Los emails masivos como herramienta de ataque para suplantar empresas de mensajería

ciberseguridad-phishing-email-h50
Comparte ese artículo
Breve introducción y resumen del caso

El caso objeto de análisis aborda la particular situación de «phishing», conocido en el mundo de la ciberdelincuencia como una modalidad de la estafa. En esta oportunidad, centramos nuestra atención en la suplantación de identidad a la empresa SEUR, líder en el envío de mensajería y paquetería, el modus operandi de los impostores consistió en la remisión de un mensaje de correo electrónico desde una cuenta falsa en la que se exponía un presunto envío truncado por falta de pago, la redacción del texto emulaba el formato utilizado por la verdadera cuenta corporativa. El fragmento más relevante es el enlace de acceso a una supuesta plataforma en la que se consignaría toda la información que posteriormente sería sustraída por los cibercriminales.

Definición de phishing: ¿Conoce algún caso similar en Perú o en algún otro país?

Conviene señalar que, el phishing es considerado una técnica que se circunscribe en el envío de un mensaje de correo electrónico dirigido por un cibercriminal hacia un usuario, este primero aparenta ser una entidad oficial con el propósito de sustraerle datos reservados, generarle perjuicio económico o dañar su sistema operativo, para hacer esto posible adjuntan hipervínculos o archivos infectados, así como plataformas de dudosa procedencia (INCIBE 2020).

Teniendo claro el concepto anterior, corresponde indicar que en el Perú se realizó un reciente estudio, el cual concluyó que 6 de cada 10 peruanos desconocen los mensajes con potencial contenido de estafas cibernéticas (RPP 2022). Bajo ese tenor, se puede rememorar que la actriz peruana Anahí de Cárdenas, fue víctima de esta clase de delito, comentó en su cuenta de Instagram que le enviaron un mensaje de texto, aparentemente de una de sus bancas de mayor confianza, indicándole que presione un enlace para determinar si calificaba a un bono cuyo valor fue de 600 soles, acto seguido completó sus datos y horas más tardes se comunicaron de la entidad bancaria oficial para ponerle en conocimiento las transacciones inusuales realizadas en sus cuentas (ASPEC 2021).

Reflexión sobre el incremento de detección de este tipo de estafas. Aumento de las compras online y por consiguiente del reparto de paquetería para recibir los pedidos

Es oportuno rescatar la idea propuesta por (CIVANTOS 2020) quien manifiesta que, el sujeto que realiza una adquisición impulsiva, decide de forma precipitada sin detenerse a analizar las consecuencias de su acto. Esta aproximación coloca en evidencia las falencias de los consumidores impetuosos, quienes evitan externalizar un juicio sobre la situación a la que se exponen por el simple hecho de contar con una cuenta de correo electrónico o red social. La detección de esta clase de estafas online tiene estrecha relación con el surgimiento de la emergencia sanitaria causada por la COVID-19, como se aprecia en el organizador visual, el delito de Phishing ocupa la principal ciberamenaza, según los datos proporcionados por la INTERPOL.

Figura 1

Principales ciberamenazas durante la pandemia de la COVID-19

Nota. Adecuado de “Proporción de las principales ciberamenazas relacionadas con la COVID-19”, Interpol, 2020.

Las plataformas prestadoras de servicio de repartición, siguen un protocolo adecuadamente estructurado, el cual les permite canalizar sus envíos, así como los mecanismos de pago habilitados para los clientes. Por lo general, al cometer este delito, se deja en evidencia una serie de rastros que deberían activar una alarma en la víctima para evitar su consumación. No obstante, la mayoría de personas carecen de ese sentido de prevención por lo cual dejan abierta la posibilidad que un sinnúmero de ciberdelincuentes atente contra su información personal.

Análisis legislativo: tipificación y penas al respecto en Perú

La regulación peruana consagra entre sus instrumentos normativos contra la cibercriminalidad al «Convenio de Budapest», es recién el 12 de febrero de 2019 con la Resolución Legislativa n.° 30913 que se logró la adecuación del sistema legislativo bajo el principio de convencionalidad (BERNAL y MENACHO 2021). Dicho lo anterior, no se regula de forma expresa el Phishing, empero se enmarca en el Fraude Informático, contenido en el artículo 8 del capítulo quinto de la sección de delitos informáticos contra el patrimonio de la Ley n.° 30096, modificado por la Ley n.° 30171. La represión penal es de 3 a 8 años en su modalidad básica, así como de 5 a 10 años en su modalidad agravada.

¿Qué pruebas se pueden aportar para denunciar casos como estos?

Es pertinente recopilar toda la información posible, entre ellos, las cuentas y el pantallazo del correo electrónico, así como el contenido del mensaje y el enlace de acceso. A su vez, es necesario resguardar los documentos electrónicos enviados, más no los archivos fraudulentos (OSI 2021). Con el mismo objetivo, (GESTIÓN 2020) aumenta la posibilidad de opciones integrando las grabaciones de audio y vídeo, luego de ello debe levantarse la denuncia en la dependencia policial especializada y la autoridad administrativa competente, también el reclamo ante la entidad bancaria indicando en los tres escenarios el detalle más mínimo para el inicio de las investigaciones.

¿Qué debe hacer el Gobierno para luchar contra casos como estos? La importancia de la concienciación y la denuncia de los hechos

Sobre el particular, es pertinente resaltar el plan estratégico global propuesto por Interpol, con el que se pretende confrontar a los ciberdelincuentes en alianza con la sociedad civil concientizada.

