1
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES
FACULTAD DE JURISPRUDENCIA
ESCUELA DE DERECHO
TESIS DE GRADO PREVIA LA OBTENCIÓN DEL TÍTULO DE
MAGISTER EN DERECHO PENAL Y CRIMINOLOGÍA
TEMA:
“EL DELITO INFORMÁTICO DE PHISHING”
MAESTRANTE:
AB. JUAN CARLOS VALLE MATUTE. ESP.
ASESOR:
AB. RAÚL HERRÁEZ QUEZADA
QUEVEDO-ECUADOR
2
CERTIFICACIÓN DEL TUTOR
Abogado Raúl Herráez Quezada, tutor de la tesis cuyo tema es: “EL DELITO INFORMÁTICO DE PHISHING”, presentado por el Ab. Juan Carlos Valle Matute,
Esp., estudiante de Postgrado de la Universidad Regional Autónoma de los Andes,
UNIANES-QUEVEDO, certifico que ha sido revisado en toda sus partes, por lo tanto
reúne todos los requisitos de fondo y forma exigidos por la Universidad, se
recomienda continuar con el trámite respectivo.
3
CERTIFICACIÓN DE AUTORÍA
Ab. Juan Carlos Valle Matute Esp., estudiante de Postgrado de la Universidad
Regional Autónoma de los Andes, UNIANES-QUEVEDO, declaro que el tema “EL DELITO INFORMÁTICO DE PHISHING” es original, por lo tanto de mi autoría, son
de mi exclusiva responsabilidad todos los temas tratados en la tesis
4
DEDICATORIA
Dedico este trabajo en primer lugar a Dios por brindarme la oportunidad de cumplir
con una meta más en mi vida, a toda mi familia, pero especialmente a mi padre que
ha sido siempre una gran inspiración y modelo a seguir, y a mis hermanos Andy y
Abel, que desde el lugar en donde estén, me siguen cuidando y sé que estarán
orgullosos por este nuevo logro.
5
AGRADECIMIENTO
Principalmente a Dios por otorgarme salud, sabiduría, paciencia, optimismo, que me
ha permitido culminar con éxito todo reto que me propongo y gracias a Él termino
esta etapa tan importante de la misma.
Agradezco a mi familia, en especial a mis hijas, que son mi impulso y motivación a
seguir adelante con todos los proyectos de mi vida, por la paciencia tenida a lo largo
de esta travesía. Y agradezco también a todos mis maestros que aportaron a mi
formación durante esta maestría.
6 ÍNDICE
RESUMEN EJECUTIVO ... 12
EXECUTIVE SUMMARY ... 13
INTRODUCCIÓN ... 14
CAPÍTULO I ... 15
EL PROBLEMA ... 15
1.1.- Planteamiento del problema. ... 15
1.1.1.- Formulación del problema. ... 23
1.1.2.- Delimitación del problema. ... 23
1.2.- Objetivos ... 24
1.2.1.- Objetivo General ... 24
1.2.2.- Objetivos Específicos ... 24
1.3.- Justificación. ... 24
CAPÍTULO II ... 26
MARCO TEÓRICO ... 26
2.1.- Antecedentes Investigativos ... 26
2.2. Fundamentación Científica: Esquema de Contenidos. ... 26
2.2.1. Legislación y Delitos Informáticos, Otros Tipos de Delitos Informáticos ... 26
2.2.2. El Delito del Phishing ... 30
7
Phishing ... 30
2.2.2.2 Tipos de Phishing ... 32
2.2.2.3. Clasificación del Phishing según la participación de la víctima y la complejidad de la Tecnología de la Estafa ... 45
2.2.2.4. Fases del Phishing ... 46
2.2.2.5 Definiciones ... 49
2.2.3. Criminología del Phishing ... 52
2.2.3.1 El Ciberterrorismo. ... 52
2.2.3.2 La Falsificación Electrónica ... 53
2.2.3.3 La Estafa Informática y la Apropiación Ilícita (Aplicado al Phishing) ... 54
2.2.4 Sistemas de Seguridad Informática ... 55
2.2.4.1 Seguro informático ... 55
2.2.4.2 Seguridad de la Banca en Línea ... 57
2.2.5 Legislación comparada ... 60
2.2.5.1 Legislación y Delitos Informáticos - Alemania ... 61
2.2.5.2 Legislación y Delitos Informáticos - Austria ... 62
2.2.5.3 Legislación y Delitos Informáticos - China ... 62
2.2.5.4 Legislación y Delitos Informáticos - Francia ... 63
2.2.5.5 Legislación y Delitos Informáticos - Holanda ... 63
8
2.2.5.7 Legislación y Delitos Informáticos - Chile... 65
2.2.5.8 Legislación y Delitos Informáticos - España ... 66
2.2.5.9 Legislación y Delitos Informáticos - Estados Unidos ... 67
2.2.5.10 Legislación en el Ecuador ... 69
2.2.5.11 La Constitución del Ecuador ... 79
2.2.5.12 Análisis del Código Integral Penal ... 81
TÉRMINOS BÁSICOS.- ... 84
NEOCONSTITUCIONALISMO ... 88
ORALIDAD ... 89
REFORMA ... 90
TECNOLOGIAS DE LA INFORMACIÓN Y COMUNICACIÓN (TIC´S) ... 91
FUNDAMENTOS FILOSÓFICOS Y AXIOLÓGICOS DE LA UNIANDES ... 92
2.3.- Idea a defender ... 93
2.4.- Variables ... 93
CAPÍTULO III ... 94
MARCO METODOLÓGICO ... 94
3.1. Modalidad de Investigación. ... 94
3.2. Tipos de Investigación ... 94
3.2.1 Por su diseño ... 94
9
3.3. Población y Muestra. ... 95
3.4.- Métodos, Técnicas e Instrumentos de la Investigación. ... 96
3.4.1.- Métodos... 96
MÉTODO HISTÓRICO-LÓGICO ... 102
MÉTODO LÓGICO INDUCTIVO ... 102
MÉTODO ANALÍTICO-SINTÉTICO ... 103
MÉTODOS MATEMÁTICOS Y ESTADÍSTICOS ... 104
3.4.2.- Técnicas ... 104
3.4.3 Instrumentos ... 105
3.5.- Interpretación de Resultados ... 108
3.5.1. Encuesta a los Operadores de Justicia de la Corte Provincial de Justicia del Guayas ... 108
3.5.2. Encuesta a los Abogados en Libre Ejercicio Profesional ... 111
3.5.3. Encuesta a los Socios de la Cámara de Comercio de Guayaquil... 114
CAPÍTULO IV ... 117
MARCO PROPOSITIVO ... 117
TÍTULO: ... 117
REFORMA AL CÓDIGO PENAL PARA TIPIFICAR Y SANCIONAR EL DELITO DE PHISHING. ... 117
4.1 Desarrollo de la propuesta. ... 117
10
4.1.2 Incidencia de la propuesta en la solución del problema. ... 117
4.2 Presentación detallada de la propuesta. ... 118
4.2.1 Exposición de Motivos ... 118
REPÚBLICA DEL ECUADOR ... 118
FUNCIÓN LEGISLATIVA ... 118
ASAMBLEA NACIONAL ... 118
EL PLENO DE LA COMISIÓN LEGISLATIVA Y DE FISCALIZACIÓN. ... 118
CONSIDERANDO: ... 118
En ejercicio de sus atribuciones constitucionales expide la siguiente: ... 119
LEY REFORMATORIA AL CÒDIGO PENAL QUE TIPIFICA EL DELITO DE PHISHING. ... 119
4.3 Validación en la Propuesta. ... 120
4.4 Por qué sancionar el delito de Phishing. ... 120
4.4.1. Comentario ... 121
4.4.2. Mecanismos para la aplicación de esta reforma: ... 122
4.4.2.1 Búsqueda de respuestas a las tendencias recientes ... 123
4.4.2.2 Aplicación de la Ley ... 123
4.4.2.3 Fomento de la Capacidad ... 124
4.4.2.4 Capacitación ... 124
11
4.5.1 Conclusiones ... 125
4.5.2 Recomendaciones ... 126
BIBLIOGRAFIA ... 128
LEGISGRAFIA ... 129
12
RESUMEN EJECUTIVO
El presente proyecto tiene como objetivo brindar una visión global del estado de los
delitos informáticos en el Ecuador, por cuanto hay varias maneras en que los
ciudadanos pueden ser víctimas de un fraude a través de las redes informáticas, es
por eso que existe la necesidad de dar a conocer los distintos tipos de delitos
frecuentes en estas redes, en especial uno de los más innovadores como es el delito
de phishing, su forma de ejecución y la finalidad que tienen las personas que realizan
este ilícito.
