Estafa de Unicaja: el fraude masivo que afectó a 8.000 clientes
Una llamada telefónica que parecía real. Un SMS urgente del banco. En 2022, miles de clientes de Unicaja cayeron en una de las trampas de ingeniería social más sofisticadas y masivas que se recuerdan en España. Lo que empezó con la promesa de una integración tecnológica modélica tras una fusión bancaria, terminó en cuentas vaciadas, la negativa inicial de la entidad y una larga batalla judicial que, finalmente, ha dado la razón a las víctimas.
Sonaba el teléfono y en la pantalla aparecía el número oficial de Unicaja. Al otro lado, una voz calmada, profesional, se presentaba como un gestor del banco alertando de un movimiento sospechoso. Para detener el supuesto ataque, solo había que facilitar los códigos que estaban llegando por SMS. Era una trampa perfecta. La víctima, creyendo proteger su dinero, estaba en realidad entregando las llaves de su cuenta al ladrón.
Este fue el dramático modus operandi de una oleada de ciberestafas que, según diversas fuentes legales y de asociaciones de afectados, podría haber llegado a afectar a 8.000 clientes y cuya cuantía total sustraída podría ascender a varios millones de euros.
Anatomía de un engaño maestro
El origen de esta crisis fue el caótico proceso de integración tecnológica que siguió a la fusión por absorción de Liberbank por parte de Unicaja en mayo de 2022.
Los ciberdelincuentes demostraron un conocimiento profundo tanto de la tecnología como de la psicología humana. Su estrategia no fue un simple correo de phishing ni de robo de identidad, sino un ataque coordinado en varias fases diseñado para anular cualquier sospecha.
Primero, lanzaron una campaña de smishing (una estafa por SMS). Los clientes recibían un mensaje de texto alertando de un bloqueo de su cuenta o un acceso indebido, instándolos a hacer clic en un enlace. Ese enlace llevaba a una web clonada, idéntica a la de Unicaja, donde se capturaban sus datos de acceso.
El segundo paso era crucial: la llamada del falso gestor. Utilizando una técnica de suplantación de identidad telefónica conocida como call spoofing, lograban que su llamada pareciera proceder del número legítimo del banco, tal y como ocurre en las estafas bancarias. "Este factor fue determinante para el éxito masivo del fraude", explican desde el Instituto Nacional de Ciberseguridad (INCIBE).
El estafador, con los datos de acceso ya en su poder, solo necesitaba que la víctima le dictara los códigos de validación de las transferencias, que el propio delincuente estaba ordenando en tiempo real. La urgencia y el pánico hacían el resto. Fue tan grande el número de afectados por la situación, que las cifras podrían compararse con las de una estafa piramidal.
El muro del banco y el veredicto de los tribunales
La respuesta inicial de Unicaja a la avalancha de reclamaciones fue tajante: el banco negó la existencia de una brecha de seguridad en sus sistemas y atribuyó la responsabilidad a una "negligencia grave" de los clientes por haber facilitado sus claves personales. Esta postura dejó a miles de afectados en una situación de total desamparo, enfrentándose no solo a la pérdida de sus ahorros, sino también a la frustración de ser culpabilizados.
Sin embargo, la historia no terminó ahí. Los afectados comenzaron a organizarse en plataformas y a buscar amparo en la justicia. Y los tribunales han revertido la situación de forma contundente. Una abrumadora mayoría de las sentencias dictadas hasta el momento han condenado a Unicaja a restituir el 100% del dinero robado.
La jurisprudencia ha establecido que la entidad financiera tiene un deber de seguridad reforzado sobre los fondos de sus clientes y que la sofisticación del engaño impedía calificar la conducta de la víctima como negligente.
El rostro humano de la estafa: "Me empezaron a temblar las piernas
Detrás de las cifras y los términos legales, hay historias de una profunda angustia. Guadalupe, una jubilada cántabra de 66 años, relató a los medios cómo perdió los ahorros de su vida en una de esas llamadas. "Yo tenía poquito dinero en el banco, y para mí 10.000 euros es mucho", explicó. La llamada la sorprendió haciendo recados, fuera de casa, lo que incrementó su pánico y le impidió pararse a pensar.
"Cuando me di cuenta, me empezaron a temblar las piernas y me puse a llorar", confesó. Su testimonio pone de manifiesto la especial vulnerabilidad de ciertos colectivos, como las personas mayores, menos familiarizadas con la banca digital. Su caso, como el de tantos otros, evidencia que los efectos del fraude van más allá de lo económico, causando un grave daño emocional y minando la confianza en el sistema.
Lecciones de una crisis: recomendaciones de seguridad
A raíz de este episodio, tanto Unicaja como los expertos en ciberseguridad han reforzado sus campañas de concienciación. Las pautas son claras e innegociables a la hora de evitar estafas.:
- Jamás comparta sus claves. Ninguna entidad bancaria le solicitará nunca sus contraseñas, claves de firma o códigos de seguridad por teléfono, SMS o correo electrónico.
- Desconfíe de los enlaces. No acceda a su banca online desde enlaces en mensajes. Teclee siempre la dirección directamente en su navegador o utilice la aplicación oficial.
- Cuelgue y verifique. Si recibe una llamada sospechosa, incluso si el número parece legítimo, cuelgue inmediatamente y contacte usted mismo con su banco a través de los canales de confianza para confirmar la veracidad de la comunicación.
Un precedente incómodo para la Banca Digital
El caso Unicaja se ha convertido en un punto de inflexión en la relación entre los bancos, la tecnología y sus clientes en España. Las sentencias judiciales han ido más allá de la restitución del dinero: han sentado un precedente clave al reforzar la idea de que la responsabilidad final de la seguridad recae en las entidades financieras. Los jueces han entendido que, en un entorno digital cada vez más complejo, no se puede exigir al usuario medio que sea un experto capaz de detectar engaños de alta sofisticación.
El episodio ha servido como una dura advertencia para todo el sector financiero sobre los riesgos inherentes a los procesos de fusión tecnológica y la necesidad de priorizar la seguridad y la comunicación clara con el cliente por encima de la celeridad operativa.