Publicado: mayo 30, 2025, 9:13 am
Ni clicó en el enlace del SMS ni confió en la llamada que decía venir de su banco. Aun así, en menos de 48 horas, una mujer italiana vio cómo su cuenta quedaba vacía tras 390 microtransacciones consecutivas a nombre de un único destinatario. El caso, que ya investiga el sistema bancario italiano, deja en evidencia que los mecanismos antifraude actuales no están preparados para detener este tipo de ataques automatizados y fragmentados, que escapan a los patrones clásicos de alerta.
Las transferencias eran pequeñas, de entre 400 y 500 euros, y se realizaban en cadena a través del sistema de banca online. Nada que, individualmente, activara los filtros automáticos de los sistemas antifraude. Pero juntas, sumaban 46.000 euros. Un vaciado completo de la cuenta. Y todo, sin intervención humana, gracias a herramientas automatizadas que ejecutan este tipo de estafas en masa.
Un nuevo patrón de fraude invisible para los algoritmos
Este tipo de ataques se aprovecha de un punto ciego tecnológico. La mayoría de los sistemas de seguridad bancarios están entrenados para detectar grandes movimientos repentinos, operaciones desde ubicaciones no habituales o accesos simultáneos desde distintos dispositivos. Pero no están diseñados para frenar cientos de pequeñas operaciones que parecen legítimas, especialmente si el acceso ha sido realizado con las credenciales correctas o desde el dispositivo habitual.
En este caso, los delincuentes ni siquiera necesitaron que la víctima facilitara su contraseña. Se sospecha que los atacantes ya disponían de sus credenciales previamente —posiblemente a través de una filtración o un malware— y que la llamada fue solo una maniobra de distracción o verificación de actividad.
El banco no asumió el fallo… hasta que lo obligaron
Cuando la mujer detectó los movimientos y acudió a su entidad, solicitó el bloqueo de la cuenta y la devolución del dinero. El banco rechazó su petición. Según alegaron, todas las operaciones se realizaron de forma correcta y dentro del marco de seguridad previsto, por lo que no correspondía indemnización alguna.
Fue entonces cuando intervino Confconsumatori, una asociación italiana de consumidores que llevó el caso ante el Arbitro Bancario e Finanziario del Banco de Italia. El dictamen fue claro: la entidad debió haber detectado el comportamiento anómalo y activar medidas de protección. Además, se señaló que el hecho de que todas las transferencias fueran hacia el mismo destinatario en un corto intervalo de tiempo debió haber encendido alertas internas vinculadas al control de blanqueo de capitales.
Finalmente, el banco fue obligado a devolver la totalidad del dinero robado.