La sociedad ecuatoriana, día a día se desenvuelve cada vez más en el mundo
tecnológico, las compras, ventas, transacciones bancarias, pagos, etc, se pueden
realizar a través del internet y estas facilidades del comercio hacen que la sociedad
dependa de la tecnología y haga uso frecuente de ella, lo cual se torna peligroso
porque existen mayores probabilidades que los ciudadanos sean víctimas de fraude
informático por parte de personas que suelen pasar desapercibidos, sabotean las
13
EXECUTIVE SUMMARY
This project aims to provide a global view of the state of the computer crime in
Ecuador, as there are several ways in which citizens can be victims of a fraud through
computer networks, that's why there is a need to publicize the various types of
offenses frequent in these networks, in particular one of the most innovative as it is
the crime of phishing, its form of execution and purpose that have the people who
make this illegal.
The Ecuadorian society, day to day lives are increasingly in the technological world,
purchases, sales, banking transactions, payments, etc, can be performed via the
internet and these facilities of the trade make the society depends on the technology
and make frequent use of it, which becomes dangerous because there are more likely
than citizens are victims of computer-related fraud on the part of persons that are
14
INTRODUCCIÓN
La presente tesis de grado, fundamentalmente tiene como objetivo brindar una visión
en lo que respecta el delito informático de phishing en el Ecuador, en cuanto a su
forma de utilización, su regulación, así como también identificar lo más relevante que
debe regular el Ecuador para el tratamiento del mismo.
En el Capítulo I se abordará el problema en sí que engloba el delito informático de
phishing, el objetivo que se tiene al realizar el presente proyecto investigativo, dando
a conocer que efectivamente la sociedad ecuatoriana carece de la protección judicial
del Estado Ecuatoriano; que las autoridades judiciales, están obligados a conocer,
investigar y resolver, estas situaciones que pueden presentarse en la sociedad
ecuatoriana.
En el Capítulo II se expondrá el marco conceptual del delito de phishing, su historia,
la criminalidad informática, así como también las leyes relacionadas que se
encuentran establecidas en la legislación ecuatoriana.
En el Capítulo III se desarrollará el análisis e interpretación de los resultados
obtenidos a través de la encuesta realizada sobre la reforma a la legislación
ecuatoriana respecto a incrementar la tipificación específica al delito de phishing.
Cada una de las preguntas realizadas, se analizó para obtener los resultados
correspondientes, para poder tener un mejor entendimiento de los datos obtenidos,
cada gráfico o tabla a mostrar tendrá una explicación de los resultados.
Por último en el Capítulo IV, se expondrá la propuesta de reformar el marco legal
ecuatoriana, para poder hacer frente a estas conductas delictivas que hacen uso de
las nuevas tecnología, como propuestas iniciales y recomendaciones externas para
15 CAPÍTULO I EL PROBLEMA 1.1.- Planteamiento del problema.
El delito informático implica actividades criminales que los países han tratado de
encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos,
fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse
que el uso de las técnicas informáticas han creado nuevas posibilidades del uso
indebido de las computadoras lo que ha creado la necesidad de regulación por parte
del derecho.
Se considera que no existe una definición formal y universal de delito informático
pero se han formulado conceptos respondiendo a realidades nacionales concretas:
"no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su
misma denominación alude a una situación muy especial, ya que para hablar de
"delitos" en el sentido de acciones típicas, es decir tipificadas o contempladas en
textos jurídicos penales, se requiere que la expresión "delitos informáticos" esté
consignada en los códigos penales, lo cual en nuestro país, al igual que en otros
muchos no han sido objeto de tipificación aún." 1
En 1983, la Organización de Cooperación y Desarrollo Económico (OCDE) inicio un
estudio de las posibilidades de aplicar y armonizar en el plano internacional las leyes
penales a fin de luchar contra el problema del uso indebido de los programas
computacionales.
En 1992 la Asociación Internacional de Derecho Penal, durante el coloquio celebrado
en Wurzburgo (Alemania), adoptó diversas recomendaciones respecto a los delitos
16
informáticos, entre ellas que, en la medida que el Derecho Penal no sea suficiente,
deberá promoverse la modificación de la definición de los delitos existentes o la
creación de otros nuevos, si no basta con la adopción de otras medidas como por
ejemplo el "principio de subsidiariedad".
Se entiende Delito como: "acción penada por las leyes por realizarse en perjuicio de
algo o alguien, o por ser contraria a lo establecido por aquéllas". 2
Finalmente la OCDE publicó un estudio sobre delitos informáticos y el análisis de la
normativa jurídica en donde se reseñan las normas legislativas vigentes y se define
Delito Informático como "cualquier comportamiento antijurídico, no ético o no
autorizado, relacionado con el procesado automático de datos y/o transmisiones de
datos." 3
"Los delitos informáticos se realizan necesariamente con la ayuda de los sistemas
informáticos, pero tienen como objeto del injusto la información en sí misma". 4
Adicionalmente, la OCDE elaboró un conjunto de normas para la seguridad de los
sistemas de información, con la intención de ofrecer las bases para que los distintos
países pudieran erigir un marco de seguridad para los sistemas informáticos.
1. En esta delincuencia se trata con especialistas capaces de efectuar el crimen y borrar toda huella de los hechos, resultando, muchas veces, imposible de
deducir como es como se realizó dicho delito. La Informática reúne
características que la convierten en un medio idóneo para la comisión de
nuevos tipos de delitos en que en gran parte del mundo ni siquiera han podido
ser catalogados.
2 MOLINER, María. Diccionario de María Moliner Edición Digital. Copyright© 1996 Novel Inc.; Copyright © 1996 María Moliner.
3 Definición elaborada por un Grupo de Expertos, invitados por la OCDE a París en Mayo de 1993.
17
2. La legislación sobre sistemas informáticos debería perseguir acercarse lo más posible a los distintos medios de protección ya existentes, pero creando una
nueva regulación basada en los aspectos del objeto a proteger: la información.
