Seguridad aplicaciones comerciales smishing vishing

No es una novedad que periódicamente nos enfrentemos a acciones coordinadas de ciberdelincuentes en las que se lanzan remesas de mails con de imágenes de marcas o emblemas distintivos de bancos, empresas, organismos, etc., para recabar fraudulentamente datos de los destinatarios. En muchas ocasiones, las victimas de estas actuaciones son personas con escasos conocimientos tecnológicos y/o en una situación de necesidad que les invita a creer en lo que han recibido, a pesar de los recelos que pudiera generarles.

Esta situación de necesidad se ha agudizado con la pandemia para algunas personas, por ejemplo, al verse obligadas a conseguir productos de primera necesidad a través de internet durante el confinamiento, sin que nunca lo hubieran hecho antes, lo que motivó que se hayan producido muchos abusos y estafas. Y es que el coronavirus ha creado una situación propicia para que se multipliquen estos ataques, habiéndose detectado últimamente mensajes que aseguran contener notificaciones de la Seguridad Social con motivo de los ERTES, sobre el turno de vacunación, supuestos sorteos y premios de Amazon, alquileres vacacionales, o relacionados la campaña del IRPF que se encuentra en curso.

Para realizar estos delitos, los ciberdelicuentes registran dominios similares a los verdaderos (cybersquatting) para alojar una página web parecida a la real (web spoofing) y envían mails masivos para que las víctimas accedan a un link que les dirija a la web fraudulenta (phishing) o, incluso, sin necesidad de pulsar el enlace (pharming). Muchas veces estos mails se quedan en la carpeta de spam, pero, en ocasiones, logran colarse en la bandeja de entrada, con lo que su potencial malicioso es mucho mayor al tener apariencia de veracidad.

Pero estos ataques maliciosos no se realizan únicamente por mail, sino que también se difunden por sistemas de mensajería instantánea (WhatsApp, Line, etc.) y mensajes SMS a teléfonos móviles (“smishing”), mediante el envío de mensajes de texto que invitan al destinatario a visitar una página web falsa arguyendo una causa urgente (bloqueo de una tarjeta bancaria, información sobre la devolución de la declaración de la renta, comunicación de situación del ERTE, haber resultado premiado en una promoción, etc.) y solicitando datos y contraseñas del usuario y, en ocasiones, también contienen virus para infectar el dispositivo móvil.

Otra modalidad es el uso de llamadas telefónicas de personas supuestamente pertenecientes a un banco, entidad, etc. (“vishing” o “voice phishing”) en las que, con excusas similares a las comentadas, explican a las víctimas la necesidad de que faciliten sus datos personales y claves para que les puedan proporcionar la información. Es usual en este tipo de llamadas que comiencen preguntando a la víctima si es el titular del número de teléfono que le recitan, pues en realidad es el único dato que conocen, para, a partir de ahí solicitarle el nombre, número de documento de identidad, número de tarjeta o de cuenta bancaria y toda la información que sean capaces de sacarle a la víctima.

No es extraño que estas dos técnicas vayan combinadas, enviando primero un mensaje al teléfono móvil del usuario, que se completa con una llamada posterior para generar confianza en la víctima sobre el supuesto origen lícito del contacto y crear el escenario propicio para que le de la información solicitada o acceda a una web fraudulenta donde se le solicitaran estos datos.

No es extraño que las técnicas smishing y vishing vayan combinadas

Según establece la jurisprudencia (en particular, la Sentencia de la Audiencia Provincial de Albacete de 9 de julio de 2014), la comisión de estos ciberdelitos –se refiere a las estafas bancarias on line, pero puede ser aplicable a cualquier modalidad– se realiza en cuatro fases: 1º descubrimiento de contraseñas de la víctima; 2º acceso indebido a través de equipos informáticos; 3º realización de transferencias no consentidas a cuentas corrientes bancarias de terceros; y 4º, en muchas ocasiones, posterior remisión del dinero sustraído ilícitamente a otras personas en el extranjero, a cambio de una comisión.

Cuando llega a producirse el fraude, se comete un delito de estafa, que está castigado con pena de multa de 1 a 3 meses, si la cuantía de lo defraudado excede de 400 €; pena de prisión de 6 meses a 3 años, si excede esta cantidad; y penas de prisión de 1 a 6 años y multa de 6 a 12 meses, cuando revista especial gravedad, por circunstancias como la entidad del perjuicio y a la situación económica en que deje a la víctima o a su familia o que el valor de la defraudación supere los 50.000 € o afecte a un elevado número de personas (arts. 248 y siguientes del Código Penal).

Además de para acceder a sistemas informáticos o cuentas bancarias para sustraer cantidades y cometer fraudes y estafas, también existe un mercado ilegal de bases de datos que pueden adquirirse en el Dark Web, que es la parte oculta de Internet, a la que se puede acceder mediante navegadores específicos como TOR (“The onion router”) o I2P (Invisible Internet Project), que ocultan la identidad y la dirección IP de quien navega en este entorno. Y, en efecto, en este lugar se pueden encontrar dark webs que alojan y ofrecen (normalmente a cambio de un precio) bases de datos con direcciones de mail asociadas a usuarios y/o perfiles de redes sociales, y números de tarjetas bancarias y cuentas de PayPal, sus claves y sus códigos CVV.

Respecto de estas conductas, la obtención ilícita de contraseñas constituye un delito de revelación de secretos que se castiga con pena de prisión de 1 a 4 años y multa de 12 a 24 meses (art. 197-2 del Código Penal); el robo de las bases de datos está sancionado con la pena de prisión de 6 meses a 2 años (art. 197 bis del Código Penal); y su venta o cesión se castiga con la pena de prisión de 6 meses a 2 años o multa de 3 a 18 meses (art. 197 ter del Código Penal).

Sin perjuicio de las consecuencias jurídicas aplicables en los casos en los que el delito llegue a consumarse, es recomendable adoptar precauciones para evitar que esto ocurra, tales como desconfiar de llamadas en la que se pida información por razones de urgencia o importancia, así como de mensajes que no tengan origen fiable; no proporcionar datos ni contraseñas por teléfono o cualquier tipo de mensajes (mails, SMS, WhatsApp, etc.) sin haberse cerciorado de la identidad del solicitante; no acceder a páginas web que lleguen a través de mensajes que no se hayan pedido y/o de remitentes desconocidos; y, en general, asegurarse de que estamos en un entorno seguro antes de proporcionar cualquier información.

Javier López, socio de Écija