Hoy vamos a hablar sobre los fraudes por mensaje de texto y cómo se pueden perseguir penalmente.
¿Qué es el ‘Smishing’? (SMS+Phishing)
Es una acción de ingeniería social que se da por medio de mensaje de texto y busca, a través del engaño, obtener información confidencial que le permita al delincuente atacar un sistema informático.
Es muy utilizado por los delincuentes para engañar a clientes del Sistema Financiero Nacional para obtener datos confidenciales aptos para realizar transferencias bancarias ilegales.
¿Es delito en nuestro país?
En nuestro país la ingeniería social no es un delito por sí mismo, pero sí puede encuadrar en diferentes conductas. Veámoslo con un ejemplo.
Ayer la Fiscalía de la República envió una alerta sobre un ataque de «Smishing» con el siguiente texto:
«SISTEMA BANCARIO NACIONAL: informa de bloqueo de cuentas bancarias, en las próximas horas, URGE se comunique al…»
Como puede verse, es el típico mensaje de fraude, donde a través de un exagerado llamado de urgencia, se busca convencer al usuario que si no toma una acción en concreto algo terrible pasará. En este caso, la consecuencia terrible es el cierre de sus cuentas bancarias.
Los delincuentes utilizaron la red de telecomunicaciones para enviar el mensaje de texto de forma masiva y alguna operadora debe tener información relevante para el caso. Nos podríamos preguntar si es posible, en una etapa tan temprana, donde todavía no hay estafas informáticas denunciadas, investigar a las personas que enviaron el mensaje.
Tenemos que tomar en cuenta que las reformas al Código Penal № 9048 y №9135 dejaron al país con suficientes herramientas para perseguir los distintos tipos de delitos informáticos.
En este caso, podríamos analizar dos caminos:
1. Envío masivo de comunicaciones (SPAM): en nuestro país es delito ofrecer, contratar o brindar servicios de envío masivo de comunicaciones no solicitadas (artículo 232 del Código Penal). Lo que quiere decir que en un caso como este, alguien debe haber brindado el servicio a través de una plataforma de mensajería de texto y como puede esperarse no cuenta con el consentimiento de los receptores de estas comunicaciones.
2. Violación de datos personales: Si los delincuentes han comprado una base de datos para enviar posteriormente mensajes de texto, nos encontraríamos ante un delito de violación de datos personales (Artículo 196 bis del Código Penal). Lo anterior, porque la venta de datos personales, sin el consentimiento de los titulares es delito.
Es importante destacar que no nos encontramos ante un caso de suplantación de identidad, ya que simplemente se identifican como «Sistema Bancario Nacional», que como tal no es una persona jurídica, ni marca comercial. Sin embargo, al cliente llamar al número de teléfono sí podrían estarse haciendo pasar por una entidad bancaria en específica.
Proyecto de ley de Lucha contra la Ciberdelincuencia
En casos como este, la empresa de telecomunicaciones tiene mucha información que es de utilidad para la investigación, sin embargo, los tiempos de respuesta en nuestro país son largos y para combatir a la ciberdelincuencia se requiere una respuesta más expedita.
En el proyecto de ley 21187, se propone, entre otras cosas, reducir el tiempo de respuesta de las operadoras, para entregar información en su poder en una investigación penal, de meses como se está dando en algunos casos a 24/48 horas.
También se busca incorporar la ingeniería social como delito, con el fin de darle más herramientas a las autoridades para poder luchar contra este flagelo, a pesar de que no exista un servicio de envío de comunicaciones masivas de por medio, suplantación de identidad o violación de datos personales.
De momento, solo queda esperar que nuestros legisladores le den la importancia que tiene la lucha contra la ciberdelincuencia y el proyecto de ley vea la luz.