• Las páginas espejos son diseñadas por ciberdelincuentes para robar información personal de los usuarios

En el ámbito de la ciberdelincuencia, existen multitud de conceptos, técnicas o formas de ataques que, para la mayoría de ciudadanos e incluso para profesionales del derecho, son totalmente desconocidos.

Así, en un mundo cada más digitalizado, la seguridad online se constituye como algo imprescindible para mantenernos protegidos de los diferentes tipos de ciberamenazas que recibimos a diario por distintos canales (vía SMS, correo electrónico o redes sociales, por ejemplo).

Términos como "cookie", "hacker" o "troyano" son vocablos que hemos incorporado con naturalidad a nuestras conversaciones más cotidianas. Sin embargo, hay otros conceptos digitales como las "páginas espejo" que, probablemente, nunca hemos oído hablar de ellos y se antoja igual de importante su conocimiento para evitar caer en las garras de los ciberdelincuentes.

Fran Peláez, socio director de PenalTech, explica que las "páginas o dominios espejo" son "sitios webs que contienen una réplica exacta de otros espacios webs ya existentes, pero con una URL diferente". De este modo, "los ciberdelincuentes diseñan páginas web similares a las legítimas y envían a sus víctimas dichos enlaces para que ingresen allí determinados datos personales de valor, como podrían ser datos financieros, contraseñas de Internet, números de DNI o pasaporte, historial clínico o números de teléfono", añade el experto en delitos informáticos.

Habitualmente, la víctima ingresa a dichas páginas web fraudulentas después de recibir un SMS o un email en el que se le solicita la actualización de sus datos o con amenazas de cancelación de cuentas. "En el despacho hemos recibido a decenas de clientes que han sido víctimas de estas técnicas maliciosas. Sin embargo, tampoco son pocos los clientes que hemos asesorado y que después de sufrir una suplantación de identidad, han sido acusados erróneamente de cometer ciertos delitos informáticos relacionados con este método de engaño", comenta el abogado.

Juzgados y tribunales se actualizan

Acorde a la introducción de esta nueva terminología, nuestros juzgados y tribunales ya se hacen eco en sus resoluciones del concepto de "página espejo".

Por ejemplo, la Audiencia Provincial de Asturias, en una reciente sentencia de 26 de julio de 2024, anuncia la sustracción de 6.500 euros a un cliente bancario después de recibir un SMS, supuestamente emitido por su entidad financiera (Caja Rural de Asturias), en el que se le advertía que debía verificar el estado de su cuenta. Tras ello, el usuario clicó en el link que allí se le ofrecía, fue redirigido a una "página espejo" e introdujo sus claves con total desconocimiento del fatal desenlace.

Otro del grupo reducido de tribunales que ya han interpretado el concepto que aquí venimos comentando es la Audiencia Provincial de Málaga. En su sentencia de 19 de marzo de 2024, la Sección Quinta se detiene a analizar un caso de ataque phishing sufrido por una mujer a la que terceros desconocidos defraudaron hasta 6.000 euros tras obtener sus datos bancarios y utilizar estos para realizar una serie de compras en el comercio electrónico. En este caso, la Sala reconoce que la usuaria recibió un SMS de su entidad financiera (Banco Santander) en el que se le alertaba de que su cuenta había sido bloqueada temporalmente por motivos de seguridad, debiendo acceder a un enlace para reactivarla. La mujer calló en la trampa y, según se detalla literalmente en la resolución, tal enlace le dirigió "a una página espejo que clonaba a la perfección la apariencia de banca online de la entidad bancaria demandada".

Anticípate y detecta el fraude

Tras reconocer que todos podemos ser víctimas de este tipo de fraudes en algún momento de nuestra vida, Fran Peláez aconseja ser extremadamente observadores y cautelosos al clicar en estos enlaces. "Fíjate en la barra de direcciones de tu navegador. Si la web no tiene certificado digital, debemos sospechar que nos enfrentamos ante una página fraudulenta", alerta el letrado.

Igualmente, "si las imágenes o logos que allí aparecen no son de buena calidad o aparecen pixelados, si la URL de referencia no se identifica con el nombre de la entidad a la que queremos acceder o si en el pie de página no contiene ningún tipo de información de la empresa (dirección física, CIF de la empresa, teléfono de atención al cliente), ni sellos de confianza o certificaciones de otro tipo, son evidencias que nos invitan a frenar nuestra navegación por esa página web de dudosa legalidad", concluye el experto en cibercriminalidad.