Los hechos que acreditan el fraude electrónico en los delitos producidos en la banca electrónica.



Documentos relacionados
Versión final 8 de junio de 2009

Creación del comercio electrónico para la empresa Donegear.com. Anexo F Características de los Sistemas de Pago

FALSOS ANTIVIRUS Y ANTIESPÍAS

TPV VIRTUAL O PASARELA DE PAGOS DE CAJASTUR

Todos los derechos están reservados.

Módulo 7: Los activos de Seguridad de la Información

Teléfono: Telefax:

etpv Deutsche Bank Guía descripción

Servicio de Marketing

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas.

RECOMENDACIONES sobre llamadas telefónicas y mensajes a telefonía móvil con fines comerciales y publicitarios

e-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.

El mercado de tarjetas de crédito viene utilizando un sistema anticuado para los

Modelos de uso de las Soluciones de Autenticación para Banca a Distancia

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Gestión de la Configuración

El artículo 45 del Reglamento antes citado, desarrolla este precepto, precisando lo siguiente:

UF0035: Operaciones de caja en la venta

Preguntas frecuentes sobre las reglas asociadas a la autorización para la venta de equipos terminales móviles en el país.

Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets

Seguridad en el Comercio Electrónico. <Nombre> <Institución> < >

CONCLUSIONES. De la información total que acabamos de facilitar al lector podemos realizar el siguiente resumen:

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Alternativas tecnológicas en seguridad desde la Red

Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia

Qué son y cómo combatirlas

GUÍA PRÁCTICA DE FINANZAS PERSONALES CONCEPTOS BÁSICOS DE LAS TARJETAS DE DÉBITO. Lo que necesita saber sobre el uso de su tarjeta de débito

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

Obtenga acceso a efectivo en más de cajeros MasterCard/Maestro/Cirrus en el mundo.

Guía de doble autenticación

SIEWEB. La intranet corporativa de SIE

Maestro Tarjeta Maestro es una tarjeta internacional de aceptación mundial que permite acceder a una cuenta bancaria desde

Fortalece la seguridad de las transacciones con tarjeta bancaria o de casa

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización

Fuente:

Vulnerabilidad de Phishing en Sitios Bancarios en Argentina

Como Suceden los Fraudes

INFORMÁTICA IE. Términos a conocer y conceptos básicos. World Wide Web (WWW):

LOS VIRUS IMFORMÁTICOS

Cómo evitar las filas en el banco gracias a Internet y los celulares

Guía del Pagos Electrónicos

GUÍA PRÁCTICA DE FINANZAS CONCEPTOS BÁSICOS DE LAS TARJETAS DE DÉBITO. Lo que necesita saber sobre el uso de su tarjeta de débito

Los mayores cambios se dieron en las décadas de los setenta, atribuidos principalmente a dos causas:

Infraestructura Extendida de Seguridad IES

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

JORNADA NETWORKING: Seguridad de pagos y cobros en E-Business

Criptografía. Por. Daniel Vazart P.

ADMINISTRACIÓN ELECTRÓNICA: TIENDAS VIRTUALES. Ana Belén Domínguez García Consultora Cronos Ibérica, S.A.

PLAN DE IMPULSO DE LA FACTURA ELECTRÓNICA en LAS ADMINISTRACIONES PÚBLICAS.

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue

Especificaciones funcionales para el acceso al RAI por Web

Paso de la Tienda Física a Tienda On-line

MOTOR DE RESERVAS NET HOTELES V3.0 SIN COMISIÓN PARA ESTABLECIMIENTOS HOTELEROS.

Política de la base datos WHOIS para nombres de dominio.eu

11 Número de publicación: Int. Cl.: 72 Inventor/es: Fast, Peder. 74 Agente: Isern Jara, Jorge

Apuestas de lotería on-line mediante teléfonos móviles

Preguntas frecuentes. Page 1 of 7

IAP CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN

seguridad compras por internet

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

ADT CONSULTING S.L. PROYECTO DE DIFUSIÓN DE BUENAS PRÁCTICAS

1.1 EL ESTUDIO TÉCNICO

Buenas Prácticas en Correo Electrónico

.TEL Un uso innovador del DNS

Guía de Uso: TOPES PARA PAGOS Y TRANSFERENCIAS:

ROBO DE IDENTIDAD. Cuando usted sabe cómo manejar las finanzas de su negocio, tiene una herramienta muy valiosa para proteger su patrimonio.

Escritorio remoto y VPN. Cómo conectarse desde Windows 7

Introducción a la Firma Electrónica en MIDAS

AVISO DE PRIVACIDAD. Datos personales.- Cualquier información concerniente a una persona física identificada o identificable.

