1

VISHING 6015885204

Nace de la unión de voice y phishing, tipo de estafa por teléfono en la que, a través de una
llamada telefónica se suplanta la identidad ya sea de una empresa, organización, o persona que
tiene confianza con la persona, con el fin de obtener información personal, como claves,
documentos, fechas, códigos, etc; que al final el resultado es la creación de una estafa de las
cuales pueden ser, millonarias, de vivienda, robo de tarjetas digitales y mucho más.

Al hablar de vishing, nos referimos a aquellos ataques cibernéticos los cuales están
relacionados con voces ya sea robótica o humana que se hacen pasar por personas autorizadas
para adquirir identificaciones sumamente importantes en la vida de las víctimas, además se basan
en enviar todo tipo de mensajes de textos o correos electrónicos, los cuales se crea una larga lista
de números telefónicos y correos electrónicos de los cuales los atacadores ya tienen en vista su
 2

víctima. Por lo que, al enviar mensajes de textos donde el usuario por acceder a este mensaje ya
está siendo víctima de acceso a todos sus datos personales, laborales, educativos etc., sin su
autoridad.

El medio por el cual se puede presentar son los famosos call-center corporativos, el cual se
define como área de agentes o asesores especialmente con una técnica de mercadeo o servicio al
cliente, quienes por motivo de trabajo y seguimiento a la hora de prestar el servicio son
autorizados para obtener datos que ayuden a la identificación de las personas.

Sin embargo, este medio puede representar una mayor agilidad en la adquisición de servicios
que pueden prestar algunos de las entidades formadas directamente con entidades autenticadas
por el gobierno del país más reconocido como cámara de comercio, por tal motivo, se crea la
confianza de suministrar datos de importancia como personales, familiares y educativos.

El fraude se representa de muchas formas, las más usadas son los métodos de comunicación,
así, se puede presentar a la víctima como una compañía o empresa con un nombre reconocido del
cual genera la máxima confianza y sin restricción alguna, asegurándole seguridad en todos los
servicios que presta, por lo tanto el atacante convence de una forma simultánea a su víctima
utilizando ingenierías social que permite el acceso a sus diferentes equipos personales mediante
herramientas de acceso remoto como alguna aplicaciones de google que se prestan para permitir
el control general de dispositivos sin ninguna complicación y por ende ocurre tal suceso
desafortunado.

También encontramos otro método comúnmente usado como lo es problemas financieros,

donde se presentan en entidades muy reconocidas a nivel nacional e internacional los mismos
llamado bancos, firmas legales e incluso la policía nacional, en este caso se presenta una novedad
sobre un problema o movimiento fraudulento asociado a las personas que se convierten en las
 3

victimas, con excusas intentan intimidar, hacerla coger miedo por sus cuentas o dichos
problemas; por lo que los atacantes solicitan la entrega de informaciones personales, laborales y
en algunos casos hasta acceso a sus computadoras, celulares inteligentes del usuario.

Seguidamente, se encuentran y son formados los diferentes reembolsos informáticos que es

una manera de ser seguimiento a sus víctimas para obtener informaciones que a futuro será
utilizados para realizar un acto de robo. Los atacantes que utilizan las llamadas telefónicas han
generado seguidamente el uso de programas para enmascarar sus voces, hasta acentos
geográficos también emplean voz del sexo opuesto esto para generar afirmación y congruencias
en personas que están realmente capacitados y autorizados para establecer conexión única y
exclusiva con los usuarios.

Para tener en cuenta los colaboradores asignados para realizar llamada en las entidades
autorizadas, no son permitidos para dar datos o informaciones a la misma persona en este caso
usuario, ya que por el método de seguridad son reservados, además cuando se habla de un
préstamo o sobre una llamada donde sea necesario estos documentos, solo serán autorizados por
los clientes.

Hacerse pasar por una persona, un negocio legítimo o una administración pública para estafar
a las personas no es un fenómeno nuevo, el Vishing es simplemente un nuevo giro en una vieja
rutina. De hecho, el Vishing lleva existiendo desde hace casi tanto tiempo como el servicio de
telefonía por Internet, al ser un canal mucho más "anonimizable" y por tanto poder delinquir con
total impunidad. (Institute, 2020)

Las modalidades de fraude virtual se han venido incrementando. Según el Centro Cibernético
de la Policía y la Cámara Colombiana de Informática y Telecomunicaciones (Ccit), en 2019
aumentaron en 54% los cibercrímenes en el país. El hurto a cuentas bancarias sigue siendo el tipo
más común, y precisamente el año pasado se reportaron en Colombia 31.058 casos de este tipo de
ciberfraude. (LR LA REPUBLICA, 2022),

Con respecto a lo anterior con las estadísticas dadas por la página web, podemos decir que
vemos un gran incremento sobre los robos cibernéticos que han surgido desde hace mucho
tiempo, simultáneamente en la creación del internet, estas estadísticas que general miedo en el
 4

territorio colombiano y que aterra en todos los aspectos de la vida, ya que siempre se están en
constante adquisición ya sea de préstamos bancarios, servicios telefónicos, prestación de dinero.

Por otro lado, una mejor alternativa y positiva para controlar estos dueños de lo ajenos como
comúnmente son llamados los implicados en robos, es evitar responder y contestar llamadas y
mensajes de textos en los cuales se encuentren defectos o cualidades que son pocos visibles en el
entorno global.

Una herramienta especial que evita afortunadamente esta situación son las aplicaciones
llamadas antifraudes, quien son encargados de identificar, analizar, controlar, los ajustes
correspondientes que generen dificultad al generar un correo electrónico o mensaje de textos,
estos ayudan a disminuir las consecuencias que se pueden presentar a largo plazo incluso a corto
plazo.

El vishing a través del tiempo ha evolucionado, ya que la tecnología está disponible para todos
ya no queda solamente en llamadas que pedían los datos y te decían que eran personal del banco.
Pues ahora van un poco más haya, pueden simular el menú bancario donde el usuario tiene que ir
tecleando donde aparecen diferentes combinaciones de números y finalmente llegar a la opción
correcta. El hecho de que utilicen estas tecnologías que les permiten a los estafadores ver los
números que tu estas tecleando en su teléfono y por lo tanto llega el momento en que te hacen
preguntas sensibles como que digites los dieciséis números de tus tarjetas y ellos pueden estar
revisando en tiempo real, así como datos de seguridad, números y datos muy personales del
usuario.

ya no tienen que llamar y hablar directamente con la persona sino con un conmutador
telefónico o una grabación le da al usuario la sensación que efectivamente es la empresa o el
banco con quien él está hablando y así registran todos los números e información que les vas
dando.
 5

2Teniendo en cuenta la globalización y el progreso de las tecnologías de la información y la

comunicación (TIC) y su influencia en la industria financiera, observaremos la responsabilidad
bancaria ante al delito de suplantación de identidad de un tercero de confianza según de la
entidad prestadora del servicio que desea obtener datos personales o bancarios de los usuarios en
Colombia, conocido como vishing, considerando los peligros y las amenazas constantes a las
cuales se enfrenta el usuario de la banca móvil, las transacciones en Internet, los cajeros
electrónicos mediante tarjeta electrónica. Analizaremos la polémica sobre el grado de
responsabilidad objetiva de las entidades financieras frente a sus usuarios, cuando se comete un
delito por un tercero, es decir, por la ciberdelincuencia, todo desde la perspectiva del derecho y la
legislación vigente.

