* En el último trimestre de 2016 se realizaron 270.000 ataques de phising
* La banca es el sector donde mayoritariamente se dirigen los ataques de phising
* El 48% de los ataques de phising son al sector financiero
* El Instituto Nacional de Ciberseguridad de España (INCIBE) estima que el impacto de cibercriminalidad va de los 300.000 millones de euros al 1.000.000.000.000.
3. Resumen ejecutivo
Concepto de delito informático, Convenio de
Ciberdelincuencia
Chile: el primer país latinoamericano en en sancionar la
Ley contra Delitos informáticos
Delitos relacionados con la suplantación electrónica de
identidad: spoofing y phising.
Spoofing
IP
ARP
DNS/pharming
WEB
MAIL
GPS
Phising
Mecánica comisiva del phising
La Normativa en el caso de uso fraudulento tarjetas pago.
La Evolución de los ataques de phising.
Medidas de prevención para los delitos anteriores. ¿Cómo
actuar en caso de ser víctima de phising?
Conclusiones
Referencias
4
5
8
9
9
9
9
9
10
10
11
11
13
15
16
17
21
23
Índice
4.
5. El auge de Internet fuera del entorno profesional y su incorporación al entorno
domésticosindistincióndeedadhasupuestoelincrementodefraudes/intentosde
estafa relacionados con la suplantación de la identidad, que consiste en la
apropiación del nombre, contraseñas y/o patrimonio de otra persona con el fin de
realizar actos delictivos.
De hecho, existen múltiples informes que avalan lo indicado: los proporcionados
por el AntiPhishing Working Group (APWG) indican que, por ejemplo, en 2016
hubo un incremento destacable de ataques phising (un 65% con respecto al 2015),
estimándose la existencia durante el último trimestre del pasado año de más de
90.000 ataques de phising al mes. Y la última encuesta sobre “Equipamiento y uso
de las tecnologías de la Información y comunicación en los hogares” del Instituto
Nacional de Estadística (INE) indica que más del 75% (77,1%) de los hogares dispone
de ordenador en su hogar, el 81,9% disponen de conexión a la red.
Además del amparo jurídico que nos asiste, los ciudadanos somos un recurso para
recuperar y evitar la identidad suplantada y lo sustraído. Si bien es cierto que no
todo el mundo posee el mismo nivel de conocimiento es necesario explicar y poner
en conocimiento todas las medidas que se pueden y deben de adoptar.
Es más probable que seamos víctimas de un delito cibernético que de uno físico, y
precisamente una de las razones por las que somos más propensos es que no
somos conscientes del riesgo que corremos cada día.
A través de este informe se pretende abordar concretamente uno de los casos de
suplantación de identidad existente mediante la técnica de phising, tratando
desde cuestiones de prevención a cómo proceder en caso de verse afectado,
mencionando algunas de las leyes que nos amparan.
Resumen ejecutivo
4
6. ElaugeenlaimplantacióndelatecnologíayenlaadopcióndeInternetentodoslos
colectivos de nuestra sociedad ha dado lugar a la aparición de nuevos delitos
ligadosalainformáticayaqueenlasociedadsetenganqueiradoptandomecanis-
mos conforme estos van apareciendo.
Partiendo de esta compleja situación y tomando como referencia el “Convenio de
Ciberdelincuencia del Consejo de Europa” (Agencia Estatal BOLETÍN OFICIAL DEL
ESTADO, 2010), podemos definir los delitos informáticos como: “los actos dirigidos
contra la confidencialidad, la integridad y la disponibilidad de los sistemas informá-
ticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”.
Sus características principales son:
• Delitos difíciles de demostrar ya que, en muchos casos, es complicado
encontrar las pruebas.
• Son actos que pueden llevarse a cabo de forma rápida y sencilla. En ocasiones
estos delitos pueden cometerse en cuestión de segundos, utilizando sólo un
equipo informático y sin estar presente físicamente en el lugar de los hechos.
• Tienden a proliferar y evolucionar, lo que complica aún más la identificación
y persecución de los mismos.
En este convenio se propone una clasificación de los delitos informáticos en cuatro
grupos:
• Delitos contra la confidencialidad, la integridad y la disponibilidad de los
datos y sistemas informáticos:
- Acceso ilícito a sistemas informáticos.
- Interceptación ilícita de datos informáticos.
- Interferencia en el funcionamiento de un sistema informático.
- Abuso de dispositivos que faciliten la comisión de delitos.
• Delitos informáticos:
- Falsificación informática mediante la introducción, borrado o supresión
de datos informáticos.
- Fraude informático mediante la introducción, alteración o borrado de
datos informáticos, o la interferencia en sistemas informáticos.
- El borrado fraudulento de datos o la corrupción de ficheros algunos
ejemplos de delitos de este tipo.
