Estafa informática utilizando a terceros como muleros con ofertas de empleo

     .Cada vez son mas numerosos los casos de delitos informáticos conocidos como phishing, y es por ello que desde la revista digital DelitosInformaticos.com hemos ido informando mediante diferentes artículos de esta problemática. El despacho de Abogados Portaley ha elaborado el siguiente artículo para informar a todos nuestros usuarios y prevenirles al respecto.

QUÉ ES EL PHISHING

     .El término phishing proviene de la palabra inglesa “fishing” (pesca), haciendo alusión al intento de hacer que los usuarios “piquen en el anzuelo” y se conviertan en víctimas.

A la persona que pone en práctica este delito se le conoce como phisher.

El origen de este delito data de la década de los noventa y su operativa se centraba en el envío de correos electrónicos fraudulentos a los clientes de entidades financieras. En un principio estos mensajes estaban mal redactados, con una burda traducción al español y con errores ortográficos; sin embargo, en la actualidad, su redacción es mucho mas perfeccionada, por lo que consiguen conferir mayor credibilidad al mensaje.

Este fenómeno fraudulento ha ido evolucionando y se aplica a multitud de servicios y de dispositivos, adaptándose a las nuevas aplicaciones tecnológicas y sobreviviendo, como si de un virus de la gripe se tratara, a los nuevos métodos y herramientas creadas para combatirlo.

FUNCIONAMIENTO DEL PHISHIHG

     .Esta estafa consta de varias fases:

     .     .1ª. Los estafadores recaban de manera fraudulenta las claves de acceso online a cuentas bancarias, a través de múltiples métodos que a continuación analizaremos. Una vez disponen de las claves de acceso retiran de manera fraudulenta y sin mediar consentimiento del titular dinero de la cuenta bancaria de dicho usuario.

     .     .2ª. Buscan a una persona que pueda poner a su disposición una cuenta bancaria para transferir a la misma el dinero que han sustraído. Esta persona tiene el papel de mulero (mulero bancario), que si bien es una víctima del engaño, coopera sin conocimiento de ello en la estafa.

En el siguiente apartado describiremos los múltiples procedimientos por los que los estafadores (phishers) captan a los muleros.

Los phishers suelen llevar a cabo la primera y la segunda fase casi simultáneamente, ya que realizan la primera inmediatamente después de haber captado al mulero. Una vez que transfieren el dinero a la cuenta designada por el mulero, le piden (enviándole un email e incluso llamándole por teléfono) que transfiera a su vez el dinero lo antes posible a otra cuenta a través de Western Union u otro medio de pago similar.

MODALIDADES DE PHISHING

     .Como ya hemos comentado el método estrella para la recopilación fraudulenta de claves bancarias es el:

     .– Pharming (simulación de entidad bancaria)

Los estafadores simulan o copian una página web de un banco (pharming) y realizan un mailing para que los posibles clientes del mismo accedan a dichas URL’s y faciliten sus datos de usuario mediante algún motivo (actualización del sistema, verificación de datos, etc…).

El mailing o envío masivo de correos electrónicos es enviado a multitud de usuarios, que pueden o no ser clientes del banco, ampliando con ello las posibilidad de que algún cliente pique el anzuelo e introduzca sus claves de acceso en la web falsa.

El usuario, por tanto, recibe el mensaje de correo electrónico que, en todos sus detalles, parece proceder de alguna importante entidad bancaria de la que es cliente y cae en la trampa. Normalmente en este correo electrónico se afirma que, bien como medida de protección de los datos confidenciales del usuario o como consecuencia de algún cambio de los sistemas informáticos del banco, es necesario que el usuario vuelva a introducir datos como números de cuentas bancarias, tarjetas de crédito, logins, contraseñas, números PIN, etc.

En el propio cuerpo del mensaje recibido figura una dirección de Internet o bien un “botón” sobre el que el usuario tiene que hacer click para acceder a un formulario donde introducir los datos solicitados. Sin embargo, el servidor donde está alojado ese formulario nada tiene que ver el supuesto banco, ya que esas páginas han sido creadas por hackers (con mala intención) que configuran el sitio web para una perfecta imitación de la web original del banco, pudiendo recibir directamente los datos confidenciales que el cliente ha introducido. De manera que, una vez han recibido las claves bancarias y demás información, podrán transferir el dinero sin ningún obstáculo.

     .Este método ha evolucionado ya que los estafadores son conscientes de que el usuario, al acceder al enlace que contien el correo electrónico, queda al descubierto su verdadera URL y el usuario puede entonces percatarse del engaño, de manera que en lugar de encontrarnos un enlace en el correo remitido por la supuesta entidad bancaria, nos encontramos con un archivo adjunto con formato “html”.

