GAONA Abogacía y Consultoría
Internet continúa masificándose, lo que genera innumerables beneficios en la esfera académica, social y empresarial. Sin embargo, también es el propicio para la consumación de una serie de nuevas figuras delictivas. En Perú existen organismos principales que asumen la responsabilidad en cuanto a la creación y puesta en marcha de mecanismos y normas relacionados con la prevención de delitos informáticos, también llamados delitos cibernéticos.
En primer lugar, está el PeCERT. Éste es el equipo de respuesta a incidentes de seguridad cibernéticos peruano. Se fundó en 2009 y es la principal entidad responsable de los asuntos relacionados con la seguridad cibernética en Perú, incluidas la prevención y gestión de incidentes. Este organismo forma parte de la ONGEI – Oficina Nacional de Gobierno Electrónico e Informática.
En segundo lugar, se encuentra la investigación de los delitos cibernéticos y las responsabilidades correspondientes le competen fundamentalmente a la División de Investigación de Alta Tecnología (DIVINDAT), comprendida en la Dirección de Investigación Criminal (DIRINCRI) de la Policía Nacional del Perú (PNP).
En lo que atañe al aspecto legislativo, Perú tan sólo cuenta con tres leyes que, de una manera difusa y poco precisa, han tratado de regular los ciberdelitos: la Ley que Incorpora los Delitos Cibernéticos al Código Penal (Ley 27309), la Ley de Protección de Datos Personales (Ley 29733) y la Ley de Delitos Cibernéticos (Ley 30096).
A continuación, se describen cuatro de los delitos que se generan con mayor frecuencia en la actualidad:
1. Phishing
El Phishing implica la acción de intentar adquirir información confidencial suplantando la imagen de una persona o entidad. El objetivo con el que operan los delincuentes es el de conseguir datos privados sobre identidades o cualquier medio que le asegure al ladrón usarlas para fines fraudulentos.
El delincuente que ejecuta el phishing ilusiona a la víctima con una fortuna inexistente y la persuade para que pague una suma de dinero por adelantado. El delincuente dirige un correo electrónico a su víctima y le solicita, suplantando una identidad, que pague un dinero anticipado. Este procedimiento generalmente lo ejecuta a través de un correo electrónico o un esporádico mensaje en la pantalla de su ordenador.
En Perú, esta conducta está penalizada hasta con cuatro años de pena privativa de la libertad. El artículo 1 de la Ley 30096 señala: “el que accede sin autorización a todo o parte de un sistema informático, siempre que se realice con vulneración de medidas de seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días multa “
Cuatro son las modalidades de phishing más comunes que buscan principalmente sustraer la información bancaria de la víctima:
a. EN FACEBOOK: Son más de 19 millones de peruanos quienes se conectan mensualmente a la red social de Mark Zuckerberg, la mayoría a través del Smartphone. Ante eso los hackers y cibercriminales se las ingeniaron desde mediados del año pasado para robar contraseñas de miles de usuarios apelando a URL’s falsas que duplicaban el sitio y eran el “atajo” perfecto para acceder a Facebook través de su dispositivo móvil de una manera más rápida. Asímismo, el robo de datos personales también se da con supuestos mensajes de amigos y solicitudes de cambio de contraseña o mensajes.
¿Qué hacer para prevenirlo? Verificar las credenciales de la web, la cual será segura si empieza con “https://...” y si aparece un candado como icono en la esquina superior izquierda de la barra de direcciones del navegador, seguida de la frase “es seguro”.
b. ESTAFAS VÍA WHATSAPP: Ésta es hoy en día la aplicación de mensajería instantánea con más usuarios en el mundo y, por lo mismo, uno de los blancos preferidos de los cibercriminales. En esta red se crean cadenas de mensajes que acaban llegando a millones de teléfonos móviles, lo cual constituye una mina de oro para el phishing. Una de las últimas tendencias en esta clase de fraudes vía WhatsApp es el supuesto nuevo servicio de videollamada. Por otra parte, también se ha puesto de moda el envío de mensajes con promociones y descuentos de aerolíneas y restaurantes que lo que buscan es que la persona digite información de sus tarjetas de crédito.
Lo que recomendamos es más que obvio: no ingresar a links que redireccionan a páginas que solicitan información personal y bancaria.
c. FALSO TELEMARKETING: Además de las redes sociales, el phishing también se comete empleando llamadas telefónicas engañosas. En ellas, el delincuente se hace pasar por un representante de un banco “X” e intenta persuadir a la persona para que llame a un número atención al cliente falso. Si ésta cae en la trampa, al marcar el número el sistema automatizado le indicará que debe introducir información clave como su número de cuenta bancaria, tarjeta de crédito y claves.
