Blog


Would you like to share an article on cybercrime? Please contribute!
 

These articles do not necessarily reflect official positions of the Council of Europe

Щоденники Щоденники
Back

Phishing: Necesidad de crear legislación penal más precisa

En un breve estudio comparativo que he efectuado en la legislación de diversos países de América Latina con el objeto de darlo a conocer en este blog, he encontrado una ausencia casi absoluta de normas penales que castiguen el delito de phishing o captura de datos personales, especialmente de tipo financiero, mediante técnicas de ingeniería social, con el objeto obtener beneficios patrimoniales en contra de los intereses económicos de la víctima.

El phishing, como su nombre lo indica, es la acción de “pescar” datos económicos de personas que, por ignorancia o credulidad, son engañadas para brindar información crediticia, números bancarios de cuenta, números de tarjetas bancarias, claves acceso, nombres de usuario, y en general cualquier dato de orden financiero que un tercero inescrupuloso podría utilizar para obtener alguna ventaja económica sobre los bienes monetarios de la víctima.

Desde el punto de vista jurídico, podría calificarse tal conducta como una forma de defraudación tradicional (aunque no es estafa informática pues ésta requiere de otras precisiones) donde concurren ciertos elementos que son comunes a ambas figuras. Así, tenemos que los elementos básicos de la estafa son el engaño a la víctima y el traspaso patrimonial. Si alguno de estos dos elementos está ausente, no podríamos decir que estamos ante un delito, según pudimos ver en un artículo reciente. En la recolección de datos financieros existen similitudes innegables con esa figura. Así se ha entendido en el Código Penal de España el cual, en su artículo 248, párrafo 2, señala:

“Artículo 248:

1. (…)

2.- También se consideran reos de estafa:

a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial, en perjuicio de otro.

b) Los que fabricar, introduzcan, poseyeren o facilitar en programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.”

El engaño sobre la víctima se produce en el momento de presentarle un panorama problemático en el cual se requiere de su accionar para ser corregido. El caso típico es el correo electrónico aparentemente oficial donde se le indica a la posible víctima que, por ejemplo, su banco le ha cerrado su cuenta bancaria, o bien, que debe proporcionar algún dato financiero de especial importancia, tal como su nombre de usuario y palabra clave de acceso, los números de la tarjeta de crédito, junto con la fecha de vencimiento y el número identificador de tres dígitos del reverso. Igualmente, puede ser que se inserte un hipervínculo para enviar al usuario a una página similar a la oficial de la entidad bancaria, pero en este caso estaríamos más bien ante un caso de pharming o suplantación ilícita de páginas Web, situación que también se ubica dentro de estas categorías de estafas mediante el uso de medios electrónicos.

Otra forma muy común de lograr este torcido objetivo es mediante la utilización de programas que capturan la actividad del teclado del usuario (llamado programa keylogger) en la cual es sencillo ver los sitios a los que accede la víctima, su nombre del usuario y la palabra clave de acceso al sitio Web o a programas de correo electrónico, con lo cual el delincuente logra obtener información confidencial mediante el registro de las teclas que oprima. Posteriormente, dicha información así obtenida es enviada automáticamente a otro equipo de cómputo o sitio Web controlado por el delincuente, quien podrá acceder sin problema a las cuentas bancarias de la víctima. El phishing puede ser efectuado incluso mediante una simple llamada telefónica.

En este punto caben varias consideraciones que contribuyen a la facilitar la comisión del delito. En primer lugar, existe mucha ingenuidad o falta de malicia de las víctimas (quienes llegan a creer efectivamente que la entrega de sus datos financieros responde a una transacción bancaria normal u oficial). En segundo lugar, aún puede catalogarse como novedoso para algunas personas utilizar la Internet para realizar operaciones bancarias. Un tercer elemento es que se trata de una conducta evidentemente delictuosa que se comete con relativa facilidad pues aún las propias entidades bancarias no siempre se preocupan por poner suficientes medidas de seguridad a disposición de sus clientes ni dar educación adecuada a las víctimas potenciales.

Así las cosas, y a pesar de encontrarnos ante un típico delito informático, las legislaciones de América Latina han mantenido una actitud pasiva para castigar esta infracción penal, quizás por ignorancia del legislador o falta de accionar de los profesionales en Derecho o de la policía de investigación, quienes pueden pensar que tal conducta sí está debidamente castigada mediante el delito de fraude o estafa tradicional. Pero ello no es tan exacto. Del estudio efectuado en diversas legislaciones de Sudamérica, considero que sí es necesaria la creación de tipos penales específicos, más precisos, que den una respuesta punitiva ante una conducta que es bastante común.