App para realizar consultas al Sistema de Información Estadística de Castilla y León

ACUERDO 3 DE (febrero 17) Diario Oficial No de 20 de febrero de 2015 ARCHIVO GENERAL DE LA NACIÓN JORGE PALACIOS PRECIADO

ERP GESTION LOGÍSTICA

Facilitar los procesos de pagos y fijar unas nuevas reglas y ciertas ventajas para los usuarios a la hora de pagar:

PROPÓSITO... 2 DETERMINANTES PARA UNA BUENA EXPERIENCIA DE USO...

INTRANET DE UNA EMPRESA RESUMEN DEL PROYECTO. PALABRAS CLAVE: Aplicación cliente-servidor, Intranet, Área reservada, Red INTRODUCCIÓN

Gabinete Jurídico. Informe 0545/2009

NOTAS TÉCNICAS SOBRE EL SIT: Definición y Configuración de Usuarios

3. La elección de suministrador. La comparación de ofertas de energía en el mercado minorista Funcionamiento del comparador

Índice INTERNET MARKETING 1

SOLICITUD DEL CERTIFICADO

Seminario Electrónico de Soluciones Tecnológicas sobre Content Networking

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Guía del Gestor de anuncios por Acuerdo de Publicación

Instalación. Interfaz gráfico. Programación de Backups. Anexo I: Gestión de la seguridad. Manual de Usuario de Backup Online 1/21.

INNOVATALK PBX (INNO-PBX) COMUNICACIONES UNIFICADAS Funcionalidades de instalación

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

INTERRUPCION A LA EXPLOTACION

MANUAL DEL TERMINAL PORTÁTIL DE INSPECCIÓN

Allianz Capital. Aires de libertad para su dinero. Allianz Seguros. Allianz Compañía de Seguros. Atención al Cliente Tel www. allianz.

Contabilidad y Estados Financieros Programas de Gestión

Prestaciones generales. Web corporativa del despacho

TÉRMINOS Y CONDICIONES

Instructivo I

Seminario Electrónico de Soluciones Tecnológicas sobre Acceso Remoto. 1 de 12

Qué es Andalucía Virtual? Qué pasos seguir para afiliarse a Andalucía Virtual?

Administración Local Soluciones

ACCESO AL SERVIDOR EXCHANGE MEDIANTE OWA

Transcripción:

Los hechos que acreditan el fraude electrónico en los delitos producidos en la banca electrónica. Óscar González Pla Ingeniero Informático Superior Jefe de proyecto en La Caixa de Pensions i Estalvis de Barcelona 1. Introducción: Objetivo de la ponencia. Uno de los problemas que se plantea en el ámbito del delito bancario es el de la dificultad de poder precisar cuáles son los elementos de hecho que pueden acreditar la existencia de la intromisión ilícita y del consiguiente fraude. En este sentido, el desconocimiento de las denominaciones técnicas que rigen la actividad bancaria online suponen para el abogado una importante dificultad en orden a la relación y acreditación de los elementos fácticos necesarios para acreditar, en un proceso civil o penal, la comisión de un ilícito. Este trabajo tiene por finalidad la exposición y análisis de la tecnología utilizada por la banca electrónica y privada, con la finalidad de ofrecer a los juristas el necesario conocimiento que les permita identificar y valorar los principales hechos constituyentes que pueden dar lugar a la comisión de ilícitos en el marco de la banca electrónica. 2. La tecnología utilizada por las entidades bancarias. La tecnología informática utilizada por las entidades bancarias se caracteriza por su seguridad y robustez. Históricamente la tecnología mainframe ha ofrecido estas características, y es la que procesa la lógica de negocio de las entidades bancarias. Sin embargo la mejora de los sistemas medios, y el impulso de nuevos canales de negocio como Internet o el terminal financiero con interfaz gráfica en las oficinas han impulsado los sistemas medios como una tecnología indispensable para el negocio bancario. 2.1 El Mainframe El mainframe es una macrocomputadora potente utilizada por grandes empresas para procesar enormes cantidades de datos. Por ejemplo, su uso ha sido habitual en los trabajos informáticos de contabilización de datos del censo,