Gracias a la globalización que se ve reflejada en todos los ámbitos de la sociedad, de la mano

de los avances tecnológicos de la información y comunicación, se ha originado el ciberespacio
como el transcurso divulgativo de acceso a las tecnologías, información y comunicación, creando
amenazas de gran magnitud como un riesgo social, gracias a los diversos delitos cibernéticos
provenientes de la delincuencia que atenta y amenazada contra la seguridad de los Estados y las
personas naturales y jurídicas lo cual llevó a los gobiernos, las instituciones y organismos
internacionales a formular la necesidad de crear estrategias comunes a generar barreras
tecnológicas judiciales y sociales, contra la ciberdelincuencia.

Debido al incremento del ciberdelito en el sector bancario, es especial las transacciones a

través de la banca móvil, transacciones en línea por medio de Internet o cajeros automáticos, se
plantea la pregunta ¿Hasta qué punto la entidad bancaria prestadora del servicio se hace
responsable al delito de vishing?

La respuesta a esta pregunta ha suscitado una gran polémica debido a que existen dos
posiciones contrapuestas, la posición del cliente y la posición del banco, la postura del cliente o
usuario se fundamente en la subsistencia de la responsabilidad objetiva por parte de la entidad
bancaria, debido a que el servicio prestado se considera riesgoso y además no se toman las
suficientes medidas necesarias de seguridad y por ende deben hacerse responsables de los
 6

perjuicios ocasionados que con esa práctica son producidos. Por otro lado, la posición de la
entidad bancaria, es que, no debe recaer la responsabilidad riesgosa cuando los daños o perjuicios
son ocasionados por un tercero, donde además existe una relación contractual entre las partes y
hay unas disposiciones aceptadas por los clientes que son vinculantes ante ese hecho.

Durante años, el concepto de delito informático o cibercrimen ha estado activo ya que el

progreso tecnológico es irresistible, así se desarrollan nuevas formas de delincuencia y con ellas
problemas de protección de la información de personas naturales y jurídicas tanto a nivel
nacional como nivel internacional. Debido a ello, diferentes expertos en el campo de la
informática y del derecho en materia penal, han dado sus posturas sobre el concepto de delito
informático o cibercrimen así; Según el experto italiano Carlos Sarzana en su obra "Criminalita e
tecnología" es definido como delito informático a "los crímenes por computadora que
comprenden cualquier comportamiento criminógeno en el cual la computadora se involucra como
material o como objeto de la acción criminógena" (AADAT, 2017:12).

Por otra parte, la experta María de la Luz Lima expresa que el delito informático "Es un
sinsentido amplio, es cualquier conducta criminógena o criminal que en su realización hace uso
de la tecnología electrónica ya sea como método, medio o fin, y que, en un sentido estricto, el
delito informático es cualquier acto ilícito penal en que las computadoras, sus técnicas y
funciones desempeñan un papel ya sea como método, medio o fin" (AADAT, 2017:14). De este
modo, se observa que la delincuencia atraviesa más allá de la consumación de un delito de
manera física, puesto que se busca simplificar la materialización de ello a través del uso de los
medios tecnológicos disponibles, he aquí donde la noción de delito informático en forma típica y
atípica se manifiesta como lo conceptualiza Julio Telléz Valdez, manifestado como "las
conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento
o fin" y "actitudes ilícitas en que se tienen a las computadoras como instrumento o fin" (Talléz
Valdez, 1995:1).

El primer tratado internacional en la historia de la humanidad sobre ciberdelincuencia, se llevó

a cabo en la ciudad de Budapest, sellado el 23 de noviembre de 2001 en la ciudad húngara de
Europa Oriental y ratificada por estados unidos con la aprobación unánime del senado en el mes
de agosto de 2006 y que a la fecha cuenta con 41 países, asociado a la Organización de Las
Naciones Unidas (ONU) en el cual en la presidencia de Colombia de Juan Manuel Santos fue
 7

aprobada la ley 1928 del 24 de julio de 2018, por medio de esa disposición el estado colombiano
entró a formar parte del Convenio de Budapest (OAS, 2019) dicho convenio o tratado se decretó
con el fin de identificar, tipificar e instaurar un conjunto de normas contra los delitos cibernético
o informáticos a nivel internacional como ejemplo a tratarse en cada país, con la finalidad de
mitigar las consecuencias adversas de ese tipo de acciones ilegales que amenazan los bienes
económicos y morales a los que se exponen las personas en la actualidad con el uso de la
tecnología en cada espacio.

Este convenio reúne conforme a su definición y perspectiva los delitos informáticos de la

siguiente forma: Título I: Delitos contra confidencialidad, la integridad y la disponibilidad de los
datos y sistemas informáticos. (Art 2) Acceso ilícitos, (Art 3) Interceptación ilícita, (Art 4)
Ataques a la integridad de los datos, (Art 5) Ataques a la integridad del sistema, (Art 6) Abuso de
los dispositivos, (Art 7).

Título II: Delitos informáticos. (Art 7) Falsificación informática, (Art 8) Fraude informático.
Título III: Delitos relacionados con el contenido. (Art 9) Delitos informáticos relacionados con la
pornografía infantil. Título IV: Delitos relacionados con infracciones de la propiedad intelectual y
derechos afines. (Art 10) Delitos relacionados con infracciones de la propiedad intelectual y
derechos afines, (COE, 2017).

En Colombia dentro del marco legal que se estableció el 5 de Enero de 2009 mediante la Ley
1273, por el cual se modifica el código penal y se crea un nuevo bien jurídico Tutelado
denominado "De la protección de la información y de los datos" en donde de acuerdo a su
comisión se clasifican en 10, para efectos de este escrito tomaremos los artículos 269E. "Uso de
software malicioso", Art 269F. "Violación de datos personales", 269G. "Suplantación de sitios
web para capturar datos personales". Art 269I. "Hurto por medios informáticos y semejantes".
Art 269J "Trasferencia no consentida de activos". Estos delitos hacen parte de los ataques de
ingeniería social de tal forma que se han perpetuado aprovechándose de la vulnerabilidad de los
errores o fallos humanos, que por medio de ello logran conseguir datos personales que sirven
para perjudicar y sustraer información.

Estas formas de actividades delictivas donde utilizan diversos modos de operar como por
ejemplo llamadas telefónicas, envío de correos electrónicos en donde solicitan información
 8

sensible como claves de tarjetas de crédito e incluso de manera física por medio de
identificaciones falsas para acceder a sitios web no autorizados al público en las entidades.