• Delitos relacionados con el contenido:
- Producción, oferta, difusión, adquisición de contenidos de pornografía
infantil, por medio de un sistema informático o posesión de dichos
contenidos en un sistema informático o medio de almacenamiento de
datos.
Concepto de delito informático,
Convenio de Ciberdelincuencia
Phising:
cuando la pesca
no es un deporte
5
7. • Delitos relacionados con infracciones de la propiedad intelectual y derechos
afines: Un ejemplo de este grupo de delitos es la piratería informática.
Con el fin de criminalizar los actos de racismo y xenofobia cometidos mediante
sistemas informáticos, en enero de 2008 se promulgó el “Protocolo Adicional al
Convenio de Ciberdelincuencia del Consejo de Europa” (Agencia Estatal BOLETÍN
OFICIAL DEL ESTADO, 2015) que incluye, entre otros aspectos, las medidas que se
deben tomar en casos de:
• Difusión de material xenófobo o racista.
• Insultos o amenazas con motivación racista o xenófoba.
• Negociación, minimización burda, aprobación o justificación del genocidio o
de crímenes contra la humanidad.
Para ponernos en situación y entender la gran problemática de este tipo de delitos,
en el Informe sobre la Cibercriminalidad en España correspondiente al año 2015
publicado por el Ministerio del Interior (Ministerio del Interior, 2016) podemos
apreciar que a lo largo de la serie histórica 2012-2015 existe un incremento de la
delincuencia comprendida dentro del concepto de cibercriminalidad. Además,
destaca que en 2015 el 67,9% corresponde a fraudes informáticos.
En España con anterioridad a la redacción del actual Código Penal de 1995 (Agencia
Estatal BOLETÍN OFICIAL DEL ESTADO, 1995), el delito de estafa se encontraba,
según el texto legal de 1973 (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 1973),
recogido en el artículo 528 y 529 bajo la siguiente redacción:
“Art. 528. El que defraudare a otro en la sustancia, cantidad o calidad de las cosas que
le entregare en virtud de un delito obligatorio será castigado […].
Art. 529. El que defraudare a otro usando nombre fingido, atribuyéndose poder,
influencia o cualidades supuestas, aparentando bienes, crédito saldo en cuenta
corriente, comisión, empresa o negociaciones imaginarias o valiéndose de cualquier
otro engaño semejante […]. Cometen estafa los que, con ánimo de lucro, utilizaren
engaño bastante para producir error en otro, induciéndole a realizar un acto a
disposición en perjuicio propio o ajeno. También se consideran reos de estafa los que,
con ánimo de lucro y valiéndose de alguna manipulación […]”.
Esta situación provocó que muchas de las estafas cometidas a través de medios
informáticosnopudierantenercabidabajoestepreceptoteniendoqueserdeclara-
das por los tribunales y asentado bajo jurisprudencia como apropiación indebida,
ya que las estafas informáticas no estaban contempladas en el por aquel entonces
vigente Código Penal.
Concepto de delito informático,
Convenio de Ciberdelincuencia
6
8. Con la aprobación del actual Código Penal, el 23 de noviembre de 1995 se realizaron
importantes cambios entre los que destacan ampliaciones en las definiciones de
ciertosarticulados,siendodeespecialimportanciaelnuevoapartadoincluidoenla
definición de estafa:
“Artículo 248. También se consideran reos de estafa los que, con ánimo de lucro y
valiéndose de alguna manipulación informática o artificio semejante, consigan la
transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.
La misma pena se aplicará a los que fabriquen, introdujeren, poseyeren o facilitaren
programas de ordenador específicamente destinados a la comisión de estafas previs-
tas en este artículo”.
Igualmente debemos de destacar la loable iniciativa del INCIBE y del BOE del
pasado año en donde se recopila en un único documento (de más de 900 páginas)
toda legislación española – y europea de aplicación– relacionada con la seguridad
de la información y la ciberseguridad en general. Dicho documento denominado
“Código de Derecho de la Ciberseguridad” se encuentra disponible en la página del
BOE (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 2017).
Concepto de delito informático,
Convenio de Ciberdelincuencia
7
Phising:
cuando la pesca
no es un deporte
9. Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos
Informáticos. La Ley 19223 (Chile, 1993) publicada en su Boletín Oficial el 7 de junio
de 1993 nos indica lo siguiente:
“Artículo 1°. - El que maliciosamente destruya o inutilice un sistema de tratamiento
de información o sus partes o componentes, o impida, obstaculice o modifique su
funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo.
Si como consecuencia de estas conductas se afectaren los datos contenidos en el
sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo.
Artículo 2°. - El que con el ánimo de apoderarse, usar o conocer indebidamente de la
información contenida en un sistema de tratamiento de la misma, lo intercepte,
interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a
medio.
Artículo 3°. - El que maliciosamente altere, dañe o destruya los datos contenidos en
un sistema de tratamiento de información, será castigado con presidio menor en su
grado medio.
