Análisis jurídico-penal del fishing: una modalidad delictiva de la modernidad tecnológica | Anthony Romero

«Una nueva forma ilícita de los sistemas informáticos a través de la ingeniería social»

528
0
Compartir

En nuestros días, el procedimiento evolutivo y fusionado del desarrollo cultural, económico y social a nivel mundial, conocido como “globalización”, viene acompañado del avance de las tecnologías de la información y comunicación, las mismas que están al servicio del hombre en relación con la transmisión, procesamiento y almacenamiento digitalizado de información, así como un conjunto de procesos, técnicas y productos que simplifican la comunicación y hacen más hacederas la integración entre los usuarios o personas.

Sin embargo, este ámbito se ha visto mellado y pervertido por personas inescrupulosas a través de distintas modalidades fraudulentas, como por ejemplo, en la que engañan mediante mensajes de textos o correos electrónicos en los que se les pide a los usuarios que actualicen sus datos para realizar cualquier operación por internet, dejándoles un link que, aparentemente, los dirigirán a la web de la entidad bancaria, pero que termina siendo una página falsa creada por ellos para estafarlos y convertirlos en victimas de fraude electrónico.

Esta modalidad de estafa tiene la denominación de «fishing». Nos encontramos frente a un delito informático que se ha incrementado durante el estado de emergencia, debido al elevado número de transacciones que las personas realizan por internet o celular dado el estado de inmovilización general.

  • DELITO DE FRAUDE INFORMÁTICO

El Congreso de la República en el 2013 aprobó y promulgó la Ley N° 30096, Ley de Delitos Informáticos en el Perú, que tiene como fuente directa las bases para la elaboración de un instrumento internacional en materia de cibercriminalidad acordada en la Conferencia de Ministros de Justicia de los Países Iberoamericanos y el Convenio Sobre la Ciberdelincuencia – Budapest.

No obstante, en el 2014 fue parcialmente modificada por la Ley N° 30171 denominada “Ley que modifica la Ley N° 30096, Ley de delitos informáticos”, que cambió siete artículos de la norma para replantear y modificar ciertas imprecisiones que se habían advertido en la norma original.

Sin desmedro de ello, la finalidad y objeto de esta ley era clara, la misma que se escribe en su artículo 1° al señalar que:

La presente Ley tiene por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia.

En virtud del artículo, la confidencialidad, integridad e información son los bienes jurídicos que se vulneran cuando estos delitos se perpetran.

En esa línea, esta norma busca que las victimas denuncien los actos ilícitos cometidos a través de las nuevas tecnologías, ya que, muchas veces, los perjudicados se ven obstaculizados porque, por una parte, estos tipos penales se cometen desde el exterior; y, por otra parte, los delincuentes cibernéticos cuentan con amplios conocimientos informáticos.

Ante ello, de acuerdo al perjuicio que se cause al sujeto pasivo (que puede ser una persona natural, grupo o persona jurídica), la ley ha establecido penas para el atentado contra la integridad de datos informáticos, sistemas informáticos, proposiciones a menores de edad con fines sexuales, incitación a la discriminación, contra la intimidad y el secreto de las comunicaciones como el trafico ilegal de datos, intercepción de datos informáticos, suplantación de identidad, abuso de mecanismos y dispositivos informáticos; y el fraude informático.

Al respecto, sobre este último tipo penal, en el capitulo V concerniente a delitos informáticos contra el patrimonio, se señala:

Artículo 8°. – Fraude informático
El que deliberada e ilegítimamente procura para si o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con una pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días-multa.

La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días multa cuando se afecte el patrimonio del Estado destinado a fines asistenciales o a programas de apoyo social

  • FENÓMENO DEL FISHING

Este término se utiliza para referirse a uno de los métodos y técnicas más utilizados por los delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta o engañosa como lo es una contraseña o información detallada sobre las tarjetas de crédito u otra información bancaria de la víctima.

En virtud de ello, en estos últimos tiempos se ha dividido en tres pasos el procedimiento usual para cometer este acto ilícito:

  1. Le hacen llegar al agraviado un mensaje, como el siguiente:
    “VIA BCP,
    Estimado cliente, se ha detectado una actividad inusual en sus cuentas, para evitar posibles bloqueos, valide aquí:
    https://bit.ly/CONTIGO_BCP”.
  2. Al ingresar al link que, vale mencionar, es recortado, le sale un portal, tal cual es el correspondiente a la entidad bancaria donde tendrá que ingresar su número de tarjeta y clave de internet de 6 dígitos.
  3. Una vez ingresada y entrado, puede ver y hacer lo que crea conveniente (una operación normal). No obstante, transcurrido el tiempo el acto ilícito por parte del sujeto activo ya se consuma.

Asimismo, el ataque de este fenómeno impacta de tres formas:

  1. Mediante comunicaciones electrónicas, como un correo electrónico o una llamada por teléfono.
  2. El sujeto activo se hace pasar por una persona u organización de confianza.
  3. El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.

No obstante, independientemente si el accionar se da por correo electrónico, por redes sociales, por mensaje de texto o mediante cualquier otro sistema, los ataques de estos fenómenos tienen las mismas particularidades; es decir, el delincuente cibernético envía una comunicación con el fin de persuadir a la victima para que haga clic en un enlace, descargue un archivo adjunto o envíe una información solicitada, o incluso para que complete un supuesto pago, por lo que la naturaleza del engaño queda a la imaginación, destreza y habilidad del sujeto activo.