estadísticas industriales y sobre consumidores, planificaciones de recursos y, por supuesto, en el procesamiento de transacciones bancarias. El mainframe, comercializado en exclusiva por IBM, destaca fundamentalmente por su estabilidad y solidez, además de su rendimiento 1. Son máquinas de grandes dimensiones y potentes que pueden tener en la actualidad hasta 64 procesadores y 1.5TB de memoria RAM 2. Además, en caso de necesidades hardware mayores pueden ser interconectados varios mainframe mediante el sistema de coupling facility 3. Los aspectos que han motivado históricamente el uso del mainframe y no servidores convencionales basados en la arquitectura X86 4 en la banca, son dos: por un lado el elevado número de usuarios y operaciones que se hacen simultáneamente en el sistema y el consiguiente problema que supone la integridad de los datos en el negocio bancario y la seguridad demostrada que aporta un mainframe 5 y en segundo lugar su reusabilidad acreditada a lo largo del tiempo. En primer lugar, la integridad de los datos utilizados y el procesamiento de transacciones suponen una cuestión de vital importancia para las entidades bancarias y es ahí donde los mainframe consiguen su mejor rendimiento. Téngase presente la creciente movilidad de bienes, créditos y personas y las reiteradas operaciones que se suceden de forma consecutiva cuando no simultánea. En estos casos resulta necesario un control exacto de los fondos existentes para cubrir las operaciones realizadas sin que, en ningún caso, se pueda producir un descubierto motivado por la concurrencia de operaciones. Así sucedería en el supuesto de que en una cuenta bancaria que disponga de un saldo de 1000 euros, se realizaran simultáneamente dos reintegros de efectivo de 600 euros. El sistema debe realizar el reintegro que llegue al sistema antes, bloqueando la entrada de cualquier otra operación sobre esta cuenta bancaria mientras se realiza el reintegro, y sólo cuando hubiera finalizado, debería permitir la entrada del segundo reintegro que debería ser denegado. Para esto resulta necesario un sistema que evite que permita 1 Véase sobre las especificaciones de Mainframe, la dirección Web: ***** ibm.com. 2 Las macrocomputadoras mainframe utilizan el sistema operativo Z/OS, un sistema altamente complejo que conserva la mayoría de las prestaciones del sistema MVT que se utilizaba en los años 60, lo cual le aleja mucho de los sistemas operativos modernos. Ambos sistemas operativos utilizan el sistema transaccional IMS y DB2 como sistemas de bases de datos, que a pesar de ser seguros, también son rígidos e ineficientes, lo que perjudica y dificulta el desarrollo. La exposición de los aspectos técnicos de los sistemas operativos descritos carece ahora de mayor interés. Téngase en cuenta que *******. En cualquier caso, puede consultarse ***** en la que se exponen los mencionados aspectos técnicos. 3 El sistema Coupling Facility es un componente hardware que permite interconectar diversos mainframe entre sí, permitiendo a diversos procesadores acceder a una misma región de memoria. 4 La arquitectura X86 fue introducida en el IBM PC, en que se definió un estándar de ordenador personal que continúa vigente actualmente en ordenadores personales y servidores. 5 La integridad es una propiedad de los datos por la cual en cualquier instante temporal la lectura de los mismos es correcta.

bloquear dos operaciones sobre una misma cuenta y permita encolarlas para realizarlas secuencialmente conforme vayan finalizando las que se están procesando. Además, no debe ralentizar las operaciones al efecto de que el usuario, que no olvidemos es un cliente, no tenga la percepción de que la operación es lenta. En segundo lugar, debe destacarse la vigencia en el tiempo de la tecnología mainframe que se ha mantenido en una situación, podemos decir de monopolio tecnológico con relación a otras soluciones más modernas. Esta situación ha venido propiciada por las posibilidades del mainframe, especialmente por la reusabilidad del código fuente en operaciones clásicas del negocio bancario que permanecen constantes a lo largo del tiempo, como ocurre en el negocio bancario en operaciones como los ingresos, los reintegros, las transferencias o en cualquier otra operativa. De este modo, y por ejemplo, es posible efectuar un reintegro en un cajero con un código fuente programado hace 30 años 6. Ahora bien, esta situación de predominio de una concreta tecnología ha tenido por consecuencia un estacamiento de las mejoras técnicas en las operaciones del sistema bancario; en tanto que la propietaria de la tecnología, IBM, ha adaptado los paquetes de programas a mainframe, no olvidemos una teconología de los años 60 y no al contrario, como sería lo más lógico. Por otra parte, la situación de única suministradora del mercado ha permitido a IBM cobrar un precio muy elevado por MIPS 7. En esta situación, han surgido, recientemente, las primeras alternativas utilizando la tecnología X86, que permitirían cambiar hacia una infraestructura mucho más barata El problema que se plantea es el el elevado coste de migración al tener que adaptar unas estructuras técnicas y de negocio de enorme tamaño. Es por ello que únicamente en nuevas áreas de negocio de pequeño tamaño se ha optado por la utilización de sistemas medios, aunque orientado principalmente a la comunicación, o en servicios web donde se utilizan principalmente servidores que utilizan la arquitectura X86. Mientras tanto en las grandes empresas bancarias, probablemente en parte por el tradicional conservadorismo de la banca, se ha optado por la posibilidad de reciclar código y por otras soluciones técnicas complementarias que no suponen una ruptura con mainframe. A mi juicio, resulta indudable la necesidad de una migración progresiva hacia máquinas de sistemas medios, que aseguren el alto rendimiento y garanticen la integridad de los datos. Con este proceso se conseguiría reducir la dependencia tecnológica respecto al Mainframe que existe actualmente, y se 6 El código fuente son las instrucciones programadas, que son traducidas a ensamblador, que son las que ejecutan los computadores. 7 MIPS (Millones de Instrucciones Por Segundo) es la magnitud que utilizan las empresas que comercializan el Mainframe, y que supone un coste muy elevado, comparado con una infraestructura alternativa utilizando la tecnología X86.

