, una vez interpuesta la denuncia ante la policía, a reintegrar las cantidades sustraídas
Una de sus impulsoras, María José González, vecina de Cáceres, explica que el Real Decreto 19/2018 de servicios de pago y otras medidas urgentes en materia financiera obliga a la entidad bancaria, una vez interpuesta la denuncia ante la policía, a devolver las cantidades sustraídas «desde el minuto uno». Pero Unicaja de momento no lo ha hecho, y según denuncian, no solo eso.
«Nos están haciendo sentir culpables cuando los responsables son ellos, que no han sabido custodiar nuestro dinero», explica María José, que asegura que a día de hoy, casi dos meses después, «ni siquiera han arreglado la brecha de seguridad porque hay gente que sigue recibiendo los mensajes y llamadas de los ciberestafadores». «Han cobrado incluso la comisión por las trasferencias a los afectados», asegura.
En su caso, la cifra asciende a 10.000 euros, «el pequeño colchón» que había logrado tras años de trabajo. Le llegó un SMS invitándole a entrar en su banca digital ante un supuesto bloqueo. Lo hizo, no vio nada raro y no le dio importancia. Pero dos días después, al entrar para consultar el saldo tras unas compras realizadas con tarjeta, vio que habían desaparecido los 10.000 euros en cinco transferencias diferentes.
Suplantación de identidad
«El problema es que los avisos llegan por los canales de comunicación del propio banco: SMS, llamadas e incluso Bizum», afirma María José. Y como es el propio cliente el que pulsa los enlaces o contesta a las llamadas, el banco entiende que no es responsabilidad suya. Cuando descubrió la estafa tuvo que ser atendida por una crisis de ansiedad y ahora ha comenzado a movilizarse «para que no le pase a nadie más».
"La primera respuesta que me dieron fue que me hiciera a la idea de que había comprado un coche de segunda mano y que había tenido un accidente", dice una afectada
«Hay que darle difusión porque los mensajes y llamadas siguen llegando, cada vez a más gente», asegura. Ella contactó con la plataforma nacional (hay un total de 328 afectados en España hasta la fecha) y se está movilizando para encontrar más víctimas en la región.
Marta es otra de ellas. Quiere mantenerse en el anonimato por la particularidad de su caso: ella recibió el SMS alertando de que alguien estaba intentando entrar en su banca digital, pero como también tiene acceso a las cuentas de sus padres, el dinero se sustrajo de la de ellos: un total de 5.000 euros en tres transferencias realizadas de madrugada, justo el mismo día que recibió el mensaje, el 9 de junio. Su padre, que tiene 72 años y está enfermo, no lo sabe y Marta no quiere que se entere.
Han denunciado ante la policía y también ante Unicaja, sin obtener respuesta hasta el momento. Cuando expuso el caso en su entidad bancaria, asegura que le dijeron que se hiciera a la idea de que había comprado un coche de segunda mano y que había tenido un accidente. "Te sientes culpable, tonta, hasta que ves la magnitud..."
Fusión con Liberbank
Esta estafa es un caso más de phising que se ha llevado a cabo aprovechando el proceso de fusión con Liberbank, que culminó el 23 de mayo. El 15 de julio el Instituto de Consumo de Extremadura (Incoex) lanzó la alerta y puso el caso en conocimiento del Banco de España. Según confirma la Consejería de Sanidad y Servicios Sociales, han llegado hasta la fecha un total de 33 reclamaciones por valor total superior a los 300.000 euros.
Los ciberdelincuentes se hacen pasar por personal de Unicaja para obtener los datos de acceso a la banca digital de los usuarios. En algunos de estos SMS, los ladrones alertan a los propietarios de que se ha producido un intento de acceso no autorizado a la cuenta o que esta ha sido bloqueada por un inicio de sesión sospechoso.
Todo esto, seguido de una llamada telefónica que se hace pasar por servicio al cliente de Unicaja, logra un estado de confianza y credibilidad. Es entonces cuando empiezan a solicitar datos personales o claves que son utilizadas para sustraer el dinero de la cuenta y realizar operaciones a su nombre.
La respuesta de la entidad
Por ello, Unicaja Banco defiende que "no se puede hablar de fallos en los sistemas de seguridad" en su banca electrónica: los ciberdelincuentes utilizan la técnica del spoofing para enmascarar su identidad y remitir SMS fraudulentos en el mismo hilo de mensajes que los que legítimamente la entidad manda, haciendo creer que han sido enviados por el banco.
Estos mensajes, alerta Unicaja, han llegado tanto a clientes como a los no clientes, y todos se caracterizan porque incluyen el enlace a una web falsa que suplanta la Banca Digital de Unicaja y muestran links con dominios donde aparece la palabra 'unicaja', 'unicajabanco'...
"Unicaja Banco dispone de un sistema de gestión de seguridad de la información certificado por AENOR en el cumplimiento de la norma ISO/IEC 27001:2014, que garantiza un excelente sistema de gestión de la seguridad de su banca digital. Esta distinción demuestra la robustez y fiabilidad de los sistemas informáticos, asegurando a sus clientes el más elevado nivel de seguridad en sus operaciones y transacciones", explica.
La entidad detalla además que tras este nuevo caso de phising, está atendiendo a sus clientes "por los distintos canales establecidos, tramita las reclamaciones de los mismos y las resuelve en plazo, conforme a la normativa aplicable en vigor".
El banco insiste en que ante la menor sospecha nunca se deben facilitar los datos ni pinchar en los enlaces o datos adjuntos de los mensajes, sino que "hay que borrarlos". En el caso de llamada, se debe colgar y contactar directamente con el banco. También es recomendable mantener actualizado el antivirus, ya que puede ser útil para frenar a los ciberdelincuentes en casos de malware. "La entidad nunca se pone en contacto con el cliente para pedirle datos confidenciales (claves de seguridad, coordenadas, DNI,….)", recuerda.
