Phising, un delito que está al orden del día en nuestra sociedad

Hoy en nuestro blog os traemos una de las prácticas delictivas más famosas y, por desgracia, practicadas de nuestro ámbito social: el Phising.  Etimológicamente, este término anglosajón proviene de la palabra “fishing” (pesca), haciendo referencia al intento de hacer que los usuarios “piquen el anzuelo”. Partiendo de esta base, el término final se acuña del acrónimo de los vocablos ingleses “password, harvesting y fishing “(cosecha y pesca de contraseñas).

Aunque parezca un término actual, las primeras noticias que se tienen sobre este delito son del año 1996, aunque es cierto que es en la actualidad cuando goza de mayor relevancia dado al gran avance tecnológico e informático al que estamos expuestos.

 

¿Qué es el Phising?

El Phising es un término informático empleado por los delincuentes o “phisers” para obtener información confidencial de los usuarios. Mediante esta técnica abusiva de ingeniera social, los cibercriminales obtienen datos de los usuarios como su nombre, sus contraseñas, datos referentes a sus cuentas bancarias o tarjetas de crédito o recursos de redes corporativas, entre otros. En definitiva, todos aquellos datos posibles que posteriormente puedan ser usados de forma fraudulenta.8632578938_c6f408ba0f

La forma que utilizan los denominados “phisers” para llevar a cabo esta práctica es mediante la suplantación de la imagen de determinadas empresas privadas o entidades públicas de reconocido prestigio. Para ello, habitualmente, utilizan como mecanismos los siguientes:

  • Correo electrónico. Generan un correo electrónico falso que simula proceder de una entidad conocida, intentando conseguir engañar a los clientes de la misma. El mensaje concreto suele contener información, logos, enlaces a páginas webs, entre otras características que imiten en todo o parte el aspecto o funcionalidad de la empresa. Es cierto que la relación del Phising con el spam es bastante estrecha, la utilización de correos electrónicos de forma masiva es uno de los métodos más utilizados en la comisión de este tipo de delitos informáticos.

 

  • Modalidad denominada como “smishing” a través de la cual el usuario recibe un mensaje de texto en el que se le solicitan ciertos datos personales o se le incita a que visite algún enlace fraudulento.

 

  • Telefonía IP. Denominado como vishing, el usuario recibe una llamada telefónica, la cual simula proceder de una entidad bancaria, en la que se le solicitan una serie de datos o se le pide que verifique los mismos.

 

¿Qué plataformas son las más utilizadas por los ciberdelincuentes para esta práctica?

  1. Servicios de mensajería:

Empresas de mensajería pueden verse afectadas por esta práctica. Señuelos del tipo: “el paquete no ha sido enviado” o “ha recibido un paquete” son muy utilizados para obtener datos de los usuarios.

  1. Redes Sociales:

Muy utilizada esta vía para robar cuentas o suplantar identidades. Normalmente el falso mensaje suele requerir a que se introduzca la contraseña o hagas el cambio de la misma, todo ello con el afán de vulnerar tu intimidad.

  1. Plataformas de pago online o sitios web de compra y venta:

El sitio preferido para los phisers ya que obtienen datos bancarios de forma directa. El usuario, engañado por el mensaje, introduce sus datos bancarios a solicitud de su “falsa” entidad financiera o para realizar la compra que desean.

  1. Servicios de almacenamiento en la nube o soportes técnicos de empresas de correo electrónico:

Su finalidad es la de robar todo tipo de datos privados, así como obtener información confidencial de origen empresarial. En caso de recibir un mensaje sospechoso o algo inusual de estas empresas, se recomienda ponerse en contacto con sus proveedores de servicios informáticos para comprobar la veracidad del mensaje.

 

¿Cómo tipifica el Código Penal español este tipo de prácticas delictivas?

A pesar de que es una figura delictiva presente en nuestra sociedad desde hace ya casi 20 años, todavía no contamos en nuestra legislación española con un tipo concreto para el Phising. Sí que es cierto que el legislador, en su afán por proteger todo este conjunto de prácticas engañosas, encauza esta actividad dentro de las modalidades de estafa, situándola concretamente en el apartado 2 punto a) del Artículo 248 del Código Penal: “También se consideran reos de estafa los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, hammer-620011_960_720consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro”.

Lo que pretende el legislador con este apartado es no dejar desprotegida una de las formas más utilizadas para la comisión de estafa, la utilización de medios informáticos. Para referirse a ella, utiliza la expresión “valiéndose de alguna manipulación informática o artificio semejante”, incluyendo todos los mecanismos electrónicos idóneos que permitan una transmisión no consentida de activos patrimoniales persiguiendo un ánimo de lucro.

Sí que es cierto que, a diferencia del tipo de estafa clásica que conocemos, en esta modalidad concreta la necesidad de que se dé el elemento del engaño no es tan relevante, basta con que tenga lugar la mera manipulación informática. El Tribunal Supremo, en su Sentencia nº 860/08, afirma que: “Cuando la conducta que desapodera a otro de forma no consentida de su patrimonio se realiza mediante manipulaciones del sistema informático, bien del equipo, bien del programa, se incurre en la tipicidad del art. 248.2. También cuando se emplea un artificio semejante. Una de las acepciones del término artificio hace que este signifique artimaña, doblez, enredo o truco. El artificio es equivalente, a los efectos del contenido de la ilicitud, cuando el autor modifique materialmente el programa informático indebidamente o cuando lo utilice sin la debida autorización o en forma contraria al deber”.  

En el mismo sentido se pronuncia la nº 533/2007, afirmando que: “No es precisa la concurrencia de engaño alguno por el estafador, porque el acecho a patrimonios ajenos realizados mediante manipulaciones informáticas actúa con automatismo en perjuicio de tercero, precisamente porque existe la manipulación informática y por ello no se exige el engaño personal.”

 

Últimos casos de Phising en la actualidad

 El caso de “Correos”: Fachada_edificio_principal_Correos_Madrid

Este abril la Policía ha alertado de una nueva campaña de spam por email que  suplanta la identidad de la entidad pública Correos.  El mecanismo de esta estafa consiste en la llegada de un correo electrónico  a su bandeja  con el  nombre de  Correos  y llevando como título  “Carta certificada no entregada a usted”.  En este mensaje se insta al usuario a descargase la notificación en la que a la vez se descarga un programa que cifra todos los documentos del ordenador o móvil. Una vez realizado esto, se le pide al usuario que abone 299 euros para conseguir la contraseña para descifrarlos y, en el caso de no hacerlo, el precio aumenta.

Caso de “Paypal”

El Instituto Nacional de Ciberseguridad ha alertado  de otra campaña de correos electrónicos que suplanta al sistema de pagos online de PayPal con el objetivo de robar  las contraseñas  y el dinero de los Usuarios.
Si cree que  puede estar sufriendo este delito debe acudir a la policía lo antes posible y denunciar este hecho.