A todos nos envían diariamente correos “no deseados” (en su sentido más literal) en los que nos informan de que somos los únicos ganadores de un concurso en el que no hemos participado; o de que hay un niño en Uganda, cuya vida pende de un hilo, que necesita urgentemente el envío de 50 euros a un código postal (no de Uganda por cierto) que se adjunta; o para que compremos viagra en cantidades industriales; o para que juguemos (y perdamos irremisiblemente) dinero en el Casino. Además, con toda seguridad, a todos nosotros nos han intentado realizar la frecuente estafa denominada “phising” -la STS de 12 de Junio de 2007 configura definitivamente el “phising” como un delito de estafa, al amparo del art. 248.2 CP-. Los intentos (con y sin éxito) de phishing proliferan. Tengamos cuidado.
Según el artículo 248 del Código Penal: 1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. 2. También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.
El tema ya me preocupaba, pero para colmo esta mañana he leído en http://noticias.juridicas.com/ la noticia “Intento de phising en nombre del servicio de cita previa del DNI electrónico”, es decir, phishig en la Administración (su ámbito habitual es el de las entidades bancarias) que ha motivado el presente comentario.
La noticia no es muy extensa, y por ello y también por su gran interés la reproduzco:
Agentes de la Policía Nacional procedieron, el pasado día 30 de junio, a desconectar un servidor de Internet desde cuya IP se estaban remitiendo “correos trampa” en nombre del servicio de cita previa del DNI electrónico. Los responsables de esta nueva modalidad de “phising” habían suplantado la dirección de correo del mencionado servicio oficial para solicitar a sus destinatarios una copia de su Documento Nacional de Identidad, la dirección de su correo electrónico y el número de teléfono, al solicitar por primera vez cita previa para la renovación del documento. Los agentes de la Brigada de Investigación Tecnológica solicitaron al proveedor de Internet correspondiente la desconexión del mencionado servidor para evitar que el engaño siga difundiéndose.
Consejos de la Policía Nacional a los ciudadanos: La Policía Nacional quiere prevenir sobre esta modalidad de “phising” en la que los ciberdelincuentes envían “correos trampa” a sus víctimas. El servicio oficial de cita previa establecido para la obtención del DNI electrónico de la Policía, al igual que los bancos, no solicita a los ciudadanos que envíen sus datos personales por correo electrónico o fax. Son éstos quienes, cuando deseen renovar su documento, pueden solicitar cita previa llamando al número de teléfono 902.247.364 o bien a través de Internet en la página http://www.citapreviadnie.es. En este último caso se solicitan una serie de datos que viajan por la Red de forma segura. Para evitar ser víctima de fraudes cometidos mediante “phising” es importante teclear directamente la dirección en el navegador y no responder de forma automática ni utilizar los enlaces incorporados en correos electrónicos o páginas web de fuentes no fiables.
Añadiría que, como se deduce del texto, todos estos intentos de estafa los podemos denunciar ante la citada Brigada de Investigación Tecnológica – BIT – de la Policía (www.mir.es/policia/bit/index.htm).
Por otro lado España es, junto con Malta y Eslovaquia, uno de los pocos países de la UE que todavía no aplica las normas comunitarias contra los ataques a sistemas informáticos, según un informe preliminar dado a conocer por la Comisión Europea (CE).La normativa pretende mejorar la cooperación entre las autoridades judiciales y otros organismos competentes de los estados miembros, y armonizar las leyes criminales sobre acceso ilícito a sistemas de información y la intromisión en los datos.
Bruselas ha señalado que estos tres países aún "no han transmitido ninguna información" sobre la aplicación de las normas, a pesar de que el plazo para notificarla concluyó en marzo de 2007. Asimismo, tampoco han respondido a un recordatorio enviado por la Comisión el año pasado.
A excepción de estos casos, el Ejecutivo comunitario se muestra satisfecho porque la ley ha sido "relativamente bien aplicada" en los demás Estados miembros, que han comunicado las disposiciones llevadas a término para adaptar sus legislaciones nacionales. El comisario europeo de Justicia, Libertad y Seguridad, Jacques Barrot, ha afirmado en un comunicado que los recientes asaltos criminales contra sistemas informáticos, en especial los ataques 'masivos' que sufrió Estonia en 2007, demuestran que las respuestas "deben estar mejor coordinadas a nivel europeo".
Finalmente, para mayor información sobre qué es el phishing y cómo protegerse, recomiendo los enlaces http://seguridad.internautas.org/html/451.html, http://www.microsoft.com/spain/empresas/legal/phishing.mspx y http://www.unirioja.es/servicios/si/seguridad/difusion/phising.shtml. Y en un nivel estrictamente jurídico, véase el interesante artículo de Santos Puga Gómez en la web de Aranzadi (http://www.factbook.aranzadi.es/index.php/informacion-juridica/actualidad-juridica-aranzadi/752/comentario/phishing-jurisprudencia-novedosa), sobre la evolución jurisprudencial de los fraudes informáticos, así como la estafa de phishing, en la Ley y en la jurisprudencia (en especial en la citada STS de 12 de junio de 2007). Opino que resulta necesario reformar el Código Penal (ya ha habido algún intento) para regular de una manera más precisa los delitos informáticos y, sobre todo, debe procederse a la inmediata aplicación de las normas comunitarias contra los ataques a sistemas informáticos. Este es un tema que nos interesa: sepamos más de él y, sobre todo, cómo combatirlo a parte de evitarlo.
Que tal Victor, estoy escribiendo un artículo sobre este tema y tu post me ha sido de gran utildad, ¡enhorabuena!
Saludos.
Rodrigo