Estafa Informática, Costa Rica , Abogado, Derecho Informático , Adalid Medrano .

Cómo se lucha contra el fraude por mensaje de texto con la legislación costarricense.

Hoy vamos a hablar sobre los fraudes por mensaje de texto y cómo se pueden perseguir penalmente.

¿Qué es el ‘Smishing’? (SMS+Phishing)

Es una acción de ingeniería social que se da por medio de mensaje de texto y busca, a través del engaño, obtener información confidencial que le permita al delincuente atacar un sistema informático.

Es muy utilizado por los delincuentes para engañar a clientes del Sistema Financiero Nacional para obtener datos confidenciales aptos para realizar transferencias bancarias ilegales.

¿Es delito en nuestro país?

En nuestro país la ingeniería social no es un delito por sí mismo, pero sí puede encuadrar en diferentes conductas. Veámoslo con un ejemplo.

Ayer la Fiscalía de la República envió una alerta sobre un ataque de «Smishing» con el siguiente texto:

«SISTEMA BANCARIO NACIONAL: informa de bloqueo de cuentas bancarias, en las próximas horas, URGE se comunique al…»

Como puede verse, es el típico mensaje de fraude, donde a través de un exagerado llamado de urgencia, se busca convencer al usuario que si no toma una acción en concreto algo terrible pasará. En este caso, la consecuencia terrible es el cierre de sus cuentas bancarias.

Los delincuentes utilizaron la red de telecomunicaciones para enviar el mensaje de texto de forma masiva y alguna operadora debe tener información relevante para el caso. Nos podríamos preguntar si es posible, en una etapa tan temprana, donde todavía no hay estafas informáticas denunciadas, investigar a las personas que enviaron el mensaje.

Tenemos que tomar en cuenta que las reformas al Código Penal № 9048 y №9135 dejaron al país con suficientes herramientas para perseguir los distintos tipos de delitos informáticos.

En este caso, podríamos analizar dos caminos:

1. Envío masivo de comunicaciones (SPAM): en nuestro país es delito ofrecer, contratar o brindar servicios de envío masivo de comunicaciones no solicitadas (artículo 232 del Código Penal). Lo que quiere decir que en un caso como este, alguien debe haber brindado el servicio a través de una plataforma de mensajería de texto y como puede esperarse no cuenta con el consentimiento de los receptores de estas comunicaciones.

2. Violación de datos personales: Si los delincuentes han comprado una base de datos para enviar posteriormente mensajes de texto, nos encontraríamos ante un delito de violación de datos personales (Artículo 196 bis del Código Penal). Lo anterior, porque la venta de datos personales, sin el consentimiento de los titulares es delito.

Es importante destacar que no nos encontramos ante un caso de suplantación de identidad, ya que simplemente se identifican como «Sistema Bancario Nacional», que como tal no es una persona jurídica, ni marca comercial. Sin embargo, al cliente llamar al número de teléfono sí podrían estarse haciendo pasar por una entidad bancaria en específica.

Proyecto de ley de Lucha contra la Ciberdelincuencia

En casos como este, la empresa de telecomunicaciones tiene mucha información que es de utilidad para la investigación, sin embargo, los tiempos de respuesta en nuestro país son largos y para combatir a la ciberdelincuencia se requiere una respuesta más expedita.

En el proyecto de ley 21187, se propone, entre otras cosas, reducir el tiempo de respuesta de las operadoras, para entregar información en su poder en una investigación penal, de meses como se está dando en algunos casos a 24/48 horas.

También se busca incorporar la ingeniería social como delito, con el fin de darle más herramientas a las autoridades para poder luchar contra este flagelo, a pesar de que no exista un servicio de envío de comunicaciones masivas de por medio, suplantación de identidad o violación de datos personales.

De momento, solo queda esperar que nuestros legisladores le den la importancia que tiene la lucha contra la ciberdelincuencia y el proyecto de ley vea la luz.

Artículo recomendado.

¿Cómo evitar ser víctima de una Estafa Informática?