En este punto debe hacerse un punto y notar lo siguiente:
No es la computadora la que atenta contra el hombre, es el hombre el que
encontró una nueva herramienta, quizás la más poderosa hasta el momento,
para delinquir.
No es la computadora la que afecta nuestra vida privada, sino el
aprovechamiento que hacen ciertos individuos de los datos que ellas
contienen.
La humanidad no está frente al peligro de la informática sino frente a
individuos sin escrúpulos con aspiraciones de obtener el poder que significa el
conocimiento.
Por eso la amenaza futura será directamente proporcional a los adelantos de
las tecnologías informáticas.
La protección de los sistemas informáticos puede abordarse desde distintos
perspectivas: civil, comercial o administrativa.
Lo que se deberá intentar es que ninguna de ellas sea excluyente con las demás y,
todo lo contrario, lograr una protección global desde los distintos sectores para
alcanzar cierta eficiencia en la defensa de estos sistemas informáticos.
Julio Téllez Valdez clasifica a los delitos informáticos en base a dos criterios:
18 Ejemplos:
Falsificación de documentos vía computarizada: tarjetas de créditos, cheques,
etc.
Variación de la situación contable.
Planeamiento y simulación de delitos convencionales como robo, homicidio y
fraude.
Alteración el funcionamiento normal de un sistema mediante la introducción de
código extraño al mismo: virus, bombas lógicas, etc.
Intervención de líneas de comunicación de datos o teleprocesos.
2. Como fin u objetivo: se enmarcan las conductas criminales que van dirigidas en contra de la computadora, accesorios o programas como entidad física.
Ejemplos:
Instrucciones que producen un bloqueo parcial o total del sistema.
Destrucción de programas por cualquier método.
Atentado físico contra la computadora, sus accesorios o sus medios de
comunicación.
Secuestro de soportes magnéticos con información valiosa, para ser utilizada
con fines delictivos.
Este mismo autor sostiene que las acciones delictivas informáticas presentan las
19
1. Sólo una determinada cantidad de personas (con conocimientos técnicos por encima de lo normal) pueden llegar a cometerlos.
2. Son conductas criminales del tipo "cuello blanco": no de acuerdo al interés protegido (como en los delitos convencionales) sino de acuerdo al sujeto que
los comete. Generalmente este sujeto tiene cierto status socioeconómico y la
comisión del delito no puede explicarse por pobreza, carencia de recursos,
baja educación, poca inteligencia, ni por inestabilidad emocional.
3. Son acciones ocupacionales, ya que generalmente se realizan cuando el sujeto atacado se encuentra trabajando.
4. Son acciones de oportunidad, ya que se aprovecha una ocasión creada por el atacante.
5. Provocan pérdidas económicas.
6. Ofrecen posibilidades de tiempo y espacio.
7. Son muchos los casos y pocas las denuncias, y todo ello por la falta de regulación y por miedo al descrédito de la organización atacada.
8. Presentan grandes dificultades para su comprobación, por su carácter técnico. 9. Tienden a proliferar, por lo se requiere su urgente regulación legal.
María Luz Lima, por su parte, presenta la siguiente clasificación de "delitos
electrónicos" 5:
1. Como Método: conductas criminales en donde los individuos utilizan métodos
electrónicos para llegar a un resultado ilícito.
20
2. Como Método: conductas criminales en donde los individuos utilizan métodos
electrónicos para llegar a un resultado ilícito.
3. Como Medio: conductas criminales en donde para realizar un delito utilizan
una computadora como medio o símbolo.
4. Como Fin: conductas criminales dirigidas contra la entidad física del objeto o
máquina electrónica o su material con objeto de dañarla.
Los ciudadanos comunes que acceden a los portales de internet, como la banca en
línea o pagos de sus cuentas o transacciones que realizan a través de los distintos
portales de internet ecuatorianos y que son víctimas del delito informático del
phishing carecen de la protección judicial del Estado Ecuatoriano; esta protección
que es tan invocada en los Principios del Derecho Penal, en la Constitución y en el
mismo Código Penal, que las autoridades judiciales, están obligados a conocer,
investigar y resolver, estas situaciones que pueden presentarse en la sociedad
ecuatoriana.
El objetivo del engaño es adquirir información confidencial del usuario como
contraseñas, tarjetas de crédito o datos financieros y bancarios, podríamos
considerar como una estafa con sus elementos, características y victimología
diferentes a las ya establecidas en el Código Penal Ecuatoriano.
Al no existir la tutela efectiva de los derechos de los ciudadanos que por agilitar sus
procesos internos y de sus actividades propias en una era tecnológica que permite
que desde cualquier lugar en que se encuentren, por ser las comunicaciones móviles
fáciles y rápidas para generar transacciones o pagos en línea, se debe de garantizar
su protección en cuanto a la identidad del ciudadano y datos que son consignados o
almacenados en las distintas redes bancarias y financieras del país sujetas al control
de la Superintendencia de Bancos, además de la seguridad que el Estado debe de
21
estos actos producidos por las entidades financieras y de las demás redes que
tienen sus portales en internet.
Los sujetos que perpetran el delito informático de phishing buscan e identifican a la
víctima, con el objetivo de que el delito que van a cometer no sea fácilmente
detectable, porque al extraer las claves de los ciudadanos que acceden a estos
portales de la banca en línea, no sólo que vulneran la confidencialidad sino que
además efectúan débitos y son depositados a cuentas bancarias de terceros en otros
bancos o realizan pagos electrónicos de diversos servicios que no tienen ninguna
relación con la víctima, perjudicando gravemente a las víctimas, porque una vez
registrada la transacción sea éste débito o crédito no existe el mecanismo legal para
determinar que ha sido víctima, el proceso del retroceso de las transacciones
efectuadas y consecuentemente, del resarcimiento de los daños y perjuicios
ocasionados en su contra.
El delito informático de phishing puede producirse de varias formas, desde un simple
mensaje a su teléfono móvil, una llamada telefónica, una web que simula una
entidad, una ventana emergente, y la más usada y conocida por los internautas, la
recepción de un correo electrónico. Pueden existir más formatos pero en estos
momentos solo mencionamos los más comunes;
- SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos personales.
- Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor
suplanta a una entidad privada o pública para que usted le facilite datos privados. Un
ejemplo claro es el producido el 2005 con la Agencia Tributaria de España, ésta
advirtió de que algunas personas están llamando en su nombre a los contribuyentes
para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles
22
- Página web o ventana emergente; es muy clásica y bastante usada. En ella se
simula suplantando visualmente la imagen de una entidad oficial, empresas, etc
pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos
privados. La más empleada es la "imitación" de páginas web de bancos, siendo el
parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con
señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario
novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de
Internautas y denunciado a las fuerzas del Estado españolas.
Los efectos del delito informático “phishing”, son resultado de la consecución de
actos repetitivos pudiendo ser de variadas las formas ejecutadas por un experto en
informática, no relacionado con la víctima en la gran mayoría de los casos y que
ocasiona que la víctima con su consentimiento cede a ingresar a estos sitios y
proporcionar sus datos confidenciales.