     .Phishing utilizando entidades y organismos públicos

Cuando se acerca la campaña previa de la declaración de la renta, comienzan a aparecer correos electrónicos supuestamente emitidos por la Agencia Estatal de Administración Tributaria con el asunto “de devolución de impuestos”. Este correo contiene un enlace que nos dirige a una página web con un formulario donde nos solicitan nuestros datos (nombre, NIF, numero de tarjeta de crédito o cuenta bancaria, su fecha de caducidad, código PIN, etc), con la excusa de devolvernos cierta cantidad de dinero.

Se han detectado otros correos que imitan también a otros organismos públicos como puede ser la falsa estafa de Correos, más información aquí.

MÉTODOS DE CAPTACIÓN DE LOS MULEROS.

     .Ofertas falsas de empleo

Uno de los supuestos más comunes que recibimos en nuestro despacho es aquel en el que el usuario recibe en su cuenta de correo una oferta de empleo falsa.

En él se le informa que puede ganar dinero bien como “agente financiero en España de una empresa multinacional que necesita centralizar los pagos a proveedores y demás clientes o como auxiliares financieros que tienen que trabajar como intermediarios para una empresa internacional”.

Ejemplo de corre fraudulento:

Asunto: El trabajo hermoso en la crisis!!
Buenos dias!
Somos – una empresa de holding muy grande en el territoio de EE.UU., que desea ampliar su red de servicios en Europa.
Y en estos momentos estamosen busca de personal en España que nos podra ayudar a comunicarse
con los clientes potenciales y realizar nuestras investigaciones en el mercado.
Llevamos a cabo la formación inicial, por lo tanto no se requieren conocimientos en especial.
Si usted se intereso, por favor, háganos saber:
Su nombre, número de teléfono (en el formato internacional) y la ciudad de residencia.
Nuestros gestores se pondrán en contacto con usted para informarle los detalles.
Con nuestros mejores deseos.
Escribanos al correo electronico xxx@yyyyy.com

Una vez que el usuario responde a esta oferta de empleo, le solicitan que envié su currículum vitae y que suscriba el contrato dispuesto en un enlace, en el que le solicitan de nuevo más datos, tales como número de la Seguridad Social, teléfono de contacto y datos de una cuenta bancaria, para recibir el supuesto sueldo o comisión por la prestación del servicio.

Posteriormente el mulero recibe una llamada telefónica en la que se le informa que ha surgido una emergencia y que han de comenzar a trabajar en ese mismo momento o bien que es necesario realizar una prueba cuanto antes, indicándole que va a recibir una transferencia en su cuenta bancaria, cuyo importe ha de sacar de dicha cuenta, detrayendo una cantidad en concepto de comisión por la gestión realizada y reenviándolo a través de Western Union o MoneyGram a una persona cuyos datos le facilita.

Una vez que el mulero lleva a cabo dicha transferencia se consuma el delito.

     .Otras modalidades

Es sabido que también se lleva a cabo este fraude a través del envío de sms o de llamadas telefónicas supuestamente realizadas por personas pertenecientes a algún organismo o institución publica, solicitando datos personales, que posteriormente son utilizados para consumar este delito.

COMO PROTEGERSE DEL ROBO DE LAS CLAVES

1.    Verifique la fuente de información. No conteste automáticamente a ningún correo que solicite información personal o financiera.

2.    Escriba la dirección en su navegador de Internet en lugar de hacer clic en el enlace proporcionado en el correo electrónico.

3.    Compruebe que la página web en la que ha entrado es una dirección segura. Para ello, ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador.

4.    Revise periódicamente sus cuentas para detectar transferencias o transacciones irregulares.

5.    No olvide que las entidades bancarias, ni ningún organismo público, solicitan información confidencial a través de canales no seguros, como el correo electrónico, teléfono o sms.

PROCEDIMIENTO

     .Cuando la víctima descubre que alguien ha transferido dinero desde su cuenta y sin su consentimiento, acude bien a su banco a pedir explicaciones o bien directamente a la policía a interponer una denuncia.

Momento en que se pone en marcha la investigación policial encaminada a concretar los hechos delictivos y a identificar al autor de los mismos.

Dado que la transferencia inconsentida tiene como destinatario al mulero, sus datos quedan perfectamente identificados en el sistema informático del banco, por lo que, tras solicitar los mismos, llaman a declarar al sospechoso, procediendo a su detención en dicho acto, momento en el cual le informan que puede solicitar un abogado de oficio o bien nombrar a un abogado particular para que le asista.

