Analizamos qué es el phishing, cómo se posibilita y las consecuencias penales para los ciberdelincuentes.

El phishing es un tipo de fraude, que consiste en el envío de un correo electrónico por parte de un ciberdelincuente simulando ser una entidad o persona de confianza para la persona que lo recibe.

Esta conducta criminal ha existido desde los años 90. El primer caso de phishing reportado fue el de un grupo de jóvenes que lograron hacerse pasar por administradores de AOL en una sala de chat. Robaron números de tarjetas de crédito de otros usuarios para asegurarse de siempre tener acceso gratuito a AOL.

La mayoría de los ataques de phishing comienzan con la recepción de un correo electrónico o un mensaje directo en el que el remitente se hace pasar por un banco, una empresa u otra organización real con el fin de engañar al destinatario. Este correo electrónico incluye enlaces a un sitio web preparado por los criminales que imita al de la empresa legítima y en el que se invita a la víctima a introducir sus datos personales.

Clasificación y nomenclaturas específicas según el tipo de phishing

Existen muchos tipos de ataques de phishing. Estos incluyen el ataque clásico por correo, ataques por redes sociales y nuevas variantes como el Smishing y el Vishing.

  • Phishing: usualmente ocurre por email.
  • Spear phishing: emails dirigidos a personas específicas tras un estudio del objetivo.
  • Whaling: ataque de phishing dirigido usualmente a altos ejecutivos.
  • Phishing interno: ataques de phishing que se originan dentro de una organización.
  • Vishing: se realiza mediante llamadas telefónicas.
  • Smishing: realizado por SMS o mensajes de texto.
  • Phishing por redes sociales: mediante publicaciones o mensajes en Facebook u otras redes sociales.
  • Pharming: se redirigen a los usuarios a un sitio web fraudulento mediante un código malicioso que puede hackear un solo ordenador o envenenar un servidor DNS que redirige las visitas a una web de terceros sin que estos lo sepan .

Consejos para no ser víctima del phishing

La exposición voluntaria en redes sociales y en la web en general de algunas facetas de nuestras vidas, usos y costumbres pueden parecer inofensivas, pueden revelar información a los ciberdelincuentes para afinar la puntería. No obstante, aparte de moderar la información que publicamos en Internet, he aquí algunas medidas para tomar cuando recibimos una comunicación sospechosa:

  1. Desconfía de los correos inesperados, alarmistas y raros que recibas que normalmente soliciten datos y procedan de supuestas entidades bancarias o servicios de uso muy habitual y común como la Agencia Tributaria, Facebook, Instagram, Dropbox, Amazon, Google Drive, Apple ID, Correos, etc.).
  2. Si hay errores gramaticales en el texto o en su URL, alerta, es phishing con toda seguridad.
  3. Atención cuando recibas comunicaciones anónimas del tipo: “Estimado cliente”, “Notificación a usuario”, “Querido amigo”, “Has ganado un premio”…
  4. Si el mensaje te fuerza o inclina a que tomes una decisión de forma urgente o te anima a contactar inmediatamente. En ese caso, verifica la información contactando directamente por una vía de contacto oficial con el servicio remitente del email.
  5. Si el mensaje incluye enlaces, revisa que el link coincide con la dirección a la que remite poníendo el cursor sobre el enlace sin clicar.
  6. Una empresa u organismo oficial utilizará direcciones de correo corporativas. No te fíes de correos procedentes de servicios de correo externos tipo gmail, yahoo, etc…
  7. La relación perfecta es: solicitud de datos bancarios + datos personales = fraude. Ningún banco pide datos personales por e-mail sin una comunicación previa.

El delito de phishing

El phishing está castigado en nuestro Código Penal dentro del artículo 248, apartado 2 con la pena de prisión de seis meses a tres años. El artículo 249 establece:

“Para la fijación de la pena se tendrá en cuenta el importe de lo defraudado, el quebranto económico causado al perjudicado, las relaciones entre éste y el defraudador, los medios empleados por éste y cuantas otras circunstancias sirvan para valorar la gravedad de la infracción”.

Los requisitos básicos de este delito son: engaño bastante y error, causalidad entre el hecho ilícito y el daño producido y la concurrencia de dolo y ánimo de lucro. Engaño que induce a error en la víctima que, además, cae en las manos del criminal ante su incapacidad de apreciar la falsedad de la que ha sido protagonista y, en consecuencia, incapaz de evitar el daño por el que se ha visto afectado.

Desde Méndez Padilla Abogados & Asociados os recomendamos que tengáis cautela con las comunicaciones no solicitadas y si, a pesar de vuestras precauciones, en alguna ocasión sois phishing victims aquí estamos para ayudaros como abogados expertos en delitos económicos.

 

Antonio Lechado Padilla

Graduado en Derecho

close

Recibe nuestros posts en tu e-mail

Claúsula de Privacidad *