Unicaja bajo presión por estafas de phishing: más de 1.000 familias afectadas

La Unión de Consumidores de Asturias (UCE) ha arremetido contra el Banco de España por su "indolencia" al no actuar ante el caso de los clientes de Unicaja afectados por estafas de phishing, un tipo de fraude cibernético que implica el envío de correos electrónicos o mensajes de texto que suplantan la identidad de la entidad bancaria. Este tipo de estafa busca que los usuarios entreguen información confidencial, como datos bancarios, a los ciberdelincuentes. Según la UCE, más de 1.000 familias asturianas se han visto obligadas a recurrir a los tribunales para recuperar el dinero robado de sus cuentas. La asociación acusa a Unicaja de negligencia, afirmando que no implementó las medidas de seguridad necesarias para proteger las cuentas de sus clientes, como ha quedado demostrado en más de 50 sentencias judiciales.

Falta de medidas de seguridad

En su comunicado, la UCE señala que los problemas de seguridad de Unicaja se agravaron tras la unificación de las plataformas digitales de Liberbank y Unicaja, un proceso que tuvo lugar hace dos años. La asociación denuncia que el banco no implementó medidas de seguridad reforzadas, lo que permitió que los ciberdelincuentes llevaran a cabo las estafas de phishing de manera efectiva. Con la ayuda de peritos y expertos en informática de la Universidad de Oviedo, la UCE ha logrado reunir evidencias de estos fallos de seguridad y, hasta el momento, los tribunales han fallado a favor de los clientes, obligando a Unicaja a reembolsar las cantidades defraudadas, además de los intereses legales y las costas del juicio.

La operativa de estas estafas consistía en enviar mensajes de texto (SMS) a los clientes de Unicaja, alertándoles de accesos irregulares a su banca digital o posibles cancelaciones de sus cuentas. En el SMS se incluía un enlace que redirigía a una página web que imitaba perfectamente el sitio oficial del banco. Al ingresar sus credenciales, los clientes permitían a los estafadores acceder a sus cuentas. Los ciberdelincuentes también solicitaban a los usuarios que introdujeran una clave de seguridad que recibían genuinamente por SMS de Unicaja, pero que en realidad servía para vincular los dispositivos de los estafadores, otorgándoles control sobre las cuentas bancarias de las víctimas.

Unicaja ignoró advertencias sobre el uso de SMS

La UCE también ha señalado que Unicaja mantuvo su sistema de autenticación basado en SMS, a pesar de que el Banco de España ya había advertido sobre el riesgo de estafas de phishing utilizando este método. Aunque los SMS con las claves de seguridad eran enviados por Unicaja, los estafadores eran quienes desencadenaban estas operaciones. Esto les permitía manipular el proceso de verificación de la entidad bancaria sin que se detectaran irregularidades. Según la UCE, la falta de detección de anomalías entre los dispositivos involucrados y las diferentes direcciones IP de los estafadores muestra una clara deficiencia en las medidas de seguridad del banco.

La asociación ha difundido una sentencia reciente de la Audiencia Provincial, que confirma la condena a Unicaja por no haber tomado las precauciones necesarias para proteger a sus clientes de las estafas de phishing. En este caso, el banco fue obligado a reembolsar 6.000 euros a una clienta asturiana cuyos fondos fueron robados por ciberdelincuentes.

Consecuencias legales y responsabilidad de Unicaja

La negligencia de Unicaja en la protección de las cuentas de sus clientes ha resultado en una serie de condenas judiciales, lo que ha aumentado la presión sobre la entidad bancaria. La UCE subraya que los tribunales han reconocido en numerosas ocasiones que Unicaja es responsable de los fraudes de phishing debido a su falta de medidas de seguridad efectivas. Estas sentencias están obligando al banco a compensar a las víctimas y cubrir los costes legales asociados.