Unicaja deberá devolver 18.000 euros a un asturiano por un caso de phishing por SMS

Marcos Gutiérrez REDACCIÓN

ASTURIAS

UNICAJA
UNICAJA UNICAJA | EUROPAPRESS

La sentencia de la Audiencia Provincial de Oviedo afea la «falta de medidas de seguridad» de los sistemas de detección de fraude de la entidad en la fecha en la que sucedieron los hechos. Los expertos, entre otras medidas, recomiendan ante casos como este «actuar rápido», contactar con el banco y avisar a las autoridades, además de guardar «mensajes, pantallazos, correos y registros de llamadas»

25 ago 2025 . Actualizado a las 13:32 h.

Unicaja ha sido condenada por la sección Cuarta de la Audiencia Provincial de Oviedo a restituir aproximadamente 18.000 euros (17.898,23, en concreto), más los intereses legales, por un caso de smishing (phishing por SMS). Se trata de una sentencia fechada el 27 de noviembre de 2024, que desestima el recurso de apelación interpuesto por Unicaja frente al dictamen del Juzgado de Primera Instancia 10 de Oviedo el 16 de abril de 2024.

Los hechos tuvieron lugar el 12 de junio de 2022 a las 12.10 horas, cuando M.G.D. recibió en su teléfono móvil un SMS procedente, en apariencia, de la mencionada entidad bancaria, que por esas fechas estaba desarrollando su proceso de integración tecnológica con Liberbank. El SMS se agrupó con el hilo de otros enviados por la entidad y contenía el siguiente texto: «AVISO: Un acceso no autorizado está conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente» y, a continuación, incluía un enlace a una página de, supuestamente, el banco.

El demandante hizo clic en el aparentemente inocuo enlace que aparecía en el SMS y accedió a una web que se asemejaba a la perfección a la de la entidad demandada pero que, en realidad, era una réplica fraudulenta de la aplicación. Esta persona introdujo su identificación de usuario y su contraseña.

La sentencia explica que el 12 de junio de 2022 se recibe otro SMS, a las 12.24 horas, en el que la entidad financiera solicitaba introducir una clave para finalizar con la vinculación de dispositivo de Banca Digital. Este SMS, que procedía del canal legítimo del banco demandado, fue generado por el defraudador, que vinculó otro dispositivo móvil al sistema de banca digital de M.G.D., de modo que a través de él pudo realizar las operaciones fraudulentas.

Cinco transferencias en media hora

Entre las 12.28 y las 14.02 se autorizaron transferencias por importe de 6.000, 4.900, 4.589,23, 2.000 y 2.500 euros. Además de estas operaciones, constan otros intentos de fraude, como una transferencia por importe de 3.800 euros a las 12.51 horas. Obviamente, los mensajes recibidos avisándole de las transferencias «devueltas» alertaron al demandante, que a partir de las 13.11 horas realizó llamadas al 091 y al teléfono que la entidad bancaria facilitaba para emergencias, sin lograr detener el fraude.

A las 14.18 horas M.G.D. envió un correo electrónico y a las 17.42 presentó la oportuna denuncia ante la Policía Nacional. La sentencia explica que el importe defraudado ascendió a 19.989,23 euros y, tras diversas reclamaciones extrajudiciales, la entidad bancaria le reintegró la suma de 2.000.

En su fallo, la sentencia determina que «ninguna de las actuaciones que el banco apelante califica de gravemente negligentes pueden tener ese calificativo». En todo caso, el hecho de que el primer SMS fraudulento ofreciera una completa verosimilitud, por su redacción y por usar el identificador del propio banco para agruparse con el resto de los mensajes legítimos, «justifica la actuación del usuario, de modo que el hecho de clicar en el enlace no constituye en modo alguno una negligencia grave».

En esta línea, las transferencias fraudulentas «fueron realizadas por importes relativamente elevados como transferencias de ejecución inmediata, que no suelen ser las habituales en la operativa de un usuario medio, por el importe de las comisiones que conllevan».

Las cinco transferencias realizadas, unidas a los intentos frustrados de otras tres operaciones, «se realizaron en un breve espacio de tiempo», con destino a cuentas «poco habituales en la operativa habitual de un cliente medio», y por conceptos que se repetían de un modo sospechoso, tales como «pago alquiler» y una última en la que el concepto era «pago pago pago».

Las operaciones posteriores a las 13.11 horas fueron posibles, además, porque el Servicio de Atención al Cliente del banco demandado «no atendió la llamada del actor ni bloqueó la cuenta». A juicio del magistrado de la Audiencia Provincial, este conjunto de circunstancias «evidencia la falta de medidas de seguridad» de los sistemas de detección de fraude en la fecha en la que sucedieron los hechos «o, como mínimo, el fallo de las medidas implementadas a tal fin», lo que «queda ratificado por el elevado número de operaciones fraudulentas concentradas en las mismas fechas».

Actuar con rapidez y documentar todo

Iñigo Serrano Blanco, socio fundador de Sello Legal Abogados, bufete ovetense especializado en reclamaciones por ciberestafas y phishing frente a entidades financieras, explica que el smishing se ha convertido en una de las modalidades de fraude digital «más extendidas». Los ciberdelincuentes utilizan mensajes aparentemente genuinos de bancos y servicios para engañar a los usuarios y robar sus credenciales de acceso. «España, y en particular regiones como Asturias, han visto un aumento significativo de casos en los últimos años», comenta.

En este caso concreto, «los delincuentes vincularon un nuevo dispositivo» a la cuenta del cliente y «realizaron cinco transferencias no autorizadas que sumaron 19.989,23?euros». «Aunque el afectado avisó de inmediato a la policía y al servicio de emergencias del banco, solo consiguió bloquear una de las operaciones, por importe de 2.000?euros», mientras que el resto del dinero «desapareció de su cuenta».

La resolución judicial «subraya que las entidades financieras están obligadas a garantizar la seguridad de las transacciones de sus clientes». En este caso, «Unicaja no demostró haber implementado los mecanismos necesarios para proteger contra accesos fraudulentos y operaciones no autorizadas» y, por ello, «el banco fue considerado responsable y condenado a indemnizar al cliente».

Ante estafas como la relatada, este letrado recomienda «actuar rápido», contactar con el banco y denunciar el incidente a las autoridades, además de guardar «mensajes, pantallazos, correos y registros de llamadas». Asimismo, si el banco no devuelve el dinero íntegramente, se puede «presentar una reclamación extrajudicial primero» al Banco de España, y, posteriormente, acudir a los tribunales.