Phishing: ¿Qué es?, ¿Cómo se comete?

stock-photo-138562607

El origen

La palabra “phishing” tiene su origen en el término inglés fishing, que significa pesca o bien “morder el anzuelo.”

El término phishing fue creado por los crackers que procuraban robar las cuentas de AOL. Durante los primeros años 90 la compañía AOL sufría una grave defraudación en el uso de sus servicios a través de números de tarjeta de créditos válidos generados utilizando algoritmos. En 1995 AOL tomó medidas para para prevenir el fraude, de modo que los crackers recurrieron al phishing para obtener cuentas legítimas de AOL. Para ello y a través del correo electrónico se enviaba un mensaje a la víctima haciéndose pasar por un empleado de AOL y solicitando que revelara su contraseña al objeto de verificar su cuenta o confirmar la información de facturación. Una vez obtenida la contraseña la cuenta podía ser utilizada por el atacante en la forma que estimase conveniente

Las modalidades comisivas

El “Phishing” es una modalidad de estafa que consiste en la obtención de las claves bancarias de la banca on line de un particular utilizando engaño, para una vez obtenidas acceder a la cuenta bancaria ordenando el traspaso de fondos a un tercero, llamado mulero, quien reenvía estas cantidades a través de nuevas transferencias bancarias a otras cuentas extranjeras o mediante el envío de estas cantidades a través de los servicios de correos.

El engaño admite diversas formas, la más clásica a través de la simulación de la una pagina web falsa que contiene los mismos elementos que la verdadera e induce al error, también resulta habitual el envío masivo de correos electrónicos simulando en su procedencia la titularidad de una entidad bancaria y requiriendo el cumplimiento de determinados requisitos de seguridad o comprendiendo un enlace que redirecciona a la pagina web falsa. Cuando se realiza a través del envío de SMS se conoce como Smishing; si se emplean llamadas telefónicas se denomina Vishing.

También resulta habitual el empleo de virus informáticos –troyanos- que bien se apoderan directamente de las claves o redireccionan a una pagina idéntica a la oficial, que es lo que se conoce como Pharming– Una vez que el usuario introduce sus claves de acceso en la página simulada está entregando las llaves de acceso a su cuenta bancaria a los delincuentes informáticos. Una última modalidad comisiva es la que se emplea simulando concurso o páginas de descargas que requieren datos confidenciales para operar con ellas, al ser usual el empleo de los mismas claves que las utilizadas en la operativa bancaria, lo que permite de nuevo su utilización.

Ejemplo de phishing

santander13-8-06g

Tomado de la campaña contra el fraude on line

Las fases del Phising

Una fase inicial de descubrimiento de claves y contraseñas on-line a través de cualquiera de las modalidades comisivas expuestas. Esta actividad suele ser desarrollada por organizaciones delictivas extranjeras, habitualmente radicadas en países del Este, que son las encargadas de crear y simular la pagina web de la entidad bancaria y la remisión de correos, sms o llamadas de voz.

Una segunda fase de acceso a dichas cuentas ordenando el traspaso de cantidades dinerarias a una cuenta de un tercero, previamente captado. En estas dos primeras fases se emplean IP correspondientes a países del Este, u obtenidas fraudulentamente de terceros ajenos a su utilización.

Una tercera fase de apoderamiento efectivo de dichos activos patrimoniales para lo cual es necesario el reenvío de las cantidades transferidas al tercero a nuevas cuentas bancarias radicadas en el extranjero o a través de los sistemas de envío postal de cantidades monetarias a través de empresas como Wester Unión o Moneygram permiten hacer transferencias de dinero anónimas, de tal forma que la policía no pueda rastrearles. La preferencia por este tipo de empresas frente a sistemas de pago más generalizado como Paypal viene motivado porque las cuentas de PayPal tienen que estar asociadas a una cuenta bancaria, por lo que en caso de cometerse un delito es fácilmente rastreable. En cambio, Western Unión tiene agentes por todo el mundo, de tal forma que se puede recoger el dinero físicamente y llevárselo en metálico sin tener que facilitar los datos bancarios.

La intervención de los “muleros” en el Phishing.

El envío de las cantidades obtenidas a los autores del fraude, requiere la intervención de unas terceras personas que son las encargadas de recibir el dinero en su cuenta bancaria y reenviarlo a través de los servicios postales. Se denominan en el argot policial como muleros, por analogía a los transportistas utilizados en el tráfico de drogas. Son captados a través del envío masivo de correos electrónicos –denominado scam- conteniendo oferta laboral como intermediario en el sector financiero o inmobiliario, debiendo recibir en su cuenta bancaria cantidades de dinero y reenviarlas, deduciéndo una jugosa comisión de un 3 a un 5%, que no siempre cobran, pues en ocasiones la liquidación es mensual y su intervención se reduce a operaciones concretas.

La calificación jurídica del Phishing.

Hemos visto la existencia de tres fases en la comisión del Phising, así como la intervención de diversos actores. No hay duda en la doctrina ni en la jurisprudencia a la hora de encuadrar la conducta del phising en el delito de estafa informática que recoge el art. 248.4 del Código Penal. Así lo ha considerado el TS en sentencia de 2 de diciembre del 2014 con cita de las  SSTS 533/2007 de 12 de junio  (RJ 2007, 3537) , la  556/2009 de 16 de junio  (RJ 2009, 4823)  y 834/2012 de 25 de octubre.

Las dudas interpretativas se suscitan en orden a configurar la intervención de los muleros bien como cooperadores necesarios del delito de estafa informática; imputar su intervención en los hechos como autores de un delito de blanqueo de capitales (acogiéndose las dos modalidades de dolosa, por dolo eventual, o imprudente), o incluso considerar la exclusión de su responsabilidad atendiendo al desconocimiento de la existencia de un previo delito y al convencimiento en la licitud de la conducta.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *