Phishing

Siempre que el ser humano llega a un nuevo lugar o crea un nuevo tipo de negocio, rápidamente aparecen personas que se quieren aprovechar de otros para obtener un beneficio fácil y rápido. Internet no es diferente, desde que la red salio del entorno universitario popularizándose al resto de la población,  aparecieron personas que buscaron lucrarse de los incautos, y para ello los criminales idearon multitud de métodos, pero hoy trataremos únicamente el phishing.

¿Que es el Phishing?

El phishing consiste en una técnica informática usada con el fin de obtener información confidencial de los usuarios (ya sea contraseñas, datos bancarios, etc.), suplantando mediante un correo electrónico o mensaje de mensajería instantánea (Whattsapp, Telegram, etc.) de una empresa con la cual opera la victima. En el correo le manifiestan que sus datos en el servicio del que supuestamente viene el mensaje, fueron comprometidos y se “facilita” un enlace con el fin de cambiar la contraseña o verificar los datos bancarios (según sea el objetivo del ataque).

Una vez el usuario haga clic en el enlace suministrado sera llevado a una pagina web con los logotipos y la imagen corporativa suplantada, haciéndole creer que está en la empresa real, donde le pedirán multitud de información personal, y una vez la victima suministre toda la información, será redirigido a la página real de la empresa suplantada, consiguiendo que la víctima no se percate de la maniobra hasta que no le lleguen los cargos en su cuenta bancaria o pierda el acceso a su cuenta de usuario.

La historia del Phishing

El origen de la palabra no esta claro, existiendo diversas teorías, siendo la que cuenta con más aceptación, la que opina que proviene de la palabra inglesa “fishing” (pescar), refiriéndose a la intención de que los usuarios piquen el anzuelo, por contra, otra teoría opina que el termino proviene de la contracción de “password harvesting fishing” (cuya traducción al español es “pesca y cosecha de contraseñas”).

La descripción de esta técnica fue descrita con detalle en el año 1987 en una presentación Grupo de Usuarios de HP (Interex), pero para encontrar la primera referencia a este término hay que retroceder hasta el año 1996 cuando dicho término fue usado en el mítico grupo de noticias para hackers alt.2600, para referirse a la técnica de ingeniería social que usaban para robar la información de las tarjetas de crédito de las cuentas de AOL, con el fin de crear nuevas cuentas o suplantar al legítimo propietario.

Esas cuentas posteriormente se utilizaban con fines criminales,  siendo los más comunes la distribución de warez (copias de programas informáticos con las medidas de seguridad vulneradas) o spam (correos masivos no solicitados de publicidad o nuevos ataques de phishing).

Progresivamente AOL fue tomando consciencia del gran volumen de ataques que se estaban realizando en su red, así como de la incomodidad creciente de sus usuarios, los cuales empezaban a considerar los servicios de AOL como no seguros. En 1997 ingresaron en su servicio de mensajería instantánea el mensaje automático “No one working al AOL will ask for your password or billing information” (que traducido seria: “Nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación”), creando también un sistema automático que bloqueaba cualquier cuenta sospechosa de envío de spam o albergar warez.

Tras estos cambios por parte de AOL, muchos phishers (personas que usan los ataques de phishing) abandonaron AOL desplazando los repositorios de warez a otras plataformas.

Email Ataque Phishing

El phishing en la actualidad

Actualmente los correos de phishing están muy extendidos, aunque la mayor parte de ellos suele ser bloqueado por el sistema antispam de los correos electrónicos, pero unos pocos de ellos consiguen llegar hasta la bandeja de entrada de las potenciales victimas, requiriendo por parte de los usuarios una discriminación de las potenciales amenazas.

La Universidad de Bloomington (Indiana) realizo un estudio en el cual se llegaba a la conclusión que los phishers podían determinar que bancos y servicios eran usados por los usuarios antes de lanzar el ataque, por lo que podían enviar un email o mensaje directo personalizado, el cual cuenta con muchas más posibilidades de recabar información, a esta técnica se la denominó “spear phishing” (pesca con arpón).

En el “paper” publicado en el año 2005 por la universidad anteriormente mencionada, llegó a estimar el 90% de éxito en los ataques realizados mediante la técnica del phishing, aunque es de suponer que en la actualidad la cifra de éxito sea muy inferior.

