phishing

Phishing: lo que debes saber para protegerte

Share on Facebook0Share on Google+0Tweet about this on TwitterShare on LinkedIn0Pin on Pinterest0

El phishing es uno de los delitos más graves que se cometen en la red. Se da cuando un cibercriminal, conocido como «Phisher» suplanta la identidad de otra entidad o persona con el ánimo de obtener información confidencial de forma fraudulenta. Esencialmente lo que buscan son claves de tarjetas de crédito, accesos a banca online etc. Estas personas, en su labor de suplantación en una simulan una aparente comunicación oficial electrónica con la entidad bancaria, crediticia etc… y desde aquí, creando ese falso vínculo de confianza con el supuesto cliente extraen datos clave para tener acceso a su información personal.

Existe por tanto una fase previa al phishing, que llamaremos «spoofing» que es precisamente ese hacerse pasar por la persona jurídica con la mala intención, con alevosía, queriendo después timar a los infelices clientes que caigan en el error de darles su confianza.

PHISHING Y CÓDIGO PENAL

Nuestro ordenamiento todavía encuentra algunas trabas a la hora de incriminar a los que cometen delito de Phishing, pues entiende entre otras muchas cuestiones que el delito de suplantación debe ser continuado en el tiempo y esto no siempre concuerda con el phisher.  Donde sí tienen resortes que habitualmente aparecen aparejados a las condenas más fuertes relacionadas con estos delitos es en aquellos casos en que en vez de llevarse a la víctima a una web donde se le piden sus datos sensibles; se introduce un programa o software malicioso (malware) en su equipo que se encargará de extraer su información. Es decir, introducir en el equipo de las víctimas un programa destinado a la estafa como recoge el  artículo 248.2 b) del Código Penal español, que contempla sanciones a la fabricación, introducción, posesión o facilitación de programas de ordenador (software) destinados a la comisión de estafas maliciosas, es decir, lo que llamaríamos malware.

EVOLUCIÓN Y TIPOS

La tecnología avanza muy rápidamente. Con ella también lo hacen las versiones de los delitos que permite. En años anteriores, el phishing se manifestaba principalmente en forma de correo electrónico con apariencia de entidad bancaria (membrete, firma, maquetación profesional…) que te pedía que respondieras a una actualización de tus datos de cliente; que existía un problema con tal o cual cuenta; que había un cargo no deseado en tu cuenta que debías rechazar… con cualquier pretexto te pedía que respondieras a ese e-mail con tus datos bancarios para que «sepamos que eres tú y así todo sea muy seguro».

ADVERTENCIA: tu entidad bancaria nunca te va a pedir tus datos sensibles por correo electrónico. Desconfía de cualquier mensaje que solicite tales conductas, venga de quien venga, con la apariencia que tenga y sea cual sea el motivo que aduzca. 

Esta advertencia que os hacemos en letras mayores, se ha extendido razonablemente bien. El ciudadano está más prevenido. Por lo tanto: ahora el phishing ha depurado más la técnica. Ahora, en el correo que recibes pueden ir alojados programas capaces de activarse y encontrar las claves que se guardan en tu ordenador, por ejemplo las bancarias. Si tu antivirus no es muy reciente (muy, muy reciente) y una versión de pago en condiciones de parar tales ataques, en el momento que interactuemos mínimamente con tales correos, tendremos alojado un spyware (software espía) en nuestro equipo que nos sacará a la luz nuestros arcanos mejor guardados.

ADVERTENCIA: En cuanto recibamos un correo de este tipo, borrarlo inmediatamente sin abrirlo e informar a nuestra entidad bancaria. ¿Qué pasa si dudamos? Si el correo tiene pinta de ser veraz, está muy bien camuflado y nos hace dudar ¿será de verdad mi banco? No cedas a la tentación. No lo abras, no hay prisa. Toma el teléfono, llama a tu banco: «He recibido un e-mail que dice…» ellos te dirán qué debes hacer y te tranquilizarán. Pero no lo abras.

Por otro lado, no solo simulan la apariencia en el correo, sino en una página de destino. Clic en el correo y llegas a una página con el logotipo de la entidad, todo cuidado, un diseño esmerado y profesional… y una casilla de Login o acceso donde pones tu DNI y tu clave de caja electrónica. Qué pasa: que no estás en la web del banco sino en una página con un formulario donde ellos te acaban de sacar tus datos que ya están cómodamente recogidos en su base de datos.

Cuando tengas que entrar en tu caja electrónica, entra en la web de tu banco, clic en acceso de clientes y desde ahí entras. Repito: tu banco nunca te va a mandar un correo con enlace a tu cuenta. Importante: las Administraciones Públicas tampoco nos pedirán nada sensible a través de e-mail. Es otra de las entidades que tienden a suplantarse.

Otro punto interesante en torno al phishing es la consideración legal que recibe en nuestro ordenamiento jurídico ¿Qué tipo de estafa es? La letrada Carmen Díaz de Magdalena nos apunta que «Es un tipo de estafa muy particular. No encaja dentro del concepto clásico de estafa, donde el estafado entrega una cantidad de dinero por cuenta de un timo o engaño. En el delito de phishing es el delincuente quien, una vez que tiene acceso a las cuentas, mueve las cantidades económicas. Encaja mejor con el criterio de estafa informática porque suele haber una manipulación informática, aunque la jurisprudencia es todavía variada al no considerar igual un caso en el que nos infectan el equipo con un malware que donde nosotros damos los datos en respuesta a un correo falso». El creciente número de estos delitos hace suponer que tendremos mucho desarrollo normativo de cara a futuro. De momento, nos contentamos con que las precauciones que hemos puesto de manifiesto en este texto, sirvan para prevenir y hacernos más resistentes a los trucos con los que nos asedian los ciberdelincuentes.

Apúntense como regla de oro: a mi cuenta electrónica solo accedo desde la caja electrónica de mi banco y mi banco nunca me va a pedir por correo ninguna información ni acceso. Tomando esto como regla sagrada, será difícil que nos engañen. OJO: La Administración Pública tampoco.