Nota: Este artículo trata sobre suplantaciones de marca por delincuentes. Las recomendaciones aplican a cualquier entidad.
El patrón del SMS fraudulento
Mensajes como “bloqueo de cuenta”, “transferencia no autorizada” o “verifique identidad” con un enlace acortado o un dominio muy parecido al oficial. A veces el SMS aparece en el hilo real de la entidad por cómo agrupan los móviles.
Caso realista
A Roberto le llegó “Bloqueo preventivo. Revise aquí”. Entró en un clon y luego recibió una llamada “de Seguridad”. Le pidieron OTP “para anular”; autorizó 5.200 €. Reclamó; respuesta: negligencia.
Qué debía pasar (aplicable a cualquier banco)
Conforme a PSD2/EBA, la entidad debe:
- Detectar acceso desde dispositivo/IP desconocido.
- Elevar fricciones ante beneficiario nuevo o importe atípico (aprobación en app con destinatario/importe, retardo).
- Enviar mensajes claros: el OTP autoriza a X por Y €, no “verifica”.
Si no lo acredita, la “autorización” no es consentimiento informado.
Ciberinvestigación de INTELISOC
- Análisis de dominio del enlace, cabeceras y flujo de pantallas.
- Exigencia y lectura de logs bancarios (IP, dispositivo, secuencia, mensajes).
- Conexión con obligaciones PSD2/EBA y redacción de informe inteligible para el juzgado.
Jurisprudencia
Cuando hay confusión razonable y el sistema no frenó lo atípico, los jueces han impuesto reintegros.
Cómo actuar
- No pulses enlaces de SMS: entra por la app o la URL oficial.
- Si caíste: bloquea, denuncia, pide expediente técnico y ciberinvestigación.
Conclusión
El problema no es la marca, sino la suplantación. Si faltaron defensas y mensajes claros, la reclamación prospera. INTELISOC convierte tu caso en prueba.
¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.