Nuestro país carece de una legislación referente al delito informático de phishing,
donde los causantes de este tipo de delitos informático no son sancionados, los
derechos de los ciudadanos quedan lesionados tanto psicológicamente y
económicamente, porque al otorgar a los delincuentes los datos de sus claves de sus
sitios, éstos tienen acceso a toda la información que pudiere existir y de los lugares
que frecuenta la víctima, pudiendo dar lugar a que exista la concurrencia de otros
delitos posterior al cometimiento del delito informático del phishing como los delitos
contra a la propiedad.
Es lamentable decir, que si continúan realizándose este tipo de delito informático de
phishing en contra de las personas naturales o jurídicas, tendremos además del
perjuicio económico, el detrimento de las imágenes corporativas de las entidades
financieras que en lugar de ofrecer el servicio de banca en línea como un servicio de
ayuda y que facilite al cliente va a ser el camino a que los delincuentes que se
23
Para mejor explicación de nuestro problema, utilizamos una herramienta muy
práctica como es el árbol de problemas (Anexo 1), el mismo que a continuación
analizamos la relación causa-problema-efectos:
La legislación ecuatoriana no se encuentra actualizada, por lo tanto, la nueva
modalidad (delito informático) ocasiona la impunidad, porque en la ley penal el Juez
se remite solamente a la letra de la ley.
Los valores de vida son un conjunto de elementos de vida que están ligados
íntimamente en nuestro ser, son de gran importancia en cualquier persona y que son
la base para el entendimiento y progreso, por lo que el delito informático actualmente
es parte de la crisis de valores en la sociedad.
El mal uso de las TIC´s o la mala interacción web, es lo que provoca problemas, lo
que lleva a un uso indiscriminado e inadecuado de los medios y recursos
tecnológicos, en este caso el hackeo informático.
La crisis económica hace que la delincuencia sea día a día una mayor amenaza
contra la integridad de las personas y un obstáculo para el desarrollo
socioeconómico de los países, la misma que ha evolucionado a través de diversos
métodos de apropiación indebida de dinero, como es el presente caso de estudio, (el
phishing), fenómeno que afecta cada vez más a los ciudadanos, especialmente los
que hacen uso de las Tecnologías de Información y Comunicación.
1.1.1.- Formulación del problema.
La legislación penal ecuatoriana no consagra el Delito informático del Phishing como
institución con sentido punitivo, lo que ha generado impunidad de estos actos ilícitos
y perjuicio al derecho de la propiedad.
24 Campo de acción.- Delito Informático
Lugar: Corte Provincial de Justicia del Guayas Año: 2013
Línea de Investigación: Administración de Justicia 1.2.- Objetivos
1.2.1.- Objetivo General
Diseñar una reforma a la normativa jurídica vigente respecto al delito informático de
phishing, para que se evite la impunidad de estos actos ilícitos, y se garantice el
derecho a la propiedad, para lo cual se efectuará una investigación profunda acerca
del fenómeno de las infracciones informáticas, obteniendo resultados que permitan la
adopción de medidas de precaución en la administración de justicia, para una mejor
interpretación de la reforma a realizar.
1.2.2.- Objetivos Específicos
1. Elaborar las bases teóricas de la tesis en base a la consulta de los diferentes
autores nacionales y extranjeros que tienen relación con el tema de investigación
2. Utilizar los métodos, técnicas e instrumentos de la investigación científica
3. Diseñar las estrategias de la propuesta.
4. Validación de la propuesta por la vía de los expertos
1.3.- Justificación.
La motivación de la selección de este tema radica esencialmente en el incremento de
los casos denunciados en las Fiscalías Provinciales del Ecuador, siendo la prueba
25
penal específico en el Código Penal se origina que la gran mayoría de casos no se
logre el resultado que la víctima espera, puesto que los elementos que concurren
este delito son asimilados a una especie de estafa pero éste tiene sus características
propias y distintas a las ya determinadas en el Código Penal Ecuatoriano.
La investigación es necesaria, con el objetivo de determinar la criminología, la
victimología y conociendo esta realidad determinar las sanciones punitivas
correspondientes que se plasmará en el Anteproyecto de Ley correspondiente.
La trascendencia del delito informático de phishing, se debe a que en la actualidad la
cantidad de usuarios del internet se ha incrementado notablemente lo que ocasiona
que acceden a los distintos sitios y la cantidad de víctimas cada día se incrementan,
quienes siendo afectados por el cometimiento de este delito no sólo que están
perjudicados sino que además punitivamente están en estado de indefensión.
Con el avance tecnológico en la sociedad a nivel mundial, es necesario efectuar el
análisis de las conductas que participan en la participación de este delito informático
del phishing, el cual nuestro país no debe de ser la excepción, porque las
transacciones bancarias en línea cada día son más frecuentes, muchos usuarios
acceden a efectuar estas transacciones con el objetivo de optimizar tiempo y
recursos, por ello es necesario e imprescindible proteger a la sociedad y sancionar a
26 CAPÍTULO II MARCO TEÓRICO 2.1.- Antecedentes Investigativos
Una vez realizada una visita a la biblioteca de la Universidad Regional Autónoma de los Andes “UNIANDES” se puede establecer que no existen trabajos sobre delitos
informáticos en general, mucho más sobre el phishing, una nueva modalidad de
apropiación indebida de recursos.
Serrahima Joaquim, en su obra “La Amenaza Digital” año 2010, Editor Bresca
Editorial. ISBN 8496998258, 9788496998254. Barcelona – España 6, analiza y
previene al mundo sobre una nueva forma de apropiación indebida de los recursos
en red, la tecnología avanza tan acelerada y junto con ello el delito, comparado con
la legislación, ésta última, está muy distinta, está atrasada y no permite procesar,
sancionar, este tipo de delitos. Los países desarrollados han precautelado este tipo
de delitos como es el phishing, que está tipificada en la legislación española, que nos
avisa a aquellos países que aún no despertamos a la tecnología y sus riesgos por la
utilización, el uso y el abuso nos está llevando al delito y es urgente que nuestra
legislación tome correctivos.
2.2. Fundamentación Científica: Esquema de Contenidos.
2.2.1. Legislación y Delitos Informáticos, Otros Tipos de Delitos Informáticos La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos
informáticos:
27
1. Fraudes cometidos mediante manipulación de computadoras
Manipulación de los datos de entrada: este tipo de fraude informático conocido
también como sustracción de datos, representa el delito informático más
común ya que es fácil de cometer y difícil de descubrir.
La manipulación de programas: consiste en modificar los programas
existentes en el sistema o en insertar nuevos programas o rutinas. Es muy
difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente
tiene conocimientos técnicos concretos de informática y programación.
Manipulación de los datos de salida: se efectúa fijando un objetivo al
funcionamiento del sistema informático. El ejemplo más común es el fraude
del que se hace objeto a los cajeros automáticos mediante la falsificación de
instrucciones para la computadora en la fase de adquisición de datos.
Fraude efectuado por manipulación informática: aprovecha las repeticiones
automáticas de los procesos de cómputo. Es una técnica especializada que se
denomina "técnica del salchichón" en la que "rodajas muy finas" apenas
perceptibles, de transacciones financieras, se van sacando repetidamente de
una cuenta y se transfieren a otra. Se basa en el principio de que 10,66 es
igual a 10,65 pasando 0,01 centavos a la cuenta del ladrón n veces.
2. Manipulación de los datos de entrada
Como objeto: cuando se alteran datos de los documentos almacenados en
forma computarizada.