En este sentido, quizás el ejemplo más antiguo de legislación penal que trata de penalizar esta conducta se encuentra en la República Dominicana, emitidas por la Ley No.53-07 contra Crímenes y Delitos de Alta Tecnología, donde se tipifican el robo mediante alta tecnología, obtención ilícita de fondos, transferencia electrónica de fondos y estafa mediante vías electrónicas:

Artículo 14.- Obtención Ilícita de Fondos. El hecho de obtener fondos, créditos o valores a través del constreñimiento del usuario legítimo de un servicio financiero informático, electrónico, telemático o de telecomunicaciones, se sancionará con la pena de tres a diez años de prisión y multa de cien a quinientas veces el salario mínimo.

Párrafo.- Transferencias Electrónica de Fondos. La realización de transferencias electrónicas de fondos a través de la utilización ilícita de códigos de acceso o de cualquier otro mecanismo similar, se castigará con la pena de uno a cinco años de prisión y multa de dos a doscientas veces el salario mínimo.

Artículo 15.- Estafa. La estafa realizada a través del empleo de medios electrónicos, informáticos, telemáticos o de telecomunicaciones, se sancionará con la pena de tres meses a siete años de prisión y multa de diez a quinientas veces el salario mínimo.

Un segundo ejemplo de normas penales son las de la Código Penal de la República Argentina, en el cual podríamos interpretar que ubica al phishing dentro de la modalidad de las defraudaciones tradicionales:

“Artículo 173.- Sin perjuicio de la disposición general del artículo precedente, se considerarán casos especiales de defraudación y sufrirán la pena que él establece:

1.- (…)

2.- (…)

15. El que defraudare mediante el uso de una tarjeta de compra, crédito o débito, cuando la misma hubiere sido falsificada, adulterada, hurtada, robada, perdida u obtenida del legítimo emisor mediante ardid o engaño, o mediante el uso no autorizado de sus datos, aunque lo hiciere por medio de una operación automática.”

En América Latina he encontrado que las normas penales quizás más precisas que castigan el phishing se encuentran en el Código Penal de Colombia, en dos tipos penales que fueron adicionados mediante ley No.1273 de 2009. Esta ley penaliza tanto el hurto por medios informáticos como la transferencia no consentida de activos mediante artificios tecnológicos:

“Artículo 269I: Hurto por medios informáticos y semejantes. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código.”

“Artículo 269J: Transferencia no consentida de activos. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.”

Otra norma relativamente reciente que procura penalizar la obtención ilegítima de datos financieros (aunque es no tan precisa como debería ser, pues confunde el phishing con el pharming) se encuentra en el artículo 233 del Código Penal de Costa Rica, el cual fue modificado mediante la ley No.9048 de 2012 en la forma que se verá:

“Artículo 233.- Suplantación de páginas electrónicas.-

Se impondrá pena de prisión de uno a tres años a quien, en perjuicio de un tercero, suplante sitios legítimos de la red de Internet.

La pena será de tres a seis años de prisión cuando, como consecuencia de la suplantación del sitio legítimo de Internet y mediante engaño o haciendo incurrir en error, capture información confidencial de una persona física o jurídica para beneficio propio o de un tercero.”

Tales son ejemplos de normas que he encontrado en la legislación penal latinoamericana que de alguna manera castigan el phishing como delito informático. No logré encontrar tipos penales similares en las legislaciones de Brasil, Ecuador, Paraguay, Bolivia, Perú, México o Chile.

En el caso de la República Mexicana, existe una importante iniciativa de ley presentada en marzo de 2012, la cual aún no ha sido incorporada aún dentro del Código Penal Federal. Dicho proyecto de ley pretende equiparar al delito de fraude y sancionar con pena de seis meses a tres años de prisión y de 100 a 400 días multa,

“a quien valiéndose del error en que se encuentra la víctima provoque que revele o ponga a su disposición información o datos de carácter personal, patrimonial o financiero a los que no tenga derecho a acceder, utilizando para tales fines sitios o direcciones de correo u otros medios electrónicos creados por él mismo o por un tercero.”

Tal situación nos lleva a concluir que aún hacen falta más esfuerzos legislativos por incluir los nuevos tipos penales que exige la realidad tecnológica actual. Suponer que tal delito informático está ubicado dentro del tipo penal tradicional de estafa o fraude no es suficiente.

¿Cuál tipo penal se utiliza en su país para castigar el phishing?

Si no existe un tipo penal, ¿hay alguna iniciativa legislativa para penalizar esa conducta?

Comments
No comments yet. Please sign in to comment.
Tools on Cybercrime & Electronic Evidence Empowering You!
Відображення мережевого вмісту Відображення мережевого вмісту

This tool is co-funded  by the GLACY  and Cybercrime@Octopus projects