Un cliente pamplonés de Caja Rural de Navarra va a recibir 8.665 euros de la entidad bancaria después de haber sido víctima de un tipo de phising complejo (estafa web), en una modalidad conocida como SIM Swapping, que consiste en un ciberataque que se realiza a través del duplicado de la tarjeta SIM del teléfono móvil.
Una vez conseguido el duplicado, los ciberdelincuentes pueden obtener todo tipo de información del móvil hackeado y hacerse pasar por el cliente, al poseer todos sus datos y contraseñas, en las entidades bancarias con las que opere.
El cliente en cuestión sufrió precisamente este tipo de hackeo entre el 15 y el 17 de febrero de 2021 y le quitaron de sus cuentas de Caja Rural, en cuatro operaciones por él no consentidas pero de las que no fue consciente, la cantidad de 10.908,99 euros. No solo le habían realizado transferencias ilícitas, sino que también retiraron dinero con sus tarjetas en cajeros de Valencia y realizaron compras en comercios.
De dicha cantidad Caja Rural abonó al cliente en el mismo momento de interponer la denuncia hasta 2.243 euros pero no fueron devueltos los 8.665 euros de las operaciones no autorizadas. Finalmente, el cliente se puso en manos del despacho Iribarren Artola Abogados, especializados en derecho bancario y del consumidor, que demandaron frente a Caja Rural de Navarra y la operadora móvil por incumplimiento de ambos en dichas operaciones en las que el cliente perdió ese dinero.
Una vez que se presentó la demanda, la entidad contestó allanándose totalmente a las pretensiones y reconociendo su responsabilidad siendo condenada a abonar al cliente la cantidad sustraída de su cuenta. Con la operadora móvil (Pepephone) se llegó a un acuerdo antes del juicio.
cliente sin cobertura y sim duplicada Los hechos sucedieron en febrero de 2021 cuando el cliente se quedó sospechosamente sin cobertura móvil y miró su email desde su ordenador. Fue entonces cuando observó que Caja Rural le había notificado una transferencia que sin embargo él no había realizado.
Después, accedió a la banca electrónica Ruralvia y advirtió de que existían varias transferencias en su cuenta desde el 15 de febrero de 2021 que él nunca había realizado ni autorizado. Posteriormente acudió a su oficina de Caja Rural y les informó a los empleados de lo sucedido.
Desde la entidad confirmaron el supuesto fraude y anularon las transferencias realizadas, pero solo pudieron revertir las operaciones efectuadas el 17 de febrero y no los cargos que se habían producido entre el 15 y 16 de febrero que suman esos 8.665 euros. Las transferencias se habían realizado desde la cuenta corriente del cliente, así como desde otras dos cuentas nuevas que fueron creadas nuevas por el phiser (estafador web).
En las mismas fechas, se informó desde la operadora telefónica al cliente que había un fraude con la tarjeta SIM del teléfono móvil del demandante. En concreto, le confirmaron que la mañana del 15 de febrero, precisamente cuando comenzaron las operaciones ilegales, se había realizado un duplicado de tarjeta SIM por una tercera persona ajena al demandante y desde una tienda autorizada, en la que dicha persona se hizo pasar por la víctima navarra. Una vez que se conoció este hecho, se procedió a anular la tarjeta SIM duplicada.
Le dieron de alta en otra línea de móvil en Madrid
El 9 de junio de 2021 se recibe respuesta del Departamento Legal de la operadora móvil indicando que se hacen responsables del cambio de SIM pero en ningún caso del phishing. Y una semana después, el demandante recibió una llamada de la comisaría de la Policía Nacional en el barrio de Hortaleza de Madrid.
En dicha llamada le informaron que con un operador de telefonía móvil se ha dado de alta una nueva línea móvil a su nombre, y que con esa línea también se había cometido un fraude similar al suyo con una mujer vecina de aquel barrio. Por ese motivo, se interpuso denuncia el 19 de septiembre por el segundo duplicado a nombre de la víctima por los hechos cometidos en Madrid.
“Las entidades deben responder”
El letrado Iñaki Iribarren, que ha dirigido con éxito esta demanda, indica que “la resolución judicial es una alegría después del calvario que había pasado, era una desesperación para él y un martirio. La dificultad era que nos encontramos con un procedimiento muy complejo porque apenas había jurisprudencia".
"En Navarra no hay sentencias de SIM Swapping. La dificultad era cuadrar todos los hechos y la prueba para luego encajarla jurídicamente. Esta sentencia confirma que las entidades financieras, en el caso de incumplir la normativa de servicios de pago ante un phising bancario, deben responder por el dinero sustraído de la cuenta de sus clientes pues son quienes deben velar por los fondos depositados en las mismas y poner todas las medidas de seguridad exigidas por ley”.
Arantxa Ros, letrada en Iribarren Artola, añade que “es una sentencia pionera en Navarra y muy buena porque estamos ante un phishing muy complejo que suele darse menos que el phishing habitual, aquí son tres intervinientes que tienen responsabilidad sobre los hechos, un banco y una operadora móvil junto con el phiser. En el despacho estamos muy contentos del resultado por nuestro cliente”.