ELEMENTOS DEL TIPO.

En el código penal Colombia el articulo 269E. Uso de software malicioso definiéndolo como:
"El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe,
introduzca o extraiga del territorio nacional software malicioso y otros programas de
computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y
seis (96) meses y una multa de 100 a 1.000 salarios mínimos legales mensuales vigentes",
(CÓDIGO PENAL COLOMBIANO). Ejemplo: el que incurre en este delito lo hace por medio de
un supuesto "soporte técnico" el atacante se comunica con la víctima afirmando "ser de una
compañía especializada en seguridad informática", persuadiendo a la víctima asegurándole que
presta servicios de protección en su equipo. Por medio de la ingeniería social, el atacante
convence al usuario de consentir el acceso a su equipo mediante herramientas de acceso remoto,
como Team Viewer, las cuales permiten controlar el dispositivo al que acceden, donde luego
efectuando aplicaciones usualmente instaladas de fábrica en el equipo de la víctima o mostrando
archivos "corruptos" encuentran falsos indicios de una infección, donde luego de preocupar al
usuario lo intiman a comprar un supuesto "antivirus".

Art 269F. Violación de datos personales. "El que, sin estar facultado para ello, con provecho
propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre,
intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en
ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y
ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes", (CÓDIGO PENAL COLOMBIANO). Ejemplo: el que incurre a este delito
se hace pasar por la voz de una entidad como la policía o banco o una firma legal para informar
sobre algún problema o movimiento fraudulento asociado a la víctima, es con esas excusas que
los atacantes les solicitan a los usuarios la entrega de información personal y el algún caso el
acceso a la computadora del mismo usuario pudiendo así acceder a escenarios de credenciales
sensibles.

Art 269G. Suplantación de sitios web para capturar datos personales. "El que con objeto ilícito
y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe
 9

páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y

ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales
mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más
grave". De igual forma, agrega el código. "En la misma sanción incurrirá el que modifique el
sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP
diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre
que la conducta no constituya delito sancionado con pena más grave". Ejemplo: el que incurre a
este delito lo hace por medio del aprovechamiento de la buena voluntad de la víctima, hasta
persuadirla para que instale en su equipo un software de acceso remoto que le permite al
estafador tener acceso al equipo de la víctima.

Art 269I. Hurto por medios informáticos y semejantes. "El que, superando medidas de
seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema
informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a
un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las
penas señaladas en el artículo 240 de este Código".

Art 269J. Transferencia no consentida de activos. "El que, con ánimo de lucro y valiéndose de
alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de
cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito
sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento
veinte (120) meses y en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. La
misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de
computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa".

Estos dos últimos delitos que también hacen parte de los ataques de ingeniería social, es el fin
al que los atacantes quieren llegar por medio de las acciones y delitos mencionados
anteriormente.

El código también puntualiza el ciberdelito conocido como visión explicándolo como "la
suplantación de identidad que tiene por finalidad apropiarse de datos confidenciales de los
usuarios" se utiliza como una manera de spam utilizados de forma perniciosa, poniendo en riesgo
la integridad de informaciones sensibles de los usuarios e inclusive provocando consecuencias
desfavorables Pará que la conducta sea tipificada como hecho público, se necesita que el agente
 10

actúe con un objeto ilícito, ya que si no hay este, no se puede hablar de delito y además de ello el
agente no debe estar autorizado.

Se procede a hacer un estudio de la responsabilidad objetiva por parte del banco sobre los
tipos penales de los artículos expuestos en este escrito, que provienen del código penal
colombiano. “La responsabilidad objetiva se basa en la inobservancia de normas de cautela, antes
que en una valoración del actuar de la persona y de sus perfiles subjetivos” (Diez-Picazo,
1999:333). En otro orden de ideas, la responsabilidad subjetiva se establece solamente en la
presencia de culpa por parte de un sujeto, situación que no se presenta en la responsabilidad
objetiva.

Ideológicamente se ha comprendido "que el daño es la razón de ser de la responsabilidad, y

por ende es fundamental la reflexión de que su especificación en sí, determinando sus diferentes
aspectos y su cuantía ha de habitar el primer sitio en terminología lógica y cronológica en la
ocupación de las partes y el juez procesal. Si no hay daño o si o es posible determinar o no fue
posible evaluar, hasta este punto se llega; cualquier esfuerzo adicional, referente a la autoría y a
la calificación moral de la conducta del actor resultara necio e inútil. De ahí también la
incongruencia de empezar la indagatoria por la culpa de la demanda, de esa manera afirma Henao
que “el estudio del daño puede y debe, entonces, aislarse del estudio del conjunto de la
responsabilidad. Se trata de hacer la separación entre la responsabilidad y el punto de partida”, y
más adelante, “el daño es un requisito indispensable para que surja la responsabilidad civil; es
más, es su punto de partida”.

Con base a ello, es fundamental, instaurar su validez y su alcance, con el fin de conseguir de
forma efectiva la reparación debida del problema, esto es, la traslación patrimonial en beneficio
de la víctima y en contra del responsable o responsables, en especial cuando se presenta en
interés o bienes colectivos. Por ende, es lógico comprender que el daño sea el asunto inicial en el
estudio de la responsabilidad. Por tanto, el daño es esencial pero no idóneo para la presencia de
responsabilidad, debido a que es necesario la existencia de otros elementos que complementen su
estructura.

La Corte Suprema de Justicia en la Sentencia SC18614-2016 de diciembre 19 de 2016,

resolviendo un recurso de casación, señalo que: Las entidades financieras “deben reparar
perjuicios ocasionados por fraudes electrónicos, se advierte que las entidades financieras deben
 11

asumir la responsabilidad por la defraudación sufrida por sus usuarios a través de transacciones
electrónicas y reparar, en consecuencia, los prejuicios sufridos por estos actos, en efecto, se
explica que ese riesgo es inherente a la actividad bancaria, la cual se caracteriza por ser
profesional, habitual y lucrativa, cuya realización requiere, además, de altos estándares de
diligencia, seguridad, control, confiabilidad y profesionalismo. Lo anterior conduce a la
innegable e ineludible obligación de garantizar la seguridad de las transacciones que autoriza por
cualquiera de los medios ofrecidos al público, con independencia de si los dineros sustraídos,
provienen de cuentas de ahorro o de cuentas corrientes, no obstante, se aclara que un banco,
puede exonerarse si prueba que el fraude ocurrió por culpa del cuentahabiente o que su actuar dio
lugar al retiro de dinero de la cuenta, transferencias u otras operaciones que comprometieron sus
recursos, pues si bien es el usuario quien tiene el control de los mecanismos que le permiten
hacer seguimiento informático a las operaciones, a través de controles implantados en los
software especializados con los que cuentan, se recuerda que la culpa incumbe demostrarla a
quien la alegue”.

