Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Cosas que deben saberse sobre el «Phishing»

Cosas que deben saberse sobre el «Phishing»
Yolanda Díez Herrero es experta en ciberdelincuencia y violencia de género
13/9/2015 09:38
|
Actualizado: 16/2/2016 11:03
|

En esta noticia se habla de:

El «phishing» una de las actividades delictivas más utilizadas por los ciberdelincuentes, consistente en obtener información confidencial, de forma fraudulenta, de sus víctimas (persona jurídica o individual), tal como indica Juan Antonio Frago Amada.

Esta información siempre estará relacionada con su «identidad online» y con las credenciales de acceso de los distintos servicios que la víctima utilice en la red, como claves de acceso a banca online, loggins y passwords de usuarios de mensajerías instantáneas, de acceso a sus perfiles en redes sociales o contraseñas de los correos electrónicos del atacado.

Por norma general el procedimiento utilizado para la obtención de estas credenciales es mediante la emulación de páginas web lícitas (bancarias, redes sociales, portales de acceso a correos webmail, etc.), o mediante spam, recurso con el que el  infractor simula ser otra persona o empresa para conseguir la información incluso empleando técnicas de ingeniería social.

Todo este procedimiento finaliza con la captura de las credenciales online de la víctima, en la mayoría de los casos, aunque no exclusivamente, para obtener un traspaso patrimonial no deseado por parte de la víctima, habiéndose documentado casos de usurpación de estado civil.

Existen distintas modalidades de ataques “phishing”, tal como pone de manifiesto Nando Llorella, que son los siguientes:

a). El Deceptive Phishing, es la modalidad más común. Consiste en el envío de un correo electrónico engañoso en el que se suplanta a una empresa o institución de confianza. El receptor pulsará en el enlace contenido en el mensaje, siendo desviado de manera inconsciente a un sitio web fraudulento.

b). El Malware-Based Phishing se refiere a la variante del delito que implica la ejecución de un software malicioso en el ordenador. El usuario deberá realizar alguna ac­tuación que permita la ejecución del malware en su ordenador (abrir un archivo adjunto, visitar una web y descargar un programa, etc.).

c). El Keyloggers y el Screenloggers, son una variedad particular de malware. Los Keyloggers son programas que registran las pulsaciones del teclado cuando la máquina en la que están instaladas accede a una web registrada. Los datos son grabados por el programa y enviados al delincuente por Internet. Los Screenlog­gers tienen la misma función, pero capturan imágenes de la pantalla.

d). El Session Hijacking describe el ataque que se produce una vez que el usuario ha accedido a alguna web regis­trada por el software. Estos programas suelen ir disfra­zados como un componente del propio navegador.

e). Los Web Trojans, son programas que aparecen en for­ma de ventanas emergentes sobre las pantallas de vali­dación de páginas web legítimas. El usuario cree que está introduciendo sus datos en la web real, mientras que lo está haciendo en el software malicioso.

f). System Reconfiguration Attacks, este ataque se efectúa modificando los parámetros de configuración del orde­nador del usuario, por ejemplo modificando el sistema de nombres de dominio.

g). Data Theft, se trata de códigos maliciosos que recaban información confidencial almacenada dentro la máqui­na en la que se instalan

h). DNS-Based Phishing (“Pharming”) este delito se ba­sa en la interferencia en el pro­ceso de búsqueda de un nombre de dominio, es decir modifica fraudulentamente la resolución del nombre de dominio envian­do al usuario a una dirección IP distinta.

i). Hosts File Poisoning, es otra forma de llevar a cabo el Phar­ming. En este caso la transfor­mación se lleva a cabo mediante el fichero hosts albergado en los servidores DNS.

j). Content-Injection Phishing esta modalidad consiste en introdu­cir contenido fraudulento dentro de un sitio web legítimo

k). Man-in-the-Middle Phishing, en este caso, el delincuente se posiciona entre el ordenador del usuario y el servidor, pudiendo filtrar, leer y modificar información.

l). Search Engine Phishing, los phishers crean buscadores y páginas web que ofertan pro­ductos.