También es muy usual que la policía llame por teléfono al sospechoso y le informe que ha de acudir a comisaría a declarar asistido con abogado.

El abogado que asiste en sede policial no tiene acceso al atestado, y su función se limita a velar por el cumplimiento de sus derechos como detenido y que están regulados en el artículo 520 LECr:

•    Derecho a guardar silencio no declarando si no quiere, a no contestar alguna o algunas de las preguntas que le formulen, o a manifestar que sólo declarará ante el Juez.

•    Derecho a no declarar contra sí mismo y a no confesarse culpable.

•    Derecho a designar Abogado y a solicitar su presencia para que asista a las diligencias policiales y judiciales de declaración e intervenga en todo reconocimiento de identidad de que sea objeto. Si el detenido o preso no designara Abogado, se procederá a la designación de oficio.

•    Derecho a que se ponga en conocimiento del familiar o persona que desee, el hecho de la detención y el lugar de custodia en que se halle en cada momento. Los extranjeros tendrán derecho a que las circunstancias anteriores se comuniquen a la Oficina Consular de su país.

•    Derecho a ser asistido gratuitamente por un intérprete, cuando se; trate de extranjero que no comprenda o no hable el castellano.

•    Derecho a ser reconocido por el Médico forense o su sustituto legal y, en su defecto, por el de la Institución en que se encuentre, o por cualquier otro dependiente del Estado o de otras Administraciones Públicas.

En cuanto al tiempo de detención, el artículo 520 bis establece que:

1. Toda persona detenida como presunto partícipe de alguno de los delitos a que se refiere el artículo 384 bis será puesta a disposición del Juez competente dentro de las setenta y dos horas siguientes detención. No obstante, podrá prolongarse la detención el tiempo necesario para los fines investigadores, hasta un límite máximo de otras cuarenta y ocho horas, siempre que, solicitada tal prórroga mediante comunicación motivada dentro de las primeras cuarenta y ocho horas desde la detención, sea autorizada por el Juez en las veinticuatro horas siguientes. Tanto la autorización cuanto la denegación de la prórroga se adoptarán en resolución motivada.

Posteriormente, el atestado policial es trasladado al Decanato de los Juzgados competentes para su reparto a un juzgado de instrucción, el cual se hará cargo de la causa. En este momento se recomienda personarse en el procedimiento con abogado y procurador, para que el imputado pueda estar al tanto de todo lo que acontece en la instrucción de su causa y poder así preparar la defensa.

QUÉ HACER SI HE CAIDO EN LA TRAMPA

     .Póngase en contacto con un despacho de abogados especializado en este tipo de delitos para que le asesore desde el principio.

Si usted se ha percatado del engaño una vez que le ha sido ingresado el dinero en su cuenta bancaria, NO SAQUE EL DINERO DE SU CUENTA, e informe a su banco de lo sucedido, y de orden de no admitir transferencias de destinatarios desconocidos hasta que se resuelva la incidencia.

A continuación, PRESENTE UNA DENUNCIA ANTE LAS AUTORIDADES POLICIALES O ANTE LA GUARDIA CIVIL, ya que tarde o temprano, la persona a la cual se le ha retirado fraudulentamente su dinero va a denunciar los hechos, y usted va a ser identificado como destinatario de la transferencia, e imputado por ello. Es aconsejable que usted muestre su interés por denunciar los hechos antes de que la policía le detenga o se dirija contra usted el procedimiento judicial.

CALIFICACIÓN JURÍDICA DE LOS HECHOS

Los hechos suelen calificarse por la acusación particular y/o por el Ministerio Fiscal como de estafa informática, del artículo 248.2 C.P. o como de Blanqueo de Capitales del artículo 301 C.P.

En cuanto a la estafa informática, la pena establecida es de seis meses a tres años de prisión si la cuantía de los defraudado excediere de 400 euros (artículo 249 C.P) y para el Blanqueo de capitales la pena establecida es de prisión de seis meses a seis años y multa del tanto al triplo del valor de los bienes. (artículo 301 C.P).

Nuestro despacho, Abogados Portaley, está especializado en delitos informáticos, y ha conseguido en casos de estafa por phishing, varios archivos y una sentencia absolutoria ante la Audiencia Provincial de Madrid, si necesita ayuda, contacte con nosotros, y le atenderemos encantados.

No dude en consultarnos su caso si ha sufrido una estafa.