Con este fallo, la Corte Suprema De Justicia, estableció que, el sistema bancario será
responsable con la seguridad de las transacciones de sus usuarios, realizadas por medios
electrónicos, aunque la entidad bancaria podrá exonerarse de dicha responsabilidad, siempre que
pruebe que el fraude sucedió por descuido o culpa del cuentahabiente. Pero, en fin, el banco es el
que tiene que mejorar la pedagogía con los clientes, con la finalidad de minimizar el riesgo de
fraude, través de esa modalidad conocida como vishing.

Se procede a hacer un estudio de la responsabilidad subjetiva por parte del banco sobre los
tipos penales de los artículos expuestos en este escrito. Su concepto se conoce de la siguiente
manera “El régimen de responsabilidad subjetiva se fundamenta en la noción de culpa, es decir,
en la intención de inferir daño por parte de su causante, o el grado de negligencia que genera tal
daño. Así, el mecanismo principal para determinar la ausencia de responsabilidad por parte del
causante del daño es la demostración de la diligencia que le es exigida en el caso particular”
(Rodríguez Zárate, 2014:292).

Respecto a la ausencia de una legislación o marco jurídico adecuado para la instauración de

los sujetos responsables en la provisión, distribución y manejo del internet, en el Código Civil
Colombiano con su carácter y fundamentación se asimila a la posibilidad de establecer las
 12

responsabilidades por los delitos y culpas, que se establecen en los artículos 2341 a 2360, en los
que se señalan los parámetros principales de la responsabilidad civil extracontractual en
Colombia, que ha estado complementado por la parte doctrinal y jurisprudencial, en especial en
lo concerniente al establecimiento de las teorías clásicas de responsabilidad subjetiva (daño,
conducta, nexo, causal).

Es en este marco que se puede atribuir responsabilidad civil de las personas jurídicas y
responsabilidad de los proveedores de servicio de internet PSI dado que son agentes de riesgo.
Pero también puede extralimitarse la postura en tanto que los PSI son meros intermediarios o
mandatarios y es en ese sentido que la jurisprudencia internacional en sus fallos los ha
catalogado. “En todo caso se debe partir del supuesto de que, por tratarse de responsabilidad
subjetiva, la entidad bancaria está obligada a desarrollar sus actividades tendientes a brindar
seguridad en transacciones electrónicas con el mayor grado de diligencia, pero no puede
garantizar un resultado, pues trascendería entonces su obligación al ámbito de la responsabilidad
objetiva” (Rodríguez Zárate, 2014:292).

La Corte Constitucional, con respecto a la culpa, ya lo menciona en la Sentencia C-155/02,

“que la jurisprudencia constitucional ha sido reiterativa en exigir la culpabilidad como elemento
esencial para derivar responsabilidad, lo que implica que sólo son sancionables las faltas que son
cometidas a título de dolo y de culpa en virtud de ello el operador jurídico debe remitirse a las
previsiones del Código Penal y de Procedimiento Penal”. Prosigue la sentencia aclarando que
“no resulta suficiente que se establezca la existencia o comisión de la falta y se determine su
autor, sino que se debe determinar la culpabilidad (a título de dolo o culpa), para definir el grado
de levedad o gravedad de la falta (Art. 27°, numeral 1, Ley 200 de 1995), todo ello soportado en
las pruebas debidamente decretadas, practicadas, controvertidas y allegadas, para proteger las
garantías constitucionales del derecho de defensa y presunción de inocencia” Este fallo aclara que
no sólo basta con determinar la culpa, sino que además debe ser precisada bien a título de dolo o
de culpa, pero fundamentada con exactitud.

De conformidad con el artículo 1604° del Código Civil, la entidad emisora del medio de pago
seria quien estaría en la obligación de probar que actuó en forma diligente, por lo que al titular de
dicho medio de pago solo le incumbe afirmar que sus perjuicios derivaron del incumplimiento
contractual de parte de la entidad financiera. “Teniendo en cuenta que la responsabilidad
 13

contractual parte de presumir la culpa, se invierte la carga de la prueba y entonces no corresponde

al titular del medio de pago probarla, sino al emisor acreditar su diligencia” (Rodríguez Zárate,
2014:294).

MEDIDAS DE SEGURIDA CONTRA EL CIBERDELITO

3 (VISHING)

Teniendo en cuenta la problemática que se está planteando nos podemos dar cuenta qué al
igual que el vishing hay otros tipos de ciberdelitos los cuales tienen algo en común. Qué es robar
nuestra información y dinero mediante técnicas bastante complejas, una de estas técnicas o
modos de operar es el vishing con el cual obtienen información privilegiada sobre cuentas
bancarias, datos personales o información privilegiada de personas jurídicas. Pero existen
muchísimas Formas de prevenir este tipo de ataques cibernéticos o ciberdelitos por medio de la
seguridad informática y de la prevención individual de cada persona, como ya sabemos Cómo
funciona el vishing podemos deducir o intuir el momento exacto en el cual se está haciendo la
 14

suplantación vía telefónica de un funcionario del banco, con el objetivo de obtener nuestra
información bancaria o datos personales que comprometan nuestro patrimonio. Por esta razón el
presidente de ScotiaBank Colpatria ,Jaime Alberto Upegui, insistió mediante un comunicado
sobre lo importante que es estar muy atentos al momento de recibir llamadas en las cuales nos
pidan nuestros datos personales, claves de cuentas de ahorro o corriente, números de cédula,
numero celular o códigos de seguridad y como siguiente medida hacer uso de las líneas
proporcionada respectivamente por los bancos y continuar con validación de la información qué
le pedían anteriormente. De esta manera se dará cuenta si en verdad su banco necesita la
información correspondiente a sus datos más sin embargo este no es un método habitual por los
cuales los bancos autorizados en Colombia adquieran información de sus clientes Ya que en gran
medida las personas hacen presencia en sedes autorizadas de cualquier banco en nuestro país para
hacer los respectivos trámites y consolidaciones de documentación necesaria para adquirir un
servicio de los diferentes bancos, aseguradoras o corporaciones legalmente constituidas en el
país.

Ya que tenemos claro uno de los principales modos de operar del ciberdelito llamado vishing
traeremos a colación seis maneras de estar atento y prever un ciberdelito o cualquier otro tipo de
estafa cibernéticas.

-Una de las alternativas que podemos utilizar es hacer uso de aplicaciones de identificación de
llamadas ya que con las innumerables alternativas para cambiar la voz y crear números falsos es
bastante difícil identificar la procedencia de una llamada por esta razón las apps de identificación
de llamadas son esenciales.

-No hacer clic ni uso de enlaces para responder indicaciones, si se recibido un mensaje o
correo electrónico en el cual se le manifieste acceder a sitios de compra venta o verificación de
información para que usted responda preguntas no lo haga.

