¿Qué es el pishing?, ¿cuáles son los delitos de fraude más comunes en Internet?, ¿cómo detectar un fraude en Internet?, ¿qué puedo hacer si he respondido a un email de tipo Phishing?, todos los detalles relacionados a esta temática los explica el despacho Vox Legis Abogados, especializados en Delitos de defraudaciones.
Introducción: ¿qué es el phishing?
El concepto phishing proviene de la unión de las siguientes palabras en inglés password—contraseña—, harvesting—cosechar— y fishing—pescar—, con lo que se viene a hacer alusión a “cosecha/pesca de contraseñas”. A la persona que pone en práctica este delito se le conoce como phisher. De modo tal que entendemos por phishing la actividad delictiva destinada a recolectar las credenciales de inicio de sesión de un amplio grupo de personas a través de, principalmente, la remisión a los mismos de correos electrónicos de phising (fraudulentos) mediante los cuales acabar accediendo a la cuenta de la víctima con el fin de despatrimonializarla.
El origen del phishing
El origen de la generalización de este delito data de la década de los noventa, y su operativa se centraba en el envío masivo de correos electrónicos de phising (fraudulentos) a los clientes de entidades financieras (conocido como smishing, o incluso a través de llamadas telefónicas, el denominado vishing).
Desde el punto de vista del Derecho Penal Español, este tipo de conductas serían incardinables en el tipo penal previsto en los artículos 248.1 y 248.2.a) del Código Penal:
1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.
Si el fraude al que te has visto expuesto supone también una infracción de la normativa de protección de datos que afecte al tratamiento de tus datos personales, puedes presentar una reclamación recurriendo a la Sede Electrónica de la AEPD y aportar las pruebas o indicios de que dispongas.
Vox Legis Abogados, especializados en Delitos de defraudaciones.
Contacta con el despacho
Phishing: ¿cuáles son los delitos de fraude más comunes en Internet?
Según el estudio sobre criminalidad en España del Ministerio de Interior, en los últimos años, los ataques de phishing han evolucionado con el paso del tiempo migrando hacia otras formas de comunicación online—además de los correos electrónicos— como, en particular: las redes sociales, mediante la colocación de posts en Facebook o Twitter, Instagram entre otros, con promociones y beneficios para cuyo disfrute se requiere el ingreso, también en este caso, de información personal y bancaria en las correspondientes webs clonadas.
De este modo, han surgido nuevas modalidades de estafas de phising. Siendo otra de ellas la de obtención de datos y contraseñas del usuario es el caso de phishing a través de malware (acrónimo de «malicious software»), es decir, la implantación de programas denominados maliciosos (entre los cuales, troyanos, virus, gusanos, etc.) en el sistema informático desde el que la víctima maneja sus cuentas bancarias.
Phishing: método más común
Pero el método más usual de consecución de credenciales de inicio de sesión de cuenta bancaria en la práctica judicial es el denominado pharming (simulación de entidad bancaria). Los defraudadores simulan o copian una página web de un banco y en los correos anzuelo incluyen una URL en la que el cliente destinatario víctima ha de pinchar, teóricamente para acceder a la página de su banco pero que, en realidad le dirige a la página web simulada donde el destinatario introducirá sus datos de usuario y contraseñas, valiéndose de una excusa lo más verosímil posible (actualización del sistema, verificación de datos, etc.).
Más modernamente, con el fin de evitar que quede al descubierto su verdadera URL y el usuario pueda percatarse del engaño, en lugar de contener un enlace en el correo remitido por la supuesta entidad bancaria, lo que se envía en el correo es un archivo adjunto HTML que el destinatario tiene que descargarse.
El usuario bancario descarga y abre el archivo que consiste en un formulario de recogida de datos, el cual lo cumplimenta, proporcionándoselos al defraudador, dejando su cuenta expedita para que éste pueda operar libremente.
Una vez que el cliente ha picado y el phisher dispone de las claves de acceso, que han quedado registradas en la falsa página web, se introduce en el verdadero sistema informático de la entidad bancaria y está en disposición de retirar dinero de la cuenta bancaria de la víctima de manera fraudulenta e inconsentida.
¿Cómo detectar un fraude en Internet?
De la técnica que hemos descrito, podemos apreciar que hay un paso previo e indispensable que los autores de estafas de phising requieren para abordar el acto delictivo: el mensaje con el que engañar a sus víctimas.
De modo tal que siempre debemos sospechar al encontrarnos un mensaje cuyo contenido reúna algunos de los caracteres a los que luego haremos alusión.
Pero, sin ahondar en el detalle de dichos mensajes y su contenido, debe alertarnos ya el hecho de que suelen buscar captar nuestra atención a través de tentarnos con llamativos regalos, gangas, ofertas, sorteos, etc. O tratar de llamarnos la atención mediante alertas urgentes que requieren nuestra inmediata proporción de credenciales de inicio de sesión u otros datos con el fin de evitar que nuestros dispositivos o cuentas se bloqueen.
Siendo que, nunca, ningún prestador de servicios de la información oficial y legal nos requerirá proporcionarle nuestras credenciales de inicio de sesión a través de los medios por los que los ataques de phising se dirigen a nosotros: WhatsApp, correo electrónico, SMS, etc.
Ni para ofrecernos un regalo, ni para solventar un fallo de sus sistemas. Razón por la que ante este tipo de “tentaciones” es crucial mantener la calma, valorar este tipo de mensajes y decidir hacer caso omiso de ellos cuando nos requieran ese tipo de información sensible o privada.
