Mi entrada de hoy es sobre un tipo de delito informático denominado Phishing, término que deviene del ingles fishing (pesca) que hace referencia al intento, por parte de los hackers, de hacer que los usuarios "piquen en el anzuelo” (de la supuesta caña de pescar “informática”), de cuentas de miembros de diversas compañías, etc.. Es decir, que un eunuco (estafador o phisher) te quiere enganchar haciéndote el supuesto verso (El cuento del tío, mejor dicho) de que es tu banco de confianza o la compañía en que trabajas o que vos conoces o determinada persona, etc. y en una aparente comunicación oficial electrónica te informa que tienes que ingresar (vos como usuario) determinados datos para poder acceder a la dirección de una página Web, o mediante enlaces fraudulentos, esas ‘páginas paralelas’ (copias de la original), mensajes de correo electrónico (e-mail), etc.; pero en realidad te redirige a un servidor que tiene el mismo aspecto que el de tu servicio bancario, y enviará todos los datos que suministraste a los atacantes.
Tuve en consideración para ello un Fallo “G. R. Y OTRO S/PROCESAMIENTO” (CAUSA 39.779) RESUELTA el 3/8/2010, de la Sala VI Juzgado de Instrucción Nº 2 de la Cámara Nacional de Apelaciones en lo Criminal y Correccional de la Capital Federal.
En este fallo, la Sala 6 confirma el procesamiento de los dos imputados como coautores (R. M. G. G. y M. J. R.) del delito de defraudación previsto en el artículo 173 inciso 16 del Código Penal Argentino, bajo la modalidad manipulación de datos informáticos (Phishing) a través de una ‘página paralela’ por medio de la cual obtuvieron los datos necesarios (información confidencial) de manera fraudulenta como: el código de transferencia y número de tarjeta de crédito para poder operar en las cuentas bancarias del damnificado (E. R. R.), efectuando dos transferencias de $ 780 y $ 770 desde la cuenta de caja de ahorro y cuenta corriente de la víctima, a la cuenta caja de ahorro de uno de los imputados (G.), todas en el mismo Banco X.
Para poder comprender sobre lo expuesto, el Código Penal Argentino tipifica esta figura de la siguiente manera:
ARTICULO 173.- Sin perjuicio de la disposición general del artículo precedente, se considerarán casos especiales de defraudación y sufrirán la pena que él establece:
Inciso 16. El que defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos. (Inciso incorporado por art. 9° de la Ley N° 26.388, B. O. 25/6/2008).
¿A que se quiere refiere el Código Penal con esto?:
Se refiere que el que defraude (entendiendo a esto como engañar o exponer a otra persona por cualquier medio informático a una afirmación falsa haciéndola pasar por verdadera, infundiéndole un actuar errado) será castigado como indica la ley, es decir, a lo Doña Rosa: quien quiera meterles el perro haciéndose pasar por el Banco, compañía, etc., va a ir preso.
¿Como sucedieron los hechos de este fallo?:
Según lo manifestado por E. R. R., es decir la victima, el día ocho de septiembre del año dos mil nueve, mientras la misma verificaba el estado su cuenta que posee en el Banco X apareció, en su computadora vía Internet, una pantalla paralela que le indicaba que ingresara su número de tarjeta de débito y código de transferencia, lo que realizó porque ello supuestamente le daría una mejor atención y seguridad en la operación bancaria.
Agregó el damnificado que el día nueve de septiembre, al intentar extraer a través del sistema de cajero automático de una sucursal de su Banco, dinero de su cuenta advirtió que le faltaba el mismo en su cuenta corriente y caja de ahorro, y realizó con los datos que pudo obtener el reclamo formal en su Banco y la correspondiente denuncia penal.
También dijo la victima que no conocía a ninguno de los imputados (R. M. G. G. y M. J. R.), ni tampoco a quien le ‘habría’ adquirido una ‘supuesta camiseta de football’ a través de una página de Internet (Facebook, más concretamente) o sea M. B., manifestando que no adquirió camiseta alguna, como dijeron los imputados en su descargo ante la fiscalía.
Para la Cámara el descargo de los imputados no resulta creíble, ya que no presentaron prueba alguna para avalar la transacción comercial ( es decir, la compra) que ellos alegan como determinante de la transferencia de fondos y por otra parte se advierte que es por demás elevado el monto supuestamente abonado en relación al producto enajenado (una suma de $1.400 fijado como precio de la camiseta y convinieron por gastos de envío la suma de $ 150); todo ello sin perjuicio de que hasta el momento no se localizó todavía a M. B. (el supuesto comprador). El hecho que no se hayan verificado, en este caso, todos los pasos del procedimiento del "Phishing" (como alega tan insistentemente la asistencia técnica de G.) o que no se haya determinado de qué computadora se realizó las transferencias, no altera los graves indicios cargosos contra ellos. Es más y teniendo en consideración y evaluación del contexto y circunstancias en que el dinero de la victima (R.) haya ingresado en la cuenta de uno de los imputados (G.) justo al día siguiente y mediante una manipulación informática (por medio página paralela) obtuvo los datos (código de transferencia y número de tarjeta de débito), es suficiente indicio la materialidad del hecho y la intervención de los imputados como para agravar la situación procesal de los imputados; los datos de las cuentas en las que ingresó el dinero y los resúmenes de quien aparece como el damnificado fueron aportados por el Banco.
