ESTAFAS INFORMÁTICAS: EL PHISING
A nadie se le escapa que en el actual estado de alarma estamos consumiendo mucho más Internet de lo habitual: plataformas audiovisuales, videojuegos, Whatsapp, compras online, etc. Paralelamente, esto ha desembocado en un aumento de las estafas informáticas (las que sufrimos a través de nuestros dispositivos conectados a internet). En este sentido, los ciberdelincuentes están aprovechando el aumento de nuevas altas en plataformas como Netflix o Spotify para usurpar las credenciales de los usuarios y ponerlas a la venta, o el aumento de las compras online para copiar los datos del comprador.
Aunque hay diversas formas utilizadas por los ciberdelincuentes para sustraer nuestras contraseñas (como a través de malware o key loggers), vamos a centrarnos en el phishing de credenciales, el modo más habitual de perpetrar una estafa informática. Veamos entonces en qué consiste, su tipificación y algunos consejos en cuanto a prevención.
El phishing consiste básicamente en la suplantación de la identidad. Es una de las técnicas más exitosas de sustracción de datos, y se puede realizar de varias maneras. Los cibercriminales suplantan a una empresa o persona de confianza para copiar información confidencial del usuario. Por lo general, éste recibe un correo de su banco o de una plataforma que tenga contratada, con la finalidad de inducirle a que clique en un enlace que le redirigirá a una web maliciosa, mediante la que se suplanta la identidad del supuesto remitente (una plataforma, mi banco…) para obtener las claves de acceso o cualquier otros datos confidenciales.
Son muy sofisticados, ya que imitan el logo, la tipografía y todos los detalles de Netflix, Spotify o cualquier otra plataforma de servicios de streaming, y nos invitan a renovar nuestra suscripción, o a reintroducir los datos de nuestra tarjeta de crédito.
Tradicionalmente, los ciberdelincuentes perpetraban éstas técnicas de phising o suplantación de personas o empresas a través de correos electrónicos, pero actualmente se están detectando envíos masivos de mensajes de Whatsapp en los que se reclama dinero para la pandemia del coronavirus por parte de la Organización Mundial de la Salud (OMS), Cruz Roja o el Gobierno de España, así como sms dirigidos a trabajadores, en los que aseguran que la empresa ha aprobado un ERTE y que tienen que enviar el número de cuenta para cobrar la nómina. En todos éstos casos se procederá como se ha señalado anteriormente, redirigiendo a destinatario a una web maliciosa que sustraerá sus credenciales. Estaremos hablando de phishing.
Vamos a analizar la regulación en nuestro código penal de este delito, tipificado en el Titulo VIII, relativo a delitos contra el patrimonio y contra el orden socioeconómico, más concretamente en la estafa (Cap VI, Secc. I), además de mencionar posteriormente algunas extensiones que añadió la L.O. 1/2015, de 30 de marzo al art. 197, en referencia al descubrimiento y revelación de secretos (Título X, de los delitos contra la intimidad, derecho a la propia imagen e inviolabilidad del domicilio), y el cual podemos aparejar a este delito.
Primero, nos detendremos en los artículos 248 y 301 del Código Penal:
El art. 248, en su regulación actual tras la reforma introducida por la LO 5/2010, de 22 de junio, dispone lo siguiente:
"1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro."
Las diferencias entre el tipo de la estafa informática y la clásica que recoge el primer apartado son evidentes, sustituyendo el engaño por la manipulación informática.
Lo que pretende esta nueva figura es proteger nuestro patrimonio ante una transferencia consentidora derivada de la manipulación informática, más accesible hoy día debido al uso masivo de las nuevas tecnologías.
Vemos como a diferencia de lo que ocurre respecto de la estafa prevista en el artículo 248.1 C.P., el engaño ya no es un elemento básico ni su presencia es imprescindible, dado que se sustituye la utilización de engaño por la manipulación informática o uso de artificio fraudulento semejante, que son los que en este caso dan lugar al desplazamiento patrimonial no consentido por parte del titular.
