La Memoria de Reclamaciones publicada por el Banco de España que recoge los datos del año 2020, destaca un sensible incremento del vaciado de cuentas bancarias derivadas de ataques cibernéticos.
Se recoge en la memoria cómo los ciberdelincuentes emplean diferentes técnicas como el phishing (por correo electrónico), vishing (de forma telefónica) o el smishing (vía SMS), por las que estos se hacen pasar por las entidades financieras, o incluso por organismos públicos o empresas de reconocida trayectoria, suplantando su identidad y pidiendo a las potenciales víctimas que faciliten, después de clicar en un enlace —aparentemente genuino, pero, en realidad, malicioso— determinados datos personales y bancarios, bajo diferentes pretextos, como evitar el supuesto bloqueo de la cuenta o de una tarjeta o prevenir un inexistente pago fraudulento, realizar un pago de escasa cuantía por la prestación de un servicio (supuestos servicios informáticos a distancia o la entrega de un paquete por una empresa de transportes o Correos), o permitir la supuesta devolución de un importe debido por la Seguridad Social o la Agencia Tributaria, y con el verdadero fin de lucrarse, realizando operaciones de pago a cargo de la víctima.
Otro método que destaca el Banco de España es el swapping o duplicado de la tarjeta SIM, el procedimiento que utilizan los estafadores en este supuesto comienza por la obtención de datos de la víctima por diferentes vías: a través de un sitio web falso, con métodos de ingeniería social o con el hackeo del teléfono móvil, entre otros. A continuación, solicitan a la operadora de telefonía móvil un duplicado físico de la tarjeta SIM, de forma que, habitualmente, la original queda bloqueada. Con la nueva tarjeta SIM pueden recibir los SMS que contienen las claves de autenticación reforzada de un solo uso enviadas por la entidad financiera de la víctima (OTP).
En estos casos de operaciones de pago no autorizadas, recuerda el Banco de España que el proveedor de servicios de pago del ordenante (normalmente la entidad bancaria) deberá devolver a éste el importe de la operación de pago no autorizada de inmediato y, a más tardar, al final del día hábil siguiente a aquel en que se le haya notificado, restituyendo, en su caso, la cuenta de pago al estado que habría tenido de no haberse producido la operación de pago no autorizada. Esta obligación de restituir las cantidades al cliente se exceptúa sólo cuando cuando la entidad tenga motivos razonables para sospechar de la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en el buzón de correo electrónico específico que el Banco de España ha puesto a disposición con este exclusivo fin.