La Responsabilidad de los Usuarios en las Ciberestafas

By:
Marta Casero
Marta Casero

¡Bienvenidos un mes más, queridos lectores! 

La temática de hoy surge a raíz de una serie de artículos diferentes que he encontrado recientemente, donde se trataban las consecuencias e impactos de las ciberestafas. Desde artículos hablando sobre el aumento de este tipo de casos en los que los bancos y operadoras están tomando cartas en el asunto, hasta la responsabilidad legal que se está exigiendo a los bancos, pasando por medidas como poder incluir lo perdido en una ciberestafa en la declaración de la Renta como pérdida patrimonial. Y, aunque estos temas ya abordan el problema desde varias perspectivas, quiero aprovechar este hueco para plantear el debate de si los propios usuarios que son víctimas de estas estafas deberían tener también algún tipo de cuota de responsabilidad legal asociada en estos casos. 

El primer pensamiento que probablemente surge sería exonerar de cualquier culpa al usuario, ya que las ciberestafas son cada vez más complejas y sofisticadas y cualquiera puede acabar cayendo. Y, pese a lo cierto de esto, también es verdad que los usuarios realmente no están tomando medidas para minimizar este riesgo. No es habitual que haya usuarios apuntándose a cursos de ciberseguridad, si no es por obligación de su empresa, o buscando información y detalle de las ciberestafas que se están llevando a cabo en un momento concreto del tiempo. Al final han tenido que ser otros organismos, como los bancos o incluso las cadenas de televisión o radio, quienes acerquen a la población general conceptos de ciberseguridad y ciberestafas

Sumado a lo anterior, los usuarios no sólo tenemos acciones de concienciación a nuestro alcance, sino que tenemos multitud de herramientas y controles de seguridad a nuestra disposición para prevenir o mitigar una ciberestafa. Igual que a las entidades bancarias y otras plataformas digitales los supervisores les exigen que hagan uso de controles, como el cifrado de nuestros datos y comunicaciones o tener aplicaciones bancarias robustas y sin vulnerabilidades, ¿por qué a los usuarios no se les exige que sepan indagar si la aplicación que se están descargando de la tienda de aplicaciones es la legítima o no? ¿O por qué no es razonable que, antes de abrir un enlace bancario que ha llegado por SMS o email, el usuario lo compruebe en aplicaciones como VirusTotal (gratuita y accesible para todos)? O, por acabar, ¿por qué no tenemos una parte de responsabilidad si no hemos puesto medidas de ciberseguridad en los propios equipos (PC, móvil o tablet) desde los que nos conectamos y navegamos como usuarios?

Creo que las preguntas anteriores son pertinentes de cara a empezar a ver que los usuarios seguramente podríamos tener una cuota legal de responsabilidad en estos casos. Considero que esto, además, sería positivo ya que, igual que funciona en el mundo de los seguros, cuando el usuario sabe que no tiene que hacer frente a nada de responsabilidad, se vuelve más descuidado que cuando tiene que hacer frente a cierto gasto. El coste de las franquicias de los seguros son un gran ejemplo de este punto, pues llevan a los usuarios a tratar con más delicadeza los objetos asegurados al tener cierta corresponsabilidad. 

Es relevante destacar que, con este artículo, no digo que las instituciones bancarias y plataformas digitales no deban tener su cuota de responsabilidad, como ya sucede, y tampoco pretendo ser insensible con las víctimas, porque entiendo que perder la totalidad de los ahorros en uno de estos casos no es un tema fácil o banal. Pero adoptar la postura totalmente opuesta de sobreprotección al usuario no sólo creo que no es la solución, sino que me parece imprudente y peligroso. Del mismo modo que miraríamos con cierta extrañeza al que se queja de que le han robado en su casa cuando le dio las llaves al ladrón, sin sospechar, no podemos olvidar que la mayor parte de ciberestafas se producen de una manera similar, después de que hayamos dado nuestras claves de acceso a un extraño.

Por todo ello no deja de sorprenderme, como se ve en los artículos con los que abría esta pieza, que sigamos avanzando en exigir más responsabilidad a estas partes, tratando casi de exonerar por completo a la otra, cuando ambas tienen que colaborar en la medida de sus capacidades. Y parece que el Estado, o al menos la Agencia Tributaria de alguna manera, piensa de manera similar a este autor, ya que, si nos ofrecen la posibilidad de incluir una ciberestafa como una pérdida patrimonial, no será entonces razonable haber exigido el dinero perdido pues, de lo contrario, el negocio fiscal para el usuario víctima sería redondo.

Sin embargo, tampoco estoy abogando por imponer una responsabilidad legal excesiva a las víctimas, pues esto podría tener efectos contraproducentes, desincentivando la denuncia de fraudes por miedo a represalias legales. Además, no hay que olvidar que “la culpa” o “la responsabilidad” última no es ni de las empresas ni de las víctimas, sino de los cibercriminales que perpetran estas estafas.

Para concluir, creo que la clave reside en encontrar un equilibrio. Las instituciones financieras y las plataformas digitales deben fortalecer sus medidas de seguridad y educación, mientras que los usuarios deben adoptar un papel más activo en su propia protección. Esto incluye desde la verificación de la autenticidad de los correos electrónicos hasta la utilización de herramientas de seguridad, como la autenticación de dos factores. Y esta responsabilidad compartida no significa culpar a la víctima, sino empoderar al usuario para que sea un eslabón más fuerte en la cadena de seguridad digital. Espero que este artículo nos ayude a seguir debatiendo sobre este punto. 

¡Os espero el mes que viene!