Artículo 4°. - El que maliciosamente revele o difunda los datos contenidos en un
sistema de información, sufrirá la pena de presidio menor en su grado medio. Si
quien incurre en estas conductas es el responsable del sistema de información, la
pena se aumentará en un grado."
El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo
de apoderarse, usar o conocer de manera indebida la información contenida en
éste, es punible con cárcel; sin embargo, el acceso a ese mismo sistema sin permiso
y sin intenciones de ver su contenido no constituye delito.
Dar a conocer la información almacenada en un sistema puede ser castigado con
prisión, pero si el que lo hace es el responsable de dicho sistema la condena puede
ser superior.
Chile: el primer país latinoamericano
en en sancionar la Ley contra Delitos
informáticos
8
10. Spoofing
El spoofing, al igual que el phising, se trata igualmente de una suplantación de
identidad, pero en este caso no se requiere de un engaño previo a la víctima, por lo
que la actuación es básicamente técnica, siendo necesarios unos altos conocimien-
tos informáticos. Algunas de las técnicas empleadas son las siguientes:
IP
Consiste en la alteración de los paquetes (bajo TCP), de forma que la dirección de
origen no es la real, sino la de quien se va a suplantar; así el host que es suplantado
recibe los paquetes de respuesta sin haberlos solicitado.
ARP1
Se basa en el envío de mensajes ARP falsos, construyéndose tramas de solicitud y
respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC)
de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de
hacerlo a su destino legítimo.
De esta forma, todos los paquetes que la máquina víctima iba a recibir ahora son
recibidos por la máquina atacante.
DNS/pharming
SetratadelcambiodelarelacióndeunnombredeundominioporunaIPfalsa.Este
ataque se realiza si el servidor DNS no es muy seguro, o si confía en otros que si son
inseguros. Por otro lado, una vez se haya realizado el cambio, otros servidores DNS
que se fíen de éste, podrán añadir a sus cachés la dirección falsa, denominándose
DNS poisoning.
Delitos relacionados con la
suplantación electrónica de
identidad: spoofing y phising
9
Fuente:Elaboración propia.
DNS Server
Website
No OK
Website
OK
Atacante
Usuario
3
4
5
2
1
ARP (del inglés Address Resolution Protocol) es un protocolo de la capa de enlace de datos responsable de
encontrar la dirección Ethernet MAC que corresponde a una determinada dirección IP. Para ello se envía
un paquete (ARP request) a la dirección de difusión de la red que contiene dicha dirección, y se espera a
que alguna máquina responda con la Ethernet MAC.
Gráfico 1.
Spoofing DNS.
Phising:
cuando la pesca
no es un deporte
11. WEB
Suplanta la dirección real en una página falsa la cual encaminará hacia otras
páginas auténticas que recolectarán información de la víctima. Esta página falsa
actuaráamododeproxy,deformaquerecolectarátodalainformacióndelacomu-
nicación de la víctima pudiendo modificarla o recolectarla. Esto la hace muy difícil
de detectar y de protegerse contra ella.
En este caso se requiere de un primer engaño para hacer que la víctima visite la
páginafalsaynolaverdadera.Peroadiferenciadelphishing,nosuplantarealmen-
telapáginaoriginal,sinoquesecolocaenmediodelaconversación.Unejemplode
transacción de Web durante un ataque de Web spoofing:
MAIL
A través de un servidor SMTP2 se envían correos con un remitente falso. Para
protegerse de este tipo de ataque se podría usar la firma digital, o bien tomar
precauciones revisando la dirección IP del remitente para reconocer si es la IP de
la entidad auténtica que lo envía o es otra dirección IP.
Delitos relacionados con la
suplantación electrónica de
identidad: spoofing y phising
10
Fuente:Elaboración propia.
Website
No OK
Website
OK
Usuario
2. El Simple Mail Transfer Protocol (SMTP) es un protocolo de red utilizado para el intercambio de mensajes
de correo electrónico, éste fue definido en el RFC 2821 (https://www.ietf.org/rfc/rfc2821.txt).
1. Se pide la
URL errónea.
2. Se pide la URL real.
3. Se carga la web real.
4. Modifica
la página
4. Se carga la
página modificada
Gráfica 2.
Web Spoofing.
12. GPS
Un ataque de este tipo intenta engañar a un receptor de GPS transmitiendo
una señal ligeramente más poderosa que la recibida desde los satélites del
sistema GPS, causando que el receptor determine una posición diferente a la
real.
Debido a que el sistema GPS trabaja midiendo el tiempo que le toma a una
señal el viajar entre el satélite y el receptor, un spoofing exitoso requiere que
el atacante conozca con precisión donde se encuentra el blanco de tal forma
que la señal falsa pueda ser estructurada con el retraso apropiado.