¿Cómo reconocer un mensaje de Phishing?
Como adelantábamos, es crucial saber reconocer este tipo de mensajes. Pues en principio parece que cliquear en este tipo de mensajes no es perjudicial en sí, si no termina por facilitar nuestros datos (cuenta bancaria, contraseñas, datos personales…). Pero téngase en cuenta que puede caer también en una base de datos de direcciones de correo electrónico, para trasmitir malware o realizar campañas de correos masivos con estas estafas.
Para ello es muy importante saber identificar este tipo de mensajes insertos en los correos electrónicos de phising:
- Logos borrosos, correos mal escritos con mala ortografía y malas traducciones son
indicadores de posibles fraudes.
- Recordar que los bancos y demás empresas y corporaciones NUNCA PIDEN DATOS POR
EMAIL.
- No dar datos personales por internet a no ser que se conozcan bien la entidad y motivo.
- Las webs seguras comienzan por https:// y debe aparecer un pequeño candado cerrado
en el navegador.
- Se debe desconfiar de todos los mensajes de premios o regalos y promociones que no
se ha solicitado, en caso de que lleguen, la mejor solución es marcarlo como SPAM o
eliminarlo directamente.
- No clicar en los enlaces ni llamar a los números de teléfono largos que aparecen. Ni
tampoco descargar los archivos adjuntos al mensaje
- Utilizar antivirus.
- No reenviar.
¿Qué puedo hacer si he respondido a un email de tipo Phishing?
En caso de que hayan conseguido engañarte mediante el ataque de phising y hayas facilitado tus credenciales de inicio de en respuesta al correo electrónico o mensaje de phising, es muy importante que inmediatamente cambies tu contraseña de aquellas cuentas y aplicaciones que se hayan visto involucradas en esta operativa: del correo electrónico, de la banca online, etc.
Si, además has introducido cualquier dato o método de pago, contacta inmediatamente con tu entidad bancaria para revisar si tienes algún cargo reciente no autorizado.
En último lugar, puedes cursar una denuncia por delitos cibernéticos ante las autoridades policiales o judiciales competentes. Para lo cual será preciso recabar toda la documentación posible que dé cuenta del proceso defraudatorio del que se ha sido víctima
Por supuesto, marca la dirección del remitente y el mensaje como SPAM, para que sus emails no vuelvan a colarse en tu bandeja de entrada.
¿Cómo reportar el Phishing?
Si en alguna ocasión terminas siendo víctima de un ataque de phising, es importante que, recopilando toda esa información relevante (mensajes, enlaces, archivos descargados, etc.), la pongas en conocimiento de los organismos oficiales pertinentes:
La Policía Nacional
La Policía Nacional cuenta con una Oficina Virtual de Denuncias que podremos usar para interponer una denuncia telemáticamente (aunque no sirve para denunciar cualquier delito: lee con detenimiento los requisitos en la web).
Además, su Brigada Central de Investigación Tecnológica pone a nuestra disposición varios formularios en los que podemos notificar hechos delictivos relacionados con el ámbito tecnológico, incluyendo diversas clases de fraudes.
La guardia civil
La Guardia Civil cuenta con un Grupo de Delitos Telemáticos. Según explican en su web, una denuncia propiamente dicha exige «la personación del denunciante o su representante legal, en un juzgado o centro policial».
Pero si lo que buscamos no es interponer una denuncia, sino hacerle llegar al instituto armado información sobre algún posible fraude cibernético que se esté llevando a cabo, podemos recurrir a su formulario anónimo de información ciudadana en este sitio web.
El instituto nacional de ciberseguridad (INCIBE)
El INCIBE mantiene el 017, una línea telefónica gratuita para ayuda en materia de ciberseguridad, a la que podemos recurrir en horario de 9:00 a 21:00 horas durante todos los días del año (incluidos fines de semana y festivos).
Si en lugar de llamar por teléfono preferimos remitir nuestra consulta por escrito, tenemos la opción de recurrir a tres formularios:
a) Formulario para el ciudadano en general. Entre los tipos de consulta disponible, encontraremos uno listado como «Casos de fraude».
b) Formulario para empresas: No existiendo ninguna referencia a fraudes en el listado disponible, podremos usar «Problemas de seguridad» u «Otros», según el caso.
c) Formulario para menores (o para casos relacionados con menores), forma parte de la iniciativa ‘Internet Segura For Kids’. No es sólo para ciberataques y fraudes: los casos relacionados con el ciberbullying, el sexting o el contacto con cibercomunidades peligrosas también reciben respuesta aquí.
Pero el INCIBE aún proporciona otro canal más para reportar fraudes: el buzón de su Centro de Respuesta a Incidentes de Seguridad. Así, escribiendo a incidencias@incibe-cert.es,«podrás reportar los casos de fraude que detectes: correos de phishing, tiendas online fraudulentas, sitios web que alojan malware, etc».
la agencia Española de protección de datos (AEPD)
Si el fraude al que te has visto expuesto supone también una infracción de la normativa de protección de datos que afecte al tratamiento de tus datos personales, puedes presentar una reclamación recurriendo a la Sede Electrónica de la AEPD y aportar las pruebas o indicios de que dispongas.
Según advierten, «la tramitación es más ágil en los casos en que se aportan más pruebas o indicios junto con la denuncia».
¿Deseas ponerte en contacto con el despacho Vox Legis Abogados? Solicitar llamada.
Quizá también te interese: