Estafas a través de Internet: phishing y scam

El phishing es una práctica consistente en el envío masivo de mensajes electrónicos con apariencia de veracidad, generalmente referidos a una entidad bancaria, solicitando datos personales, nombres de usuario, contraseñas, passwords, etc., con el único propósito de recoger esa información del usuario con fines fraudulentos y delictivos.

Aunque en un principio esta práctica se centraba principalmente en simular correos electrónicos emitidos por bancos, últimamente los ciberdelincuentes han ampliado su ámbito de actuación y los envíos masivos de correos electrónicos o mensajes al móvil parecen que son emitidos por todo tipo de grandes empresas. Muestra de ello es el reciente fraude de los mensajes WhatsApp que suplantan la identidad corporativa de Mercadona, incitando al usuario a facilitar datos a cambio de un sorteo de un vale de compra. Se trata de mensajes aparentemente enviados por una empresa conocida (tecnológica, cadena de alimentación, grandes almacenes, etc.) incitando al destinatario a inscribirse, registrarse o visitar una página web (falsa lógicamente) en la que facilitar sus datos personales o contraseñas de acceso. Además, el uso de las redes sociales hace que la propagación de los mensajes se realice de forma exponencial.

En todos los casos se trata de llevar a cabo una estafa on-line. Se envía un correo electrónico o un mensaje al móvil que aparentemente corresponde a la entidad bancaria y se le solicita al usuario que facilite datos relacionados con sus cuentas bancarias y tarjetas de crédito, con la excusa de actualizar números PIN o nombres de usuario, solicitando los datos a través de un formulario o incluyendo un enlace a una página web.

Esta conducta está tipificada en el artículo 248 del Código Penal que determina que comenten estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno, añadiendo el segundo apartado que también se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

Otro tipo de estafa en Internet es el scam como fase previa al phishing. Esta estafa se desarrolla en tres fases, en las cuales se ven implicadas personas incautas y confiadas que, sin ser conscientes de ello, se convierten en coautores de un hecho delictivo. En la primera fase de esta estafa, a través de chats, correos electrónicos o anuncios difundidos por Internet, diversas empresas ofertan trabajo fácil desde el domicilio con el que se pueden obtener grandes beneficios. Consiste en hacer de intermediario de transferencias internacionales de ciertas cantidades de dinero, ofreciéndose en concepto de remuneración un cierto porcentaje. Para poder optar a este trabajo se exige una conexión a Internet de 24 horas, tener cuenta corriente propia y conocer los sistemas internacionales de envío de dinero. Para aumentar la apariencia de legalidad y la total desvinculación con el blanqueo de dinero se apoyan en conocidas empresas legales de pago por Internet como Paypal o Western Union. En esta información, que suele tener defectos idiomáticos y faltas de ortografía, incluyen un formulario que debe ser rellenado con el número de cuenta y algunos datos personales.

Una vez captadas las personas que van a hacer de intermediarios, comienza la segunda fase del timo, la conocida como phishing. Mediante un envío masivo en nombre de entidades bancarias nacionales de prestigio, imitando sus páginas web, consiguen que los usuarios de la banca on line introduzcan sus datos personales, número de cuenta y claves de acceso financieras a través de Internet. Una vez que la víctima facilita las claves de banca on line, los delincuentes comienzan a efectuar transferencias de fondos de esas cuentas hacia las de los intermediarios. Efectuado el ingreso, contactan con ellos por correo electrónico indicándoles las directrices sobre cómo y dónde remitir el dinero, una vez obtenida la comisión prometida. Este dinero es remitido por el intermediario a terceras personas mediante transferencias que efectúan en empresas de envío rápido de dinero. Así se cierra el círculo y el dinero finaliza en manos de los delincuentes, dificultando a los investigadores seguir el camino recorrido por el mismo.

El beneficio de esta práctica delictiva es importante dada la masificación de los envíos. Pero como sospechosos únicamente quedan los intermediarios captados que buscaban empleo, convertidos en cómplices de una cadena delictiva. Éstos desconocen además casi todo de sus “empleadores”, debido no sólo al anonimato de la red sino también a su ubicación en países con bajo grado de colaboración judicial y policial, siendo difícil llegar a los verdaderos cerebros de la trama delictiva.

Conscientes de estas amenazas, las entidades financieras redoblan sus esfuerzos por luchar contra los ataques de la red. Sin embargo, el problema radica en que dichos ataques no van dirigidos a sus estructuras informáticas, sino a los propios usuarios mediante páginas y correos falsos que escapan al control de las entidades. Por ello, desde la Administración, las asociaciones de internautas y las propias entidades financieras se recomiendan diversas medidas de seguridad para evitar en lo posible éstos y otros intentos de fraude:

• Mantener un antivirus permanentemente actualizado.

• Instalar firewalls para evitar accesos no deseados.

• No facilitar las claves de acceso contestando a mensajes de correo electrónico. Como regla general, las entidades financieras nunca piden los datos de acceso de ningún cliente por mensajes de correo electrónico.

• Ser especialmente escrupuloso con las contraseñas: no utilizar la misma contraseña todo el tiempo y para todas las aplicaciones; modificarlas periódicamente; desactivar las funciones de almacenamiento de claves en la memoria; no facilitarlas a terceros, etc.

• Llevar un control de la cuenta bancaria que permita detectar rápidamente cualquier movimiento sospechoso o no autorizado.

• Limitar los canales de acceso a las cuentas bancarias on line, con lo que se limitan también las posibilidades de ser pirateados.

• No introducir datos relativos a información bancaria y contraseñas en sitios de autoría dudosa o no contrastada.

• No acceder a la banca online mediante enlaces incluidos en correos electrónicos, es preferible teclear el nombre directamente en el navegador.

• Comprobar que el nombre de la página se corresponda con el nombre de la entidad (http://nombredelaentidad.es), pues las páginas fraudulentas en lugar del nombre de la entidad aparece una secuencia numérica o IP, que no pertenece a ningún servidor de la entidad bancaria.

• Observar que la página trabaja con protocolo SSL, o servidores seguros, que garantizan la encriptación del tráfico de datos entre maquina y cliente. A simple vista se puede comprobar si en la barra de direcciones del navegador aparece al comienzo de la dirección: https:// en lugar de http://, o bien si en la barra de estado en la esquina inferior izquierda aparece un pequeño candado amarillo que nos advierte que se trata de una página segura.

• Desconfiar de correos maliciosos o de dudosa procedencia. En estos casos siempre es mejor pecar por exceso que por defecto y es preferible no atender los correos que nos pidan información de nuestra cuenta y contactar directamente con la entidad para ampliar la información.