Es muy importante por parte del estado, educadores, policía, etc, realizar campañas de sensibilización sobre esta amenaza, concienciando a las nuevas personas que se acercan a Internet, de los peligros con los que se pueden encontrar y ante la duda sobre si un correo de nuestra entidad bancaria es cierto o falso, lo mejor es contactar con la entidad vía telefónica o acudiendo en persona a la sucursal cercana.

¿Está el phishing tipificado como delito?

Con la celebración en el año 2001 del Convenio sobre ciberdelincuencia (también conocido como Convenio de Budapest), diversos países acordaron endurecer la legislación de los países con el fin de combatir los delitos cometidos utilizando Internet, también acordaron colaborar activamente entre los países para perseguir a los criminales, ya que se observó que es un tipo de crimen transnacional.

En los Estados Unidos de América el 1 de Marzo de 2005 fue aprobada la “Ley Anti Phishing”, la cual castiga la creación de páginas web fraudulentas o el envío de spam, si son realizados con la intención de estafar a los usuarios, podrían acarrear penas de cárcel hasta de 5 años y multas de hasta 250000 dolares, existiendo asimismo diferentes regulaciones penales en cada uno de los estados de Estados Unidos.

El phishing en la legislación española se encuentra contemplado como “estafa informática”, en el Código Penal Español tras su ultima reforma con la Ley Orgánica 1/2015 de 30 de Marzo, continua estando contemplado en el articulo 248:

“Articulo 248:

1. Cometen estafa los que, con animo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.

a) Los que, con animo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados la comisión de las estafas previstas en este articulo.”

Tal como se puede observar, el tipo de aplicación es tan amplio que no solo queda contemplado el phishing sino que podrá englobarse en el mismo cualquier desplazamiento patrimonial no consentido que ocurra utilizando una técnica informática que pueda desarrollarse en el futuro.

Cabe observar que la pena que sufrirá el phisher que sea condenado, dependerá de diversos factores, como cantidad defraudada, numero de afectados, etc, tal como consta en los artículos 249 y 250, del Código Penal, pudiendo enfrentarse hasta a una pena de 6 años de privación de libertad.

Artículo 249.

Los reos de estafa serán castigados con la pena de prisión de seis meses a tres años. Para la fijación de la pena se tendrá en cuenta el importe de lo defraudado, el quebranto económico causado al perjudicado, las relaciones entre éste y el defraudador, los medios empleados por éste y cuantas otras circunstancias sirvan para valorar la gravedad de la infracción.

Si la cuantía de lo defraudado no excediere de 400 euros, se impondrá la pena de multa de uno a tres meses.

Artículo 250.

1. El delito de estafa será castigado con las penas de prisión de uno a seis años y multa de seis a doce meses, cuando:

4.º Revista especial gravedad, atendiendo a la entidad del perjuicio y a la situación económica en que deje a la víctima o a su familia.

5.º El valor de la defraudación supere los 50.000 euros, o afecte a un elevado número de personas.

Para la persecución de este delito es fundamental la colaboración entre países y agilizar las peticiones judiciales, dado que aunque la victima se encuentre en España, el phisher puede encontrarse en otro país y la persona que reciba el dinero obtenido podría encontrarse en un tercer país.

La manera que usan los phishers para transformar el dinero electrónico (fácilmente traceable) obtenido en sus correrías en dinero en efectivo, lo abordaremos en un próximo artículo, dados los diversos métodos que usan.

Referencias:

Imagen cabecera: elhombredenegro
Imagen 2: Itercriminis.com
FELIX, Jerry y HAUCK, Chris, "System Security: A Hacker's Perspective", Interex Conference, 1987.
JAGATIC, Tom; JOHNSON, Nathan; JAKOBSSON, Marcus; MENCZER, Filippo; Social Phishing, Indiana University Bloomington, Bloomington, 2005.
Varios Autores, Oxford English Dictionary, Oxford, 2015.
Varios Autores, Phishing for clues, Indiana University Bloomington, Bloomington, 2005.
JAMES, Lamce, Phishing Exposed, Syngress, New York, 1996.
Código Penal de España, Ley Orgánica 10/1995 de 23 denoviembre, siendo la ultima modificación la Ley Orgánica 1/2015 de 30 de Marzo.
Convenio sobre la ciberdelincuencia, Consejo de Europa, Budapest, 2001.
Anti-Phishing Act of 2005, Estados Unidos de América, 2005.