El “phishing” es una de las modalidades de estafa informática del artículo 248.2 del Código Penal, en que a través de “artificios informáticos desconocidos los autores consiguen las claves secretas de alguien y realizan una disposición patrimonial inconsentida” (Sentencia N. 296/13 del Juzgado de lo Penal N. 7 de Alicante de 13 de septiembre de 2013).
Los sujetos activos del delito proceden a la captación de colaboradores que actúen en intermediarios en el país elegido para realización de los fraudes, utilizando diversos medios de comunicación y ofertando puestos de trabajo con personas del país a través de programas de mensajería como ICQ, MSN, Yahoo! Messenger, también a través de Chats como IRC (internet Relay Chat), Correos electrónicos (email) hecho que realizan con envío masivo e indiscriminado esta técnica es lo que se denomina
SPAM, también pueden captar en tablones de anuncios (Foros), páginas Web en las que habilitan empresas fraudulentas para dar fiabilidad a ofertas de trabajo. Contactan con las mismas ofreciéndoles la posibilidad de obtener un trabajo, o la realización de un acto humanitario entre otros, consistente en recibir transacciones de dinero que posteriormente deben remitir a otro país, quedándose, casi siempre, un porcentaje del mismo, dando distintas y diversas motivaciones de dicha actividad, por ello tienen que abrir o facilitar unas cuentas bancarias donde recibirán el dinero. Una vez captados los colaboradores, mantienen con ellos contacto físico, telefónico o correo electrónico, dándoles las consignas pertinentes, como pueden ser: la apertura de cuentas bancarias en diversas entidades bancarias, forma de reintegrar el dinero y forma y a quien enviarlo.
Paralelamente a la apertura de cuentas bancarias, estos grupos realizan la captación de los datos confidenciales de las víctimas para el control de las cuentas “on line” utilizando la técnica denominada “
phishing” (derivación del inglés fishing -ir de pesca-), la cual puede partir de un
SCAM consistente en un envío masivo e indiscriminado (SPAM) de correos electrónicos (EMAIL) con un engaño para llamar la atención de la víctima (HOAX).
En la Red se utiliza el envío masivo de correos electrónicos que simulan proceder de entidades bancarias y apremian al internauta a actualizar datos personales (nombres de usuario y contraseña de cuentas bancarias, números de tarjeta de crédito, etc.) aludiendo motivos de seguridad, mantenimiento, mejora en el servicio, confirmación de identidad o cualquier otro, redirigiéndoles a una página que imita a la original (Web Spoofing), de tal manera que al introducir los datos en la página falsa, éstos son “pescados” por los ciberdelincuentes para utilizarlos de forma fraudulenta. También la captura de claves puede realizarse a través de programas que interceptan la información o en el momento que se introducen en la banca online real, técnicas denominadas “Man in the middle” como el uso de keyloggers (programas que capturan las pulsaciones del teclado) o el uso de programas de control remoto. Los ataques mediante troyanos, últimos detectados, y que guardan relación directa con las entidades bancarias, se difunde a través de códigos en javascript, HTML, PHP en páginas web o corros electrónicos que permiten modificar la máquina víctima para esnifar (captar la información tecleada en las computadoras), como operaciones bancarias en línea, residiendo de forma silenciosa en los PC que logra infectar y activándose cuando el usuario visita determinadas sedes Web de bancos, capturando las claves de acceso e incluso capturando las pantallas para conocer el estado de las cuentas corrientes.
Una vez se tiene la información confidencial bancaria de la víctima, se accede al Banco Online a través de máquinas comprometidas (proxies) o lugares públicos de acceso a internet (cibers, bibliotecas) ubicadas en países ajenos al grupo realizador del fraude y de la víctima, transfiriendo el capital a la cuenta bancaria intermedia para comunicar al colaborador que ya ha recibido capital y que debe reenviarlo tras quedarse la comisión pactada.
¿Cómo actuar?
En primer lugar, nunca responder a estos requerimientos ni por teléfono, ni por correo electrónico, ni por SMS, puesto que ninguna entidad bancaria solicita las contraseñas de acceso a la Oficina Virtual, número de contraseña, llamada telefónica, o cualquier información.
En segundo lugar, no haga nunca clic en estos mensajes, ni siquiera por curiosidad.
En tercer lugar, ponga en conocimiento de los cuerpos de seguridad del estado (
Policía Nacional,
MMEE,
Guardia Civil) el hecho con el máximo de datos que pueda aportar: Emisor y Mensaje del correo electrónico, captura de pantalla, fecha de recepción, enlace de los links que hubiere en el mensaje (para ello posiciona el ratón encima del enlace, y con el pulsante derecho clique en copiar dirección de enlace, y peque en el documento que remita).