Como instrumento: las computadoras pueden utilizarse también para efectuar
28
3. Daños o modificaciones de programas o datos computarizados
Sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización
funciones o datos de computadora con intención de obstaculizar el
funcionamiento normal del sistema.
Acceso no autorizado a servicios y sistemas informáticos: estos acceso se
pueden realizar por diversos motivos, desde la simple curiosidad hasta el
sabotaje o espionaje informático.
Reproducción no autorizada de programas informáticos de protección legal:
esta puede entrañar una pérdida económica sustancial para los propietarios
legítimos. Algunas jurisdicciones han tipificado como delito esta clase de
actividad y la han sometido a sanciones penales. El problema ha alcanzado
dimensiones transnacionales con el tráfico de esas reproducciones no
autorizadas a través de las redes de telecomunicaciones modernas. Al
respecto, se considera, que la reproducción no autorizada de programas
informáticos no es un delito informático debido a que el bien jurídico a tutelar
es la propiedad intelectual.
Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso Internacional de
Derecho ha propuesto todas las formas de conductas lesivas de la que puede ser
objeto la información.
Ellas son:
"Fraude en el campo de la informática.
Falsificación en materia informática.
Sabotaje informático y daños a datos computarizados o programas
informáticos.
Acceso no autorizado.
Intercepción sin autorización.
29
Espionaje informático.
Uso no autorizado de una computadora.
Tráfico de claves informáticas obtenidas por medio ilícito.
Distribución de virus o programas delictivos." 7
Legislar la instigación al delito cometido a través de la computadora. Adherirnos, por
nuestra parte, a los postulados de la ONU sobre los delitos informáticos, con el fin de
unificar la legislación internacional que regule la problemática de la cibernética y su
utilización tan generalizada en el mundo.
Desde la Criminología debemos señalar que el anonimato, sumado a la inexistencia
de una norma que tipifique los delitos señalados, son un factor criminógeno que
favorece la multiplicación de autores que utilicen los medios electrónicos para
cometer delitos a sabiendas que no serán alcanzados por la ley.
No solo debe pensarse en la forma de castigo, sino algo mucho más importante
como lograr probar el delito. Este sigue siendo el principal inconveniente a la hora de
legislar por el carácter intangible de la información.
"Al final, la gente se dará cuenta de que no tiene ningún sentido escribir leyes
específicas para la tecnología. El fraude es el fraude, se realice mediante el correo
postal, el teléfono o Internet. Un delito no es más o menos delito si se utilizó
criptografía (...). Y el chantaje no es mejor o peor si se utilizaron virus informáticos o
fotos comprometedoras, a la antigua usanza. Las buenas leyes son escritas para ser
independientes de la tecnología. En un mundo donde la tecnología avanza mucho
más deprisa que las sesiones del Congreso, eso es lo único que puede funcionar hoy
en día. Mejores y más rápidos mecanismos de legislación, juicios y
sentencias...quizás algún día." 8
30 2.2.2. El Delito del Phishing
2.2.2.1 Origen Phishing
El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión
al intento de hacer que los usuarios "muerdan el anzuelo". A quien lo practica se le
llama phisher. También se dice que el término phishing es la contracción
de password harvesting fishing (cosecha y pesca de contraseñas), aunque esto
probablemente es un acrónimo retroactivo, dado que la escritura 'ph es comúnmente
utilizada por hackers para sustituir la f, como raíz de la antigua forma
de hacking telefónico conocida como phreaking.
La primera mención del término phishing data de enero de 1996. Se dio en el grupo
de noticias de hackers alt.2600, aunque es posible que el término ya hubiera
aparecido anteriormente en la edición impresa del boletín de noticias hacker 2600
Magazine. El término phishing fue adoptado por quienes intentaban "pescar" cuentas
de miembros de AOL.
El phishing es una técnica de ingeniería social utilizada por los delincuentes para obtener información confidencial como nombres de usuario, contraseñas y detalles
de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima.
El escenario de Phishing generalmente está asociado con la capacidad de duplicar
una página web para hacer creer al visitante que se encuentra en el sitio web
original, en lugar del falso. El engaño suele llevarse a cabo a través de
correoelectrónico y, a menudo estos correos contienen enlaces a un sitio web falso
con una apariencia casi idéntica a un sitio legítimo. Una vez en el sitio falso, los
usuarios incautos son engañados para que ingresen sus datos confidenciales, lo que
le proporciona a los delincuentes un amplio margen para realizar estafas y fraudes
31
La principal manera de llevar adelante el engaño es a través del envío de spam
(correo no deseado) e invitando al usuario a acceder a la página señuelo. El objetivo
del engaño es adquirir información confidencial del usuario como contraseñas,
tarjetas de crédito o datos financieros y bancarios. A menudo, estos correos llegan a
la bandeja de entrada, disfrazados como procedentes de departamentos de recursos
humanos o tecnología o de áreas comerciales relacionadas a transacciones
financieras.
Otra forma de propagación, menos común, pueden ser el fax y los mensajes SMS a
través del teléfono móvil. En algunos casos se proclamen grandes premios y
descuentos en la venta de productos. También se debe destacar que el destinatario
de los mensajes es genérico y los mensajes son enviados en forma masiva para
alcanzar una alta cantidad de usuarios, sabiendo que un porcentaje (aunque sea
mínimo) caerá en la trampa e ingresará al sitio falso, donde se le robará la
información.
Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son:
Uso de nombres de compañías ya existentes. En lugar de crear desde cero el
sitio web de una compañía ficticia, los emisores de correos con intenciones
fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de
una empresa existente, con el fin de confundir aún más al receptor del
mensaje.
Utilizar el nombre de un empleado real de una empresa como remitente del
correo falso. De esta manera, si el receptor intenta confirmar la veracidad del
correo llamando a la compañía, desde ésta le podrán confirmar que la persona
que dice hablar en nombre de la empresa trabaja en la misma.
Direcciones web con la apariencia correcta. Como hemos visto, el correo
32
la empresa que está siendo utilizada para robar la información. En realidad,
tanto los contenidos como la dirección web (URL) son falsos y se limitan a
imitar los contenidos reales. Incluso la información legal y otros enlaces no
vitales pueden redirigir al confiado usuario a la página web real.
Factor miedo. La ventana de oportunidad de los defraudadores es muy breve,
ya que una vez se informa a la compañía de que sus clientes están siendo
objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y
sirve para la recogida de información se cierra en el intervalo de unos pocos
días. Por lo tanto, es fundamental para el defraudador el conseguir una
respuesta inmediata por parte del usuario. En muchos casos, el mejor
incentivo es amenazar con una pérdida, ya sea económica o de la propia
cuenta existente, si no se siguen las instrucciones indicadas en el correo
recibido, y que usualmente están relacionadas con nuevas medidas de
seguridad recomendadas por la entidad.
2.2.2.2 Tipos de Phishing
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) de España hace
un estudio sobre la práctica fraudulenta conocida como phishing, sobre usuarios,
entidades públicas y privadas afectadas por la práctica fraudulenta de este delito,
estudio publicado en Octubre de 2007, en el cual nos da un análisis sobre los tipos
de phishing, y sus fases evolutivas para su realización:
La rapidez de evolución de este tipo de delitos complica también la tarea de realizar
un análisis exhaustivo de todas las variantes que se pueden incluir bajo esta
denominación común, más aún si tenemos en cuenta que, a menudo, se lanzan
ataques combinados que implican el concurso de varias de las técnicas que
33
Lógicamente, no existe una única clasificación de los delitos de phishing. Una de las más acertadas proporciona las distintas “fotografías” del modus operandi de estos
delincuentes, describiendo seis tipos de phishing:
1.- Phishing engañoso – Deceptive Phishing
Esta es la forma primitiva de phishing. Aunque en sus inicios (cuando el objetivo
básico era la captura de cuentas de AOL) la herramienta de comunicación utilizada
eran las aplicaciones de mensajería instantánea, en la actualidad la forma más
habitual de desarrollar este tipo de delito (o al menos de iniciarlo) es mediante el
correo electrónico. Precisamente, un típico ataque de esta variedad de phishing
comienza cuando el phisher envía un correo electrónico falso.
Observatorio de la Seguridad de la Información
La dirección IP está formada por una serie numérica de cuatro grupos entre 0 y 255
separados por puntos y que identifica un ordenador conectado a Internet.
Obviamente, este sistema no se utiliza para la navegación por las dificultades que
supondría recordar esta serie de memoria. En su lugar, el DNS (Domain Name
System o Sistema de Nombres de Dominio) traduce esos números a direcciones
web, tal y como normalmente las utilizamos en los navegadores, que son fáciles de
reconocer y recordar.
El procedimiento es relativamente sencillo. Consiste, básicamente, en el envío,
generalmente masivo, de un correo electrónico en el que es suplantada una empresa
o institución legítima y de confianza para el receptor, por lo que este atendiendo una “llamada a la acción” incluida en dicha comunicación electrónica pulsará en el enlace
contenido en el correo electrónico siendo desviado, de manera inconsciente, a un
sitio web fraudulento.
34
Los ejemplos de llamada a la acción son muy diversos: desde la existencia de algún
tipo de problema en la cuenta bancaria del destinatario, invitándole a entrar en algún
sitio web para subsanarlo, la comunicación de algún tipo de riesgo por fraude, un
aviso ficticio de compra acompañado de un enlace (link) cuyo destino es la página en
la que puede cancelarse, la comunicación de un cambio no autorizado en la cuenta
corriente del destinatario, etc.
En cualquiera de estos casos, el paso siguiente siempre es similar. Los destinatarios
que son víctimas del engaño, acceden a un sitio web en el que se les requiere todo
tipo de información confidencial para “subsanar” el problema que se les había
comunicado previamente. Una vez recogidos esos datos, el phisher ya está en
condiciones de realizar el fraude que previamente había planeado.
La variedad en este sentido también es muy amplia: desde la simple venta de esos
datos para que otro realice el fraude a la transferencia de fondos de la cuenta
bancaria del destinatario, la solicitud de una hipoteca en su nombre, la realización de
compras por Internet, etc.
Dentro de esta tipología de phishing existen también distintas variantes. Una de ellas,
relativamente común, es enviar mensajes de correo electrónico que, a través de
HTML, replican con más o menos precisión la pantalla de autenticación de la entidad
a la que están suplantando, evitando, de esta forma, que el usuario tenga que pulsar
un link y utilizar el navegador web para realizar la acción. Mediante esta técnica se
hace más difícil que el destinatario detecte el engaño.
No obstante, para evitar este último detalle que puede dar al traste con la estafa, los
delincuentes utilizan distintas técnicas para ocultar la dirección web en la que están
navegando atentos, en todo momento, a los objetivos del timo. Las técnicas
comprenden desde el uso de la dirección IP numérica en lugar del nombre de
35
dominio23, al uso de pequeñas rutinas realizadas mediante lenguaje de
programación (ej. en JavaScript) que esconden la barra de direcciones del navegador, pasando por el uso de lo que se denomina el “ataque de un dominio primo”, esto es, el registro de un nombre de dominio similar al de la organización a la
que se está suplantando para realizar la estafa (por ejemplo, “www.entidadfinanci.era.es” en lugar de “www.entidadfinanciera.es”.
Otra variante dentro del ataque a través de correo electrónico consiste en mensajes
tengan como finalidad la instalación de algún tipo de software malicioso. Este se
ejecutaría en el ordenador del destinatario cuando este ingresa en el sitio web falso y
confunda, de alguna forma, al usuario. No obstante, esta categoría entraría dentro
del siguiente tipo de phishing, que se analizará seguidamente.
Conviene realizar un análisis más pormenorizado de la naturaleza de estos
mensajes, con el objeto de identificar los rasgos que los caracterizan:
a) Suplantación de empresas con buena reputación para conseguir la necesaria
confianza de sus víctimas.
Utilizan la imagen de la compañía (logotipo, colores, tipos de letra…).
Introducen enlaces al sitio web legítimo de la compañía junto al enlace fraudulento para confundir a los potenciales estafados.
El correo electrónico parece proceder de la compañía suplantada.
b) La dirección de respuesta es diferente de la identidad que hace el envío.
36
c) Crean un motivo plausible: la imaginación de los delincuentes es prolija, pero,
básicamente, existen tres fuentes principales de estímulo:
el miedo (a ser objeto de un fraude)
la codicia (la posibilidad de aprovechar una buena oportunidad)
la curiosidad (acceder a algún contenido novedoso).
d) Requieren respuesta rápida: el fraude no puede prolongarse mucho tiempo.
e) Recolección de información vía correo electrónico (cada vez menos habitual).
f) Enlaces a dominios con nombres o grafías similares al del dominio legítimo.
g) El texto del enlace (link) en el correo electrónico difiere del enlace (link) de destino.
También es interesante analizar la segunda parte del engaño que, de forma más
habitual, utiliza un sitio web como cebo. Las principales argucias utilizadas por este
tipo de estafadores en los sitios web fraudulentos son:
En ocasiones los estafadores programan sus webs de tal forma que si el usuario
utiliza un navegador que no tiene la vulnerabilidad que se pretende explotar,
redireccionan al usuario a la web legítima, evitando ser descubiertos.
Camuflarse a la hora de suplantar la web legítima de la compañía. Incluso, muchos
sitios web fraudulentos simulan el proceso de envío de los datos, tal y como
sucedería en la versión legítima, y redireccionan al usuario a la página de la empresa
suplantada una vez que los datos han sido facilitados. De esta manera las víctimas
no saben que han sido objeto de un fraude.
37
Uso de certificados SSL falsos: una URL que comienza con el protocolo “https://”, en lugar de “http://”, indica que la información está siendo transmitida a través de una
conexión segura y que la compañía está provista de un certificado Secure Sockets
Layer (SSL). Algunos sitios web fraudulentos utilizan este protocolo y suele
combinarse con la utilización de direcciones IP en lugar de la URL habitual.
Curiosamente, los navegadores suelen desplegar mensajes en los que se avisa al
usuario de que el certificado es inválido o que no coincide con el nombre del sitio. Sin
embargo, la mayoría de usuarios suelen ignorar estos mensajes, pensando que es
un error de su navegador y caen en la trampa.
Uso de una barra de dirección falsa, que puede contener la dirección legítima del
sitio, pero sin ningún efecto sobre la web que se está visitando.