Existen interesantísimos artículos dentro del magazine GPS World (GPS
World, 2016) donde se explican propuestas de test tanto para identificar como
para mitigar el riesgo ante ataques de spoofing, recomendado si se desea
profundizar al respecto.
Phising
Phishing es un término informático utilizado para denominar el fraude por
suplantación de identidad empleando técnicas de ingeniería social. Existen
dos teorías diferentes para el origen de la palabra phishing:
• Contracción de “password harvesting fishing” (cosecha y pesca de
contraseñas);
• Término inglés “fishing” (pesca) haciendo alusión a “picar el anzuelo”.
Este término se acuñó por primera vez en 1996, en los casos de intento de
apropiación de cuentas de AOL, que consistió en el envío de mensajes instan-
táneos haciéndose pasar por empleados de dicha empresa, solicitando contra-
señas.
Aunque en la actualidad los fines son más lucrativos centrándose en la banca
para conseguir acceso y control de las cuentas bancarias de sus clientes.
Para conseguir la información se utilizan variadas técnicas que pueden ser el
envío de emails fraudulentos o la utilización de falsos sitios web.
Generalmente el envío masivo de emails a pesar de emular correctamente y
aparentar ser veraces no suele ser muy efectivo pues llega a personas que no
tienen ninguna relación con la entidad que es falsificada. Por ello, otra forma
más efectiva es relacionar por cualquier método a cada posible víctima con la
entidad que será falsificada, ya sea cliente o empleado. En este caso la probabi-
lidad de éxito es mucho mayor, pues está dirigida y es, por tanto, más veraz.
Este caso se denomina spear phishing.
Delitos relacionados con la
suplantación electrónica de
identidad: spoofing y phising
11
Phising:
cuando la pesca
no es un deporte
13. Delitos relacionados con la
suplantación electrónica de
identidad: spoofing y phising
Si nos centramos en la suplantación de personalidad en las transacciones
financieras nos encontramos que se ha pasado de la tradicional falsificación
en las operaciones propiamente dichas, a los fraudes de tarjetas, para poste-
riormente derivar en el fraude en la banca on-line debido a la impunidad con
la que en la mayoría de los casos actúan los delincuentes, y las elevadas canti-
dades que se pueden defraudar. Este fraude se realiza mediante la captura
previa de las claves de los usuarios usando, por ejemplo, la mecánica que se
indica en el apartado siguiente.
No obstante, se debe de destacar que, aunque se habla en el presente artículo
del sector bancario (ya que es donde mayoritariamente se dirigen los ataques
de phising), también se dirigen a otras webs de uso extendidos para el intento
de hacerse con las credenciales/datos personales como, por ejemplo, las redes
sociales.
12
14. Mecánica comisiva
del phising
13
La mecánica comisiva del phising se puede estructurar en 4 fases diferenciadas:
1. Descubrimiento de claves y contraseñas on-line: El proceso habitualmente
se inicia con la utilización de alguna aplicación para infectar al usuario, con
la finalidad de captar ilegalmente los datos confidenciales de las víctimas,
para posteriormente realizar un envío masivo de correos electrónicos con el
fin de llamar la atención de la víctima.
2. Utilización de otros equipos para realizar el acceso a sus cuentas: Para no
dejar huella de quién realiza la operación, el autor de los hechos emplea
distintos métodos como, por ejemplo, el empleo de lugares públicos de
acceso a Internet.
3. Uso de terceros como titulares de cuentas bancarias a las que remitir el
dinero: Una vez que se dispone de las claves y contraseñas de acceso a las
cuentas de las víctimas, se precisa de la participación de un tercero que
pueda abrir cuentas bancarias intermedias en el mismo país donde van a
desarrollar la operativa para traspasar el dinero antes de proceder a su
extracción y envío al país de origen.
4. Disponibilidad del beneficio ilícito: El titular de la cuenta bancaria destino de
las transferencias, como último paso, se dirigirá a su banco y sacará el dinero
de la transferencia, enviándolo al extranjero por medio de las agencias
habitualmente dedicadas a ello. Deberá remitirlo al beneficiario y al destino
el que le han facilitado anteriormente, y el importe acordado, quedándose
con el porcentaje acordado.
Así como vemos en las cuatro fases anteriores en las operaciones financieras
realizadas a través de la banca on-line se basan principalmente en suplantaciones
de personalidad para la realización de transferencias de fondos de la cuenta de un
titular a la de un intermediario de la que posteriormente se extraen los fondos en
efectivo o mediante transferencia al extranjero, haciéndose muy difícil su
recuperación.
Con respecto al fraude en la banca on-line nos encontramos en la tesitura de
asegurar de forma fidedigna al cliente, ya que nos podemos estar encontrando con
usuarios que estén suplantando la personalidad de un tercero utilizando sus claves
de acceso.
