Los piratas informáticos suplantan la identidad de la CNMV para atacar a los inversores
Varios expertos en derecho digital explican a Confilegal qué medidas se pueden tomar para evitar el impacto del ciberataque.

Los piratas informáticos suplantan la identidad de la CNMV para atacar a los inversores

|
05/12/2020 01:00
|
Actualizado: 04/12/2020 23:28
|

La Comisión Nacional del Mercado de Valores (CNMV) ha detectado respuestas a inversores, tanto por correo electrónico como en formato papel, en las que firmas no autorizadas utilizan falsamente la identidad e imagen del organismo. También el uso de contratos que incluyen el logo de la CNMV en los que las empresas fraudulentas solicitan la firma del inversor.

Desde este regulador se aconseja verificar la procedencia de las respuestas y, ante cualquier sospecha, realizar una consulta al departamento de Inversores de la CNMV.

El organismo ha llevado a cabo diversas actuaciones, entre ellas alertar a las Fuerzas y Cuerpos de Seguridad del Estado. La CNMV emprenderá las acciones legales a su alcance para impedir y limitar estas prácticas.

Confilegal ha pedido a varios expertos en derecho digital su opinión sobre esta cuestión y qué medidas se pueden tomar para evitar el impacto del ciberataque.

Opinan Pablo García, director del área de Derecho Digital en Herbert Smith Freehills en Madrid; Alonso Hurtado, socio de Ecija; y Manuel Asenjo, director de IT en Eversheds Sutherland Nicea, quienes dan algunas pautas sobre cómo contestar a este tipo de situaciones.

García destaca que “el propio regulador nos desgrana los diversos tipos que han detectado, los cifran básicamente en emails desde direcciones supuestamente pertenecientes a CNMV, pero que en realidad no lo son, pues tienen este aspecto: CNMV.help, por ejemplo, en lugar del oficial, que es CNMV.es”.

A su juicio, “esos emails contienen al parecer respuestas a inversores. Otras veces, se les remiten supuestos contratos con tipografía de la CNMV impostada, en los que entiendo se les solicitarán datos personales e incluso al parecer se les invita a los destinatarios a realizar determinadas inversiones, entiendo que también previo ingreso de cantidades en cuentas controladas por los delincuentes”.

Pablo García, director del área de Derecho Digital en Herbert Smith Freehills en Madrid.

García advierte que “en el fondo se trata de aprovechar con fines delictivos, la evidente confianza que en el inversor suscita la institución, la CNMV”.

Este experto recuerda que “existen filtros automatizados que permiten detectar este tipo de envíos con una alta fiabilidad. Por otro lado, es clave aquí la formación del personal en las empresas y otras organizaciones, a fin de que pueda ser consciente de este tipo de prácticas o de otras similares. Por ejemplo aprovechando el crédito y buen nombre de otras instituciones”.

Junto con estas medidas, cree que “es crítica la concienciación ciudadana, y aquí la labor de los poderes públicos y en especial de entidades como Incibe o CNI (CCN-CERT) son determinantes y ejemplares”.

Nuestro interlocutor señala que “las víctimas no son solo las entidades financieras, aunque también, lo somos, en este concreto supuesto, cualesquiera personas que estén interesadas en cuestiones relacionadas con el entorno financiero y la inversión”.

En su opinión, “las técnicas son cada vez más sofisticadas y las prácticas cada vez más difíciles de detectar, de ahí la necesidad de extremar esa vigilancia y prestar creciente y decisiva a atención a estas cuestiones en la acción administrativa, la actuación empresarial y la propia vida ciudadana”.

Sobre el diseño de un plan antifraude en la empresa, García señala tres aspectos importantes. “Depender en último extremo de la máxima autoridad de la empresa; involucrar a todas las áreas de responsabilidad (esto no es solo cosa de lo informáticos de la bata blanca) y transmitirle clara y sistemáticamente al conjunto del personal que la ciberseguridad es cosa de todos, no simplemente de algunos, ni de los que tienen mayores responsabilidades”.

En cuanto a las actuaciones señala que “son delitos, catalogados como tales en el Código Penal. Se trata de, como mínimo, estafas informáticas. Y en estos concretos supuestos, podrían también conllevar, adicionalmente, delitos de acceso ilegítimo a redes y sistemas informáticos de determinadas entidades. Estamos hablando de penas de hasta seis años de prisión en el primer caso o de hasta cinco años de prisión en el segundo de ellos”.

Sector financiero castigado por los fraudes

Por su parte, Alonso Hurtado, socio de ECIJA, considera que “el sector financiero y especialmente el de la inversión financiera, es con seguridad uno de los sectores en los que existen mayores riesgos de ser víctima de fraudes”.

A su juicio, “los fraudes más habituales suelen estar asociados a la creación de los denominados como chiringuitos financieros, siendo éstas entidades y personas que no están autorizadas para actuar en los mercados de valores, prestar servicios de inversión previstos en la normativa, ya sean relativos a la recepción, transmisión y ejecución de órdenes de clientes, gestión de carteras o asesoramiento en materia de inversión, o en su caso realizar la actividad reservada a las instituciones de inversión colectiva (IIC)”.