Prevenirlo es muy simple: haga caso omiso o simplemente cuelgue. Según la Asociación de Bancos del Perú (Asbanc), ningún banco o entidad financiera solicita información como claves o números de cuenta por llamadas, SMS, correos, o enlaces. Si el cliente desea comunicarse con su banco, puede llamar al número de contacto que figura al reverso de su tarjeta de crédito o débito.
d. EN LOS MOTORES DE BÚSQUEDA: Google, así como los otros buscadores, son también “recreados” por los ciberdelincuentes para robar información. Lo que hacen ellos es imitarlos tal cual para redireccionar al usuario a sitios web fraudulentos. El quid del asunto es que los tienen indexados legítimamente con los motores de búsqueda y los usuarios, cuando ingresan, no detectan nada anómalo.
2. Pharming
Es una forma de fraude en línea basado en redirigir el tráfico de un sitio web de confianza hasta la página fraudulenta. El ladrón suplanta una página web y la configura de manera que pueda extraer la información que en ella digite el usuario. Esta modalidad está diseñada para la sustracción de datos o la infección de virus.
El atentado contra la integridad de datos informáticos está penado hasta con seis años de cárcel y con ochenta a cierto veinte días de multa, según el artículo 3 de la Ley 30096, Ley de delitos informáticos.
La batalla contra el pharming se está llevando a cabo, en primer lugar, por los proveedores de Internet, ya que filtran muchas de las redirecciones falsas, tanto como les sea posible. Sin embargo, es posible aumentar su protección desde casa tomando algunas precauciones. El paso más importante proviene del uso de un proveedor de servicios de Internet dignos de confianza.
La URL es también un gran lugar para comprobar. Asegúrese siempre de que, una vez que la página se ha cargado, la URL esté escrita correctamente y no ha redirigido a un sitio web distinto, con una tipografía ligeramente distinta, tal vez con letras adicionales o con las letras cambiadas de estilo.
Uno de los mayores temores es que pharmers atacarán principales servicios bancarios o de los sitios de comercio electrónico. Cuando se llega al punto de pago o el punto en el que se le pide que escriba en las contraseñas y nombres de usuario de banca, asegúrese que el http ha cambiado a https, dado que la “s” significa seguro.
El software antivirus también puede ayudar a proteger contra el pharming casos, especialmente cuando se accede un sitio no seguro sin darse cuenta. Mantenga actualizado su Antivirus, esto le proporcionará seguridad contra nuevos casos de pharming.
3. Keylogging
Es mundialmente conocido como el “rastreador de teclados”. Esta peligrosa modalidad la ejecuta un hacker, de manera que pueda grabar las pulsaciones de un teclado para posteriormente registrarlas en un fichero, interpretarlas y robar información importante.
Un keylogger (derivado del inglés: key ('tecla') y logger ('registrador'); 'registrador de teclas’) es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet.
En algunos ordenadores podemos darnos cuenta de si están infectados por un keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho de que el programa registrará cada una de nuestras teclas de la siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger cada vez que el usuario presione una tecla. Si bien este evento no será una carga relevante para nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos 30 segundos con la palma de tu mano y tu sistema se congela o su funcionamiento es demasiado lento podríamos sospechar que un keylogger se ejecuta sobre nuestro computador. Otro signo de que un keylogger se está ejecutando en nuestro ordenador es el problema de la tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers configurados para otros idiomas.
4. Malware
Son los programas informáticos que, una vez instalados en el ordenador o dispositivo móvil de la víctima sin su consentimiento, espían sus acciones y permiten obtener datos e informaciones como las antes citadas.
La ley 30096 de Delitos Informáticos regula expresamente en su artículo 10 a castigar el abuso de mecanismos y dispositivos informáticos.
Se sancionará a quien fabrique, diseñe, desarrolle, venda, facilite, distribuya, importe u obtenga uno o más mecanismos, programas informáticos, dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático, especialmente diseñados para la comisión de los delitos previstos en la citada ley 30096.
También se castiga a quien ofrezca o preste servicio que contribuya a los propósitos mencionados. La pena será de 1 a 4 años de privación de libertad y multa de 30 a 90 días.
Con todo, y concluyendo ya este artículo, ya estamos advertidos. La mejor prevención es acceder tan sólo a webs o softwares de confianza y contar con un antivirus actualizado. Y de ser, finalmente, víctima de los “ciberpiratas” lo mejor será acudir a las autoridades para ponerle solución al conflicto.
Juan Alberto Pacheco Flores, abogado especializado en el área de empresa de Gaona Abogados BMyV Alianza en Perú