obligaría a IBM a reducir el coste por MIPS, ante la verdadera amenaza de sustitutivos. 2.2 Características de las webs de banca electrónica La web se ha convertido en una herramienta que ha revolucionado y agilizado las operaciones bancarias, permite ahorrar costes a las entidades, e incluso ha hecho surgir nuevas entidades bancarias que únicamente operan online o vía telefónica sin oficinas. Para que resulten usables los sistemas web han de garantizar la seguridad a los usuarios. Las principales características de los sistemas webs son la autenticación de usuarios, la firma de las operaciones bancarias enviadas y la seguridad de los datos que viajan por la red y pueden ser vistos por terceros. La autenticación que utilizan las entidades bancarias para permitir a los usuarios acceder a los datos del sistema está definida de dos maneras: el pin del cajero automático o una palabra que el usuario establece como contraseña de acceso. Existen sistemas que solicitan la clave de paso completa, y otros que únicamente solicitan algunos caracteres aleatoriamente. La firma de las operaciones bancarias enviadas por los usuarios utiliza dos técnicas básicas: la introducción de una firma que consiste en una palabra que recuerda el usuario o una tarjeta de coordenadas con múltiples posiciones, en la cual al usuario se le solicita una posición aleatoria de la tarjeta como firma. Adicionalmente, los sistemas de introducción de firma, introducen un pequeño teclado visual, para introducir la firma electrónica pulsando sobre un botón, y no escribiendo desde el teclado, para evitar que los datos tecleados puedan ser capturados por troyanos 8 que el usuario tenga instalados, y enviados posteriormente a piratas informáticos. Los datos enviados por los usuarios a través de las aplicaciones web de las entidades bancarias son enviados por el protocolo HTTPS. El usuario percibe que está en una web segura ya que la dirección en el navegador es del tipo HTTPS y no HTTP. Los datos que envía el usuario desde su navegador, son encriptados mediante una clave pública, que proporciona la entidad bancaria a sus visitantes y con la que se garantiza la privacidad de los datos que se envía de forma transparente al usuario 9. 8 Los troyanos son programas de código malicioso instalados en ordenadores personales, que envían información de los usuarios a piratas informáticos. 9 La clave pública es un sistema criptográfico, reconocido por una entidad certificadora que permite a los usuarios enviar información segura a través de la red, y al destinatario desencriptarla utilizando su clave pública.

En mi opinión, es notable el esfuerzo que han hecho las entidades bancarias para garantizar la seguridad de sus sistemas, sin perder de vista que los sistemas sean usables para sus clientes. 3. Las transacciones electrónicas Durante la última década la generalización del uso de las tarjetas ha supuesto una revolución en los sistemas de pago. Con la aparición de internet se han convertido además en el sistema utilizado en el comercio electrónico y han propiciado la aparición de un nuevo canal de venta más barato. Además, la creación simultánea de la banca online ha permitido a las entidades bancarias disminuir sus costes ya que son muchas las operaciones bancarias que los usuarios pueden realizar sin ir a las oficinas. Los sistemas bancarios almacenan datos de multitud de clientes que interaccionan con otras entidades financieras, organismos oficiales como el Banco de España, e incluso otras empresas que gestionan transferencias masivamente como en el caso de las tarjetas de crédito. Entre las diferentes partes, se van produciendo constantemente operaciones de naturalezas muy diversas: traspasos de efectivo, compras con tarjeta de crédito o de débito, compras de valores y fondos de inversión, concesión de créditos, compra de bonos del estado, etc. Cada una de estas pequeñas operaciones que se producen se denomina transacción. 3.1 Concepto de transacción electrónica. En el concepto de transacción electrónica, en sentido amplio, pueden incluirse todas aquellas operaciones comerciales que se realizan con el auxilio de los modernos medios técnicos de transmisión de la información. En sentido concreto, la transacción electrónica puede definirse como aquella operación comercial realizada con el auxilio de medios técnicos que permiten atender a la transacción o pago del servicio mediante la disponibilidad de los fondos o del crédito del que dispone el comprador o el que da la orden de transacción o pago. De este modo se posibilita la actividad comercial al «casar» voluntad negocial de compra con la disponibilidad de recursos, que garantiza la entidad bancaria emisora dentro de los límites contractuales que se hayan establecido. Desde el punto de vista de las entidades bancarias las transacciones electrónicas son las unidades mínimas de una operación bancaria y supone el

