El phishing es un fenómeno que en los últimos años está causando verdaderos estragos en empresas y particulares, ya que las redes de cibercriminales cada vez perfeccionan más sus técnicas y consiguen llegar a más lugares. Consiste básicamente en una suplantación de identidad para adquirir información confidencial de forma fraudulenta, como por ejemplo las claves de las tarjetas de crédito, contraseñas de los sistemas informáticos, correos electrónicos o cualquier otro dato que pueda ser sustraído para cometer un delito.

Estos nuevos modelos de fraude se basan en el desconocimiento de los usuarios y en el perfeccionamiento de las técnicas utilizadas, como son páginas webs falsas, correos electrónicos engañosos, SMS o llamadas telefónicas. Entre un 1 y un 10% de los cibernautas todavía confían sus datos a terceros sin saber realmente cuál es la finalidad ni el uso que les van a dar. Y un 63% no sabría identificar un correo phishing.

Los phishers envían millones de correos electrónicos simulando una empresa legal y de total confianza y exigen responder con urgencia pidiendo datos personales del usuario. Normalmente el logotipo o identificación de la empresa suplantada es de una gran calidad y existen serias dificultades para determinar que es falso.

En el caso de los SMS falsos, simplemente se solicitan datos del receptor sin detallar para qué son y en las llamadas telefónicas, se pide información confidencial suplantando a una empresa o institución de prestigio o fácilmente reconocible por el usuario.

Hace unos años se produjo un importante caso de phishing consistente en el envío de un email donde aparecía un telegrama de Correos y para acceder a él había que pinchar en un enlace. Evidentemente el telegrama era falso y el enlace activaba un poderoso virus troyano que copiaba todos los datos personales del ordenador de la víctima y las claves para acceder a sus cuentas bancarias online.

Por tanto, a nivel legal, podemos decir que los phishers, o suplantadores de identidad, incurren claramente en un delito penal. Hay que decir que en nuestro Código Penal no están reguladas este tipo de prácticas delictivas, pero la jurisprudencia de todos los casos resueltos hasta ahora y los penalistas expertos en estos temas, lo enmarcan dentro del artículo 248 como una clase de estafa, ya que las personas que se encargan de ejecutar este tipo de delitos actúan con ánimo de lucro utilizando el engaño para producir un daño a la víctima y le inducen a llevar a cabo un acto que le perjudica claramente.

En una Sentencia del Tribunal Supremo del 25-10-2012 relativa a los robos de identidad, el intermediario responderá del importe total de la cantidad que le ha sido transferida sin consentimiento, no sólo de la comisión percibida.

Secure&IT, y sus especialistas en Derecho de las TICs, tratan de orientar y aconsejar a las empresas sobre la mejor manera de enfocar cualquier delito que pudiera cometerse en sus sistemas de información. La actuación del profesional es esencial en estos casos para evitar cualquier daño y nuestra entidad es experta en la prevención de riesgos de phishing y otros tipos de ciberdelitos.

by