Intentó engañar a Mercado Pago con un falso caso de “phishing” y perdió el juicio Infobae

La Cámara Nacional de Apelaciones en lo Comercial con asiento en la Ciudad de Buenos Aires ratificó un fallo a favor de Mercado Libre en una causa en la que una usuaria demandó a la empresa a partir de que un tercero desconocido vació su cuenta de Mercado Pago. Según determinó la Justicia, la mujer intentó engañar a la compañía con un falso caso de “phishing”.

El caso se inició cuando la clienta presentó una demanda por daños y perjuicios contra Mercado Libre, donde reclamó una indemnización de 640.000 pesos, junto con otros conceptos, aduciendo que la empresa había violado su deber de seguridad en los servicios que ofrece.

En su relato indicó que el 7 de septiembre de 2022, aproximadamente a las 15:30, recibió una llamada telefónica. La persona que la contactó se presentó como un empleado de Mercado Libre, con el supuesto propósito de verificar datos para un reintegro promocional, según relató ante las autoridades judiciales.

La mujer aseguró que durante esa conversación solo compartió su nombre, apellido y el CBU de su cuenta de Mercado Pago, información que consideraba inofensiva, ya que “son datos que se intercambian a diario para realizar diferentes operaciones de dinero sea para enviar, recibir, pagar servicios”, entre otras cosas.

Posteriormente, al ingresar a la aplicación de Mercado Pago, la usuaria descubrió que su cuenta había sido completamente vaciada: los 105.000 pesos que tenía habían sido transferidos a una cuenta cuyo titular desconocía.

Además, denunció que los ladrones virtuales también realizaron otra transferencia por 50.000 pesos, usando una tarjeta de débito asociada a su cuenta del banco BBVA.

Los datos proporcionados por la propia empresa señalaban a un individuo, al que la demandante describió como “mula bancaria”, como el destinatario final del dinero.

La usuaria afirmó que contactó al área de seguridad de Mercado Libre, a partir de lo que se produjo el bloqueo preventivo de su cuenta y la asignación de números de reclamo. Según alegó, el sistema de seguridad de la empresa había fallado, ya que ella no había proporcionado su usuario ni contraseña, y su celular no había sido sustraído.

En su opinión, la compañía no demostró tener los niveles de seguridad adecuados para proteger a los consumidores de acciones fraudulentas y no generó ninguna autenticación ni código de seguridad para confirmar las transferencias.

La damnificada también mencionó que Mercado Libre tenía los datos de la cuenta de destino para reintegrar el dinero o congelar los fondos, pero optó por no hacerlo.

La defensa de la empresa

En su defensa, la empresa argumentó que los hechos descritos por la demandante le eran ajenos, en particular lo referente a la supuesta llamada telefónica y la información que pudo haber compartido. Además, hicieron hincapié en las diferencias entre el relato de la demanda y el de la denuncia policial, sugiriendo inconsistencias.

La compañía afirmó que las operaciones en cuestión se realizaron con el usuario y la clave de la demandante y desde su dispositivo habitual, el cual nunca reportó como sustraído.

Mercado Libre sostuvo que si la demandante había proporcionado sus datos a un tercero, esto se debía a su propia negligencia. La compañía aseguró que sus plataformas poseen diversas medidas de seguridad, con certificaciones internacionales y altos estándares, y que ninguna de ellas había sido infringida. Y agregaron que las transacciones se efectuaron desde el dispositivo y la dirección IP que la usuaria usaba habitualmente, por lo que no existía motivo para no procesarlas.

La sentencia de primera instancia rechazó la demanda, imponiendo las costas a la actora. El juez consideró que un informe pericial informático, que no fue objetado por las partes, resultaba concluyente para su decisión.

En su apelación, la usuaria presentó objeciones relacionadas con la valoración de la prueba, la falta de consideración de la maniobra de “phishing” de la que afirmaba haber sido víctima, y el tratamiento de los deberes de seguridad, información y trato digno por parte de la empresa.

Insistió en que fue víctima de una estafa virtual mediante maniobras que la empresa no pudo detectar, lo que, según su argumento, debía generar responsabilidad para Mercado Libre.

La práctica de “phishing”

La Cámara de Apelaciones realizó un encuadre sobre la práctica del “phishing”, describiéndola como la “cosecha y pesca de contraseñas”, que implica el envío de comunicaciones fraudulentas para obtener datos y claves de usuario y acceder de forma ilegítima a cuentas.

En el fallo al que accedió Infobae, los jueces de alzada destacaron que las entidades que operan billeteras virtuales, como Mercado Pago, son consideradas proveedoras de servicios y tienen obligaciones relacionadas con la seguridad de sus plataformas, dada la naturaleza de riesgo que presentan estos entornos digitales.

La responsabilidad de estas plataformas no se basa en la autoría material del delito, sino en el control deficiente que ejercen para prevenir las maniobras fraudulentas. También se recordó la importancia de los derechos de los consumidores a la información y seguridad, así como el “deber de advertencia” por parte de los proveedores.

Sin embargo, al valorar la prueba, la Cámara no encontró elementos que permitieran inferir la existencia de una maniobra de “phishing” ni que se pudiera imputar responsabilidad a Mercado Libre por incumplimiento de sus deberes.

A su vez, advirtieron inconsistencias en el relato de la demandante: ante la Justicia dijo que la llamó un empleado de Mercado Libre, pero en la denuncia policial había dicho que fue personal de Farmacity.

Otro dato crucial fue que la usuaria en ningún momento denunció que su teléfono celular, desde donde se efectuaron las transferencias, hubiera sido sustraído.

El informe pericial informático, que fue decisivo y no impugnado por la demandante, fue considerado concluyente: reveló que las transacciones en cuestión se realizaron desde la dirección IP y el dispositivo que la demandante utilizaba habitualmente.

Específicamente, una transferencia de 50.000 pesos a la cuenta del destinatario mencionado ocurrió a las 15:20 del 7 de septiembre de 2022, desde el dispositivo y la IP habituales de la usuaria. Otra transacción por 105.000 pesos también se realizó desde el mismo dispositivo y dirección IP. La Cámara concluyó que los horarios de las transferencias eran anteriores a la hora en que la demandante afirmó haber recibido la llamada (15:30).

Dado que las operaciones se realizaron desde el celular que permaneció en posesión de la usuaria, la Cámara concluyó que no se puede imputar a la empresa un fallo en sus sistemas de seguridad, ni tampoco la responsabilidad por un supuesto “phishing”. El tribunal también consideró que la empresa cumplió con las cargas probatorias al presentar documentación y colaborar con la pericia informática.

En su resolución, la Cámara de Apelaciones rechazó el recurso de la demandante y confirmó la sentencia de primera instancia, imponiendo las costas del proceso a la parte vencida. El tribunal concluyó que la prueba no acreditó el ingreso de terceros extraños a la cuenta de la demandante, sino que las operaciones fueron realizadas por quien tenía acceso legítimo a su celular.