El problema radica que en estos casos no existe una cláusula limitativa de
responsabilidadparaeltitular,porloquelosimportesdefraudadospuedenalcanzar
la totalidad de los fondos que el cliente mantenga en las cuentas de la entidad.
Por eso se debe de revisar el clausulado de los contratos de servicio de banca on-line
porsicontasequeseríaposiblehacerrecaerlasconsecuenciasdelusoindebidodesu
firma electrónica siempre en el cliente, asimilando dicho uso indebido con una
negligente custodia de su firma electrónica de la que no pueden hacerse
responsables.
Phising:
cuando la pesca
no es un deporte
15. Mecánica comisiva
del phising
14
En vista de las numerosas sentencias y jurisprudencia al respecto la cual se puede
consultar en variados sitios web como también dentro de la web del Consejo
GeneraldelPoderJudicial(ConsejoGeneraldelPoderJudicial,2017),enlamayoríade
las ocasiones los perjuicios derivados del delito de phising se deberían de repartir
entre la entidad bancaria y el cliente, que no ha sido suficientemente diligente en la
custodia de las claves.
En caso de que no se pudiera determinar el grado de participación en la culpa de
cada parte, se debe determinar en el 50% para cada uno, en aplicación del artículo
1.103 del Código Civil (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 2017) “la
responsabilidad que proceda de negligencia es igualmente exigible en el
cumplimiento de toda clase de obligaciones; pero podrá moderarse por los
Tribunales según los casos”.
16. La Normativa aplicable en el caso de uso fraudulento de tarjetas de pago:
• Recomendación 88/590/CEE, de la Comisión, de 17 de noviembre, relativa a
los sistemas de pago y, en particular, a las relaciones entre titulares y
emisores de tarjetas.
• Recomendación 97/489/CEE, de la Comisión, de 30 de julio de 1997, relativa a
las transacciones efectuadas mediante instrumentos electrónicos de pago,
en particular las relaciones entre emisores y titulares de tales instrumentos.
• Código de Buena Conducta de la Banca Europea con respecto a los sistemas
de pago mediante tarjeta, de 14 de noviembre de 1990; éste es una
adaptación de la Recomendación 88/590/CEE, y limita la responsabilidad del
titular de la tarjeta a 150 euros para el caso de uso fraudulento, que no
implique negligencia en la custodia por parte del mismo.
• Ley 7/1996, de 15 de enero de Ordenación del Comercio Minorista, en su
artículo 46-1, reformado por la Ley 47/2002 de 19 de diciembre, establece
para los pagos mediante tarjeta de crédito, que cuando el importe de una
compra hubiese sido cargado fraudulenta o indebidamente utilizando el
número de una tarjeta de pago, su titular podrá exigir la inmediata
anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo
y reabono en las cuentas del proveedor y del titular se efectuarán a la mayor
brevedad.
En la actualidad, el “phising” está regulado en el artículo 248 del Código Penal que
dispone:
“1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para
producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio
propio o ajeno.
2. También se consideran reos de estafa:
a. Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o
artificio semejante, consigan una transferencia no consentida de cualquier activo
patrimonial en perjuicio de otro.
b. Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos
específicamente destinados a la comisión de las estafas previstas en este artículo.
c.Losqueutilizandotarjetasdecréditoodébito,ochequesdeviaje,olosdatosobrantes
encualquieradeellos,realicenoperacionesdecualquierclaseenperjuiciodesutitular
o de un tercero.”
Además, tal y como la Jurisprudencia del Tribunal Supremo establece, el precepto
tiene la finalidad de proteger el patrimonio contra acciones que no responden al
esquema típico del artículo 248.1 del Código Penal, pues no se dirigen contra un
sujeto que pueda ser inducido a error. Por lo que, para que se puedan tipificar los
hechos como un delito del artículo 248.2 del Código Penal se precisa que exista:
• ánimo de lucro;
• manipulación informática o similar que sustituya como medio comisivo al
engaño del tipo del artículo 248.1, y se manifiesta en una actuación ilegítima
que bien puede consistir en la alteración de los elementos físicos, de aquellos
que permite su programación, o por la introducción de datos falsos;
• disposición económica en perjuicio de tercero que se concreta en una
transferencia no consentida.
La Normativa en el caso de uso
fraudulento tarjetas pago
15
Phising:
cuando la pesca
no es un deporte
17. Cada vez más a menudo el phising está siendo noticia en los medios de
comunicación, desde que en el año 2008 la Asociación de Usuarios de Bancos, Cajas
y Seguros obtuvo una de las primeras sentencias en España sobre fraude a
consumidores en banca electrónica.
Ejemplos recientes del presente año 2017 son los que desde el portal de la Oficina de
Seguridad del Internauta (Oficina de Seguridad del Internauta - OSI, 2017) nos
alertan, se citan a modo informativo dos de ellos:
• Suplantando a Apple, alertando a los usuarios en un email que debido a un
incidente de seguridad, los usuarios deben de validar sus credenciales.
