Spoofing: Robo de datos personales

La evolución del phishing

La caracterización jurisprudencial del pshiging limitada al fraude bancario ha quedado superada por la nueva utilización comisiva del phishing como medio de sustracción de datos personales, con los cuales posteriormente comercializan los phisher, directamente o a través de su venta on line. Se trata de un lucrativo negocio que coexiste con las formas tradicionales de estafa. Según informe de RSA en el año 2013 se contabilizaron 450.000 ataques de phishing, un número similar a lo acontecido el año anterior, ocasionando sólo en el mercado americano una pérdida patrimonial de 5.900 millones de dólares. Sin embargo durante el año 2014, según los datos de Kaspersky Lab, el principal objetivo del phishing  no se limita al sector financiero, sino que se ha centrado en un 49% en los servicios de email, un 25% en organizaciones financieras, pagos on line y bancos, y un 15% en las redes sociales. Son los grandes portales de internet, Yahoo, Google y Facebook, por este orden los que han recibido más ataques. Lo más frecuente es que los phishers falsifiquen las páginas de autorización de los servicios de correo de estos portales.

En España dentro de los delitos cometidos a través de internet, constituyen las defraudaciones patrimoniales el grupo más numeroso, constituyendo una cifra superior al 60%. Así de un total de 49.966 denuncias, se corresponden con fraude informático, 32,842. Cifra que si bien evidencia de forma notable su relevancia, comprende como grupos más numerosos los supuesto de phishing junto con la problemática derivada de la venta on line.

Phishing como estafa bancaria

La sentencia de la A. P. La Rioja de fecha  16 de abril de 2014, con cita de sentencias anteriores de la Sala, de fechas  3 de diciembre de 2013  y  21 de diciembre de 2011, describe con una precisión que no suele ser habitual en el mundo jurídico fenómeno del «phishing «, al afirmar que «es un concepto informático que denomina el uso de un tipo de fraude caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como «phisher», envía a numerosas personas correos electrónicos masivos en los que se hace pasar por una empresa de confianza (por ejemplo, una entidad bancaria, o una compañía telefónica, etc); otras veces lo hace mediante la creación de páginas «web» que imitan la página original de esa entidad bancaria o empresa de reconocido prestigio en el mercado; en ocasiones también se realiza por medio de llamadas telefónicas masivas realizadas a numerosos usuarios en las que se simula ser un empleado u operador de esa empresa de confianza. En todo caso, siempre se trata de una aparente comunicación «oficial» que pretende engañar al receptor o destinatario a fin de que éste le facilite datos bancarios o de tarjeta de crédito, en la creencia de que es a su entidad bancaria o a otra empresa igualmente solvente y conocida a quien está suministrando dichos datos. Finalmente, en otras ocasiones el sistema consiste simplemente en remitir correos electrónicos que inducen a confianza (simulando ser de entidades bancarias, etc) que cuando son abiertos introducen «troyanos» en el ordenador del usuario, susceptibles de captar datos bancarios cuando este realiza pagos en línea».

El phishing bancario móvil

El año 2014 supone también la generalización del phishing bancario móvil con un aumento del 14,5 %, siendo los smartphone con sistema Android los principales destinatarios. El phishing tradicional apenas ha variado en la utilización de sus formas comisivas. Durante un tiempo intentaron utilizar siempre dominios muy parecidos a los que intentaban suplantar. Luego aprovechaban JavaScript para ocultar la barra del navegador (Internet Explorer 6) con la URL real del banco, superponiendo una imagen emergente en el punto exacto para que se confundiera con el propio navegador. Otras técnicas que se observaron durante un tiempo fueron los phishings bajo SSL. La aparición de potentes antivirus y las dificultades crecientes para simular el fraude ante consumidores cada vez mas diligentes, junto con la aparición del smartphone como centro de operaciones bancarias, ha determinado el creciente negocio del phishing movil. Como explica el blog ElevenPhats determinados factores, como el tamaño del teléfono, la rápida desaparición de la barra de navegación, o la utilización de subdominios, facilitan el fraude.

Un ejemplo reciente lo ha constituido la falsa encuesta de Ikea por Whatssap, en la que se proponía la contestación de tres sencillas preguntas para obtener un cupón descuento de 150 euros. Una vez contestadas te piden que lo envies a 10 amigos y facilites tus datos de correo electrónico para enviarte el cupón. Una forma de disponer de datos personales para crear una base de datos que puede ser utilizada de múltiples formas, entre otras, para el uso reiterado de spam. Mercadona o Starbucks, han sufrido fraudes similares.

La jurisprudencia, que suele caminar años por detrás, aún no contiene pronunciamientos recogiendo esta forma de phishing

Spoofing o phishing de contraseña

Pero la ya vieja estafa del phishing ha ido ampliando su campo de actuación, completando el fraude bancario con nuevos marcos de negocio, produciéndose cada vez un mayor número de ataques en el campo de los datos personales. Para ello se recurre al spam, al envío de mensajes masivos de carácter fraudulento cuyo objetivo es recopilar datos personales. Este tipo de práctica recibe el nombre de «spoofing» o «phishing de contraseña». Te piden que proporciones tu nombre de usuario y contraseña, u otro dato personal (tu número de la Seguridad Social, tu cuenta bancaria, tu PIN, el número de tu tarjeta de crédito, del DNI o la fecha de tu cumpleaños). Los creadores de spam suelen pedir estos datos para robarte la dirección de Gmail, dinero, el saldo de tu tarjeta de crédito o la identidad.

Una variación de esta técnica lo constituye el DNS spoofing, método que actúa sobre los servidores DNS. La dirección de las páginas web que visitamos se integra por una combinación de números, los servidores DNS permiten convertir los nombres con los que identificamos cada página (v.g. www.wordpress.com) en una dirección IP, de esta forma no es necesario para el ser humano recordar las direcciones IP de cada sitio que desea visitar. Con esta técnica se pretende alterar las direcciones de los servidores DNS, de tal forma que cuando la víctima pretende acceder a una página determinada, el servidor DNS malicioso le reconduce a una página falsa sobre la cual tiene pleno dominio el phisher, obteniendo los datos que se introduzcan en la misma.

Tal y como afirmó Yago Hansen, hacker especialistas en redes wifi, durante la celebración del Mundo Hacker Day 2015, “Al acceder a una red wifi estamos informando de muchas cosas: modelo de móvil, número de teléfono, ubicaciones recientes, historial de Internet… si la red es, además, un señuelo (honeypot), el delincuente puede usar esa información para robar claves o recabar información confidencial”.

El lucrativo negocio de la venta de datos personales

Un dato que permita conocer dónde trabaja un ciudadano cuesta 50 euros; un historial laboral, 100 euros; una declaración de renta, entre 2.500 y 3.000 euros; un informe de Hacienda sobre las relaciones de una empresa con sus clientes vale 3.000 euros. Son los precios que el informe policial establece como objeto del negocio en el caso más importante de venta de datos que se ha producido en España, el caso Pitiusa. En el que se vio involucrado el hacker argentino Matías Bevilacqua, conocido por sus servicios para el CNI.

La consultora Ronald Berger cifra en 100.000 millones de dólares el volumen de negocio de la venta de datos privados en red. Sirva como ejemplo que una base de datos de 1.000 potenciales clientes de un producto se vende en torno a dos dólares, aunque el coste asciende a 85 dólares si se trata de posibles clientes de marcas de coches.