El Spoofing y el aumento del cibercrimen

En estos últimos años estamos presenciando una proliferación alarmante de las estafas informáticas entre las que lidera el ranking este fenómeno particular conocido como Spoofing, y que hoy en día representa una de las técnicas más utilizadas y avanzadas para cometer estos ciberataques.

En principio, este término hace referencia a una modalidad delictiva mediante la cual, un ciberdelincuente falsifica la información necesaria para hacerse pasar por una fuente conocida y obtener información privada de las víctimas para, a su vez llevar a cabo fraudes y estafas a través de internet, obteniendo beneficios económicos fraudulentos.

Modalidades más comunes del Spoofing

Este delito se puede llevar a cabo de tan diversas maneras que según la casuística del delito, tendrá diferentes penas. Las mas frecuentes son las siguientes:

SMS Spoofing

La suplantación de SMs es una de las técnicas más comunes, falsifica la identificación del remitente en los mensajes de texto para que el mensaje parezca provenir de un número de confianza. El caso más conocido de este tipo de suplantación de identidad es el envío de emails que simulan ser de un banco o entidad financiera que, por motivos de seguridad o para confirmar su identidad solicitan a la víctima actualizar sus datos personales (nombre de usuario, número de tarjeta de crédito, contraseñas etc).

Spoofing de llamada (caller-id)

Consiste en la falsificación del identificador de llamadas que muestra el teléfono cuando recibimos una llamada.  En este tipo de spoofing el atacante logra falsificar su número por uno legítimo del que la víctima no sospeche.

Email Spoofing

En la mayoría de los ataques de suplantación de correo electrónico, el mensaje contiene enlaces a sitios web maliciosos o archivos adjuntos infectados.

Spoofing de dominio web

La suplantación de dominio ocurre cuando un atacante crea un sitio web que imita un sitio existente, a menudo cambiando ligeramente los nombres de dominio (de un banco, tienda online, hotel, agencia de viajes, etc) para obtener los datos de las víctimas.

Spoofing de DNS

El Spoofing del servidor o nombres de dominio es un ataque que implica la manipulación de registros SMS que se utilizan al navegar por internet, para redirigir a los usuarios hacia un sitio web fraudulento y malicioso que suele parecerse al destino previsto por el usuario (spoofing de dominio/web). Un ejemplo muy conocido es el denominado pharming, en el que un delincuente informático a través de un ataque de envenenamiento de DNS, desvía el tráfico de internet de un banco hacia otro sitio web copia de la entidad bancaria para obtener las claves y firma del usuario.

IP Spoofing

El delito de IP spoofing consiste en suplantar la dirección IP de una persona, para engañar a otros ordenadores haciéndoles creer que es una fuente de confianza y enviarles contenido malicioso.

Diferencias entre Spoofing y Phishing

Mención aparte merece la diferenciación entre estas dos figuras que pueden parecer similares y suelen confundirse, el phishing y el spoofing pese a que presentan una diferencia clave: El phishing busca engañar a la víctima para que revele información confidencial, mientras que el spoofing se basa en la suplantación de identidad para obtener acceso directo a los sistemas.

Marco normativo legal

En cuanto al marco normativo actual, nuestro Código Penal aborda la estafa informática principalmente a través del artículo 248.2 que castiga a “ los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno”.

La regulación se complementa con el desarrollo específico de las modalidades informáticas en el mismo artículo, que contempla: las manipulaciones informáticas, las transferencias no consentidas y la utilización fraudulenta de tarjetas o datos de pago.

En este sentido el artículo 249 del Código Penal recoge también el fraude informático y castiga con la pena de prisión de seis meses a tres años a los que, con ánimo de lucro, obstaculizando interfiriendo indebidamente en el funcionamiento de un sistema de información o introduciendo, alterando, borrando, transmitiendo o suprimiendo indebidamente datos informáticos o valiéndose de cualquier otra manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

El artículo 250 regula el delito de estafa agravado elevando las penas a prisión de uno a seis años y multa de seis a doce meses, entre otros casos, cuando revista especial gravedad, atendiendo a la entidad del perjuicio y a la situación económica en que deje a la víctima o a su familia, el valor de la defraudación supere los 50.000 euros, o afecte a un elevado número de personas. Si concurrieran las circunstancias incluidas en los numerales 4.º, 5.º, 6.º o 7.º con la del numeral 1.º del apartado anterior, las penas serán de prisión de cuatro a ocho años y multa de doce a veinticuatro meses. La misma pena se impondrá cuando el valor de la defraudación supere los 250.000 euros.

Cabe señalar que en este tipo de delitos, con frecuencia existe un intermediario que acepta el dinero en su cuenta para luego transferirlo, a este intermediario se le denomina mulero bancario» y el Código Penal le castiga como autor de un delito de blanqueo de capitales por imprudencia grave con una pena de prisión de seis meses a dos años y multa del triple del valor blanqueado.

Conclusiones y propuestas de mejora

El marco normativo actual, aunque ha evolucionado significativamente, se encuentra con una serie de problemas en la práctica que hacen que sea necesario una constante actualización para hacer frente a las nuevas modalidades de estafa informática y es que tanto la volatilidad de la prueba digital, la complejidad técnica que se requiere para acreditar estos hechos, así como la necesidad de cooperación internacional, suponen todavía retos procesales a los que enfrentarnos.

Escrito por Ester Romero Simón, abogada en Ponter