En definitiva, para que se dé este delito debe existir:
A) Ánimo de lucro.
B) Manipulación informática o uso de artificio semejante, que será la modalidad comisiva (sustituyendo al engaño).
C) Acto de disposición económica en perjuicio de tercero, concretado en una transferencia no consentida.
Vamos ahora con el art. 301 del Código Penal, cuya redacción dice lo siguiente:
“1. El que adquiera, posea, utilice, convierta, o transmita bienes, sabiendo que éstos tienen su origen en una actividad delictiva, cometida por él o por cualquiera tercera persona, o realice cualquier otro acto para ocultar o encubrir su origen ilícito, o para ayudar a la persona que haya participado en la infracción o infracciones a eludir las consecuencias legales de sus actos, será castigado con la pena de prisión de seis meses a seis años y multa del tanto al triplo del valor de los bienes (...)”
Este artículo hace referencia a un tercer sujeto, que actuará como intermediario. Cabe mencionar que el fenómeno complejo del phishing más común en la práctica comprende la actuación de al menos dos personas, el phisher y el "cyber-mula”, que actúa recibiendo y extrayendo la suma defraudada, que es enviada por él, generalmente al extranjero.
En todos los casos la jurisprudencia viene considerando al “cyber-mula” partícipe en un delito de estafa informática, “salvo que actúe bajo error”. Además, como veremos posteriormente, el art 197.3 tipifica ésta acción.
Como se extrae de todo lo expuesto, hay ciertos casos de phishing en donde la propia víctima es la que “coopera” involuntariamente, al proporcionar los datos y contraseñas que se utilizarán para perpetrar la estafa. La jurisprudencia ha venido señalando al respecto que en estos casos no se debe culpabilizar en modo alguno a la víctima (se ha venido exigiendo en algunos casos un “deber de autoprotección”) pues como en el resto de los delitos patrimoniales se tiene en cuenta la buena fe negocial.
Por último, vamos a analizar el art. 197, modificado como hemos dicho por la L.O. 1/2015, de 30 de marzo. La revelación de secretos está íntimamente ligada a los tipos de estafa que hemos estado mencionando. En concreto, su segundo apartado:
“2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero (estas penas a que se refiere el apartado anterior, son penas de prisión de 1 a 4 años y multa desde 12 a 24 meses.).
3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.
Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.
Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior.
6. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior.
Vemos pues que este artículo casa perfectamente con la conducta descrita, tanto por el phisher como por el “cyber-mula”.
Además, la L.O. 1/2015, de 30 de marzo, por la que se modifica la L.O. 10/1995, de 26 de noviembre, del Código Penal, añade:
Artículo 197 bis
1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses.
Artículo 197 ter
Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:
a) un programa informático, concebido o adaptado principalmente para cometer dichos delitos; o
b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.
Artículo 197 quater
Si los hechos descritos en este Capítulo se hubieran cometido en el seno de una organización o grupo criminal, se aplicarán respectivamente las penas superiores en grado.
Para acabar, vamos a dar algunos consejos para evitar ser víctima de estos fraudes:
1. Cerrar todas las aplicaciones antes de acceder a la web de su banco.
2. Escribir directamente la url en el navegador, en lugar de llegar a la misma mediante enlaces disponibles en páginas de terceros o en correos electrónicos.
3. Asegurarse que la web comienza por https://, para que los datos circulen por la red cifrados.
4. No acceder a los servicios de banca online desde ordenadores públicos, no confiables o que estén conectados a redes wifi públicas.
5. No utilizar siempre las mismas contraseñas para distintas plataformas.
6. Si tenemos alguna duda de caducidad de la tarjeta de crédito o si expira una suscripción, hemos de conectarnos al servicio desde internet, no con un click desde el correo.
Esperamos que os hayan servido de ayuda estos consejos, y que os familiaricéis con las nuevas formas de estafa que nos acechan. El aumento de la tecnología agudiza estos sistemas y hay que estar muy atento.