fundamento y clave del negocio y, por extensión, del sistema bancario. Cuando el sistema recibe una transacción electrónica de escritura sobre un instrumento financiero de un cliente, el sistema bloquea el acceso de otras transacciones a ese instrumento financiero del cliente encolándolas, y procesándolas de manera secuencial a medida que van finalizando. De esta manera el sistema garantiza la integridad y la corrección de los datos procesados. Por ejemplo, en caso de realizarse una transferencia entre dos particulares de un mismo banco, se generará una transacción que bloqueará ambas cuentas, y hasta que se realicen las operaciones de cargo y abono, ninguna otra transacción podrá acceder a las cuentas. En conclusión, mediante este bloqueo garantizamos que no habrá otras actualizaciones simultáneas sobre estas cuentas que pueda alterar la integridad de los datos. 3.2 Canales de acceso y seguridad. Los canales de acceso a los sistemas bancarios pueden ser directos cuando el usuario interactúa directamente con su información financiera: banca electrónica, cajeros automáticos y tarjetas de crédito; e indirectos cuando es el cajero o el asesor comercial quien accede desde un terminal financiero a los datos personales y realiza las acciones que indica el cliente. Los cajeros y los sistemas de cobro por tarjeta, se comunican por redes internas seguras, de manera que los delincuentes utilizan técnicas de robo que nada tienen que ver con la informática. En el caso de los cajeros la principal amenaza es el vandalismo. Las medidas de seguridad se encuentran reguladas en el Reglamento de Seguridad Privada incluido en el Real Decreto 2364/1994, de 9 de diciembre que legisla las condiciones de seguridad de cajeros automáticos. El robo de la tarjeta y la posterior suplantación de identidad del titular, es la principal amenaza de los sistemas de cobro por tarjeta de débito o de crédito. Hasta el 31 de diciembre de 2010 únicamente es necesaria la firma del cliente para acreditar la titularidad de la tarjeta, pero a partir de dicha fecha en cumplimiento de los objetivos del SEPA10, será necesario la identificación de todas las tarjetas europeas mediante la tecnología chip, y la firma será mediante la introducción del PIN de la tarjeta reduciendo el fraude que hasta ahora se produce, mediante la suplantación de identidad. 10 SEPA (Single Euro Payments Area), es un proyecto para la creación de un sistema común de medios de pago, que fue establecido por el Consejo Europeo a través de la directiva 2007/64/CE sobre servicios de pago en el mercado interior, y traspuesta a la legislación española a través de la ley 16/2009, de 13 de noviembre, de servicios de pago.

El terminal financiero que usan las oficinas para realizar operaciones indicadas por los clientes, puede ser una fuente de delito por el acceso a la información del que disponen. Para evitar el acceso a información privilegiada, las entidades definen diferentes niveles de privilegios y se auditan los accesos a datos de usuario que teclean los gestores. 4. Intrusiones en la banca online. La banca electrónica es un canal de comunicación entre los clientes y las entidades bancarias mediante Internet, una red abierta que aporta muchas ventajas, pero presenta diversos riesgos y tipologías delictivas. La seguridad en la banca online resulta mucho más compleja que en el resto de canales de interacción bancaria. Los principales factores de riesgo son dos: la red a través de la cual se transmiten los datos, en la que existe el riesgo que los paquetes sean capturados; y el uso que pueden hacer terceros suplantando la identidad de la persona de los datos que la propia persona le han transferido. Según el canal por el que se da el ataque podríamos distinguir dos focos de delito en banca electrónica: los que se producen a través de las webs de banca electrónica, y los que se producen con la compra electrónica con tarjetas. 4.1 Tipologías de delito en la compra electrónica con tarjeta. El comercio electrónico se encuentra regulado en España en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, en aplicación de la directiva 200/31/CE del parlamento Europeo, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior. La seguridad utilizada en las transacciones, obliga a los piratas informáticos a utilizar técnicas de ingeniería social 11 o el robo de información corporativa, para obtener datos de tarjetas de crédito como único recurso. Otro modo de delito en el pago con tarjeta electrónica, consiste en suplantar la identidad de la persona tras el previo robo o hurto de la tarjeta, ya que únicamente es necesario el número de la tarjeta y la fecha de caducidad para realizar un pago electrónico en la actualidad. A mi juicio a día de hoy resulta sencillo suplantar la identidad de una persona y realizar pagos masivos electrónicos. Son los seguros de robo de las tarjetas los 11 La ingeniería social es una estrategia de extracción de información confidencial, haciéndose pasar por una entidad bancaria, o incluso por alguien conocido y próximo a la otra persona.

