Hace mucho tiempo que escribimos que el futuro estaba en internet (puedes verlo en esta entrada de julio de 2014: AQUÍ). Ese futuro es, en realidad, presente porque en la actualidad –y más tras la experiencia que ha supuesto en confinamiento durante la pandemia del COVID-19 – a través de internet puedes hacer la compra, pagar tus impuestos y multas, escribir la carta a los Reyes Magos o incluso contactar con un abogado especializado en la materia que precises (quien, sin duda, te dará la alternativa de mantener una reunión virtual con él).
El problema es que la infinidad de oportunidades que te da
la Red, también se la brinda a los delincuentes, que buscan incansablemente obtener
datos personales que vender en la deepweb,
especialmente credenciales bancarias y/o de redes sociales.
Las técnicas de ataque son muy variadas. A veces, se hacen a
través del correo electrónico, del teléfono o de servicios de mensajería
electrónica, teniendo todos ellos en común el objetivo buscado por el
ciberdelincuente: obtener datos personales, como credenciales de banca electrónica;
acceso a servicios digitales como el correo electrónico o las redes sociales; o
el acceso a sistemas de información de organizaciones en las que trabaja o con
las que colabora el perfil “atacado”.
Se trata de comunicaciones en las que,
haciéndose pasar por reconocidas empresas, piden descargar un archivo o acceder
a través de un enlace a una página web donde incluir todos los datos bancarios
y personales. En definitiva, suplantando la identidad de cualquier
entidad, buscan estafar o robar los datos de carácter personal de los
receptores mediante el engaño.
En concreto, el smishing se da cuando
la técnica utilizada es el SMS, servicio de mensajería por el que se recibe un
supuesto mensaje de una entidad financiera o de la Agencia Tributaria,
solicitando al receptor que acceda a una determinada web o facilite de otro
modo sus claves bancarias, lo que es el objetivo del delincuente.
Los Tribunales han tenido ocasión de
pronunciarse al respecto, como por ejemplo la reciente sentencia de la
Audiencia Provincial de Madrid, Sección Primera, de 2 de junio de 2020, que puedes consultar aquí, según
la cual:
“La conducta de todos los acusados
que resultaron condenados en la sentencia del Juzgado de lo Penal se enmarca en
una técnica delictiva defraudatoria, consecuencia del desarrollo de las
tecnologías y del manejo de la banca y del comercio electrónico, conocida con
el nombre phishing y que consiste: o
bien en el envío masivo a los usuarios de mensajes de correo electrónico, SMS (
smishing) o llamadas telefónicas ( vishing) en los que los autores, haciéndose pasar por empresas
o fuentes fiables, especialmente por entidades bancarias, y alegando supuestas
razones de seguridad, solicitan de tales usuarios las contraseñas o datos
confidenciales necesarios para operar telemáticamente en las webs bancarias, o
les solicitan que pinchen en algún enlace que les redirecciona a una página
idéntica a la oficial de dichas entidades donde los usuarios introducen tales
datos; o bien les introducen virus informáticos capaces de apoderarse de tales
claves ( pharming). En definitiva, por todas estas vías los autores de la
defraudación o estafa informática consiguen
conocer las contraseñas y claves secretas de acceso de los usuarios a sus
cuentas corrientes, y, por lo tanto, acceder ellos mismos a las cuentas,
suplantando la identidad de su titular, y ordenar transferencias de sus activos
que luego tienen que ser redirigidos para evitar su seguimiento y localización”.
Si alguien es víctima de este tipo de conductas delictivas,
además de cambiar de inmediato las claves de acceso a sus cuentas y/o bloquear
estas para su utilización vía internet, debe denunciarse ante las autoridades a
fin de la persecución del delito.
Existe la posibilidad de reclamar al banco si se ha
producido el robo de sus credenciales de acceso a las cuentas, pues la
normativa en materia de servicios de pago (en la actualidad, el Real Decreto
Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes
en materia financiera) tan sólo impone al cliente soportar los pagos no
autorizados en caso de fraude o negligencia grave, además de exigir la
autenticación reforzada.
En cualquier caso, no está de más recordar que en caso de recibir comunicaciones de entidades bancarias solicitando la aportación de claves u ofreciendo un enlace a la web para hacerlo en la misma, no deben atenderse. Lo procedente es entrar directamente en la aplicación de la entidad bancaria y operar desde la misma.
Para terminar, qué mejor que un poco de música sobre otro tipo de riesgos en internet:
Hola, gracias por el esfuerzo de compartir información acerca del tema. Tu publicación me ayudó a entender de mejor forma algunos conceptos que tenía algo enredados. Te dejo entre mis favoritos de blogueros abogados. Espero sigas escribiendo en esta página web. Saludos. Marcela.
ResponderEliminarMuchas gracias, Marcela por leernos. Me alegro de que te haya servido. Si quieres, también puedes seguir nuestro canal de Youtube: https://www.youtube.com/channel/UCHLkzXQjCHvwsMO9MMXxiHg
EliminarO bien facilitarnos una dirección de correo electrónico y te incluiremos en una lista de distribución que te enviará un correo mensual con las nuevas entradas.
Un cordial saludo