-Siempre verificar la identidad del contacto o persona que se comunique con usted sin
importar el medio por el cual lo haga, si el remitente proporciona algún tipo de número o medio
 15

por el cual puede hacer la devolución de la llamada tenga presente que puede ser parte de la
estafa. Así que evite el uso rotundo de información que le suministra y en su lugar verifique y
utilice el número telefónico Público de la empresa o institución la cual está en contacto con usted
y verifica la información

-No facilitar información personal o confidencial ni mucho menos tampoco responder a

requerimientos sobre cuentas bancarias o tarjetas de crédito o débito, documento de identidad.
Fechas de nacimiento, fecha de expedición o dirección de residencia. Ante cualquier duda se
debe Llamar a los bancos y notificar la anterior llamada y verificar si la solicitud de información
financiera es totalmente cierta.

-No menos importante colgar a la primera señal o sospecha de qué se trata de una llamada
telefónica fraudulenta

-Tener presente las actualizaciones de sus dispositivos móviles y los antivirus de cualquiera
herramienta virtual que utiliza para manejar información o cualquier medio por el cual tramita
documentación e información sobre cuentas bancarias, datos personales o cualquier otro tipo de
información que afecte en gran medida su patrimonio o bienestar

Varios ejemplos de vishing en nuestro país serian estafas de cuenta bancaria o tarjetas de
créditos comprometidos, préstamos no solicitados, ofertas de inversión estafa de la seguridad
social o agencias tributarias e impuestos. Con esto nos referimos a que de esta manera se les
denomina a las diferentes formas en las que se aplican el vishing ya que por medio de llamadas
telefónicas pueden hacerse pasar por personas o entidades para así obtener información de sus
cuentas bancarias de la misma manera los ciberdelincuentes pueden llamar a los usuarios con
ofertas que son demasiado buenas para ser verdad y estaríamos hablando de préstamos no
solicitados u ofertas de inversión. También las llamadas telefónicas son el método más utilizado
por los cibercriminales para ponerse en contacto con personas mayores las cuales son muy
susceptibles al engaño y así llegan con la excusa de solicitar información para la seguridad social
o agencias tributarias o de pensión.

Dentro de los ciberdelitos más comunes tenemos:

- Estafa por compra o venta de productos: 2.391 casos o incidentes reportados.

 16

- Phishing (correos electrónicos falsos para pescar información confidencial): 1.753 casos.

- Suplantación de identidad: 1.776 casos.

- Vishing (llamadas falsas suplantando a funcionarios de entidades financieras o comerciales):

1.087 casos.

- Malware: 1.045 casos.

- Amenaza a través de redes sociales: 972 casos.

- Injuria o calumnia a través de redes sociales: 676 casos.

Reportado por la CCP (centro cibernético policía nacional)

TIPOS DE CONTRATOS DONDE SE PRESENTA EL

VISHING.
4
Los tipos de contratos que se presentan son los contratos electrónicos, estos son los contratos que
tiene un convenio entre varias partes. Esta no se trata de contratos que estipulan la duración de
una membresía, sino de contratos tradicionales. La diferencia entre estas es que estos contratos
están formalizados por medios electrónicos. La manera cómo funcionan estos contratos
electrónicos, no se constituyen en sí mismo los tipos de contratos diferentes. Por esta misma
razón es útil conocer su legitimación de la cual la manera cómo funcionan de diferente acuerdo a
lo habitual, así mismo de esta manera podemos decir que no es necesaria la presencia física
 17

simultanea si no que se realizan desde los otros lugares gracias a los mecanismos telemáticos.

Existen diferentes tipos de contratos electrónicos.

De estos tipos de contratos podemos encontrar en la actualidad, y de esta forma este se clasifica
en diversas funciones de diversas cuestiones, pero también podemos encontrar diferentes tipos de
contratos dependiendo de la forma en la que se lleva a cabo el acuerdo, esta emisión en las
diferentes declaraciones de las partes y de quieres son dichas partes de cómo se lleva a cabo el
pago y cuál sería el objetivo del contrato, y en los cuales encontramos el VISHING.

CLASIFICACION POR FORMA.

1. Contrato electrónico directo.

La primera de estas clasificaciones viene dada por la forma en la que se puede ejecutar el
contrato, se trata de la compra de productos que puedes ser encontrar, adquirir o pagar de una
forma incierta a veces dado que estos fraudes electrónicos se dan este contrato de esta forma, que
ya todo es ONLINE. Por ejemplo, en la compra de bienes que te interesan por compras con
tarjeta pagos en línea, te roban tu información, dinero y demás de tú tarjeta.

2. CONTRATO ELECTRONICO INDIRECTO.

 18

En este tipo de contrato de comercio electrónico es donde más el vishing se ve reflejado dado que
este producto se ofrece ONLINE únicamente y es donde más las personas suelen caer en esta red
de cibernautas, se trata sobre la adquisición de productos a través de la página la cual debe
acceder al contrato y en ella poner su información bancaria y datos personales.

LOS FRAUDES EN EL INTERNET POR MEDIO DEL

VISHING.

El fraude en internet por medio del este medio VISHING se basa en la utilización maliciosa de
tres elementos sobre los que se construye el engaño: Ingeniería Social, spam y malware. La
presencia de estos varios elementos varía según el tipo de fraude. Son utilizados por contratos
electrónicos y de una complementaria.

La ingeniería social, es la herramienta más utilizada para llevar a cabo toda clase de estafas,
fraudes y timos sobre los usuarios más confiados mediante técnicas de engaño. Convencer a los
internautas para que se reenvíen un correo a su lista de direcciones y que este pueda contener
código malicioso es el ejemplo más habitual en este caso.

El fraude en internet es él envió de correo masivo y no deseado, también conocido como un

spam. Esta constituye el mejor y más barato mecanismo para los que practican el VISHING y
puede causar confusión de cualquier información, y por lo tanto que cualquier intento de robo o
fraude se difunda muchísimo más rápido sin costes.

El MALWARE, los practicantes de estos robos cibernéticos lo usan como una forma de virus,
gusanos o troyanos, capturadores de pantalla etc., y está diseñado específicamente para solo
realizar tareas fraudulentas que son los que utilizan el contrato electrónico y así mismo ayudan a
 19

que intercepten los datos que el usuario intercambia con una determinada entidad o por las
pulsaciones de su teclado.

Estos tipos de fraude electrónico son más difundidos por medios de contratos electrónicos con
falsas páginas webs, malware bancario y otros timos como cartas nigerianas, estadas piramidal,
miles, hoax, vishing, etc.

Así mismo se aprovecha las posibilidades que presenta el comercio electrónico, que se han de
tomar medidas para evitar estos fraudes y también cumplir con la legislación. Además de las
medidas técnicas para prevenir el VISHING.

