El señuelo de la verificación
Mensajes que piden “verificar identidad” tras “actividad sospechosa” son estándar del fraude. El enlace lleva a una web clonada con formularios y segundos pasos.
Caso realista: doble verificación… para robar
A Tomás le llegó un email con enlace “seguro”. En la web, además de usuario y contraseña, se le pidió renovar datos y luego introducir un OTP. El pseudo-soporte lo llamó para “finalizar el bloqueo”. Autorizó sin saber dos transferencias.
Obligaciones de la entidad
La PSD2/EBA impone SCA con sentido: si un usuario no suele hacer transferencias a cuentas nuevas o a esas horas, el banco debe detener/retardar o exigir pruebas adicionales (aprobación en app con mensajes inequívocos). El lenguaje de los mensajes debe evitar confusiones (OTP ≠ bloqueo).
Investigación que aclara
INTELISOC recopila:
- URLs, certificados, huella del servidor, tiempos.
- Capturas del flujo real de pantallas.
- Logs de autenticación y órdenes.
Se documenta dónde faltó claridad/ fricción y se conecta con la normativa.
Jurisprudencia
La ambigüedad en la experiencia de verificación y la ausencia de controles ante anomalías han llevado a reintegros.
Conclusión: “verificar identidad” es un arma del fraude. La banca debe preverlo; si no, responde.
¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.