El 80% del fraude bancario en España ya se comete a través del teléfono móvil. No es una previsión, es la realidad. Los delincuentes ya no necesitan robarte la cartera; les basta con un SMS o una llamada para vaciar tu cuenta.
Recientes operaciones de la Policía Nacional, como la que desarticuló una red que estafó más de 830.000 euros, demuestran la sofisticación de estas tramas. Utilizan técnicas como el smishing y el spoofing para engañarte y hacerte creer que estás hablando con tu propio banco. Si has sido víctima, es fundamental que sepas que no siempre es tu culpa y que la ley te protege.
Así funcionan las estafas: smishing y spoofing
Para defenderte, primero debes conocer las armas del enemigo.
1. El anzuelo: smishing
Todo suele empezar con un SMS. Recibes un mensaje de texto que parece ser de tu banco (CaixaBank, Santander, BBVA, etc.). El texto es alarmante: «Se ha detectado un acceso no autorizado a su cuenta», «Su tarjeta ha sido bloqueada» o «Verifique una operación sospechosa».
El mensaje siempre incluye un enlace. Al hacer clic, te lleva a una página web que es una copia exacta de la de tu banco. Si introduces ahí tus claves de acceso y contraseña, los estafadores ya las tienen.
2. El golpe final: spoofing (suplantación de llamada)
Aquí es donde la estafa se vuelve peligrosamente creíble. Minutos después de haber robado tus claves, los estafadores te llaman. Y aquí está la clave: gracias a una técnica llamada spoofing, en la pantalla de tu teléfono aparece el número de teléfono real de tu banco.
La persona al otro lado de la línea se presenta como un gestor de seguridad. Habla con jerga bancaria, es convincente y te informa de los movimientos fraudulentos que «están intentando hacer». Para «cancelarlos», te pide que le facilites los códigos de confirmación que estás recibiendo por SMS o que apruebes las operaciones en tu app.
En ese momento de pánico, al ver el número de tu banco en la pantalla, confías. Pero en realidad, le estás dando al estafador las llaves para autorizar las transferencias y vaciar tu cuenta.
La pregunta del millón: ¿quién es el responsable? ¿el banco o yo?
Esta es la batalla legal. Cuando reclamas al banco, su primera respuesta casi siempre será la misma: «Usted ha sido víctima de phishing y ha revelado sus claves, es una negligencia grave por su parte y no nos hacemos responsables».
No aceptes esta respuesta sin más. La ley y, sobre todo, la jurisprudencia reciente del Tribunal Supremo, están cada vez más del lado del consumidor.
El banco tiene una obligación legal de garantizar la seguridad de sus sistemas y de autenticar las operaciones de forma reforzada.
Real Decreto-ley 19/2018, de servicios de pago
La clave está en el concepto de «negligencia grave». El banco intentará probar que tú fuiste gravemente negligente al facilitar tus claves. Sin embargo, los tribunales entienden que con técnicas tan sofisticadas como el spoofing, donde se suplanta el número del propio banco, es muy difícil hablar de negligencia grave del cliente.
Además, el Tribunal Supremo ha establecido que los bancos deben tener sistemas de monitorización que detecten operaciones anómalas. Si de repente se ordena una transferencia de 10.000 euros desde tu cuenta a un destinatario en el extranjero con el que nunca has operado, el sistema de seguridad del banco debería haberlo detectado y bloqueado. Si no lo hizo, el banco también es responsable por la brecha en su propia seguridad.
Plan de acción: qué hacer inmediatamente si has sido víctima
El tiempo es oro. Actuar rápido y de forma ordenada es crucial para maximizar tus posibilidades de recuperar el dinero.
Paso 1: Contacta con tu banco (vía telefónica) Llama inmediatamente a los teléfonos de atención 24 horas de tu banco. Informa de lo ocurrido, bloquea todas tus tarjetas y pide que bloqueen el acceso a la banca online. Anota el día, la hora y el nombre del gestor que te atienda.
Paso 2: Recopila todas las pruebas Haz capturas de pantalla del SMS fraudulento, del registro de llamadas de tu teléfono donde se vea el número suplantado y de los movimientos no autorizados en tu cuenta.
Paso 3: Pon una denuncia en la policía Acude a una comisaría de la Policía Nacional o un cuartel de la Guardia Civil y presenta una denuncia formal. Aporta todas las pruebas que has recopilado. La denuncia es un documento fundamental para los siguientes pasos.
Paso 4: Presenta una reclamación formal por escrito al banco Acude a tu sucursal o contacta con el Servicio de Atención al Cliente de tu banco y presenta una reclamación por escrito, detallando los hechos y adjuntando una copia de la denuncia policial. El banco tiene un plazo de 15 días hábiles (un mes en casos excepcionales) para responder.
Paso 5: Acude al banco de españa (si el banco no te devuelve el dinero) Si tu banco rechaza tu reclamación, el siguiente paso es presentar una reclamación ante el Departamento de Conducta de Entidades del Banco de España. Su informe no es vinculante (no puede obligar al banco a pagarte), pero tiene un gran peso y a menudo hace que las entidades reconsideren su postura.
Paso 6: La vía judicial Si todo lo anterior falla, la única vía que te queda es presentar una demanda judicial contra tu banco. En este punto, las posibilidades de éxito son altas si se argumenta bien la falta de seguridad de la entidad.
Conclusiones
En conclusión, ser víctima de una estafa por spoofing es una experiencia traumática, pero no significa que hayas perdido tu dinero para siempre. La ley protege al consumidor y los bancos tienen una gran responsabilidad en la seguridad. Si has agotado la vía amistosa con tu entidad, es el momento de buscar el asesoramiento de un abogado especialista en derecho bancario y ciberdelitos para iniciar la reclamación judicial.