Sobre el autor

Abogado especialista en delitos informáticos y ciberseguridad, con más de una década de estudio del fenómeno de la ciberdelincuencia, co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Asesoría legal

Si requiere asesoría sobre derecho informático puede contactarse a través de los siguientes medios:

(Tel): +506 88130930

Toda consulta tiene un costo.

Enviar correo electrónico

Enviar mensaje de Whatsapp

Cómo ejecutan uno de los timos del «falso funcionario de Hacienda» para estafar a clientes del Banco Popular.

Los ciberdelincuentes llevan años de estar explotando la inocencia de los usuarios del sistema financiero nacional para lograr obtener datos que les permitan cometer una estafa informática burlando los sistemas de autenticación de usuarios implementadas por el banco donde ejecutarán los abusos informáticos necesarios para cometer estafas informáticas.

El engaño como método para cometer estafas informáticas.

En el caso que voy a explicar en el presente artículo, los delincuentes buscan obtener el control de la cuenta de correo electrónico, con lo que les basta para cometer estafas informáticas de varios millones de colones.

Los timos va mutando conforme las circunstancias varían para los delincuentes, pero el engaño es el actor principal en cada uno de ellos, con el fin de vulnerar el proceso de autenticación bancario.

En el 2008, se anunció con bombos y platillos que los bancos estatales implementaron sistemas de protección contra la estafa informática:

“Durante este mes y el próximo, los cuatro bancos públicos empezarán a ofrecer a sus clientes nuevas “armas” contra el fraude electrónico. En el caso del Banco de Costa Rica (BCR) y Bancrédito, el uso de estos dispositivos será obligatorio a la hora de hacer transacciones por Internet y no tienen ningún costo. En tanto, el Banco Popular y el Nacional ofrecerán mecanismos de seguridad optativos, es decir, el usuario decide si los adquiere o no.” (La Nación, 2008)

Es bien conocido que un sistema de autenticación basado únicamente en usuario y contraseña es absolutamente obsoleto, porque se pueden obtener los datos de autenticación por diferentes medios y así extraer así los fondos de la víctima. Los principales métodos de la ingeniería social que conozco han sido utilizados por los delincuentes en territorio nacional son los siguientes:

Suplantación de página web bancaria: Invitan a las personas al sitio web creado por ellos, con un falso mensaje de urgencia, para que el cliente ingrese los datos necesarios como si estuviera en el sitio oficial. La invitación puede darse por correo electrónico, mensaje de texto o llamada telefónica.

Falso funcionario bancario: Llaman a la persona haciéndose pasar por funcionarios del banco donde el cliente tiene una cuenta bancaria, para alertarle de un trámite de urgencia, para que la persona de este modo colabore dando los datos.

Programa informático malicioso: A través de una llamada telefónica, haciéndose pasar por un funcionario de una institución gubernamental o bancaria, engañan a la persona para instalar un programa informático que les da acceso al ordenador de la víctima, por lo que podrán capturar cualquier dato que estos ingresen. A partir de ahí, la persona puede visitar sitios oficiales y el delincuente puede capturar todos los datos necesarios.

En este ataque, la persona tiene la falsa impresión de que no le está dando datos informáticos a terceros, por lo que se encuentra seguro.

De momento no se están dando en el país el ataque de propagación de malware en tiendas oficiales de teléfonos móviles, con el fin de capturar datos bancarios, con aplicaciones que ofrecen funciones que pueden ser de interés para el usuario. Este ataque es más peligroso porque la seguridad informática del móvil es vulnerada y se podría hasta sustituir la aplicación oficial bancaria en el móvil de la persona.

El timo del falso funcionario bancario contra clientes del Banco Popular.

Al cliente bancario lo llaman para indicarle que se le va a dar una exoneración del IVA por ser adulto mayor, ayudarle con el trámite del registro de accionistas, u otro trámite que pueda ser de interés para la víctima, relacionado con Hacienda.

Se invita al usuario a ingresar un sitio que suplanta la identidad de Hacienda, donde hay un formulario donde se deben ingresar distintos datos. A la persona se le indica que para obtener el beneficio se debe vincular la cuenta de correo electrónico con Hacienda, por lo que la persona es invitada a ingresar su usuario y contraseña de su correo electrónico.

