Actualidad, Derecho Penal

Phishing: ¿qué es y cómo actuar frente a estafas digitales?

Phishing - Castillo Castrillón Abogados

El phishing se define como una ciberestafa. Consiste en técnicas que persiguen engañar a sus víctimas cogiendo la identidad de otra persona, de una empresa o algún servicio de confianza. Existen intentos de phishing muy complejos, los cuales son personalizados al máximo nivel y se adaptan a las circunstancias específicas de la víctima. Pero generalmente son estafas dirigidas a una audiencia masiva, incluso llegan a ser toscas en su presentación, puesto que llegan a sus víctimas por medio del correo electrónico.

El delincuente cibernético utiliza correos maliciosos con el fin de distribuir enlaces o archivos adjuntos que puedan realizar varias funciones, incluso extraer credenciales o códigos de inicio de sesión o información privada de las cuentas de las víctimas.

Este método de estafa es de los más extendidos en la forma de operar de los ciberdelincuentes, ya que le resulta más sencillo que la persona haga clic en el enlace de algún e-mail que sea aparentemente legítimo para romper el esquema de seguridad de un sistema.

¿Cómo es el funcionamiento del phishing?

Los ataques de phishing tienden a basarse en técnicas de ingeniería social que se aplican en el correo electrónico o a métodos de comunicación electrónica, que pueden ser los mensajes de texto SMS y las redes sociales.

En ocasiones, dichos ataques llevan detrás un trabajo de campo bastante organizado para poder reunir todos los elementos que los hacen posible para crear confiabilidad en la víctima: nombres, empresas, cargos que existen en la estructura, compañeros de trabajo, conocidos y las direcciones de correo electrónico. Toda la información que obtienen estos ciberdelincuentes permite elaborar correos creíbles que esconden enlaces y/o archivos adjuntos perversos que pretenden ser brazo ejecutor de una estafa.

La mayor parte de estos correos pueden ser detectados fácilmente por una mala redacción del texto, errores ortográficos o también por utilizar un formato inadecuado del e-mail, aún así los suplantadores de identidad se aprovechan de las técnicas de los profesionales del marketing, utilizando los días festivos, aniversario o días señalados para intentar instalar un malware en los dispositivos de sus víctimas con el objetivo de redirigirlos a una página nueva donde se podrá extraer la información personal más detallada, las credenciales de una cuenta bancaria y hasta llegar a las tarjetas de crédito o débito.

Un ataque de esta naturaleza lo puede sufrir cualquier persona, incluso las organizaciones empresariales son susceptibles de sufrir ataques de phishing por parte de ciberestafadores. Las instituciones financieras son quienes padecen los mayores abusos y la cantidad más grande de ataques, aunque también pueden sufrirlo las empresas de telecomunicaciones o personas particulares.

Para prevenir ser víctima de phishing, recomendamos acceder a su panel de control bancario desde la zona de clientes, y nunca hacerlo por medio de enlaces pegados en los correos electrónicos.

¿Cómo reconocer un correo electrónico con phishing?

Las siguientes señales pueden permitirle detectar si está frente a un caso de phishing:

  • Cuando el mensaje utiliza subdominios, las urls están mal escritas o son muy sospechosas.
  • El remitente emplea una dirección de correo electrónico de conocimiento público como Gmail, Hotmail o cualquier otra, en vez de usar un correo electrónico corporativo con el dominio de la empresa.
  • Los mensajes tienden a ser urgentes e incluso amenazantes. Por ejemplo “tu cuenta ha caducado”, “si no entras y te identificas bloquearán tus servicios”, “si no cancelas tal cantidad, tu dominio se perderá”, etc.
  • Los mensajes piden la verificación de la información personal que no debe solicitarse, como detalles de tus bancos o alguna contraseña.
  • El mensaje puede estar mal escrito y contiene faltas de ortografía.
  • Los logos e imágenes no son proporcionales, o cuentan con colores que no son los propios.
  • Los estilos del e-mail no son los correctos.

¿Qué tipos de phishing existen?