Según se hace eco TICbeat, en una investigación realizada por Google en colaboración con la Universidad de California, se informa que, por desgracia, estas prácticas son mucho más eficientes de lo que se piensa. Después de analizar una muestra aleatoria de 100 correos electrónicos de phishing denunciados por los usuarios de Gmail junto con otra muestra de 100 sitios web detectados por el sistema Google Safe Browsing, los investigadores constataron que el porcentaje de personas estafadas era mucho mayor de lo que se esperaban.

Según los datos obtenidos, algunos de los sitios web más efectivos en este tipo de fraudes consiguen atraer a los usuarios hasta el 45% de las veces y de los que llegan a esas páginas falsas hay un 14% de personas que envían sus datos a los hackers sin saberlo.

Los autores de la investigación también observan que las técnicas de phishing logran convencer a un 3 por ciento de sus víctimas, incluso cuando los sitios web dan claramente indicios de ser engañosos. Google destaca que el número no es nada reducido si se tiene en cuenta que un ciberdelincuente es responsable de millones de correos de phishing. El mismo informe desvela cómo lo hacen. Una vez que un hacker accede a la cuenta de alguien, tarda de media tres minutos en evaluar si la cuenta es valiosa o no y en función de los resultados decide abandonar o seguir adelante con el proceso. El primer paso será buscar en el historial del correo de la víctima en términos relacionados con datos bancarios, cuentas de redes sociales o mensajes que hayan sido marcados como importantes.

A continuación, los hackers usan la información para obtener dinero de las personas incluidas en la lista de contactos de una cuenta enviando correos con historias falsas a los amigos o familia de la víctima. Según indican los investigadores este tipo de mensajes tienen mayor posibilidad de ganar la confianza de sus receptores teniendo en cuenta que parecen enviados por una persona muy cercana.

De acuerdo con el mismo informe, hay 36 veces más probabilidades de que las personas en la lista de contactos de las cuentas secuestradas se conviertan en víctimas a su vez.

Habitualmente los fraudes derivados de “phising“, se producen tal como refleja la Sentencia de la Audiencia Provincial de Barcelona 587/2009, que hace referencia a las difemenciona cuatro fases o momentos comisivos:

a). El descubrimiento de claves y contraseñas on-line. Habitualmente, el proceso se inicia con la utilización de aplicaciones o programas informáticos para infectar ordenadores o espiar la línea de acceso a Internet de los perjudicados, con la finalidad de captar ilegalmente los datos confidenciales de las víctimas para el control de las cuentas on-line (clave y contraseña de acceso), fase que constituye el phising propiamente dicho (la pesca), que se materializa en el envío masivo e Indiscriminado de correos electrónicos con un engaño para llamar la atención de la víctima.

b). La utilización de otras máquinas para acceder a las cuentas. Un ordenador conectado a una línea de acceso a internet constituye en este caso un medio necesario para conectarse al servidor de las entidades bancarias que alojan sus páginas web para poder operar desde ellas, y se emplea de modo que el mismo no deje rastro sobre quien lleva a cabo la manipulación, por distintos sistemas, como el empleo de lugares públicos de acceso a Internet.

c). Los titulares de las cuentas bancarias a las que remitir el dinero. Una vez que se dispone de las claves y contraseñas de acceso a las cuentas on-line de las víctimas, son necesarios colaboradores que abran cuentas bancarias intermedias en el mismo país donde van a desarrollar la operativa para traspasar el dinero antes de proceder a su extracción y envío al país de origen. Estos colaboradores pueden tener un grado de participación en la organización diferente, dependiendo de la forma en la que colaboren o inicien la colaboración:

c.1) Los miembros de la organización, residentes en el extranjero que viajan de forma “relámpago” a España.