• Suplantando a PayPal a través de un sitio web simulado, para intentar
conseguir los datos del usuario.
El sitio de la OSI es muy recomendable ya que promueve, entre otros aspectos, la
concienciación en materia de seguridad.
Informes como los proporcionados por el AntiPhishing Working Group (APWG)
(Anti-Phishing Working Group, 2017) indican que en el año 2016 hubo un
incremento destacable de ataques phising (un 65% con respecto al 2015),
estimándose la existencia durante el último trimestre del pasado año de más de
90.000 ataques de phising al mes.
Tomando como referencia los datos recogidos en la “Bitácora de Ciberseguridad del
INCIBE” (INCIBE-CERTSI, 2017) han elaborado el top ten de los incidentes de
ciberseguridad producidos en 2016 en todo el mundo, teniendo en cuenta criterios
de impacto económico, dimensión de las fugas de información o reputación.
Citamos la primera posición correspondiente al robo de 81 millones de dólares al
Banco Central de Bangladés, los cuales transfirieron esa cantidad de dinero a varios
casinosdeFilipinas;peroquepodríahabersidomuchomayorsinohubierantenido
un descuido en cuanto a la ortografía.
Ya en el pasado 2014 cuando se puso en marcha en INCIBE se estimaba que el
impactodelacibercriminalidadpodíavariarentrelos300.000millonesdedólaresy
el billón (Ministerio del Interior-Gobierno de España, 2014).
Si nos dirigimos a los últimos datos teniendo en cuenta la información publicada
por Kaspersky Lab y resaltada en su nota de prensa del pasado mes de marzo
(Kaspersky Lab, 2017):
• El número de ataques de phishing financiero creció un 13,14% en 2016,
representando el 47,5% del total de ataques phishing identificados.
• Casi la mitad de los ataques de phishing registrados en 2016, tenían como
objetivo hacerse con el dinero de sus víctimas.
La Evolución de los
ataques de phising
16
18. La última encuesta sobre “Equipamiento y uso de las tecnologías de la Información
y comunicación en los hogares” del Instituto Nacional de Estadística (INE) (Instituto
Nacional de Estadística, 2016) indica que más del 75% (77,1%) de los hogares dispone
de ordenador en su hogar, el 81,9% disponen de conexión a la red.
Como ya hemos indicado las cifras avalan el uso, los acontecimientos, … por ello se
deben de tomar medidas y como vemos a continuación son sencillas:
• Disponer de contraseñas robustas (es decir, con complejidad disponiendo de
mayúsculas, minúsculas, números, …; con una longitud superior a 8 dígitos;
obviando palabras del diccionario; y eludir tener la misma contraseña para
todo).
• Desconfiar cuando se soliciten datos personales a través del correo
electrónico.
• En bastantes de los intentos de phising en el correo se encuentra un adjunto
que nos instan a abrir; ante la duda no abrir.
• En otros casos lo que aparece es un enlace a una url (muy similar a la real y
con apariencia casi idéntica), en vez de usar esa url ante la duda usar la que
se tiene plena certeza que es correcta.
• Desconfiar de remitentes desconocidos y/o correos mal redactados y/o con
referencias impersonales.
• Si es posible disponer de factores de doble autenticación en nuestros
sistemas, por ejemplo, el correo electrónico.
Medidas de prevención para los
delitos anteriores. ¿Cómo actuar en
caso de ser víctima de phising?
Gráfico 3.
Evolución de datos de
Viviendas
(2006-2016) por
tamaño del hogar,
hábitat, tipo de
equipamiento y
periodo.
17
Fuente:Elaboración propia con datos extraídos del sitio web del INE: www.ine.es.
900
800
700
600
500
400
300
200
2016 2015 2014 2013 2012 2011 2010 2009 2008 2007
Viviendas con algún
tipo de ordenador
Viviendas que disponen
de acceso a Internet
Viviendas con conexión
de Banda Ancha (ADSL,
Red de cable, etc.)
Phising:
cuando la pesca
no es un deporte
19. En el estudio “Ciberseguridad y Confianza en los hogares españoles”,
correspondiente al periodo enero-junio 2016 (ONTSI-Observatorio nacional de
las telecomunicaciones, 2016), un punto interesante a destacar es que el uso
responsable y el tener buenos hábitos hace que se mitigue el riesgo. Y así lo
demuestran las cifras de este informe, ya que un porcentaje superior al 91% de
estos usuarios no sufrió perjuicio económico como consecuencia de un fraude
online o telefónico.
Si revisamos el mismo estudio para el segundo semestre del pasado año
(ONTSI-Observatorio nacional de las telecomunicaciones, 2017) se observa que
el porcentaje de usuarios con buenos hábitos que no sufrió perjuicio
económico subió al 94,4%.
