La digitalización de los servicios financieros, impulsada por la Directiva (UE) 2015/2366 (PSD2) y su trasposición en España mediante el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago (LSP), ha pretendido elevar los estándares de seguridad para proteger al usuario. Sin embargo, la realidad del fraude bancario mediante técnicas de ingeniería social ha puesto en entredicho la eficacia del sistema de autenticación reforzada (SCA) basado en el envío de códigos de un solo uso (OTP) vía SMS. El presente artículo analiza por qué este sistema no cumple estrictamente con el requisito legal de doble factor y cómo la jurisprudencia está protegiendo al consumidor frente a estas brechas de seguridad.

El concepto normativo de la autenticación reforzada

El artículo 3.5 de la LSP define la autenticación reforzada como aquella basada en la utilización de dos o más elementos independientes categorizados en tres grupos:

• Conocimiento: Algo que solo conoce el usuario (contraseña, PIN, preguntas de seguridad).
• Posesión: Algo que solo posee el usuario (tarjeta de coordenadas, token físico, teléfono móvil).
• Inherencia: Algo que es el usuario (huella dactilar, reconocimiento facial u otros datos biométricos).

La clave jurídica de la autenticación reforzada no reside únicamente en la suma de dos factores, sino en su independencia efectiva. El Artículo 9.1 del Reglamento Delegado (UE) 2018/389 establece de manera imperativa que los proveedores de servicios de pago (PSP) deben garantizar que el quebrantamiento de uno de los elementos de autenticación (conocimiento, posesión o inherencia) no comprometa la fiabilidad de los demás. Esta independencia debe verificarse en tres planos: tecnología, algoritmos y parámetros.

Además debemos tener en cuenta la debilidad estructural del dispositivo multifuncional. En efecto, el uso del SMS OTP como factor de posesión presenta una vulnerabilidad cuando se opera a través de un smartphone, ya que este terminal actúa como un dispositivo multifuncional.

El Considerando 6 del Reglamento Delegado advierte explícitamente sobre esta situación, señalando que es necesario establecer requisitos específicos cuando cualquiera de los elementos de autenticación se utilice a través de un dispositivo que pueda emplearse tanto para dar la instrucción de pago como para completar el proceso de autenticación. La normativa reconoce que, en estos casos, el riesgo de que el dispositivo se vea comprometido es significativamente mayor, lo que podría anular la separación física y lógica que se presupone en un sistema de doble factor.

Para intentar salvaguardar la independencia en estos entornos, el Artículo 9.2 del Reglamento exige la adopción de medidas de seguridad que mitiguen el riesgo derivado de la vulneración del dispositivo. El cumplimiento de este artículo resulta especialmente complejo en las transferencias vía SMS, dado que la normativa impone requisitos técnicos muy estrictos que raramente se cumplen en el envío de mensajes de texto convencionales:

El envío de un código mediante SMS a un teléfono móvil que ya está siendo utilizado para navegar en la banca online o ejecutar una app bancaria supone un colapso de los vectores de ataque. Si un software malicioso infecta el smartphone, este puede acceder simultáneamente a las credenciales introducidas por el usuario (factor de conocimiento) y leer los SMS recibidos (supuesto factor de posesión). Por tanto, la utilización del SMS OTP en el mismo terminal que inicia la transferencia no solo debilita la seguridad, sino que contraviene el espíritu de la independencia de factores exigida por el Reglamento Delegado (UE) 2018/389, al permitir que una única brecha en un solo dispositivo comprometa la totalidad del sistema de autenticación.

En conclusión, el proveedor de servicios de pago tiene la obligación legal de implementar medidas que eviten que la vulneración del smartphone afecte a ambos factores. Si la entidad financiera no puede demostrar que el sistema de SMS OTP opera en un entorno de ejecución separado y seguro dentro del móvil (conforme al Art. 9.3.a), la autenticación no podrá considerarse legalmente reforzada ni independiente, incurriendo la entidad en responsabilidad directa ante operaciones no autorizadas.

La insuficiencia del SMS como factor de posesión

El argumento de que el teléfono móvil constituye un factor de posesión «infalible» es jurídicamente cuestionable por diversos motivos técnicos y operativos que la doctrina ya destaca:

1. Vulnerabilidad del canal de transmisión: A diferencia de un token físico generado por un hardware desconectado, el SMS depende de una red de telecomunicaciones externa. El usuario no posee el SMS, sino que lo recibe a través de un tercero (la operadora), cuya seguridad puede verse comprometida mediante ataques de SIM swapping (duplicado fraudulento de la tarjeta SIM).

2. El dispositivo multifuncional: El considerando 6 del Reglamento Delegado 2018/389 advierte sobre el riesgo de utilizar dispositivos que sirven simultáneamente para dar la instrucción de pago y para el proceso de autenticación. En estos casos, si un software malicioso infecta el terminal, puede capturar tanto las claves de acceso (conocimiento) como el SMS recibido (supuesta posesión), colapsando el sistema de doble factor en un único vector de ataque.

3. El fraude por «spoofing» o suplantación: Entidades como BBVA o CaixaBank han reconocido que los estafadores logran insertar mensajes fraudulentos en el mismo hilo de conversación de los mensajes oficiales del banco. Esto demuestra que la «posesión» del teléfono móvil no garantiza al usuario que el código recibido sea una comunicación segura e íntegra desde la entidad.

4. Con los datos más recientes disponibles del Balance de Criminalidad del Ministerio del Interior (no desglosados por tipo de objeto sustraído), puede afirmarse que en 2023, se registraron en España 642.579 delitos de hurto, con un incremento aproximado del 3,8 % respecto de 2022. Y en la práctica policial y criminológica se considera que una parte muy significativa de estos hurtos urbanos afecta a dispositivos electrónicos de fácil acceso, pues es notorio que existen aplicaciones para desbloquear los teléfonos en segundos, con una simple búsqueda existen infinidad de aplicaciones para ello.

Conclusión

El envío de un código OTP mediante SMS no constituye por sí solo una autenticación reforzada inexpugnable, ya que el teléfono móvil no siempre es un objeto bajo control exclusivo del usuario en el sentido técnico-legal (posesión) ante las modernas técnicas de cibercrimen. Las entidades financieras no pueden trasladar el riesgo de sus sistemas de pago a los clientes basándose en una interpretación laxa de la ley. Como ha señalado la jurisprudencia (entre otras la SAP Ourense, Secc. 1ª, 369/2023), la obligación de autenticación impuesta a los bancos tiene como objetivo reducir el riesgo, pero no agota su responsabilidad civil en caso de fallo del sistema. El proveedor de servicios de pago sigue siendo el garante último de la seguridad de los depósitos, debiendo acreditar una culpa grosera o fraude del usuario para quedar exento de la obligación de restituir los fondos ante una operación no autorizada.

Phishing y fraude bancario: claves del éxito para el abogado