Finalmente, también deben ingresar el usuario del Banco Popular, pero el delincuente le hace énfasis en que no le van a pedir ningún token, ni contraseña de la entidad bancaria.

Explotación del sistema de recuperación de contraseña.

Captura realizada el 17/10/2019 donde se puede ver el proceso para recuperar la contraseña por correo.

El Banco Popular decidió que sus usuarios puedan recuperar la contraseña de su cuenta bancaria, únicamente ingresando su usuario y con esto se le envía al correo las instrucciones para realizar el trámite.

Al mismo tiempo, el banco también decidió que el segundo factor de autenticación fuese a través del correo electrónico, por lo que una vez el delincuente obtiene el acceso al correo electrónico, se garantiza que puede solicitar una nueva contraseña y los OTP (One Time Password ) como segundo factor de autenticación para las transacciones bancarias.

Debido a esta terrible decisión de seguridad bancaria, los delincuentes fabrican engaños que les permitan poder cometer estafas informáticas, en el caso de este timo, solo requieren la contraseña del correo electrónico.

Como los delincuentes controlan el correo electrónico de la víctima, las advertencias de las transacciones podrían ni siquiera llegar a conocimiento de la víctima y cualquier código para «garantizar» que el titular es quien realiza la transacción estará también en control del delincuente.

Debería bastar un solo caso de explotación de una vulnerabilidad como la relatada en este artículo para que el Banco migre a un sistema más seguro, pero al momento de escribir este artículo el sistema de recuperación de contraseña por correo electrónico sigue vigente. Es importante que todos los usuarios activen el segundo factor de autenticación en sus cuentas de correo, para evitar que el mismo caiga en manos de los delincuentes.

Como hemos explicado anteriormente, el sector bancario debe centrar su estrategia más en algoritmos inteligentes que detecten fraudes, usando tecnologías emergentes como el Big Data y Machine learning, para de esta forma proteger mejor a sus clientes y haciendo el sistema menos dependiente de un vulnerable sistema de autenticación bancaria, que depende de conocimientos básicos de seguridad bancaria de los que carece la mayoría de la población.

Mientras la seguridad de los fondos bancarios de los usuarios del sistema financiero nacional dependa de la pericia de los usuarios para combatir los ataques de ingeniería social, las estafas informáticas no se van a detener.

El banco debe proteger al usuario de sí mismo, porque desde que decidió brindar este servicio tecnológico es bien conocido que sus usuarios, en su enorme mayoría, no reciben educación de seguridad informática en ningún momento de su vida y que las campañas de concientización han demostrado ser insuficientes.

Artículo recomendado:

Cómo evitar ser víctima de una estafa informática.

Asesoría Legal

Si es víctima de un delito informático, puede solicitar una cita para ser asesorado sobre su caso:

Correo electrónico:
[email protected]

(Whatsapp):
+506 88130930

Toda consulta tiene un costo.

Quién soy

Leer biografía completa.

Estafa Informática

III Simposio sobre Ciberseguridad y Ciberdelincuencia

Cómo evitar ser víctima de una estafa informática bancaria.

La estafa informática bancaria es uno de los delitos informáticos más denunciados en Costa Rica y esto a pesar de que rara vez los delincuentes vulneran la seguridad lógica de los sistemas informáticos bancarios, ya que estos suelen ser muy seguros debido a la alta inversión en seguridad informática, por lo que es más fácil explotar la vulnerabilidad que representa el ser humano con acceso al sistema, tanto a nivel de clientes como de empleado con acceso privilegiado.

Lo que quiere decir que las entidades bancarias deben invertir más en capacitar a sus clientes y a sus empleados, como herramienta de lucha contra la estafa informática y otros delitos informáticos en contra de entidades financieras y sus clientes.

Un reciente estudio concluyó que un 43% de los profesionales de tecnologías de la información sabrían cómo atacar a la empresa en la que trabajan. Por esto, es importante que las entidades bancarias hagan conciencia en sus empleados, como mecanismo de disuasión, sobre las responsabilidades penales de las acciones que pueden ejercer sobre un sistema o su información, como lo puede ser la venta de datos personales, de acceso restringido, de los clientes bancarios (Delito de violación de datos personales 196 bis, Código Penal).

