En 2022, las denuncias por estafas en transacciones online crecieron un 109,% respecto al año anterior.
El pasado 6 de octubre, el Banco de España presentaba la Memoria de Reclamaciones 2022, en la que hace un repaso a los principales productos afectados, las causas y las resoluciones de las denuncias interpuestas, aportando cifras realmente relevantes.
Y es que las reclamaciones motivadas por operaciones fraudulentas no solo encabezan el listado de causas de la reclamación (30,3%) por segundo año consecutivo, sino que en un solo año se han doblado, pasando de las 4.955 reclamaciones en 2021 a 10.361 en 2021, es decir, un 109,1% más.
¿Alarmante, verdad? Pues si comparamos las cifras con las de 2019, es aún más escalofriante: se ha pasado de 911 reclamaciones a 10.361, eso es, un crecimiento del 1037% en 3 años.
Y es que la pandemia impulsó (para siempre) la adopción de los medios de pago digitales, que a su vez disparó las “oportunidades de negocio” de cibercriminales.
El 47% de las denuncias por fraude no se consideran fraude
La Memoria ofrece también datos muy interesantes acerca de la resolución (o no) de las reclamaciones.
Y el primer dato que nos llama la atención es que el phishing y scamming que generan estas denuncias son considerados “supuestas estafas” y consisten en:
- Pagos con tarjeta o transferencias vía Internet con las que el usuario no está conforme.
- Operaciones que el usuario no reconoce haber realizado y de las que no reconoce haber dado su consentimiento.
- El usuario afirma haber sido víctima de engaño.
¿Qué tiene de supuesto, entonces? Aquí viene el problema: como los ataques de phishing y scamming engañan a los usuarios para que faciliten sus datos (a través de correo, formularios, llamada telefónica…), no lo consideran un fraude, puesto que el usuario ha cedido a terceros los datos. Es decir, no han robado los datos, si no que el usuario se los ha dado.
Veamos cómo se traduce en cifras: el 47% de las reclamaciones por fraude (4.884) fueron inadmitidas. Y casi la totalidad de éstas proceden de phishing o servicios fraudulentos (95%).
Un 43% (4.538) sí fueron admitidas y un 84,4% de ellas resueltas a favor del usuario.
¿Qué fraudes son considerados como tal por el Banco de España? Pues aquellas operaciones en las que no se puede demostrar que fueran debidamente autenticadas previa ejecución del pago.
Es decir, lo que se está determinando es si la entidad bancaria ejecutó la operación cuando no debía ser así. Por lo que los usuarios que recurran al Banco de España tras ser víctimas de phishing o scamming difícilmente encontrarán salida a su caso.
¿Qué hacer en estos casos? Recurrir a las autoridades de consumo o de los tribunales civiles o penales.
¿Están cumpliendo los bancos en materia de protección de marca?
Los únicos responsables y culpables de cualquier ciberataque son los criminales que hay detrás. Lamentablemente, la responsabilidad de no facilitarles la tarea recae injustamente sobre las marcas y los usuarios. Los primeros, deben cerciorarse de que nadie usa su nombre e imagen para engañar, los segundos deben poner especial atención en a quién o dónde están facilitando sus datos.
Hemos realizado un rápido análisis de las principales entidades afectadas de acuerdo con la Memoria y estos son los datos y conclusiones a los que hemos llegado:
- Cientos de dominios sospechosos registrados
La cantidad de dominios registrados por terceros que usan sus marcas o similares es ingente. En algunos casos hablamos de pocos centenares, en otros casos muchos o incluso miles. Depende de su presencia y conocimiento internacional, así como de la marca en sí.
Hay que tener en cuenta, por un lado, que luchar contra tal cantidad de dominios potencialmente fraudulentos es una tarea titánica e interminable, nunca cesan de aparecer.
Por otro lado, el hecho de que no se hayan desmantelado dominios potencialmente fraudulentos no significa que no se esté haciendo nada al respecto. De hecho, en aquellos casos en los que no hay actividad delictiva o lesiva lo único que puede hacerse es ponerlos bajo vigilancia.
- Riesgos básicos sin cubrir
Dominios de alto riesgo en venta, expirados o simplemente registrados por terceros son signos de una falta de estrategia de protección de marca, y hemos detectado ejemplos de ellos en todas las entidades analizadas.
- Dominios fraudulentos
A pesar de haber hecho un análisis muy básico, hemos encontrado 6 dominios fraudulentos activos relacionados con 3 entidades.
- Las grandes entidades aprueban en autenticación de correo, con peros
Disponen de los protocolos que permiten a los clientes de correo detectar correos fraudulentos. No obstante, en algunos casos no se extiende a los dominios usados para enviar notificaciones y otras comunicaciones a clientes.
- La protección del correo, asignatura pendiente para el resto
Sin embargo, encontramos deficiencias a este respecto en otras entidades que, incluso, no disponen de los protocolos básicos correctamente implementados.
- Suspenso general en verificación de marca
Ninguna de las 10 entidades mencionadas la Memoria dispone de la verificación de marca, una herramienta indispensable para ayudar a los usuarios a detectar rápidamente los remitentes legítimos.
Obviamente, un análisis rápido es insuficiente para tener una foto real del estado de la seguridad en materia de protección de marca del sector financiero. A pesar de ello, los resultados obtenidos nos permiten detectar ámbitos en los que se debe mejorar.
Animamos a todas las marcas a realizar un análisis de su estado en materia de Protección de Marca Online y ser proactivas en la lucha por un Internet más seguro para todos.
¿Necesitas ayuda con dominios o contenidos fraudulentos?
Escríbenos con tu consulta, nos pondremos en contacto contigo pronto.