Uso de ventanas emergentes: el sitio fraudulento redirecciona al usuario a la web
real de la institución suplantada y, simultáneamente, despliega una ventana,
fraudulenta, que solicita y recoge los datos. Por ello, resulta de gran utilidad activar
los bloqueadores de pop-ups que incorporan la mayoría de los navegadores
actuales.
Deshabilita el botón derecho del ratón, el cual, despliega un menú que permite, entre
otras cuestiones, verificar las propiedades de las web visitada. Introducir mensajes
para evitar que el usuario entre en la web suplantada, obteniendo así el tiempo
suficiente para completar el fraude. Los delincuentes más avanzados
tecnológicamente utilizan aplicaciones software para bloquear el acceso del usuario
(al menos desde el ordenador infectado) al sistema.
Estos son algunos de los ardides más utilizados por estos estafadores. Sin embargo,
continuamente aparecen nuevas herramientas orientadas a mejorar las tácticas de la
estafa, así como nuevos y más imaginativos argumentos para confundir al usuario.
38
Como hemos podido comprobar este tipo de phishing basa su éxito
fundamentalmente en las técnicas de ingeniería social, es decir, el papel del destinatario del fraude es fundamental: sin su “cooperación” no hay posibilidad de
éxito.
Dentro de este primer tipo de phishing deben incluirse dos variantes que se
diferencian por el medio de comunicación que es utilizado para iniciar la estafa: el
Vishing y el Smishing.
El vishing utiliza el teléfono como herramienta. Se basa en el uso de un tipo de software denominado “war dialers” cuya función es realizar la marcación de teléfonos
desde un ordenador, utilizando la tecnología de telefonía sobre IP. Una vez que el
usuario atacado descuelga se activa una grabación que trata de convencerle o bien
de que visite un sitio web para dar sus datos personales o bien de que directamente “confirme” sus datos en la misma llamada. El verdadero problema de este tipo de
ataques es la confianza que la población tiene en el teléfono y en el uso que
tradicionalmente han hecho de él las empresas legítimas.
El smishing, del mismo modo, trata de embaucar a los usuarios, pero esta vez a través de mensajes de texto a móviles. El primer caso se dio en China: “un
ciudadano de Pekín, recibió un mensaje en su móvil informándole que el banco le
había cargado la compra de objetos valorados en más de 2.000 euros. El mensaje
adjuntaba un número de teléfono al que llamar. Una vez hecho, una voz grabada le pidió los datos de su cuenta. Horas después la habían vaciado”.
Este phishing telefónico ya ha evolucionado desde ese primer caso. En estos
momentos, el mensaje (SMS) que recibe la víctima le informa que alguien le ha dado
de alta en algún servicio de pago para recibir, por ejemplo, determinados contenidos.
Si la víctima desea darse de baja, deberá hacerlo a través de una web, en la cual
39
El problema de esta técnica es que el envío de SMS resulta relativamente caro, lo
que limita las posibilidades de actuación de los delincuentes, si bien es cierto que se
han anunciado ya formas de conseguir, a través de malware, que sean otros los que
corran con estos costes, lo que sin duda puede ser un indicio claro de su posible
propagación.
2.- Phishing basado en software malicioso – Malware-Based Phishing
Con este tipo de phishing nos referimos de forma general a cualquier variante de
este delito que implique la ejecución de un software malicioso en el ordenador de la
víctima.
La propagación de este tipo de phishing puede depender tanto de las técnicas de
ingeniería social como de la explotación de una vulnerabilidad del sistema. En el
primero de los casos, el ataque debe conseguir, como paso previo, que el usuario
realice alguna acción que permita la ejecución del malware en su máquina: abrir el
archivo adjunto de un correo electrónico, visitar una web y descargar el programa.
Las técnicas sociales para conseguir que el usuario actúe de este modo son, al igual
que en el caso anterior, muy diversas, si bien este método suele inclinarse más por la
promesa de algún contenido llamativo para el destinatario.
En lo que se refiere a la explotación de vulnerabilidades del sistema, la amenaza es
mucho más difícil de combatir, ya que existen variantes en las que la actuación del
usuario es mucho menor. Así, aunque muchas de las estafas se basan en que sea el
usuario el que, de una u otra manera, introduzca la aplicación en su máquina,
también es posible que los delincuentes aprovechen fallos en la seguridad del
sistema de un sitio web legítimo para introducir software malicioso que les permita
llevar a cabo su objetivo.
40
Con independencia de cuál sea la técnica empleada para conseguir la ejecución del
código malicioso en el ordenador personal del atacado, podemos distinguir distintos
tipos de programas diseñados para robar datos confidenciales:
Keyloggers y Screenloggers. Los keyloggers son programas cuya función es el registro de las pulsaciones que se realizan en el teclado. La aplicación en el ámbito
del phishing es evidente: estas aplicaciones suelen estar programadas para ponerse
en funcionamiento cuando la máquina en la que están instaladas accede a alguna
web registrada por el programa (entidad financiera, subasta online). En ese
momento, graba todo lo que se teclea en el ordenador y, posteriormente, lo envía al
delincuente que de esta forma consigue su propósito de robar información
confidencial.
Existen versiones más avanzadas que también capturan los movimientos de ratón.
Algunas entidades, conscientes de la existencia de este tipo de programas y de su
posible aplicación delictiva han introducido contramedidas como la disposición de
teclados en pantalla para evitar las pulsaciones de teclado en la introducción de
contraseñas.
Los screenloggers realizan la misma función pero, en lugar de capturar pulsaciones
de teclado, capturan imágenes de la pantalla que son remitidos al atacante.
Secuestradores de sesión (Session Hijackers). Este tipo de aplicaciones operan una
vez que el usuario ha accedido a alguna web registrada por el software, esto es, no
roba datos, sino que directamente actúa cuando la victima ya ha accedido a su cuenta corriente su sesión en una subasta. Estos programas suelen ir “disfrazados”
como un componente del propio navegador. Esta forma de phishing puede realizarse
41
tanto mediante la instalación del malware en el ordenador del destinatario de la estafa, como mediante la técnica del “man in the middle” o intermediario.
Troyanos web (web Trojans). Son programas maliciosos que aparecen
inesperadamente, en forma de ventanas emergentes, sobre las pantallas de
validación de páginas web legítimas, con el objetivo de conseguir datos
confidenciales. En este caso, la finalidad que persiguen es hacer creer al usuario que
está introduciendo la información en el sitio web real, cuando en realidad lo que está
haciendo es introducirlo en este software que, posteriormente, remite los datos al
delincuente, con las consabidas consecuencias. El phishing parece la aplicación “natural” de este tipo de programas fraudulentos.
Ataques de reconfiguración de sistema (System Reconfiguration Attacks). Este tipo de ataques se efectúan a través de la modificación de los parámetros de
configuración del ordenador del usuario. Existen diversas formas de realizar estas
acciones. Una de ellas consiste en modificar el sistema de nombres de dominio, tal
como se explicaba en el caso anterior. Otra posibilidad al alcance de los delincuentes es la instalación de lo que se denomina un “proxy”, a través del cuál se canalice toda
la información que sale y entra de la máquina del usuario. Esta forma de ataque se corresponde también con la técnica del “man in the middle” (MitM).
Robo de datos (Data Theft). También existen códigos maliciosos cuya finalidad consiste en recabar información confidencial almacenada dentro de la máquina en la
que se instalan y remitirla al delincuente (direcciones, números de identidad, claves).