EL TIPO DE CONTRATO DIRECTO QUE UTILIZAN PARA EL

´´REEMBOLSO POR SERVICIO INFORMÁTICO’’

Este modelo de ataque se aprovecha de la buena voluntad de las victimas que caen el Vishing por
medio de esta red, los criminales establecen una primera comunicación que telefónica para
informar sobre una supuesta devolución de un dinero por un servicio que este usuario contrato
hace años, y que la supuesta compañía dejo de ofrecerlo. Así mismo el estafador persuade la
víctima para que el primero instale en su equipo de software de acceso de cuidado remoto que le
permitirá al estafador tener un acceso al equipo de la víctima, para que luego al solicitar el acceda
desde su computadora a su cuenta bancaria y en paralelo, se pueda simular esta falsa
transferencias que son a través de un solo sitio falso o desde la misma cuenta terminal del sistema
operativo. Y al similar esta falsa transferencia dejan que el usuario ingrese el monto que
previamente le indicaron que deben devolverle y así una vez se ingresa la cifra de estafadores
rápidamente se puede modificar el monto para que parezca que el usuario se equivocó.

CONTRATO ELECTRONICO CON PAGO ELECTRÓNICO.

(Problemas financieros/Problemas legales/Suplantación de identidad de organismos estatal)

 20

Este contrato trato implica las transacciones económicas, lógicamente. Se trata de acuerdos que
son abonados por métodos electrónicos, como una tarjeta de crédito y transferencias entre bancos
o dineros virtuales. Es aquí donde el VISHING se apodera de este tipo de contrato y es el más
fácil para ellos, dado que cada usuario tiene que insertar su contraseña de cada tarjeta. Es la
forma de hacer el VISHING más llamativa.

EJEMPLOS DE ESTOS TIPOS DE FRAUDE CON VISHING.

1. El criminal se configura en un war Darling para así llamar a números telefónicos en una
determinada región y así poder configurarlo de manera más fácil.

2. Cuando una de las llamadas es contestada, una grabación toca y alerta que al ‘’consumidor’’
que así su tarjeta de crédito está siendo utilizada de forma fraudulenta y que este debe llamar al
número que sigue inmediatamente. El numero puede ser un número gratuito falseado para la
compañía financiera y que le requiere financieramente que se pretenda representar.

3. Cuando la víctima llama a este número, es contestada por una voz computarizada que le
indica al cliente que su cuenta necesita ser verificada y que le requiere que ingrese los 16 códigos
de su tarjeta de crédito.

4. Cuando la persona provee la información de su tarjeta de crédito, el visher tiene toda la

información necesaria para realizar cargos fraudulentos a la tarjeta de la víctima.

5. La llamada puede ser también utilizada para obtener detalles adicionales como el PIN de
seguridad, la fecha de expiración, el número de cuenta u otra información importante.
BBC News (14 de diciembre de 2013). 
 21

Ahora podemos realizar una diferencia entre un contrato electrónico y uno tradicional que es la
forma de consentir, la cual se realiza a través de medios electrónicos, y así mismo de esta misma
forma se materializa. Al igual que en la práctica tradicional, en un documento que se pueda
denominar los documentos electrónicos. En la que al igual que en la práctica tradicional es un
documento que se denomina documento electrónico. En la que la obra se estudia
pormenorizadamente, en esta relación a la teoría tradicional del documento y la prueba del
documental, el concento, la naturaleza jurídica y demás de estos elementos del documento
electrónico como prueba tanto judicial como extrajudicial.

Con el fin de hacer la clasificación de los contratos usaremos los siguientes ejemplos.

° CONTRATÓ DE COMERCIO
ELECTRONICO DIRECTO.
En este contrato el vishing se da con los bienes
inmateriales o la prestación de servicios que no se
precisen de manera física de su prestador, es ahí
donde estos los practicantes del vishing se
aprovechan de manera inmediata o diferida.
Ejemplo: En la adquisición de licencias de cual es
uso de programas informáticos o derechos sobre
los videos de la contratación de los servicios de
hosting.
22
CONTRATÓ DE COMERCIO
ELECTRONICO INDIRECTOS.
Este contrato el vishing se aprovecha del pago en
línea, aunque la entrega de este producto sea de
entrega física.
Este contrato exige el pago de los bienes en línea
donde el usuario tiene que hacer el pago en línea y
estos practicantes del vishing aprovechan la
información para hacer el robo.
 23

Con esta clasificación de contratos que adquieren o en los cuales los practicadores del vishing lo
utilizan sacamos que el sector más atacado por los delitos informáticos es el de la industria
financiera, y con ella la afectación de muchos clientes que han sido la presa de la
ciberdelincuencia, con el avance de la tecnología y con la incorporación a la banca digital o en
línea a través de los celular de alta gama, los cuales proliferan con mayor intensidad los ataques a
las instituciones financieras que los usuarios a tras del llamado Vishing o la suplantación de
identidad, con el término que hace la relación del abuso informático que son caracterizados por
intentar adquirir la información confidencial o incluso también utilizando las llamadas
telefónicas. (FLOREZ SALGADO 2019:23)

El sistema financiero y bancario además de como incorporar verdaderamente el sistema de

protección para así evitar los riegos que amanecen la seguridad de las actividad financiera,
también podemos decir que de estos contratos compete la seguridad de los usuarios y evitar que
el vishing comprometa las transacciones físicas o en línea, que previenen los ataques de software
malicioso, y que ante todo se garantice la seguridad de las claves y también los dispositivos
electrónico, que son mediante los cuales se realiza las transacciones financieras, que están frente
a la proliferación del ciberdelito de la industria bancaria, que especialmente las transacciones a
través de la banca móvil y también las transacciones en línea que están am través de internet.

Frente a todos estos tipos de contratos donde se presenta el vishing, surge la siguiente pregunta
y es ¿Cuál es la responsabilidad de estos bancos y contratos electrónicos al respaldar las cuentas
de los usuarios que el vishing?

-Se procede a dar respuesta a este gran interrogante la cual crea una controversia por cuanto
más existan las posturas de las contrapuestas y también las del cliente, el tipo de contrato
electrónico firmado por este usuario. Sabemos que la posición de este usuario/cliente se puede de
una manera muy fácil fundamentar en la existencia de que una responsabilidad sea objetiva y
también por parte los bancos, pues de esta forma el servicio se presta a ser considera como riesgo
además de responder por los daños que con esta actividad se pueda producir.
 24

Así mismo en el contrato se expresa que el no puede controlar las actuaciones negligentes de la
víctima o usuario en que tanto exista un mal manejo de su información, que fue imprudente
cuando se accedió a las páginas electrónicas del banco, y que brindo contraseñas a terceros y
demás posibilidades.

La Policía Nacional ha estado luchando contra las últimas formas de fraude y estafa a través
de Internet y teléfonos móviles. Esto se llama display y se pone en marcha cuando recibimos una
llamada de nuestro móvil. Una voz amiga nos dice que somos los beneficiarios de esta acción o
que nos pueden devolver el dinero que fue retenido por error. La persona que nos habló dijo que
trabajaba en nuestro banco o en el centro comercial donde compramos muebles hace años.
“Utilizan llamadas de voz personales para ganarse la confianza de sus víctimas”, explicó el
comisario José García-Serrano, jefe de la Brigada Antifraude de la Unidad Central de Policía
Ciberdelincuencia. De esta manera, los estafadores obtienen sus datos personales, bancarios e
incluso la dirección de la víctima.