A continuación vamos a proceder a comparar ambos semestres tomando los datos
de dichos estudios referenciados anteriormente para ver la evolución con respecto
al fraude on-line y las medidas tomadas por los usuarios en el caso de haberse visto
afectados:
Medidas de prevención para los
delitos anteriores. ¿Cómo actuar en
caso de ser víctima de phising?
18
Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI
https://www.ontsi.red.es
Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI
https://www.ontsi.red.es
Sin perjuicio económico
Intento de fraude online
90
90,5
91
91,5
92
92,5
93
93,5
94
94,5
95
Ene-Jun 2016 Jul-Dic 2016
Gráfico 4.
Consumación del
intento de fraude
según los hábitos
prudentes.
Gráfico 5.90
91,8
94,4
90,3
64,1 60,6
0
10
20
30
40
50
60
70
80
90
100
Ene-Jun 2016 Jul-Dic 2016
20. El porcentaje de los intentos de fraude que acaban suponiendo un perjuicio
económico para la víctima se mantiene en niveles del anterior periodo.
Los cambios adoptados tras un incidente de seguridad permanecen en valores
pasados
Medidas de prevención para los
delitos anteriores. ¿Cómo actuar en
caso de ser víctima de phising?
19
Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI
https://www.ontsi.red.es
Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI
https://www.ontsi.red.es
70
71
72
73
74
75
76
Ene-Jun 2016 Jul-Dic 2016
Gráfico 6.
Cambios
adoptados tras un
incidente de
seguridad.
63 61,960,5 58,9
0
20
40
60
80
100
Ene-Jun 2016 Jul-Dic 2016
Gráfico 7.
Influencia del intento
de fraude en los
servicios de banca
online y comercio
electrónico: tras una
invitación a visitar
alguna página web
sospechosa.
Comercio electrónico
Banca on-line
Phising:
cuando la pesca
no es un deporte
21. La modificación de los hábitos tras recibir una invitación a visitar alguna
página web sospechosa de los usuarios de banca online y de los de comercio
electrónico ha disminuido ligeramente.
Más de un tercio percibe un menor número de incidencias en los últimos 3
meses y además las considera de menor gravedad, mejorando con respecto al
semestre anterior la percepción.
Medidas de prevención para los
delitos anteriores. ¿Cómo actuar en
caso de ser víctima de phising?
20
Gráfica 9.
Percepción de los
usuarios sobre la
evolución en
seguridad.
Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI
https://www.ontsi.red.es
Menor número de incidencias
en los últimos 3 meses
Las considera de menor
gravedad
30,7
34,5
31,7
34,9
28
29
30
31
32
33
34
35
36
Ene-Jun 2016 Jul-Dic 2016
22. El phishing es uno de los delitos englobados dentro de la categoría de estafa y
existen múltiples variantes, como la del envío masivo de emails, afectando
principalmente a usuarios de la banca on-line (haciéndose pasar normalmente
por entidades bancarias) y alegando supuestas razones de seguridad para que:
• les faciliten sus credenciales para operar en la web del banco, o
• les solicitan que pinchen en algún enlace que les redirecciona a una página
idéntica a la oficial de dichas entidades para que las introduzcan y así
capturen sus datos, o
• les infectan, directamente, con algún virus para apoderase de sus claves.
Por cualquiera de los mecanismos anteriores, los "Phishers" consiguen conocer
las contraseñas de los usuarios, con las que posteriormente poder acceder a la
verdadera web bancaria, suplantando la identidad de los verdaderos usuarios,
y ordenando operaciones no consentidas.
Las operaciones no se realizan directamente, sino que se emplean terceras
personas (denominadas “muleros”) a las que a través de una supuesta oferta
laboral en la que se les indica que abran una cuenta bancaria, en la que recibi-
rán transferencias de personas desconocidas, y deberán de remitir dicho
dinero descontando su comisión.
Así, los verdaderos responsables penales del 'phishing' difícilmente son conde-
nados por la justicia y los bancos para evitar su responsabilidad civil compare-
cen como acusación particular para evitar el desembolso de las cantidades
defraudadas (aunque de acuerdo al Código Civil y al Código de Comercio,
tienen obligación de reembolsar al depositario las cantidades por éste ingresa-
das, sin que pueda responsabilizarlo de accesos ilícitos por parte de terceras
personas).
Y, por supuesto, tomar sencillas medidas de seguridad que nos puedan evitar
un susto como las enunciadas:
• Disponer de contraseñas robustas (es decir, con complejidad disponiendo de
mayúsculas, minúsculas, números, …; con una longitud superior a 8 dígitos;
obviando palabras del diccionario; y eludir tener la misma contraseña para
todo).
• Desconfiar cuando se soliciten datos personales a través del correo
electrónico.