¿Frente a casos como este, que acciones pueden llevarse a cabo para no ser víctima del "phishing" o en su caso estar alerta para evitarlo?:
- Lo primero que hay que saber es que estos tipos de ataques, son cada vez más sofisticados: nos dicen que tenemos que cambiar las contraseñas, que tienen que verificar nuestra cuenta, etc. es decir, que la forma de intentar engañarnos cambia día a día, más lo que no cambia es que siempre nos pedirán nuestros datos; pero estos ataques aciertan por casualidad como si se tratara de una ruleta, envían miles y miles de correos electrónicos, y siempre se camuflan detrás un Banco conocido, de una empresa o compañía reconocida, etc... Lo que seguramente mucha gente que reciba esos e-mails, sean clientes del Banco, compañía, etc., teniendo los phisher una garantía de que a alguien van a ‘enganchar’ (estafar); con esto me estoy refiriendo a que nosotros, como usuarios, no tenemos que dejarnos estar o descuidarnos, ya que la mayoría de ataques Phishing producidos en Internet son por esas causales.
- Debemos fijarnos en la dirección exacta del remitente (o sea quien nos lo envía), independientemente del nombre que nos salga y si sospechamos o desconfiamos del mensaje (vía e-mail, cadenas de nombres, enlaces, etc.), por que nos piden datos confidenciales (como información personal, información financiera, nombres de usuario, contraseñas, números de tarjeta de crédito, etc.), no debemos abrirlos, ni le demos ningún tipo de dato ya que en casi todos los casos... se enmascaran en direcciones falsas, por una dirección Web o interfaz de confianza de los usuarios. Si fuere ese el caso, puede llamar al número telefónico de la entidad bancaria que supuestamente le ha enviado el correo electrónico para que le confirmen si ese correo electrónico es o no de la entidad.
La dirección del ataque de phishing siempre tratará de emular la dirección de nuestro Banco de confianza, si la Web Site de nuestro Banco es www.caixa.com, por ejemplo, la página phishing serán parecidas:
- etc.
- Si le parece que la dirección de Internet es un poco extraña, y sospecha que se trata de un ataque de phishing, reitero 'si sospecha'... llame al número telefónico del Banco y pregunte si han modificado su Web Site y que le confirmen si es o no de la entidad; para poder asegurarnos de que conectamos con un servidor Web seguro, compruebe en la barra de direcciones del navegador, que
la URL comienza por "https://".
Asimismo cuando navegue por la Web y haga uso de la misma (accediendo a las cuentas de correos, compras online, su Banco vía online, etc.), es sumamente importante tener instalados programas de seguridad especializados como Anti-Phishing, Antivirus, etc. ( ya que es común la proliferación de gusanos, troyanos, todos destinados a robar los datos de los usuarios) para ello, mantenga su sistema actualizado, el operativo y el resto de aplicaciones poniendo especial atención al navegador de Internet.
También puede guardar en favoritos las Web Sites de acceso a correos electrónicos, del Banco, redes sociales (como por ejemplo Facebook), etc.; pero nada quita la conveniencia de consultar sus cuentas periódicamente revisando u observando el estado de éstas y sus movimientos con el fin de localizar algún posible caso de estafa.
- Cuando creen una contraseña, elijan siempre cadenas compuestas de por lo menos ocho o más caracteres, alternando combinaciones de letras y números, cuanto mas complicado lo realicen mejor para ustedes y peor para los phisher, está de más decirles que deben hacerlo de manera tal, que no les dificulten el acordarse de la contraseña creada. Recuerden: no usar datos obvios (como nombre de un familiar cercano, fechas de nacimiento, etc.), porque muchas veces esas suplantaciones de identidad provienen de personas que obtienen los datos de las redes sociales, perfiles, etc., así es mejor que no les hagan las cosas más fáciles para ellos. Pero diéramos el caso de que algún motivo han sido víctimas de un robo de algunos de sus datos (Phishing), lo que deben hacer, es cambiar la contraseña de aquel registro que ha sido hackeado; mas, es también aplicable a todos los que aún no han sufrido un ataque como estos, porque de esta forma estaremos todos seguros al bloquear la posibilidad de que algún amigo de lo ajeno lo esté usando o esté interviniendo nuestras conversaciones, correos, perfiles, etc... Le recomiendo que usen diferentes contraseñas para distintas cuentas de correos, redes sociales, etc., así si llegasen a ser hackeados algunas de sus contraseñas, el resto de datos importantes estarán libres de cualquier intento de este tipo de defraudación.
Deben prestarle bastante atención al ícono (por ejemplo: un candado cerrado o un ícono similar), que debe aparecer en la barra de estado inferior del navegador, informando de que estamos conectados con un servidor Web seguro; pero pueden asegurarse haciendo Doble Chick sobre el ícono y podrán visualizar el certificado de seguridad y comprobar su validez.
Bueno, espero que con este pequeño desarrollo de esta entrada les haya servido, aunque mas no sea, para conocer un poco mas sobre este tipo de delito informático; les dejo para que vean un video de Youtube, que tiene un lindo resúmen y es más gráfico. Mis Saludos. Gracias.
Fuentes:
No hay comentarios:
Publicar un comentario