Una forma de publicidad, identificada por la policía durante la pandemia de coronavirus,

utilizada para entrar y robar en las casas de las víctimas. Alguien llamó a nuestro celular y dijo
que en nuestra lealtad repararían gratis los muebles viejos que compramos hace muchos años. El
propósito era enviar a estos llamados trabajadores a abrir las puertas de las casas y luego robarlas.

Los usuarios de servicios financieros advirtieron a los usuarios sobre un nuevo caso de fraude
en el que los estafadores contactaron a sus víctimas por teléfono, haciéndose pasar por empleados
de BBVA Bancomer, alegando que habían retenido fondos ilegalmente de una de sus cuentas
para estafar a los usuarios para obtener sus fondos. Información confidencial.

En esta estafa, conocida como estafa, los empleados supuestamente advierten a los usuarios de
una supuesta comisión de tarjeta de crédito de 1.818 pesos por un seguro de vida, que aseguran
fue utilizada en seis meses.

Por ello, convencen al usuario de que para cancelar el seguro y recibir la devolución del
importe pagado, es necesario que confirme sus datos personales, así como los datos de plástico
para el pago.
 25

“Es importante recordar que para generar confianza entre los usuarios y obtener sus datos
personales, los estafadores ingresan los primeros dígitos de su tarjeta y luego le piden al usuario
que haga el resto”, advirtió el comité en un comunicado. Por lo tanto, las autoridades aconsejan a
los usuarios que no caigan en tales conexiones, sino que solo apunten a cuentas fraudulentas.

‘‘Acabo de ser víctima de una llamada de vishing y he enviado dinero a un estafador. Ya he

puesto una denuncia ante la Policía. ¿Tenéis algún tipo de seguro contra esto? ¿Puedo hacer algo

más?’'. Esta es la consulta que realizó un usuario de Twitter a la cuenta oficial de Bizum el

pasado diciembre, justo después de ser víctima de vishing. No es el único en compartir por esta
red el trance. Otra usuaria que advirtió de la estafa a sus seguidores cuenta a este periódico que,
aunque no llegó a picar, recibió una llamada en la que le pidieron un código que supuestamente le
había llegado al teléfono móvil para acceder a su cuenta bancaria. ‘’El identificador de la llamada
aparecía como Banco Santander’'.

Hacerse pasar por empresas u organizaciones de confianza para obtener información personal
a través de una simple llamada telefónica sigue siendo una estafa muy común en España. Una de
las estrategias más comunes es hacerse pasar por la mesa de ayuda de una empresa de tecnología,
y Microsoft es la que más ha sufrido en los últimos años: según los datos, el 36% de dicha
empresa se hizo pasar por él, pretendían. conviértete en eso en un estudio encargado en 2021 por
YouGov, una organización de investigación de datos y mercado.

Cada mes, la corporación internacional fundada por Bill Gates recibe unas 6.500 incidencias
en todo el mundo, aunque en años anteriores su número podría haber llegado a las 13.000. El
experto en ciberseguridad INCIBE explica que esto se debe a que “hay más víctimas potenciales
que usuarios de Linux o iOS”. Según Statista, casi el 89 % de los usuarios de PC en todo el
mundo tienen el sistema operativo instalado, en comparación con el 8,5 % de iOS y menos del 2
% de Linux.

Ruth García dijo que INCIBE ha visto un aumento en los problemas de visualización en las
últimas semanas. Según el comandante Alberto Redondo, jefe de la Unidad de Inteligencia
Criminal de la División Técnica de la Policía Judicial de la Guardia Civil, “Son operaciones
bastante activas, aunque tienen un alto temporal. Hay casos durante unos meses, y luego un
período más tranquilo. Pero, por desgracia, son bastante comunes. Entre los más vulnerables al
 26

fraude se encuentran los servicios públicos y los bancos, junto con empresas de tecnología como
Microsoft.

En la mayoría de los casos, estas estafas son realizadas por el crimen organizado. “Estos son
los grupos con teleoperadores que abren la puerta primero. La mayoría de los casos no son
recurrentes, por lo que dan el primer paso de filtrar y tan pronto como sienten que pueden atrapar
a una víctima, envían la llamada a más estafadores expertos en tecnología y les ofrecen instalar
un software de control remoto. P.ej. Otra división de la organización criminal se encarga de
gestionar los datos o pagos robados. Detrás de esto hay mucha gente organizada en diferentes
unidades”, explicó el comandante Redondo.

Según informes en la web, un nuevo método de usar algo tan simple como una conexión está
engañando a muchos usuarios. Los ciberdelincuentes que se hacen pasar por una empresa como
Microsoft Help Desk u otra notifican a los clientes sobre un problema de seguridad en su
computadora y brindan instrucciones sobre cómo solucionar el problema.

El técnico sugirió arreglar esto con un programa de control remoto que tenía que descargarse
primero. De esta forma, el presunto empleado tendrá el control total del ordenador de la víctima
con el pretexto de solucionar el problema desde su terminal. Los ciberdelincuentes ahora tendrán
acceso completo a todos los archivos e información en la computadora del estafador.

Cuando los ciberdelincuentes obtienen acceso a la computadora personal de una víctima,

tienen la capacidad de falsificar su identidad y robar información personal, como datos bancarios.
“Acabo de ser víctima de una estafa y le envié dinero a un estafador. He presentado una denuncia
ante el CNP. ¿Tienes algún seguro para esto? ¿Hay algo más que pueda hacer? Gracias"-
comentó el usuario en un tuit, en el que mencionaba a la empresa Bizum.

Recientemente, muchos usuarios de Twitter han comentado sobre su estafa de llamada visual
personal. Se debe prestar especial atención a las conexiones, enlaces, mensajes y códigos de
acceso a cuentas personales que supuestamente nos envían las empresas que nos contactan por
teléfono.

Cada vez más, los ciberdelincuentes se hacen pasar por muchas empresas para que sus
víctimas puedan confiar completamente en sus teléfonos. Ser un cliente real de la empresa y
hacer coincidir el identificador de llamadas con la entidad hace que este tipo de estafa sea mucho
 27

más fácil de tener éxito. A menudo, los estafadores solicitan pagos pequeños porque las
denuncias de fraude pequeñas a menudo no se resuelven.

En esta estafa, conocida como estafa, los empleados supuestamente advierten a los usuarios de
una supuesta comisión de tarjeta de crédito de 1.818 pesos por un seguro de vida, que aseguran
fue utilizada en seis meses.

La Comisión Nacional para la Protección y Protección a los Usuarios de Servicios Financieros

alertó a los usuarios sobre un nuevo caso de estafa en el que los estafadores contactan
telefónicamente a las víctimas haciéndose pasar por empleados de BBVA Bancomer, de una
forma u otra, aboga por retiros ilegales de sus cuentas para engañar usuarios a recibir datos
confidenciales.

