El SMS que convierte la “cancelación” en una autorización
Los delincuentes explotan el mayor miedo del cliente: que alguien esté moviendo su dinero. Con un texto breve y urgente —“Transferencia no autorizada. Cancélala aquí”— te empujan a un enlace que clona tu banca online. Allí te piden usuario y contraseña y, a continuación, llega un código (OTP). La página lo describe como “clave para anular la operación”. En realidad, ese código autoriza la transferencia que los estafadores iniciaron en paralelo desde tu sesión secuestrada.
Historia realista: cancelar… aprobando
A Sonia le llegó un SMS a las 21:47: “Aviso: transferencia no autorizada por 2.950 €. Cancélala ahora: [enlace]”. Pulsó, introdujo sus credenciales y, acto seguido, recibió una llamada de “Seguridad del banco”.
—“Le acabo de enviar una clave para bloquear la operación. Léamela, por favor”.
Sonia dictó el OTP convencida de estar frenando el fraude. Minutos después, vio en su extracto dos envíos a cuentas desconocidas por 4.700 € en total.
El banco rechazó su reclamación: “Usted autorizó los pagos con sus claves y OTP. Negligencia”.
Por qué la narrativa de “negligencia” es incompleta
La PSD2 obliga a la autenticación reforzada (SCA) y a la monitorización proactiva del fraude. Las Directrices de la EBA exigen que la experiencia de usuario sea inequívoca: el cliente debe entender qué está autorizando, a quién y por qué importe. Asimismo, las entidades deben elevar la fricción cuando detectan patrones de riesgo: beneficiario nuevo, importes inusuales, acceso desde dispositivo/IP desconocido, secuencia de operaciones acelerada.
Si el banco no acredita haber mostrado mensajes claros (por ejemplo, “Estás autorizando una transferencia a X por Y €”) ni haber aplicado fricciones adicionales (aprobación en app con detalle, retardo temporal en cuentas nuevas, verificación de titularidad), no basta con culpar al cliente. La “autorización” del OTP deja de ser un consentimiento informado si el sistema lo presenta como “código de bloqueo” o no ofrece información esencial.
Ciberinvestigación que cambia el guion
En INTELISOC, reconstruimos la cronología técnica:
- Capturamos metadatos del SMS (enlace, dominio, fecha de registro, certificados).
- Documentamos el flujo real de pantallas que vio el usuario (capturas, versiones de app, textos de aviso).
- Solicitamos al banco logs de autenticación: dispositivo, agente de usuario, IP, creación de beneficiario, tiempos entre pasos, OTP concretos.
- Evaluamos si la entidad implementó controles EBA: listas de riesgo, límites dinámicos, segunda verificación para destinatarios nuevos, mensajería inequívoca.
Con el informe de ciberinvestigación, demostramos que el cliente fue inducido a error y que el banco no activó mecanismos de protección razonables ante un patrón típico de fraude.
Jurisprudencia que respalda al afectado
Distintas resoluciones han estimado reclamaciones cuando:
- La entidad no prueba que el cliente comprendiera que el OTP autorizaba (no “bloqueaba”).
- No se acredita monitorización basada en riesgo (beneficiarios nuevos, importes atípicos, IP/dispositivo no habitual).
- Las advertencias eran ambiguas o poco visibles.
En esos supuestos, los jueces han ordenado reintegrar el dinero por incumplimiento del deber de diligencia.
Qué hacer si te ocurre
- No pulses enlaces del SMS: entra manualmente a tu banca o usa la app.
- Si caíste, bloquea de inmediato y solicita número de incidencia.
- Denuncia (Policía/Guardia Civil) y guarda todas las evidencias (SMS, URL, capturas, hora exacta).
- Pide al banco expediente técnico: logs, mensajes mostrados, justificación de controles antifraude.
- Encarga un informe de ciberinvestigación que conecte hechos con obligaciones PSD2/EBA.
Conclusión
Si te empujaron a “cancelar” y, en realidad, autorizaste bajo engaño, no es negligencia. Es un fallo de protección que puede probarse. Con INTELISOC, conviertes tu relato en prueba técnica y aumentas las opciones de recuperar tu dinero.
¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.