c.2) Los ciudadanos de países del Este que ya residen o se encuentran en España, y que pueden ser captados por componentes de la organización en España o bien en foros, páginas web u otro medio de contacto telemático

c.3) El resto de ciudadanos, nacionales o extranjeros residentes, que ante la presunta oferta de trabajo que les liega a su correo electrónico, y la necesidad de obtener unos ingresos, acceden a la oferta de trabajo y ejecutan las instrucciones que van recibiendo por correo electrónico. Reciben la presunta oferta laboral, con una alta retribución económica en relación al tiempo y dedicación que requiere, y si el receptor del mensaje responde al correo electrónico interesándose por la oferta de trabajo, se establece una comunicación recíproca entre ambas partes; a partir de ese momento, el trámite ordinario es que deberá abrir una cuenta bancaria en la entidad que le digan, y posteriormente les deberá facilitar el número de cuenta, y los datos del titular, Seguidamente le comunicarán, cuándo puede dirigirse a su banco y retirar el dinero de la transferencia que ha recibido, quedándose él con el tanto por ciento estipulado (10 por ciento habitualmente) y enviar el resto al extranjero.

Suelen advertir incluso de la hora en que llevar a cabo la retirada de efectivo, lo que es razonable y pretende dificultar la detección del reintegro y posterior bloqueo de la cuenta bancaria de origen, y así adelantarse y obtener el dinero. Todos modos que respecto a esta cuarta fase de desarrollo de los hechos, la prueba es casi inexistente, dado que salvo las afirmaciones del acusado de que recibió una oferta de trabajo con tales características, nada hay que acredite que efectivamente así sucedió, lo que pone de manifiesto si cabe un mayor conocimiento del acusado de lo irregular de su conducta.

d). La disponibilidad del beneficio ilícito. El titular de la cuenta bancaria destino de las transferencias, como último paso, deberá dirigirse a su banco y sacar el dinero de la transferencia, enviándolo al extranjero por medio de las agencias habitualmente dedicadas a ello. Deberá remitirlo al beneficiario y al destino el que le han facilitado anteriormente, y el importe acordado, quedándose con el porcentaje acordado

En el análisis de los fraudes cometidos por medio del phising debemos tener en cuenta que el mismo presenta un especial impacto en el ámbito de las entidades financieras, ya que al abrir una cuenta corriente bancaria se está celebrando un Contrato de Depósito Irregular, con obligaciones y deberes tasados por Ley, donde el depositante es el usuario y el depositario es el Banco.

En este sentido, ha de citarse el artículo 306 del Código de Comercio, en el que se indica: El depositario está obligado a conservar la cosa objeto del depósito según la reciba, y a devolverla con sus aumentos, si los tuviere, cuando el depositante se la pida. En la conservación del depósito responderá el depositario de los menoscabos, daños y perjuicios que las cosas depositadas sufrieren por su malicia o negligencia, y también de los que provengan de la naturaleza o vicio de las cosas, si en estos casos no hizo por su parte lo necesario para evitarlos o remediarlos, dando aviso de ellos además al depositante inmediatamente que se manifestaren”.

Y por ello, debe entenderse que el Banco, como entidad depositante es quien debe guardar los fondos de sus clientes y por tanto quien debe responder de ellos. Si esta entidad sufre directamente un ataque a su sistema de seguridad informática, si resulta ser víctima de la estafa, entonces le corresponderá exigir la “responsabilidad civil subsidiaria” derivada del delito a los estafadores. Los clientes quedan al margen de la investigación del delito y, deben recuperar su dinero directamente del depositario, es decir de la entidad bancaria, sin discusión ni demora ninguna. Existe otra posibilidad,  que se concreta en la consideración de que el estafado es el cliente del Banco. En estos casos, igualmente el Banco debe responder ante él, porque tiene por ley esa responsabilidad civil subsidiaria, por la/s negligencia/s cometida/s por sus empleados o, en los casos de banca on-line, los sistemas informáticos que gestionan su actividad económica:

En este sentido, puede traerse a colación lo dispuesto en el apartado 3º, del artículo 120 del Código Penal, donde se establece lo siguiente: “Las personas naturales o jurídicas, en los casos de delitos o faltas cometidos en los establecimientos de los que sean titulares, cuando por parte de los que los dirijan o administren, o de sus dependientes o empleados, se hayan infringido los reglamentos de policía o las disposiciones de la autoridad que estén relacionados con el hecho punible cometido, de modo que éste no se hubiera producido sin dicha infracción”.