A medida que avanzan las estrategias para hacer frente al phishing para que los usuarios de internet estén tranquilos al hacer sus conexiones, los delincuentes cibernéticos han perfeccionado sus habilidades y aplican nuevas tácticas. Entre las más comunes encontramos:

–      Ataques Spear Phishing

Estos van dirigidos a empresas donde se utiliza información de compañeros de trabajo para darles mayor realismo y veracidad.

–      Caza Ballenas

Consiste en una variante del mencionado anteriormente, pero que se enfoca principalmente a altos ejecutivos de una multinacional. Estos incluyen autorizaciones ficticias en su mensaje para proceder con pagos que supuestamente envía algún proveedor.

–      Pharming

Los mensajes son redirigidos a los usuarios para que entren a un sitio fraudulento a recoger supuestas credenciales. Suelen emplear la excusa de recoger una copia de la web de un banco, y cuando la persona intente iniciar sesión le saldrá error, pero con ello, los ciberdelincuentes obtendrán el acceso de la víctima para utilizarlo en la web original.

–      Phishing de voz

También se conoce como vishing, y se produce por medio de la comunicación de voz, incluida la voz sobre el teléfono convencional. Una estafa muy usada que maneja un software de síntesis de voz que sirve para dejar mensajes de voz que notifica falsamente a la víctima de alguna actividad sospechosa en una cuenta bancaria o tarjeta de crédito, solicitando que responda a un número de teléfono desconocido para así verificar su identidad, poniendo en riesgo de esta manera todas las credenciales de su cuenta.

–      Phishing de SMS

También conocido como SMishing, utiliza mensajes de texto para lograr convencer a las víctimas de que revelen sus credenciales privadas de su cuenta o para que instalen el malware.

¿Cómo es sancionado el phishing en España?

El phishing es considerado como una estafa, por lo que requiere la aplicación del Artículo 249 del Código Penal. Este artículo se relaciona con el impacto que tiene este delito informático ante la persona víctima de esta estafa.

El Artículo 249 es utilizado por los abogados para lograr determinar el tiempo en prisión que debe pasar el estafador online. Textualmente, el artículo se refiere de esta manera:

“El importe de lo defraudado, el quebranto económico causado al perjudicado, las relaciones entre este y el defraudador, los medios empleados por este y cuantas otras circunstancias sirvan para valorar la gravedad de la infracción”.

Con el transcurso de los años, este artículo fue cambiado y se agregaron otras medidas, como lo expuso en su momento la Ley Orgánica 1/2015 del 30 de marzo. Aquí se observa un enfoque más valorado hacia lo económico robado por parte del delincuente.

Incluso se estipula un valor máximo para evitar la pena carcelaria para el estafador:

“Si la cuantía de lo defraudado no excediere de 400 euros, se impondrá la pena de multa de uno a tres meses”.

¿Qué propone el Artículo 250 del Código Penal frente al phishing?

El Artículo 250 del Código Penal se encarga de intensificar sobre el concepto de estafas por medio de 8 numerales. Por ejemplo, el que concretamente trata del problema del phishing es el numeral 6 donde específicamente se sanciona al estafador tomando en cuenta la circunstancia:

“Que haya habido abuso de las relaciones personales existentes entre víctima y defraudador, o aproveche este su credibilidad empresarial o profesional: se trata de una especialidad de la agravante genérica de obrar con abuso de confianza prevista en el artículo 22.6 del Código Penal”.

Es así como a un estafador online se le puede aplicar este numeral, ya que el mismo se aprovecha de la credulidad del estafado quien está confiando en que sus datos se encuentran protegidos.

Según el Artículo 250, un delincuente que cometa este tipo de delitos deberá afrontar una infracción que puede ir de 1 a 6 años de prisión,  más el pago de una multa de 6 a 12 meses.

¿Necesitas ayuda frente a un caso de phishing? Castillo Castrillón Abogados es tu solución

En nuestros Despachos de Abogados en Valencia y Málaga, ponemos a su disposición a nuestros abogados penalistas de alta cualificación para que pueda plantear sus denuncias frente a un caso de phishing que estés padeciendo, o si conoce a alguien que esté en esta situación.

Les brindaremos la más justa y necesaria asistencia judicial para lograr hacer frente a este tipo de delitos cada día más comunes. Le esperamos.

Derecho Penal