Nota: hablamos de suplantaciones a cualquier marca; las pautas aplican a todos los bancos.
El patrón del mensaje
Texto corto, tono de urgencia y enlace que parece oficial: “Verificación urgente por acceso inusual”. El enlace abre un clon de la banca con formularios y “pasos de seguridad” que en realidad disparan transferencias.
“Firma de seguridad” que era un envío
A Iria le apareció un flujo llamado “firma de seguridad” al entrar por el enlace del SMS. Tras completar esa “firma”, recibió un OTP que el sistema presentaba como “código de protección”. Lo introdujo, convencida de blindar su cuenta. En realidad, autorizó dos envíos a un beneficiario nuevo.
Qué exigía PSD2/EBA
- Autenticación reforzada (SCA) con mensajes inequívocos: si se autoriza, debe mostrarse destinatario e importe.
- Monitorización basada en riesgo: primer envío a IBAN nuevo + flujo atípico ⇒ fricción (aprobación en app, retardo), no “firma” genérica.
- Alertas que permitan bloqueo inmediato.
Ciberinvestigación que fija los hechos
En INTELISOC: preservamos enlace/DOMINIO, comparamos pantallas con plantillas reales, exigimos logs (IP, dispositivo, alta de beneficiario, tiempos) y conectamos hallazgos con las obligaciones PSD2/EBA.
Jurisprudencia
Cuando la mensajería induce a confusión y no se acreditan frenos ante beneficiarios nuevos, los jueces han ordenado reintegros.
Conclusión
Si una “verificación” terminó en envíos, no es negligencia por defecto. Con ciberinvestigación, puedes reclamar y recuperar.
¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.