Tabla 1

Concientización en temas de ciberseguridad

Principios de ciberseguridad para evitar ser víctima

  • Promover la cultura de prevención de la cibercriminalidad entre la ciudadanía y la empresa. Impulsar la formación y la especialización de los miembros de las FFCCSE en materia de ciberseguridad y cibercriminalidad.
  • Incrementar y mejorar el uso y disposición de las herramientas tecnológicas e implementar el ámbito de la I+D+I.
  • Gestionar adecuadamente la información disponible en el ciberespacio.
  • Promover un marco legal e institucional que dé solución a los desafíos que surjan relacionados con la ciberseguridad y la cibercriminalidad.
  • Impulsar la coordinación a nivel nacional e internacional y favorecer la colaboración entre el sector público y privado.

Nota. Adecuado de “Proporción de las principales ciberamenazas relacionadas con la COVID-19”, Interpol, 2020, p. 16.

Consejos para víctimas y conclusiones

Se listó una serie de consejos que deben seguir fielmente las víctimas de Phishing, estos son, mantener activado un antivirus en nuestros dispositivos electrónicos, ya sea celular, tablet u ordenador, expurgar los archivos descargados por el correo electrónico, modificar las contraseñas para incrementar la seguridad, activar el sistema de seguridad en dos pasos para evitar la suplantación de identidad, comunicarse inmediatamente con el banco para bloquear cualquier actividad de pago no autorizado y recopilar todas las evidencias para realizar la denuncia ante las autoridades correspondientes (OSI 2021).

Primera:

A partir de la información recopilada se concluye que, el avistamiento de los consumidores virtuales es limitado, en tanto que no siguen de forma pormenorizada el proceso de compra recomendado, específicamente la etapa denominada «deliberación», en la cual se debe reconocer tres aspectos importantes, el dominio oficial de la empresa, la apariencia genuina del texto y si existió una previa solicitud de parte del consumidor.

Segunda:

De los hallazgos analizados se puede referir que los cibercriminales están generando páginas con similares características a entidades privadas, principalmente de entidades bancarias, empresas de transporte y similares actividades económicas. Sin embargo, también se registraron casos de clonación de sitios web pertenecientes al gobierno, tal y como se apreció en el Perú luego de la repartición de bonos y ayudas económicas.

Arturo Menacho Ortega

Abogado por la Universidad Privada del Norte, maestrando en Derecho con mención en Ciencias Penales por la Universidad Nacional Mayor de San Marcos, maestrando en Ciberdelincuencia por la Universidad Internacional de La Rioja – España.

Referencias

¿Qué es el phishing? Incibe, 8 de julio 2020. https://www.youtube.com/watch?v=uhzV5iFb5E

ASPEC. «Anahí de Cárdenas denuncia robo de su cuenta bancaria con modalidad phishing». ASPEC. 25 de marzo de 2021. Disponible en: https://aspec.org.pe/2021/03/25/anahidecardenasdenunciarobodesucuentabancariaconmodalidadphishing/

BERNAL GALLARDO, J., Y MENACHO ORTEGA, B. Las fiscalías y los juzgados

especializados en ciberdelincuencia y su implementación en el sistema de justicia del

Perú, 2020. Director: Alfredo Enrique Pérez Bejarano. Universidad Privada del Norte,

Departamento      de        Derecho          y          Ciencias          Políticas,      Lima, 2021. https://hdl.handle.net/11537/26940

CIVANTOS ARMENTEROS, E. Consumo online. Una revisión sistemática. Director: María

Rosario García Viedma. Universidad de Jaén, Departamento de Humanidades, Jaén, 2020. https://hdl.handle.net/10953.1/15373

GESTIÓN. «¿Qué hacer si soy víctima de fraude o publicidad engañosa en Internet?». Gestión. 13 de julio de 2020. Disponible en: https://gestion.pe/tudinero/finanzaspersonales/comoactuarsiesvictimadefraude-o-publicidadenganosaeninternetnndcnoticia/

INTERPOL. Cibercrimen: Impacto de la Covid-19. Interpol, 2020. https://bit.ly/3wQHTU9

Ley n.° 30096 – Ley de delitos informáticos, de 22 de octubre. Diario Oficial El Peruano, 22 de octubre de 2013, n.° 505484. Disponible en:

https://busquedas.elperuano.pe/normaslegales/leydedelitosinformaticosleyn3009610031171/

Ley n.° 30171 – Ley que modifica la ley 30096, ley de delitos informáticos, de 10 de marzo. Diario Oficial El Peruano, 10 de marzo de 2014, n.° 518568. Disponible en:

https://www.leyes.congreso.gob.pe/Documentos/Leyes/30171.pdf

OSI. «¿Qué es el phishing?». OSI. 17 de noviembre de 2021. Disponible en:

https://www.osi.es/es/actualidad/blog/2021/11/17/queeselphishing

RPP. «Seis de cada 10 peruanos no reconocen mensajes que puede ser estafas cibernéticas». RPP. 4 de enero de 2022. Disponible en: https://rpp.pe/economia/economia/seisdecada10peruanosnoreconocemensajesquepuedeserestafasciberneticasnoticia1378593

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

error: Contenido protegido por derechos de autor c) 2021 h50. Está expresamente prohibida la redistribución y la redifusión de este contenido sin su previo y expreso consentimiento.