Villavicencio Terreros[1], señaló que las principales características de vulnerabilidad que presenta el mundo informático son:

  1. La falta de jerarquía en la red, que permite establecer sistema de control, lo que dificulta la verificación de la información que circula por este medio.
  2. El creciente numero de usuarios, y la facilidad de acceso al medio tecnológico.
  3. El anonimato de los cibernautas que dificulta su persecución tras la comisión de un delito a través de este medio.
  4. La facilidad de acceso a la información para alterar datos, destruir sistemas informáticos.
  • IMPLICANCIA DE LA INGENIERÍA SOCIAL

La ingeniería social se describe como la práctica de obtener información confidencial a través de la manipulación de usuarios (personas) legítimos sin su consentimiento, la cual les permite acceder a sistemas de información para realizar algún acto que perjudique o exponga a la persona natural o jurídica a riesgos.

¿Por qué tocar esta práctica en el delito de fraude informático? Porque el sujeto activo se vale de las técnicas y modalidades de empleo de esta modalidad de ingeniería para poder hacerse pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica o algún sistema de mensajería instancia y poder engañar al usuario.

  • CONCLUSIONES

En relación con lo vertido en el presente artículo, respecto a esta nueva forma delictiva, en el Perú ya se ha emitido una Ley penal especial cuya finalidad es prevenir y sancionar las conductas delictivas que afectan los sistemas y datas informáticos, así como los demás bienes jurídicos que resulten afectados.

Por otro lado, en lo concerniente a la técnica de la ingeniera social, se denota que el principal modo de ataque que se emplea por parte de los delincuentes cibernéticos, dado que esta basado en engañar a un usuario o administrador de un sitio en la internet, para poder ver la información que ellos quieren. En resumidas cuentas, aquellos expertos en este ámbito; es decir, los sujetos activos, al emplearlo en cualquier plataforma o sistema electrónico lo hacen con el pensamiento que de los usuarios son el eslabón o la cadena débil.

De este modo, todos los usuarios que tenemos una cuenta en alguna plataforma electrónico o tecnológica corremos el riesgo de ser víctimas de estos intentos profesionales de ataques por medio de cualquier dirección publica en internet y en la web.

Sin embargo, la parte positiva es que actos repercuten una gama de delito en nuestro código penal mediante una ley especial penal que acarrea pena privativa de libertad y, a manera de prevención, se recomienda un modo de defensa útil para evitar estos “profesionalismos delictivos” a través del entrenamiento, asesoría y capacitación al usuario de una plataforma para el debido, pertinente y necesario uso de políticas de seguridad y el aseguramiento de que estas sigan un mantenimiento y seguimiento para la tranquilidad del cliente.

En tal sentido, consideramos que la mejor mantera de protegerse de estas tácticas ilícitas consistiría en entender la manera de actuar de los proveedores de servicios financieros y otras entidades, por las cuales se pueda recibir este tipo de ataques profesionales.

Asimismo, hay que ser conscientes que el mundo de la globalización y, por ende, de la tecnología cada vez se desarrolla, avanza, cambia y moderniza constantemente, por lo que es necesario estar a la vanguardia en estos temas, en aras de mantenerse informados con las nuevas tendencias y tipos de fraudes tecnológicos que pudiese suscitar en cualquiera de nuestras plataformas electrónicas que nos afiliemos.

No obstante, es necesario tener presente que ninguna entidad financiera o bancaria en Perú solicita datos personales por correo electrónico o mensaje de texto, ni mucho menos, pide el código o la clave de las tarjetas de crédito.

Finalmente, en caso llegase un mensaje con un link de una página se debe cerciorar de escribir correctamente la dirección del sitio web que se desea visitar ya que existen cientos de intentos de engaños usando las páginas con mayor demanda. Ante ello, una comprobación que uno mismo podría realizar es observando que la dirección empiece con https:// y un pequeño candado cerrado que debe aparecer en la barra de estado del navegador empleado.


Imagen obtenida de https://cutt.ly/xd0HjrD

[1] VILLAVICENCIO TERREROS, F. Delitos informáticos en la Ley N° 30096 y su modificación de la Ley N° 30071. Revista CEDP de la Universidad San Martín de Porres, 1° edición.

Compartir
Artículo anteriorDesafíos para el Nuevo Ministro de Trabajo: a propósito de la Negación de Cuestión de Confianza del Gabinete Cateriano | Braian Ponce y Yearim Ortega
Artículo siguienteEl interés para obrar | IUS360º
Anthony Romero Casilla
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos. Asistente de Cátedra en la UNMSM. Miembro adherente en el Instituto de Ciencia Procesal Penal. Miembro Principal del Taller de Estudios Penales de la UNMSM. Entre sus publicaciones destacan, como director, en “Mecanismos de lucha contra la corrupción: Retos actuales para el derecho penal, procesal penal y ejecución penal” (Grijley, 2019), “Tendencias Actuales del Derecho Penal” (IDEMSA, 2019) y “¿La corrupción, un problema estructural ad-portas del bicentenario de la fundación de la República?” (A&C ediciones, 2018). Ha participado en diversos congresos nacionales e internacionales en calidad de coordinador general: I Congreso Internacional de Derecho Penal (2017), II Congreso Internacional Derecho Penal y XV Congreso Nacional de Derecho Penal y Criminología (2018); y en el III Congreso Internacional de Derecho Penal (2019).

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here