Jurisprudencia: el “phising” como modalidad de estafa informática.

0
607
Imprimir

jurisprudencia derecho penal

SAP Burgos (Sección 1ª) de 3 de marzo de 2016, rec. nº 21 /2015.
Accede al documento

(…) “en los casos como el presente, el ‘modus operandi’ consiste en que estamos ante grupos organizado, cuyos miembros tienen concretadas las diferentes tareas a realizar, a saber:
En primer lugar, los promotores proceden a la captación de colaboradores que actúen de intermediarios en el país elegido para la realización de los fraudes, utilizando diversos medios de comunicación, ofertando puestos de trabajo(…) hecho que realizan con envío masivo e indiscriminado (…) Contactan con las mismas ofreciéndoles la posibilidad de obtener un trabajo que consiste en recibir transacciones de dinero que posteriormente deben remitir a otro país, quedándose con un porcentaje del mismo

(…) Una vez captados los colaboradores, mantienen con ellos contacto físico, telefónico o correo electrónico, dándoles las consignas pertinentes, como pueden ser: la apertura de cuentas bancarias en diversas entidades bancarias; forma de reintegrar el dinero y forma y a quien enviarlo.

(…) Paralelamente a la apertura de cuentas bancarias puente en el país donde realizan las transferencias inconsentidas, estos grupos realizan la captación de los datos confidenciales de las víctimas para el control de las cuentas online utilizando la técnica denominada PHISHING, derivación del inglés fishing -ir de pesca-, la cual puede partir de un SCAM consistente en un envío masivo e indiscriminado (SPAM) de correos electrónicos (EMAIL) con un engaño para llamar la atención de la víctima (HOAX). En la Red se utiliza el envío masivo de correos electrónicos que simulan proceder de entidades bancarias y apremian al internauta a actualizar datos personales (nombres de usuario y contraseña de cuentas bancarias, números de tarjeta de crédito, etc.) aludiendo motivos de seguridad, mantenimiento, mejora en el servicio, confirmación de identidad o cualquier otro, redirigiéndoles a una página que imita a la original (Web Spoofing), embebido un formulario en el propio correo electrónico, introducir los datos en la página falsa, éstos son ‘pescados’ por los ciberdelincuentes para utilizarlos de forma fraudulenta.

(…) También la captura de claves puede realizarse a través de programas que interceptan la información en el momento que se introducen en la banca online real (…) ha habido varios incidentes en los que los criminales ponen máquinas expendedoras falsas, normalmente en áreas públicas de grandes almacenes, éstas aceptan el dinero plástico y piden a la persona que meta sus códigos secretos. Una vez que la máquina tiene los códigos de la víctima, puede o bien tragarse la tarjeta o dar un error y devolver la tarjeta. En cualquiera de los casos, los autores tienen la suficiente información para copiar la tarjeta de la víctima y realizar un duplicado operativo con las contraseñas captadas.

(…) Los ataques mediante troyanos, últimos detectados y que guardan relación directa con los entidades bancarias, se difunde a través de códigos Javascript, HTML, PHP en páginas web o correos electrónicos que permiten modificar la máquina victima para esnifar (captar la información tecleada en las computadoras), como operaciones bancarias en línea, residiendo de forma silenciosa en los PC que logra infectar y activándose cuando el usuario visita determinadas sedes web de bancos, capturando las claves de acceso e incluso capturando las pantallas para conocer el estado de las cuentas corrientes.

(…) A consecuencia de que existen diferentes modalidades de realización de este fraude es fundamental realizar un informe técnico forense y post análisis del equipo informático de la víctima, toda vez que la información que se podría obtener nos podrían indicar como se ha realizado el Phishing y donde la información que se obtuvo ha sido enviada, si hay más víctimas (…) que entidades bancarias han sido introducidas en el programa para ser activado en caso de keyloggers, así como facilitar información que pudiera llevar a la identificación de otros miembros de la organización” (F.D. 1º) [A.C.T.].

Dejar respuesta

Please enter your comment!
Please enter your name here