únicos que pueden garantizar al cliente, la seguridad en las compras con tarjeta. 4.2 Tipologías de delito en la operación bancaria online 12. La importante incidencia delictiva en el entorno de las operaciones electrónicas está suponiendo un importante freno para la consolidación y desarrollo del sistema bancario y de compra y venta de bienes y servicio en Internet. Esta situación parte de una realidad previa e inmodificable, ya que es son las propias características de una red abierta como es Internet las que propician por una parte la facilidad de la transacción y por otra la accesibilidad de los delincuentes a las operaciones realizadas en la red. A ese fin se emplean distintas técnicas masivas de intromisión como son el pharming, los analizadores de paquetes y los troyanos bancarios. Todos ellos con la finalidad de utilizar de forma ilícita los datos y claves de acceso de los usuarios y de ese modo usurpar su personalidad y obtener de ese modo beneficios económicos. Menos sofisticados, pero también muy eficaces, resultan los sistema que obtienen los datos bancarios directamente de los usuarios mediante el engaño. Entre estos se halla el phishing y el Scam. El pharming El pharming es una técnica que consiste en atacar el software de los servidores DNS 13 o el del propio usuario 14 redirigiendo al usuario de banca electrónica a una web falsa. Después del tecleo de la dirección web en el navegador verá la web falsa, que suele imitar a la perfección la web original. Al autenticarse el usuario con sus datos, recibirá un mensaje de error probablemente, y los piratas capturarán sus datos de autenticación que le permitirán consultar los datos bancarios e incluso operar, dependiendo del sistema de autenticación que utilice la entidad bancaria. 12 La información sobre las tipologías de delito en banca electrónica así como la información, procede de la web del Banco de España, y de INTECO (Instituto Nacional de Tecnologías de la Comunicación, para el desarrollo de la sociedad del conocimiento promovido por el Ministerio de Industria, Turismo y Comercio). 13 En Internet, todos los servidores por una dirección IP del tipo 20.20.20.20. Cuando el usuario introduce una dirección como http://www.google.es, realmente accede a una dirección IP, y son los servidores DNS los encargados de traducir los nombres de las páginas web, a direcciones IP. 14 Programas maliciosos que modifican el fichero de servidores, redirigiendo los accesos a páginas de entidades bancarias a páginas falsas que las imitan con la finalidad de obtener los credenciales de usuario.

En la actualidad los servidores DNS, que era donde inicialmente se captaban más víctimas, llevan potentes antivirus y el modus operandi habitual de los piratas informáticos es la instalación de programas que los propios usuarios instalan al recibir un correo. Así sucede con los mensajes electrónicos, que generalmente buscan llamar la atención al usuario y le incitan a descargar un fichero que al ejecutarlo, redirige todos los accesos web del usuario a una entidad electrónica a otra web igual que resulta ser falsa. Para intentar evitarlo, se han mejorado notablemente los navegadores, los filtros de correo electrónico 15 y se han reducido significativamente los agujeros de seguridad 16 de los sistemas operativos, pero hasta el momento ha sido imposible erradicar esta práctica. Los analizadores de paquetes Los analizadores de paquetes, conocidos popularmente como sniffers, captan todos los paquetes que circulan por una red concreta y no únicamente los que tienen como destino su máquina 17. Estos programas se realizaron con fines científicos, pero en la práctica se han usado con fines delictivos con la finalidad de obtener datos privados que circulen por la red. El delito consistía en la captura de datos que circulaban por la red, y captar las contraseñas que se enviaban con el fin de suplantar la identidad. Durante unos años fueron una verdadera amenaza para la seguridad en la red hasta la aparición del protocolo HTTPS que encripta los datos que el usuario envía a través de la red, evitando que los piratas puedan descifrar el contenido transferido. Inicialmente el protocolo HTTPS sólo encriptaba la autenticación de usuarios, y en la actualidad, con el aumento de la velocidad en Internet, ya encripta todos los datos que se transmiten en banca electrónica desde el momento en el que el usuario se identifica como usuario. En los últimos tiempos, este sistema delictivo ha caído en desuso por la dificultad que conlleva al pirata desencriptar los datos con las tecnologías actuales de criptografía. Los troyanos bancarios 15 Los filtros de correo electrónico filtran mails en función de parámetros como el texto del mensaje y la dirección de correo de origen. 16 Los agujeros de seguridad son errores de seguridad del sistema operativo que permiten a los piratas informáticos instalar aplicaciones en el ordenador sin la autorización del usuario. 17 Palabra inglesa que se refiere traducida como algo que huele. En informática se refiere a los programas que capturan paquetes en una red, los rastrean.