Alonso Hurtado, socio de Ecija.

Hurtado revela que “únicamente las empresas registradas ante la CNMV han obtenido autorización tras acreditar el cumplimiento de ciertos requisitos (capital suficiente, organización y medios adecuados, etc.), siendo, tanto previamente como posteriormente, supervisadas de forma periódica por la CNMV”.

De hecho, el caso concreto que se referencia a acciones de suplantar a la propia CNMV, “se refiere a este tipo de entidades, que en el proceso de lograr generar la apariencia de legalidad y la confianza adecuada para lograr que los inversores confíen en sus servicios, llevan a cabo el uso de la imagen y el buen nombre de la CNMV de forma completamente ilegal”.

Este experto recuerda que la propia CNMV “ha hecho pública una guía con recomendaciones para identificar de forma preventiva este tipo de casos, así como con indicaciones relativas a cómo actuar para prevenir este tipo fraudes”.

Hurtado cree que a nivel preventivo “la principal acción debería centrarse en la comunicación y difusión por parte de los reguladores, pero también por parte de las entidades que sí se encuentran debidamente reguladas, en relación con cuáles son los elementos determinantes para identificar posibles entidades fraudulentas”.

A su juicio, “desde el punto de vista de los inversores, la principal acción debería ser, que el inversor lleve a cabo las comprobaciones y verificaciones oportunas antes de realizar ningún tipo de inversión”.

También advierte que “con una simple acción de verificación de si la entidad se encuentra listada en el registro, en el que se pueden verificar las entidades no reguladas que han sido advertidas por parte de la CNMV, bastaría para conocer si la entidad que está ofreciéndonos los servicios es una entidad regulada, debidamente autorizada por la CNMV y el Banco de España o por el contrario se trata de un chiringuito financiero”.

En cuanto a las sanciones, este experto señala que “en el caso concreto que nos ocupa podría hablarse de conductas relacionadas con el uso no autorizado de la marca, con el consecuente aprovechamiento ilegítimo de reputación ajena, así como la posible comisión del delito de estafa”.

Hurtado recuerda que “el delito de estafa, regulado en el artículo 248 del Código Penal, castiga a los que, con ánimo de lucro, utilizaren engaño bastante para producir error en el otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno, estableciéndose una pena de privación de la libertad de entre seis meses a tres años”.

A su juicio, “parece razonable pensar que en este tipo de casos, sería factible poder aplicar el referido tipo penal, en tanto la entidad supuestamente regulada por la CNMV utiliza los logotipos y la imagen de la CNMV con la finalidad de generar la creencia en los inversores que están trabajando con una entidad regulada y, en definitiva, una entidad con garantías suficientes”.

Suplantación de identidad, muy frecuente

Por su parte, Manuel Asenjo, director de IT de Eversheds Sutherland Nicea en España, reconoce que esta práctica “es habitual, por sencilla. Se trata de imitar la apariencia en los correos electrónicos y comunicaciones. Cualquier persona puede encontrar en internet los elementos necesarios para simular la apariencia de prácticamente cualquier organismo. Por desgracia, este no es el primer caso conocido ya hemos tenido previamente ataques similares con la Agencia Tributaria o Correos”.

A nivel de prevención de estas conductas irregulares, la clave para Asenjo se encuentra en proteger la información a sus clientes y usuarios. «Todas mandan comunicaciones informando de que estas entidades nunca van a solicitarnos ningún dato por correo electrónico o a través de algún formulario derivado”.

“En caso de recibir alguno de estos, insistimos en la importancia de fijarnos con detenimiento en la dirección web a la que nos lleva dicho formulario. Si no es la oficial del organismo o no es correcta por mucho que haya un logo o el ‘fit up’ sea realista no debemos caer en la trampa”, advierte este experto en seguridad de la información.

Manuel Asenjo, director de IT en Eversheds Sutherland Nicea.

Asenjo cree que la CNMV poco puede hacer a nivel de defenderse de este ciberataque. “No podemos evitar que nuestros elementos de imagen estén en internet, es nuestra marca, lo que nos caracteriza. Están ahí para que nuestros usuarios y clientes puedan identificarnos correctamente y se sientan protegidos”.

Este experto cree que “solo podemos ponerlo en conocimiento de las fuerzas y cuerpos de seguridad del estado para qué estén atentos ante su uso en páginas y sitios no autorizados y puedan tomar las acciones pertinentes. En el caso del resto de entidades que se relacionan con la suplantada, únicamente poner mucha atención por parte de sus empleados y usuarios particulares para no caer en las trampas”.

Manuel Asenjo recuerda que “hasta la fecha no existe ninguna ley específica que aborde la suplantación de identidad en internet. La suplantación en internet no se considera cómo suplantación permanente por lo que no quedaría cubierta por el artículo 401 del Código Penal”.

En su opinión, “tenemos que ir hasta el artículo de 248.2 del Código Penal donde se puede considerar este tipo de actuaciones dentro del concepto de estafa. Deberá existir un motivo económico y se asocia a penas de 6 meses a 3 años”.

Noticias Relacionadas:
Lo último en Mundo Judicial