3.- Phishing basado en el DNS o “Pharming” (DNS-Based Phishing)
Dentro de esta rúbrica se incluyen todas aquellas formas de phishing que se basan
42
en la interferencia del proceso de búsqueda del nombre de dominio (la traducción de
la dirección introducida en el navegador a la dirección IP). Sin duda, el pharming,
denominación habitual de esta forma de llevar a cabo este tipo de delito, supone un
peligro aún mayor que algunas de las otras variantes que se han analizado, ya que la
colaboración de la víctima es menor y, además, el disfraz empleado por los
delincuentes parece más real.
Como se señalaba al hablar de ciertos tipos de código malicioso, cuando un usuario
navega por la Red recurre a la utilización de direcciones URL, relativamente fáciles
de recordar (por ejemplo, www.inteco.es). Sin embargo, estas direcciones tienen que
ser traducidas a lo que se denominan direcciones IP. Esa traducción se realiza, en
los sistemas operativos de diversas formas. Por un lado, existen los denominados
Servidores de Nombres de Dominio (Domain Name Server o DNS) que cumplen
explícitamente esta función. Cuando un usuario desea acceder a un sitio web envía
una petición a uno de estos servidores que transforman la URL introducida en la
barra de direcciones del navegador en la dirección IP. El proceso es transparente
para el usuario.
Otra forma de llevar a cabo esa transformación es mediante el fichero hosts. Este
fichero -incluido en el sistema operativo, almacena la información de las páginas que
el usuario ya ha visitado- con el fin de evitar la consulta al servidor DNS y acelerar el
proceso. Además, en esta misma línea, la memoria caché del navegador también
conserva información de las webs visitadas, siempre con el fin de reducir el tiempo
de respuesta para la navegación.
4.- Phishing mediante introducción de contenidos (Content-Injection Phishing). Esta modalidad consiste en introducir contenido malicioso dentro de un sitio web
legítimo. Dicho contenido puede tener diversas modalidades: redirigir a los visitantes
a otra página, instalar algún tipo de malware en el ordenador de los usuarios, etc.
43
Básicamente, existen tres categorías principales de phishing mediante introducción
de contenidos, a partir de las cuales surgen un número indefinido de variantes:
Asalto al servidor legítimo por parte de hackers que se aprovechen de una
vulnerabilidad para modificar o introducir contenido malicioso en el sitio web.
Introducción de contenido malicioso en el sitio a través de lo que se denomina una vulnerabilidad de “cross-site scripting”, también conocido como XSS. El cross-site
scripting es una vulnerabilidad que aprovecha la falta de mecanismos de filtrado en
los campos de entrada y permiten el ingreso y envío de datos sin validación alguna,
aceptando el envió de scripts completos, pudiendo generar secuencias de comandos
maliciosas que impacten directamente en el sitio o en el equipo de un usuario.
Este tipo de vulnerabilidad puede afectar tanto a la aplicación web como a los
usuarios que activen esa secuencia de comandos de forma involuntaria.
• Acciones maliciosas que pueden ser llevadas a cabo en un sitio a través de una
vulnerabilidad de introducción de SQL (SQL injection vulnerability). Esta es una
forma de provocar que sean ejecutados comandos de bases de datos en un servidor
remoto que conlleven la filtración de datos confidenciales. Al igual que en el caso
anterior, esta vulnerabilidad se debe a la ausencia de filtros adecuados en el servidor
que impiden dicha ejecución.
5.- Phishing mediante la técnica del intermediario (Man-in-the-middle Phishing o MitM)
Aunque en muchas de las clasificaciones consultadas se considera ésta como una
categoría dentro de los tipos de phishing, en realidad se trata de una técnica para
efectuar el ataque. Como su propia denominación indica, implica el posicionamiento
del phisher entre el ordenador del usuario y el servidor web legítimo. De este modo el
44
información que se transfiere desde el puesto del atacado al servidor y viceversa, sin
que las partes sean conscientes de la violación de su seguridad.
Las consecuencias de esta actuación pueden ser tanto el robo de información
confidencial, para su uso o venta posterior, o, directamente, el secuestro de la sesión
(session hijacking), en cuyo caso podrá o no robar esa información. Nuevamente, el
problema de esta variante es que el usuario no puede detectar que está siendo
víctima de un delito ya que, aparentemente, todo funciona de forma correcta.
La utilización de esta técnica para desarrollar distintos tipos de phishing admite
diferentes modalidades. Ya se comentaron los ataques tipo proxy, que son los que
más habitualmente se realizan a través de este procedimiento. Sin embargo otras
variedades pueden llevarse a cabo utilizando tipos como el ataque basado en DNS y
basado en el engaño, categorías también analizadas con anterioridad.
6.- Phishing de motor de búsqueda (Search Engine Phishing)
Nuevamente más que un tipo de phishing es, en sí mismo, uno de los ardides
empleados por los delincuentes para hacer que el usuario caiga en su trampa.
Losdelincuentes crean páginas web para productos o servicios falsos, las introducen
en los índices de los motores de búsqueda y esperan a que los usuarios visiten las
páginas para realizar compras y, por tanto, proporcionen información confidencial o
directamente realicen transferencias bancarias.
Normalmente las falsas ofertas tienen condiciones sensiblemente mejores a las
ofrecidas por empresas legítimas, con el objetivo de atraer al máximo número de
víctimas posible.
En este ámbito han tenido mucho éxito los fraudes en los que los phishers se han
hecho pasar por bancos que ofrecen tipos de interés muy superiores a los ofrecidos
por las entidades financieras reales. Las víctimas encuentran estos falsos bancos
45
online a través de buscadores y, ante tal oferta, no dudan en abrir una nueva cuenta
e introducir sus datos bancarios para realizar una transferencia.
La clasificación presentada (como se reconoce en su introducción y como se ha ido
mostrando en su descripción), adolece de algunos defectos, entre los que destaca la
falta de criterio de distinción entre unos tipos de delito y otros, y la existencia de
zonas comunes entre las categorías consideradas. Sin embargo, también se ha de
reconocer una virtud importante: la descripción prácticamente exhaustiva de
variantes de phishing.
2.2.2.3. Clasificación del Phishing según la participación de la víctima y la complejidad de la Tecnología de la Estafa
La clasificación del Phishing, según la participación de la víctima y la complejidad de
la Tecnología de la Esafa, es una visión del tipo de problemas al que los usuarios se
enfrentan y, por lo que se propone los criterios útiles en el ámbito de la propuesta de
medidas para atajar estas actividades, en donde se distinguen tres niveles de
colaboración por parte del usuario:
Alto, Medio, Bajo.
En lo que se refiere a la complejidad tecnológica, lógicamente, cuanto mayor es ésta
menos necesaria es la participación de la víctima para llevar a cabo la estafa. Así,
encontramos una relación directa entre ambos criterios, reflejado en el Anexo 9.
Se observa cómo la mayor parte de los casos se encuentran en los cuadrantes que
formarían la diagonal secundaria del esquema, esto es, las combinaciones inversas
entre los dos factores considerados y el punto intermedio tanto de complejidad tecnológica como de “colaboración” del estafado. Sólo hay un caso que se considera
que se aleja de esta pauta: el phishing de motor de búsqueda. En este caso, la