Los troyanos bancarios son programas que se instalan el ordenador del usuario, registran datos de su acceso a webs de entidades electrónicas y los envían a los piratas informáticos. Estos programas son instalados en los ordenadores de los usuarios a través de un correo electrónico que adjunta un fichero fraudulento, o se instalan automáticamente al visitar ciertas páginas web, aprovechando un agujero de seguridad del sistema operativo o del navegador. Las técnicas de robo de información que utilizan los troyanos bancarios son variadas y combinadas. Las principales son las siguientes: el registro de teclas pulsadas, obtener capturas de pantallas y grabaciones de vídeo y la inyección de pantallas fraudulentas. El registro de teclas pulsadas tiene como finalidad capturar los códigos que teclea el usuario en páginas web específicas que los piratas deciden, y es por ello que muchas entidades bancarias introducen un teclado en la pantalla como medida de seguridad. La obtención de capturas de pantalla y grabaciones de vídeo, consiste en la captura de la pantalla de introducción de códigos bancarios cada vez que el usuario hacía clic para introducir un número con el teclado de la pantalla. Los sistemas de seguridad de banca online reaccionaron con un sistema que cambiaba la ubicación del los dígitos del teclado al hacer clic, y los piratas optaron por grabar pequeños vídeos. Si los troyanos usaran únicamente las registro de teclas y la obtención de pantallas, en entidades bancarias que utilizan tarjetas de coordenadas como sistema de firma, los piratas informáticos tardarían meses en que el usuario utilizara todas las combinaciones para poder realizar la suplantación de identidad completa. Por ello los piratas desarrollaron la inyección de pantallas fraudulentas, que piden masivamente números de la tarjeta de coordenadas para obtenerlos en una o dos transacciones. Por ejemplo, en caso de realizar una transferencia electrónica, y el usuario introdujera el código de coordenadas correctamente, el troyano introduciría otra pantalla solicitándole otro código de la tarjeta. De este modo, el pirata puede reunir todos los números de la tarjeta de coordenadas con un número reducido de transacciones realizadas por la víctima. Recientemente han aparecido troyanos bancarios más sofisticados que interceptan las transferencias bancarias, modificando el número de cuenta para redirigirlo a una cuenta pirata directamente, sin que la persona sea consciente que se está produciendo el robo. Los troyanos bancarios son la técnica de delito bancario electrónico más extendida. En el informe mensual de septiembre de 2009 de INTECO, estimaba que el 7.2% de los ordenadores españoles tenían un troyano bancario instalado en su ordenador.

Además de los ataques que buscan las debilidades de la tecnología y la red, existen otros que aprovechan sus habilidades sociales o la ignorancia de los usuarios en tecnologías de la información, para obtener sus credenciales bancarios online. Las técnica más popular es el phishing, pero las estrategias son variadas y diversas. El phishing y otras técnicas de ingeniería social El phishing es una técnica de delito bancario que persigue obtener los datos bancarios pidiendo directamente los datos a los clientes suplantando, a ese fin, la identidad de una entidad bancaria. Las técnicas utilizadas por los delincuentes, abarcan desde un correo electrónico, una llamada o incluso la mensajería instantánea en la cual, los piratas se hacen pasar por una entidad bancaria, y solicitan a los usuarios sus datos de autenticación, indicándoles que han sido perdidos, o necesitan ser proporcionados como medida de validación. El phishing es un delito legislado por la Ley Orgánica 10/1995, de 23 de noviembre, del código penal en el artículo 282. Otra curiosa estrategia de ingeniería social es el Scam, en la cual se propone un trabajo por Internet, por el cual la persona recibirá importantes comisiones por la venta de artículos nuevos en webs de subastas. Los piratas informáticos obtienen los datos bancarios del trabajador, que irá ingresando dinero y transfiriéndolo por ventas que nunca se llegarán a materializar. La ingeniería social también es la estrategia utilizada por los piratas informáticos para instalar en los ordenadores de los usuarios los troyanos informáticos. Estos reciben algún tipo de información que puede estar relacionada con el usuario con un fichero adjunto, que al ser ejecutado instala el troyano y comienza a enviar información. 5. Evidencias del delito en banca electrónico. El objetivo final ante un hecho que pueda ser constitutivo de delito en banca electrónica es identificar a los delincuentes que han constituido el delito, así como descubrir el modus operandi utilizado. La investigación se ha de concentrar en dos frentes: por un lado la obtención el destinatario de las operaciones electrónicas realizadas fraudulentamente, y paralelamente la