Ningún sistema informático es 100% seguro.

Parece claro que ningún sistema informático puede ser 100% seguro mientras un ser humano con acceso al mismo lo exponga, por lo que todo sistema informático bancario debe estar preparado para el error humano.

Por lo anterior, toda estrategia de seguridad informática bancaria que se centre en el mero aseguramiento del proceso de autenticación, de uno o varios factores, es obsoleto, ya que este nunca podrá ser 100% seguro siempre que existan seres humanos ingenuos que revelen o expongan información confidencial apta para que su identidad sea suplantada en una entidad bancaria.

De acuerdo al Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe

«el 49% de las entidades bancarias aún no están implementando herramientas, controles o procesos usando Tecnologías Digitales Emergentes, tales como Big Data, Machine Learning o Inteligencia Artificial, las cuales resultan muy importantes a la hora de prevenir ciberataques o determinar patrones sospechosos asociados a fraude, entre otras capacidades de detección».

¿Y por qué esto es preocupante?

Porque si un atacante logra obtener por parte de un empleado bancario su contraseña y la víctima es engañada para brindar el segundo factor de autenticación (Clave dinámica o token), los delincuentes tendrían la vía libre para disponer de los fondos bancarios.

En cambio, si el banco hace uso del Big Data y el Machine learning con el fin de aprender del comportamiento de los usuarios en la plataforma bancaria, podría detectar de forma más eficiente comportamientos anómalos o fraudulentos y así protegerles de estafas informáticas en sesiones de usuarios debidamente autenticados, pero con características como las siguientes:

Transferencias a cuentas bancarias nuevas, por montos muy superiores a lo normal.
Transferencias bancarias por montos elevados desde dispositivos o ubicaciones nuevas.
Múltiples transferencias bancarias a cuentas bancarias no favoritas o frecuentes, en intervalos de tiempo muy reducidos.
Transferencias bancarias con montos importantes hacia cuentas bancarias con poca reputación o reciente creación. Si el banco aprende del comportamiento de sus clientes, sabe cuándo una transferencia que ingresa es anómala, tanto por el comportamiento del que emite la transferencia como de quien la recibe.

¿Cómo protegerse?

Los clientes deben aprender a escoger su banco con base a distintos criterios de seguridad, como pueden ser los siguientes:

Le permita autenticarse con un segundo factor de autenticación distinto a una clave impresa «dinámica».
Le brinden la posibilidad de asegurarse ante fraudes informáticos por tarjetas bancarias.
Le notifiquen por correo o mensaje electrónico, en tiempo real, de transferencias o compras a sus dispositivos móviles.
Cuenten con un sistema de recepción de denuncias de estafas informáticas eficiente.
Cuenten con protocolos de actuación ante estafas informáticas, como lo es el congelamiento de fondos de cuentas bancarias receptoras, que sean sospechosas de facilitación del delito informático. En combinación con el punto 4, puede ser muy eficiente.

El cliente por su parte debe seguir los siguientes mandamientos

No brindar datos personales por medios no presenciales, como lo son el correo electrónico, mensaje de texto o sitios webs no oficiales: desconfíe de cualquier instrucción que le pida instalar un programa o le pida un dato personal, aunque no le pidan la contraseña.
No ingresar a sitios web bancarios, a través de enlaces provenientes de mensajes, correos electrónicos, sitios web de terceros o redes sociales.
No instalar aplicaciones de dudosa reputación en su dispositivo móvil u ordenador, aunque se lo recomiende alguien «con autoridad» por vías electrónicas. Desconfíe siempre.
Cambiar la contraseña de forma frecuente y nunca utilizar la misma que usa ya en otro sitio web o aplicación.
No comparta la contraseña bancaria con nadie, ni con sus familiares.
No ingrese a su entidad financiera desde redes de wifi inalámbricas públicas.
Verifique de forma frecuente su estado de cuenta y últimas transacciones en búsqueda de transacciones anómalas.
No preste su cuenta bancaria para recibir transferencias de terceros, porque podría estar
ayudando a delincuentes a movilizar fondos obtenidos de estafas informáticas (Ver delito 234 CP, Facilitación del delito informático )