• En bastantes de los intentos de phising en el correo se encuentra un adjunto
Conclusiones
21
Phising:
cuando la pesca
no es un deporte
23. que nos instan a abrir; ante la duda no abrir.
• En otros casos lo que aparece es un enlace a una url (muy similar a la real y
con apariencia casi idéntica), en vez de usar esa url ante la duda usar la que
se tiene plena certeza que es correcta.
• Desconfiar de remitentes desconocidos y/o correos mal redactados y/o con
referencias impersonales.
• Si es posible disponer de factores de doble autenticación en nuestros
sistemas, por ejemplo, el correo electrónico.
Así, en el estudio “Ciberseguridad y Confianza en los hogares españoles”,
correspondiente al segundo semestre del pasado 2016 (ONTSI-Observatorio
nacional de las telecomunicaciones, 2017), es de destacar que el uso responsable
y el tener buenos hábitos hace que se mitigue el riesgo. Y así lo demuestran las
cifras de este informe, ya que un porcentaje superior al 94% de estos usuarios
no sufrió perjuicio económico como consecuencia de un fraude online o telefó-
nico. Del mismo modo, más de un tercio percibe un menor número de inciden-
cias en los últimos 3 meses y además las considera de menor gravedad, mejo-
rando con respecto al semestre anterior la percepción.
En el denominado “Código de Derecho de la Ciberseguridad” se recopila en un
único documento toda aquella legislación española – y europea de aplicación -
relacionada con la seguridad de la información y la ciberseguridad en general,
documento de referencia.
Conclusiones
22
24. Referencias
23
• Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (1973, Diciembre 12). Retrieved from
https://www.boe.es/buscar/doc.php?id=BOE-A-1973-1715
• Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (1995, Noviembre 24). Retrieved from
https://www.boe.es/buscar/doc.php?id=BOE-A-1995-25444
• Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2010, Septiembre 17). Retrieved from
https://www.boe.es/boe/dias/2010/09/17/pdfs/BOE-A-2010-14221.pdf
• Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2015, Enero 30). Retrieved from
https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-793
• Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2017, Abril 3). Retrieved from https://-
boe.es/legislacion/codigos/codigo.php?id=34&modo=1¬a=0
• Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2017, Marzo 9). Retrieved from
http://www.boe.es/legislacion/codigos/codigo.php?id=173_Codi-
go_de_Derecho__de_la_Ciberseguridad
• Anti-Phishing Working Group. (2017). Retrieved from http://www.apwg.org
• Boletín Oficial del Estado . (XXX). Retrieved from https://www.boe.es/bus-
car/act.php?id=BOE-A-1889-4763
• Chile. (1993, Junio 7). Retrieved from http://www.leychile.cl/Navegar?idNorma=30590
• Consejo General del Poder Judicial. (2017). Retrieved from http://www.poderjudi-
cial.es/search/indexAN.jsp
• GPS World. (2016, Octubre 30). Retrieved from http://gpsworld.com/testing-susceptibi-
lity-to-gps-spoofing
• INCIBE. (2017). Retrieved from https://www.incibe.es
• INCIBE-CERTSI. (2017). Retrieved from https://www.certsi.es/alertatemprana/bitacora-
ciberseguridad
• Instituto Nacional de Estadística. (2016, Octubre 3). Retrieved from
http://www.ine.es/dyngs/INEbase/es/operacion.htm?c=estadisti-
ca_C&cid=1254736176741&menu=ultiDatos&idp=1254735976608
• Instituto Nacional de Estadística. (2016, Octubre). Retrieved from www.ine.es
• Kaspersky Lab. (2017). Retrieved from http://newsroom.kaspersky.eu/fileadmin/u-
ser_upload/es/Downloads/Kaspersky_press_release_phishingfinancieroOK.pdf
• Ministerio del Interior. (2016, Junio 22). Retrieved from http://www.interior.gob.es/do-
cuments/10180/3066430/Informe+Ci-
bercriminalidad+2015.pdf/c10f398a-8552-430c-9b7f-81d9cc8e751b
• Ministerio del Interior-Gobierno de España. (2014). Retrieved from http://www.inte-
rior.gob.es/prensa/noticias/-/asset_publisher/GHU8Ap6ztgsg/content/id/2720078
• Oficina de Seguridad del Internauta - OSI. (2017). Retrieved from https://www.osi.es/
• ONTSI-Observatorio Nacional de las Telecomunicaciones. (2016, Noviembre). Retrieved
from http://www.ontsi.red.es/ontsi/sites/ontsi/files/Cibersegurida-
d%20y%20Confianza%20en%20los%20hogares%20%28noviembre%202016%29.pdf
• ONTSI-Observatorio Nacional de las Telecomunicaciones. (2017, Abril). Retrieved from
https://www.ontsi.red.es/ontsi/es/Ciberseguridadyconfianzaen-
loshogaresespa%C3%B1olesabril2017