investigación de la metodología utilizada por los piratas para obtener los datos electrónicos. 5.1 Identificación de la tipología delictiva El abogado ha de identificar las evidencias del delito que se le plantean. Las primeras cuestiones que debe plantearse son: Cuál ha sido el canal por el que se ha producido el delito electrónico? El usuario ha sido víctima de alguna técnica de ingeniería social? De qué información dispone? Ante un delito de transacciones electrónicas fraudulentas con tarjeta las casuísticas son reducidas. Se debe proceder a realizar un análisis exhaustivo de las operaciones con tarjeta, y en especial en los pagos en comercio electrónico, y verificar si los comercios cumplen la ley en materia de seguridad electrónica. Otra posible vía de investigación es la posibilidad de que el usuario haya sido víctima de un delito de phishing. Para identificar un posible delito de phishing sería necesario realizar una investigación del correo electrónico de la víctima. Paralelamente se deben investigar cada una de las ventas no reconocidas por la víctima identificando la dirección de entrega, que posiblemente se trate de un mulero 18. En algunos casos es probable que hasta que se registren muchos delitos no se identifique la manera de operar del pirata. En caso que se trate de un delito en el canal de banca electrónica, aunque en ocasiones pueden resultar más rápidos de resolver que los que tienen origen en el comercio electrónico, plantean una tipología delictiva diversa que dificulta el enfoque de la investigación. Esta debe orientarse en dos sentidos: por un lado la identificación del tipo delito que se ha producido, y por otro el destinatario final de la transferencia haciendo un seguimiento exhaustivo de todas las transacciones fraudulentas encontradas. La identificación del delito se puede iniciar haciendo un seguimiento del posible phishing que haya podido responder el usuario con datos sensibles, y mediante un peritaje informático que determine si los ordenadores personales utilizados por las víctimas en sus transacciones electrónicas tienen algún tipo de troyano bancario. Otras vías de investigación, pueden ser comprobar si la entidad bancaria de la víctima ha sufrido ataques de pharming recientemente, y el entorno de la víctima por si pudiera responder a un engaño de ingeniería social de alguien cercano. En caso de darse evidencias de un posible delito de phishing, se deberá hacer un seguimiento del correo enviado por el usuario, por medio de logs de los 18 Los muleros son personas estafadas por los piratas informáticos, que creen realizar un trabajo remunerado legal, realizando transferencias a cambio de una pequeña proporción del importe como beneficio.

servidores DNS para identificar la dirección de destino. Este proceso resulta lento y farragoso ya que son muchas las trampas que utilizan los piratas informáticos. Los piratas acostumbran a utilizar servicios de correo electrónico para la transmisión que se encuentran en países con legislaciones laxas, que permiten ocultar su identidad real, e incluso utilizan muleros como intermediarios. Si el peritaje informático encuentra un troyano bancario en un ordenador utilizado por la víctima, en primer lugar se deberá identificar hacia donde envía datos el troyano, e iniciar el seguimiento para descubrir el destinatario. Al igual que en el phishing, el proceso de investigación acostumbra a ser lento y farragoso. Se han de hacer muchos seguimientos, incluso muleros que utilizan los piratas para que sean ellos quienes transmitan el troyano a la víctima. En caso de encontrarse ante un delito de pharming, sería importante registrar el log de los servidores DNS de las redes que hubiera afectado, realizar un seguimiento de la web registrada, para verificar el alcance de la infección. Por último, si los indicios apuntan hacia un delito de pharming se deberán registrar los logs de los servidores DNS afectados, para identificar el alcance de usuarios. Posteriormente se debe identificar la web a la que apunta y realizar un seguimiento de la web ilegítima. En muchas ocasiones, la investigación no muestra suficientes indicios de delito en ningún caso, y se ha de relacionar con delitos similares que se hayan producido, y sólo tras el seguimiento de un conjunto de delitos se puede hallar los verdaderos delincuentes. 5.2 Seguimiento de las transacciones ilegítimas El seguimiento de todas las transacciones bancarias ilegítimas, se realiza de manera paralela a la investigación de la tipología delictiva utilizada por los piratas informáticos. Para identificar los destinatarios del robo, se han de identificar las transacciones ilegítimas y hacer un seguimiento de las mismas. El destinatario de estas transacciones nunca es el delincuente, sino que utilizan muleros que realizan traspasos bancarios encadenados hasta los destinatarios finales del proceso. En este proceso de intermediación suele haber cuentas de diversos países implicadas, con el fin de dificultar la investigación. En ocasiones en el país destinatario de la estafa, los piratas llegan a contratar personas que les entregan el dinero en mano.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback