QUE ES EL PHISHING
El término phishing proviene de la palabra inglesa «fishing» (pesca), haciendo alusión al intento de hacer que los usuarios «piquen en el anzuelo» y se conviertan en víctimas.
A la persona que pone en práctica este delito se le conoce como phisher.
El origen de este delito data de la década de los noventa, y su operativa se centraba en el envío de correos electrónicos fraudulentos a los clientes de entidades financieras. En un principio estos mensajes estaban mal redactados, con una burda traducción al español y con errores ortográficos, sin embargo, en la actualidad, su redacción es mucho mas apurada, por lo que consiguen conferir mayor credibilidad al mensaje.
Este fenómeno fraudulento ha ido evolucionando y se aplica a multitud de servicios y de dispositivos, adaptándose a las nuevas aplicaciones tecnológicas y sobreviviendo, como si de un virus de la gripe se tratara, a los nuevos métodos y herramientas creadas para combatirlo.
FUNCIONAMIENTO DEL PHISHIHG
Esta estafa consta de varias fases:
En la primera, los estafadores, normalmente de países del este, y con grandes conocimientos informáticos, recaban de manera fraudulenta las claves de acceso online a cuentas bancarias, a través de múltiples métodos que a continuación analizaremos. Una vez disponen de las claves de acceso, retiran, de manera fraudulenta e inconsentida dinero de la cuenta bancaria de dicho usuario.
En una segunda fase, buscan a una persona que pueda poner a su disposición una cuenta bancaria (prefieren los Bancos antes que las Cajas de Ahorro) para transferir a la misma el dinero que han sustraído. Esta persona tiene el papel de mulero (mulero bancario), que si bien es una víctima del engaño, coopera sin saberlo ni consentirlo en la estafa.
En el siguiente apartado describiremos los múltiples procedimientos por los que los estafadores (phishers) captan a los muleros.
Los phishers suelen llevar a cabo la primera y la segunda fase casi simultáneamente, ya que realizan la primera inmediatamente después de haber captado al mulero. Una vez que transfieren el dinero a la cuenta designada por el mulero, le instan (enviándole un email e incluso llamándole por teléfono) a que transfieran a su vez el dinero lo antes posible a otra cuenta a través de Wester Union, o medio de pago similar.
MODALIDADES DE PHISHING
Como ya hemos comentado el método estrella para la recopilación fraudulenta de claves bancarias es el Pharming (simulación de entidad bancaria) Los estafadores simulan o copian una página web de un banco (pharming) y realizan un mailing para que los posibles clientes del mismo accedan a dichas url’s y faciliten sus datos de usuario mediante alguna excusa (actualización del sistema, verificación de datos, etc…).
El mailing es enviado a multitud de usuarios, que pueden o no ser clientes del banco, ampliando con ello las posibilidad de que algún cliente pique el anzuelo, e introduzca sus claves de acceso en la web falsa.
El usuario, por tanto, recibe el mensaje de correo electrónico que, en todos sus detalles, parece proceder de alguna importante entidad bancaria de la que es cliente, y cae en la trampa. Normalmente, en este correo electrónico se afirma que, bien como medida de protección de los datos confidenciales del usuario o como consecuencia de algún cambio de los sistemas informáticos del banco, es necesario que el usuario vuelva a introducir datos tales como números de cuentas bancarias y de tarjetas de crédito, logins, contraseñas, números PIN, etc.
Así, en el propio cuerpo del mensaje recibido figura una dirección de Internet, o -más frecuentemente- un botón sobre el que el usuario tiene que hacer click para acceder a un formulario donde introducir los datos solicitados.
Sin embargo, el servidor donde está alojado ese formulario nada tiene que ver el supuesto banco, ya que esas páginas han sido creadas por hackers que, de esa manera, reciben directamente los datos confidenciales que el cliente ha introducido.
Con los claves bancarias, pueden transferirse el dinero sin ningún obstáculo.
Este método ha evolucionado ya que los estafadores son conscientes de que el usuario, al acceder al enlace establecido en el correo electrónico, queda al descubierto su verdadera URL, y el usuario puede entonces percatarse del engaño, de manera que en lugar de encontrarnos un enlace en el correo remitido por la supuesta entidad bancaria, nos encontramos con un archivo adjunto html.
El usuario abre el archivo y cumplimenta el formulario de recogida de datos, los cuales, viajan directamente al estafador, el cual puede operar en su cuenta libremente y sin que el propietario se percate.Phishing utilizando entidades y organismos públicos
En esta época, previa a la campaña de la declaración de la renta, aparecen también correos electrónicos supuestamente emitidos por la Agencia Tributaria,
con el asunto «Mensajes de devolución de impuestos», envían un enlace que nos dirige a una página web con un formulario donde nos solicitan nuestros datos (nombre, NIF, numero de tarjeta, fecha de caducidad, código PIN, etc), con la excusa de devolvernos cierta cantidad de dinero.
Uno de los supuestos mas comunes que recibimos en nuestro despacho es aquel en el que el usuario recibe en su cuenta de correo una oferta de empleo falsa.
En el se le informa que puede ganar dinero bien como agente en España de unaempresa multinacional que necesita centralizar los pagos a proveedores y demásclientes o como auxiliares financieros que tienen que trabajar como intermediariospara una empresa internacional.
Ejemplo de corre fraudulento:
Buenos dias!
Somos – una empresa de holding muy grande en el territoio de EE.UU.,que desea ampliar su red de servicios en Europa.
Y en estos momentos estamosen busca de personal en España que nos podra ayudar a comunicarse con los clientes potenciales y realizar nuestras investigaciones en el mercado.
Llevamos a cabo la formación inicial, por lo tanto no se requieren conocimientos en especial.
Si usted se intereso, por favor, háganos saber:
Su nombre, número de teléfono (en el formato internacional) y la ciudad de residencia.
Nuestros gestores se pondrán en contacto con usted para informarle los detalles.
Con nuestros mejores deseos.
Escribanos al correo electronico xxxxxx@xxxxxxxxxxxxx.com
Una vez que el usuario responde a esta oferta de empleo, le solicitan que envié su currículum vitae, y que suscriba el contrato dispuesto en un enlace, en el cual, le solicitan de nuevo mas datos, tales como número de la Seguridad Social, teléfono y datos de una cuenta bancaria, para recibir el supuesto sueldo o comisión por la prestación del servicio.
Posteriormente el mulero recibe una llamada telefónica (los estafadores acosan al mulero para que este no tenga tiempo de pensar, conminándoles incluso a que se ausenten de su trabajo en ese mismo instante) en la que se le informa que ha surgido una emergencia y que han de comenzar a trabajar ya, o bien que es necesario realizar una prueba cuanto antes, indicándole que va a recibir una transferencia en su cuenta bancaria, cuyo importe ha de sacar de dicha cuenta, detrayendo una cantidad en concepto de comisión por la gestión realizada, y reenviarlo a través de Wester Union o Money Gram a una persona cuyos datos le facilita.
Una vez que el mulero lleva a cabo dicha transferencia, se consuma el delito.Otras modalidades
Es sabido que también se lleva a cabo este fraude a través del envío de sms o de llamadas telefónicas supuestamente realizadas por personas pertenecientes a algún organismo o institución publica, solicitando datos personales, que posteriormente son utilizados para consumar este delito.
COMO PROTEGERSE DEL ROBO DE LAS CLAVES
1. Verifique la fuente de información. No conteste automáticamente a ningún correo que solicite información personal o financiera.
2. Escriba la dirección en su navegador de Internet en lugar de hacer clic en el enlace proporcionado en el correo electrónico.
3. Compruebe que la página web en la que ha entrado es una dirección segura.
Para ello, ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador.
4. Revise periódicamente sus cuentas para detectar transferencias o transacciones irregulares.
5. No olvide que las entidades bancarias, ni ningún organismo público, solicitan información confidencial a través de canales no seguros, como el correo electrónico, teléfono o sms.PROCEDIMIENTO
Cuando la víctima descubre que alguien ha transferido dinero desde su cuenta, y sin su consentimiento, acude bien a su banco a pedir explicaciones o bien directamente a la policía a interponer una denuncia.
Momento en que se pone en marcha la investigación policial encaminada a concretar los hechos delictivos y a identificar al autor de los mismos.
Dado que la transferencia inconsentida tiene como destinatario al mulero, sus datos quedan perfectamente identificados en el sistema informático del banco, por lo que, tras solicitar los mismos, llaman a declarar al sospechoso, procediendo a su detención en dicho acto, momento en el cual le informan que puede solicitar un abogado de oficio o bien nombrar a un abogado particular para que le asista.
QUE HACER SI HE CAIDO EN LA TRAMPA
Si usted se ha percatado del engaño una vez que le ha sido ingresado el dinero en su cuenta bancaria, NO SAQUE EL DINERO DE SU CUENTA, e informe a su banco de lo sucedido, y de orden de no admitir transferencias de destinatarios desconocidos hasta que se resuelva la incidencia.
A continuación, PRESENTE UNA DENUNCIA ANTE LAS AUTORIDADES POLICIALES O ANTE LA GUARDIA CIVIL, ya que tarde o temprano, la persona a la cual se le ha retirado fraudulentamente su dinero va a denunciar los hechos, y usted va a ser identificado como destinatario de la transferencia, e imputado por ello. Es aconsejable que usted muestre su interés por denunciar los hechos antes de que la policía le detenga o se dirija contra usted el procedimiento judicial.
Póngase en contacto con un despacho de abogados especializado en este tipo de delitos para que le asesore desde el principio.CALIFICACIÓN JURÍDICA DE LOS HECHOS
Los hechos suelen calificarse por la acusación particular y/o por el Ministerio Fiscal como de estafa informática, del artículo 248.2 C.P. o como de Blanqueo de Capitales del artículo 301 C.P.
En cuanto a la estafa informática, la pena establecida es de seis meses a tres años de prisión si la cuantía de los defraudado excediere de 400 euros (artículo 249 C.P) y para el Blaqueo la pena establecida es de prisión de seis meses a seis años y multa del tanto al triplo del valor de los bienes. (artículo 301 C.P).