Cuando contacte con Conesa Legal por correo electrónico aplicaremos en su primer mail el Test de Touring para comprobar que es usted una persona y no una máquina, y su mail quedará retenido: no se preocupe nosotros podemos igualmente recuperar ese correo, pero si desea estar seguro que lo recibamos deberá seguir los pasos que le indiquemos para informar tan una palabra por razones de seguridad.
Puede suponer un pequeño inconveniente incial, pero para la seguridad de ambos (la suya y la nuestra), estamos evitando virus y hackers. Porque cada día hay más fraude online: el 85% de los mails que recibimos son Spam, y el 95% de Malware que los hackers utilizan es a través del correo mail a fin de introducir virus, suplantar identidad o robar contraseñas (phishing).
Poner medidas de protección en tu software significa adoptar medidas de cyberseguridad.
Me explico con un ejemplo real:
"Hace unos años vino un cliente que era gerente de una empresa química que compraba a Asia contáners de materiales minerales caros para la industria química aquí en España (cada contáiner tenía el valor de 1M de euros).
Este buen hombre acudió a nuestro despacho con una carta de despido porque después de varios años en la empresa, y de haber realizado ya muchíssimas compras con el mismo proveedor, le hizo una última copra de tres containers como hacía habitualmente. Recibió por mail el presupuesto y abonó a la cuenta corriente indicada el pago del material.
Pasában los días sin que recibiera el material, y cuando contactó con el proveedor éste le indicó que, como era habitual, nececesitava que le realizar el pago para enviar la mercancía. Nuestro cliente comprobó minuciosamente todos los mails y resultó que el mail con el que se estava comunicando era milinésimamente igual, pero existía una letra cambiada, y el presupuesto contenía una cuenta corriente que el proveedor deconocía. Era evidente que sus cuentas habían sido hackeadas porque habían hecho un puente en las comunicaciones.
Nunca más se supo dónde fue a parar el dinero enviado, los contáiners nunca llegaron y el gerente se quedó sin trabajo."
Hoy esta historia ocurre cada día.
En en Conesa Legal hemos dudado poco en implementado la herramienta de Cyberseguridad Mail in Black que garantiza que esto no ocurra. Necesitamos garantizar a nuestros clientes que nuestras comunicaciones son seguras por dos razones:
Recientes sentencias ya están juzgado casos parecidos, culpando a una de las dos partes, no sólo al hacker si el pillan..., de su responsabilidad para que las comunicaciones sean seguras. La sentencia del Juzgado de Primera Instancia e Instrucción de Moncada, de fecha 31/05/2023, recurso: 848/2021, establece en un caso de Phishing, que se produjeron cargos fraudulentos en la cuenta bancaria de la clienta de una entidad banacaria, realizados tras recibir la actora un mensaje de correo electrónico, que aparentemente procedía de la entidad bancaria, en el que solicitaban sus datos personales y claves de acceso. Tras aportar la demandante dichos
datos, se habrían producido los cargos fraudulentos a través de dos compras con la tarjeta de débito de la actora en una Apple Store de Barcelona.
El Juzgado, apoyándose en otras sentencias y legislación razona que:
"Ha de valorarse que en estos supuestos de phishing nos encontramos ante conductas delictivas muy elaboradas, a menudo perpetradas por profesionales del engaño, que simulan con precisión los formatos auténticos de las entidades bancarias e inducen a error con cierta facilidad. Las dificultades para la detección del fraude por parte de los usuarios se evidencian ante la multitud de procedimientos penales que se tramitan en nuestros órganos judiciales por estafas de este tipo."
Razona ese mismo Juzgado que, "en consecuencia, la ley ha optado por un sistema de responsabilidad cuasi objetiva, que atribuye a las entidades bancarias el deber de restitución ante operaciones no aceptadas, con la excepción de conductas de los usuarios que sean maliciosas o gravemente negligentes."
Así lo considera igualmente la sentencia de la Audiencia Provincial de Madrid de 13 de enero de 2023, “no podemos calificar la posible negligencia de la demandante en la conservación de sus claves como grave en ningún caso. Estamos ante un tipo de fraude muy específico del que es fácil ser víctima, sin que ello implique una actuación negligente del cliente, dado lo bien articulada en su ejecución que está esta modalidad de fraude”.
Si bien es verdad que el Juzgado y la Audiencia exigen al Banco un deber de viliancia en los movimienos bancarios no habituales del cliente, también es verdad que estamos viendo una creciente tendencia jurisprudencial a exigir un mínimo de diligencia en cyberseguridad, pues ya es óbvio que el ........ % de los ataques de los hackers entran por el buzó de correo. Y así lo manifiesta la citada sentencia cuando dice que "no se ha alegado ni mucho menos probado que la mercantil demandada hubiera proporcionado a la actora de forma personalizada los mecanismos anti-phishing de supervisión suficientes, de carácter reforzado, para detectar y evitar este tipo de fraude, sin que puedan resultar suficientes los avisos de carácter genérico de la web del banco."
El 16 de enero de 2023, el Tribunal Superior de Johannesburgo Sur dictaminó que ENSAfrica debía pagar daños y costas a Judith Hawarden y le condenó a entregar la casa porque Judith Hawarden, la compradora, aunque esta transfirió 5,5 millones de rands a la cuenta de un estafador que se hizo pasar por ENSAfrica.
La sentencia razona que:
"Further, the defendant (ENSAAfrica) had control over the way in which it conveyed its bank account details to the plaintiff - in an unprotected pdf attachment to an email it transmitted to the plaintiff – whilst technically safe measures, amongst others, multi-channel verification (in-person or telephonic confirmation of bank details) were available to be employed by it to avert cyber fraud. Held that, a duty of care exists between a purchaser in a conveyancing transaction and the conveyancing attorneys handling the transaction to prevent harm resulting from the conveyancer’s failure to warn the depositor of the dangers of cyber hacking and spoofing of emails or of the fact that pdf attachments to emails containing sensitive information such as bank account details are not invulnerable to BEC"
Es decir, quien informó cómo y de qué manera tenía que realizarse la transferencia, debió haber empleado unas mínimas medidas de seguridad para que el cliente hubiera podido transferir el importe a la cuenta corriente correcta.