También es importante traer a colación lo afirmado en la Ley 16/2009 de 13 de Noviembre, reguladora de los Servicios de Pago, establece que en las operaciones de pago no autorizadas por el titular de la cuenta, el banco ha de devolver de inmediato el importe de la operación no autorizada, siempre y cuando el cliente no haya actuado fraudulentamente o con negligencia grave a la hora de aplicar las medidas de seguridad (secreto clave bancaria, etc.) o haya comunicado de inmediato a la entidad bancaria la transferencia inconsentida. También debe citarse lo afirmado en el Artículo 29 de la citada Ley, relativo a la “Notificación de operaciones no autorizadas o de operaciones de pago ejecutadas incorrectamente” señala:

“1. Cuando el usuario de servicios de pago tenga conocimiento de que se ha producido una operación de pago no autorizada o ejecutada incorrectamente, deberá comunicar la misma sin tardanza injustificada al proveedor de servicios de pago, a fin de poder obtener rectificación de éste.

2. Salvo en los casos en los que el proveedor de servicios de pago no le hubiera proporcionado o hecho accesible al usuario la información correspondiente a la operación de pago, la comunicación a la que se refiere el apartado precedente deberá producirse en un plazo máximo de trece meses desde la fecha del adeudo o del abono”.

En este misma dirección el artículo 31 de la citada ley determina que el régimen de responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas, indicándose en dicho precepto lo siguiente: “Sin perjuicio de lo dispuesto en el artículo 29 de la presente Ley, y de las indemnizaciones por daños y perjuicios a las que pudiera haber lugar conforme a la normativa aplicable al contrato celebrado entre el ordenante y su proveedor de servicios de pago, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada”.

Por todo ello, cabe concluir, tal como expone Eduardo Laraño, que hoy en día constituye una doctrina judicial habitual el entender que la responsabilidad de la entidad bancaria viene determinada por la aplicación del contrato de depósito en cuenta corriente por el cual se constituye un depósito irregular con la consecuencia prevista en el artículo 307.3 del Código de Comercio, por la cual, al quedar el dinero depositado confundido con el patrimonio del depositario, éste ha de soportar los riesgos derivados de su deber de conservar la cosa depositada.

A la misma conclusión llegamos si examinamos el hecho desde otra perspectiva, la del pago como modo de extinción de las obligaciones (artículos 1156 y siguientes del C.C.). La obligación del depositario de devolver al depositante la cosa depositada (artículos 1766 del C.C. y 306 del C. de Comercio) se extingue por el pago, pero éste sólo es eficaz cuando se hace a la persona en cuyo favor estuviese constituida la obligación o a otra autorizada para recibirla en su nombre, como nos dice el artículo 1162 del C.C.

Por tanto, la entrega de la cosa depositada a una persona distinta de las expresadas en esa última norma no produce el efecto extintivo de la obligación del depositario relativa a la devolución del objeto del depósito. Y es lo que aquí ocurre cuando el Banco es engañado por persona no titular de la cuenta y transfiere indebidamente todo o parte de la cantidad depositada.

En tal caso el Banco tiene la obligación derivada de los preceptos citados de reembolsar al depositario el importe indebidamente entregado a un tercero, sin perjuicio de que pueda ejercitar las acciones civiles que le correspondan contra los autores de la estafa o de la receptación.

Otras Columnas por Yolanda Díez Herrero:
El asociacionismo femenino como medio para conquistar la igualdad
Mujer, inmigrante y trabajadora: triple victimización
Violencia contra las mujeres en cualquier lugar del mundo, desde Colonia hasta Ciudad Juárez
Mujeres con discapacidad y violencia: asignatura pendiente
La violencia sexual contra las mujeres tiene muchas caras diferentes y oscuras
El maltrato a las mujeres ancianas también es violencia de género
Últimas Firmas
  • Opinión | Mocro Maffia y micro justicia
    Opinión | Mocro Maffia y micro justicia
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
  • Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
    Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
  • Opinión | ¿La Justicia es una lotería?
    Opinión | ¿La Justicia es una lotería?