En esta estafa, conocida como estafa, los empleados supuestamente advierten a los usuarios de
una supuesta comisión de tarjeta de crédito de 1.818 pesos por un seguro de vida, que aseguran
fue utilizada en seis meses. Por ello, convencen al usuario de que para cancelar el seguro y recibir
la devolución del importe pagado, es necesario comprobar sus datos personales, así como sus
datos de plástico para realizar un depósito.

“Es importante recordar que para generar confianza entre los usuarios y obtener sus datos
personales, los estafadores ingresan los primeros dígitos de su tarjeta y luego le piden al usuario
que haga el resto”, advirtió el comité en un comunicado. Por lo tanto, las autoridades aconsejan a
los usuarios que no caigan en tales conexiones, sino que solo apunten a cuentas fraudulentas.

La Comisión Nacional para la Protección y Protección de los Derechos de los Usuarios de

Servicios Financieros dio a conocer que durante la pandemia se están incrementando los casos de
adivinación y engaño a los clientes al dar números telefónicos a los bancos.

En los últimos días se han registrado casos consecutivos de fraude contra clientes bancarios,
siendo el principio que los delincuentes suplantan los números de teléfono de las entidades
financieras, llaman a los usuarios para atraparlos y caen en trampas.

La Comisión Nacional para la Protección y Protección a los Usuarios de Servicios Financieros

(Condusef) ha destacado que esta forma de fraude, conocida como phishing, ha cobrado especial
importancia para defraudar a clientes en casos de fuerza mayor y cuarentena.
 28

Explicó que los estafadores se hacen pasar por el número de teléfono de un banco o usan las
llamadas "máscaras" y contactan a los usuarios, indicando la presencia de sobregiros no
reconocidos, transferencias irregulares o fallas en los servicios de la organización.

Explicó que a través de la entrada se le dice al usuario que para saber los detalles tiene que
presionar una determinada tecla y si la presiona será redirigido al supuesto call center del banco
con todas las mismas funcionalidades en las que explica detalladamente la inconveniente falso y
se le solicita que proporcione datos personales de su cuenta con el fin de verificar la autenticidad
de la información. “Directamente recibes una llamada en la que identificas tu nombre completo y
el presunto operador te informa que existen transacciones, transferencias o movimientos
inusuales para los cuales debes identificarte en su cuenta bancaria y requiere datos personales
para su autenticación”, indicó la comisión.

Tan pronto como el usuario revela su información, los delincuentes comienzan a defraudar
dinero de las cuentas a las que se proporcionan los datos.

Sin embargo, la agencia recomienda que, si un cliente contesta una llamada que se cree que es
del banco, lo mejor es colgar y consultar inmediatamente el comunicado oficial de la unidad si
hay algún movimiento extraño. "Probablemente no pasó nada". En caso de que el usuario no
tenga una aplicación de banca móvil, también debe colgar y devolver la llamada de inmediato, o
incluso visitar la sucursal si es necesario.

A pesar de tener a su disposición la tecnología más sofisticada, los ciberdelincuentes muchas

veces recurren a métodos de lo más arcaicos desde el punto de vista de la técnica, como la
llamada telefónica. Un usuario recibe una llamada de un presunto técnico de Microsoft
advirtiéndole que su ordenador tiene un virus y debe seguir sus recomendaciones para poder
solucionarlo. El supuesto especialista le indica que debe descargar una aplicación de control
remoto para que él mismo pueda gestionar la incidencia. Y, así, a partir de un problema más o
menos común y, sin duda, alarmante, como es un malware en el ordenador personal - el temor de
cualquier usuario-, los ciberdelincuentes logran hacerse con un acceso ilimitado a la computadora
de la víctima y, con ella, a toda la información que se encuentre almacenada en ella.

Un supuesto como este podría abrir la puerta a otra serie de delitos, como el robo de
documentación e información personal, de credenciales bancarias e incluso de compra de
 29

criptomonedas. ‘‘Si tienes la típica carpeta con el DNI escaneado u otra documentación
importante, podrían realizarte cargos, darte de alta en servicios… Podrías ser víctima de más
fraudes a tu nombre o incluso de extorsiones’', advierte Ruth García, técnica de ciberseguridad en
el Instituto Nacional de Ciberseguridad (INCIBE), que añade: ‘’Aunque es verdad que por el
camino muchos usuarios empiezan a notar cosas raras, descartan continuar y no siguen las
indicaciones, otros muchos acaban siendo víctimas porque, al creer que realmente se trata de un
técnico, acceden a sus peticiones’'. En esos casos resulta fundamental tomar medidas cuanto
antes.

‘‘Acabo de ser víctima de una llamada de vishing y he enviado dinero a un estafador. Ya he

puesto una denuncia ante la Policía. ¿Tenéis algún tipo de seguro contra esto? ¿Puedo hacer algo

más?’'. Esta es la consulta que realizó un usuario de Twitter a la cuenta oficial de Bizum el

pasado diciembre, justo después de ser víctima de vishing. No es el único en compartir por esta
red el trance. Otra usuaria que advirtió de la estafa a sus seguidores cuenta a este periódico que,
aunque no llegó a picar, recibió una llamada en la que le pidieron un código que supuestamente le
había llegado al teléfono móvil para acceder a su cuenta bancaria. ‘’El identificador de la llamada
aparecía como Banco Santander’', explica.

Según García, no es extraño que los ciberdelincuentes falseen o suplanten los números para
que al cliente de dicha empresa y víctima potencial le aparezca como su compañía. ‘’Aunque te
aparezca el número como correcto, han podido falsearlo o desviarlo. Lo mismo ocurre con los
correos y los mensajes de texto’', insiste la técnica. Eso complica que el usuario pueda saber de
primeras que se trata de un engaño.

En la mayor parte de las ocasiones, los pagos que se solicitan son muy pequeños, puesto que,
si se es víctima de un cobro de tres euros, por ejemplo, es más difícil que se llegue a denunciar.
Lo hacen precisamente ‘‘para no levantar sospechas’', según explica la técnica. ‘‘Es más fácil que
un usuario caiga en una estafa así que en una de grandes cantidades, cuando te saltan más
fácilmente las alarmas. Es más rentable engañar, por ejemplo, a un millón de usuarios que paguen
dos euros, que a pocos por más dinero’', insiste.
 30

Referencias

Institute, L. (21 de diciembre de 2020). LISA Institute. Obtenido de

https://www.lisainstitute.com/blogs/blog/vishing-que-es-modus-operandi-ejemplos-y-
consejos-preventivos

LR LA REPUBLICA. (12 de ENERO de 2022). Obtenido de https://www.larepublica.co/finanzas-

personales/las-nuevas-modalidades-de-vishing-smishing-y-fishing-con-las-que-hacen-
fraude-bancario-2969016