La mayor parte de los usuarios de internet son ciberdelincuentes potenciales sin saberlo

Seguramente puede que le suenen algunos de estos términos: phishing, spoofing, pharming, vishing, y así hasta una innumerable lista de conceptos anglos fruto de la tan necesaria convivencia globalizada en el uso de la red de redes: internet.

No obstante, y sin perjuicio de ofrecer una sucinta información de algunos de ellos, no es objeto de este artículo el desarrollo técnico de tales expresiones, tan solo intentaré ilustrar en estas breves líneas, si es del interés del lector, la inexorable realidad de que la gran mayoría de los usuarios de internet son potenciales delincuentes cibernéticos. ¿Cómo es posible?

No cabe duda de que el ciberespacio proporciona amplias comodidades e importantes avances en cualquier ámbito, ya sea en el mundo de la información, ya sea en la sociedad de servicios. Ahora bien, estas interacciones infinitas, pueden implicar situaciones del todo indeseables. Cuando pensamos en delitos informáticos, nos preocupamos sobre todo por la pedofilia, la pornografía infantil, la violación de Derechos de Autor, el cracking, etc. Todos ellos, sin duda, son delitos derivados de las TICs, pero piénsese también lo que podría suceder, por ejemplo, si la amenaza apareciera por sorpresa un día cualquiera y se nos imputara un tipo delictivo tan grave como el de la propia estafa dentro del ámbito telemático, esto es, lo que denominamos la defraudación informática.

Así ha sucedido precisamente con no pocos clientes de nuestra Firma de Abogados, los cuales se han visto desgraciadamente involucrados en una trama, que suele ser de dimensión internacional, destinada al fraude bancario, donde los artífices de la misma han conseguido relacionar a un ordenador víctima o ente “zombi”, mediante técnicas complejas de ingeniería informática, a través de la usurpación o suplantación del protocolo de internet asignado en la línea telefónica vulnerada (dirección IP).

Pero antes de entrar en el fondo del asunto, es de rigor explicar muy básicamente de qué estamos hablando y cuáles son las artes utilizadas en este tipo de escenarios:

El Phishing es una técnica defraudatoria consistente en el envío masivo de información donde los autores, haciéndose pasar por empresas o fuentes fiables, especialmente entidades bancarias, solicitan a los usuarios que faciliten aquellas contraseñas o datos confidenciales necesarias para operar telemáticamente en las webs bancarias, o bien les solicitan que cliqueen en algún enlace que les redirecciona a una página idéntica a la oficial de dichas entidades.

Esto también se hace introduciendo virus informáticos capaces de apoderase de sus claves, -el denominado Pharming, que puede dirigirse a ordenadores concretos o directamente a los servidores DNS-, de suerte que cuando el usuario opera en dichas páginas clonadas introduciendo su claves de acceso, lo hace en la confianza de se trata de la página original de su entidad bancaria, facilitando de este modo a los autores, sin saberlo, sus claves confidenciales.

El Spoofing de dirección IP también es conocido como la suplantación de IP, y consiste en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue mediante programas destinados al efecto y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP.

Por ello, si enviamos un ping (paquete icmp “echo request”) suplantado, la respuesta será recibida por el host al que pertenece la IP legalmente.

Así, por dichos mecanismos los “phishers” consiguen conocer las contraseñas y claves secretas de los usuarios, con las que posteriormente poder acceder a las verdaderas páginas webs, suplantando la identidad de los verdaderos usuarios.

La cuestión es que una vez que estos intrusos se implantan en nuestros equipos, generalmente mediante virus troyanos, pueden operar con nuestra dirección IP desde cualquier parte del planeta, sin que nos enteremos, habilitándolos involuntariamente para que realicen cualquier actuación delictiva como si fuéramos nosotros mismos, por ejemplo, una transferencia bancaria de cuentas de terceros.

Estos ciberdelincuentes actúan discrecionalmente, pero sus víctimas o destinos elegidos están bien estudiados, se dirigen fundamentalmente a ordenadores obsoletos o inseguros.

La seguridad y la obsolescencia de nuestros equipos informáticos son los puntos clave para evitar precisamente este tipo de situaciones desagradables. En efecto, no pretendo alentar al lector para que esté a la última en tecnología, pero sí es cierto que la mayoría de los usuarios trabajan y navegan con equipos de más de tres años, y los routers utilizados son altamente inseguros.

El Estudio sobre la seguridad de las redes inalámbricas (wifi) en los hogares españoles, de noviembre de 2012, del Instituto Nacional de Tecnologías de la Comunicación (INTECO), versa sobre las redes inalámbricas (wifi) y, en el mismo se pone de manifiesto por el Observatorio de la Seguridad de la Información que la mayoría de las redes inalámbricas, así como de los softwares que se encuentran fuera de los niveles básicos de seguridad, son altamente inseguros en el tráfico internauta.

Si tiene un hueco en su apretada agenda, le invito a que se levante y eche un vistazo a la parte inferior de su router, y compruebe qué tipo de seguridad tiene. Si indica WPA (WI-FI Protected Access) o WPA2 puede respirar tranquilo, pero si su dispositivo trabaja en WEP (Wired Equivalent Privacy), debe ir pensando en modernizar el mismo. Recordemos el tajante dictamen del informe reseñado, al resaltar que:

“WEP como estándar de seguridad se encuentra obsoleto desde hace varios años y resulta totalmente inseguro, equivalente a no tener protección”.

Igualmente, un estudio realizado por el portal especializado en telecomunicaciones BANDAANCHA.EU. En dicho informe se analiza la situación de manifiesta vulnerabilidad en que se encontraba ya en el año 2009 la red wifi de un importante prestador de servicios de telefonía e internet (si no el que más), que define como “especialmente grave y de cuyos routers concluye señalando que:

“un 93% de los routers WiFi de Telefónica continúan con la configuración original establecida por la operadora. En este caso, además de ser vulnerables debido a el uso de WEP, las claves son parcialmente predecibles debido a el uso de patrones”.

Al margen de la mayor o menor seguridad de nuestros routers, es altamente recomendable que cambiemos la clave que aparece por defecto en los mismos, ya que existen multitud de programas/aplicaciones para conseguir las mismas sin mayor complejidad que hacer un click.

Hasta este punto, sabemos que muchos de nuestros equipos son especialmente vulnerables; y aunque ya conozcamos algunas claves para evitar desagradables situaciones con la justicia, si se nos presentaran situaciones parecidas a las comentadas en nuestros despachos, o incluso en nuestros propios hogares, existen vías efectivas para defendernos de forma apropiada.

Afortunadamente, nuestro alto Tribunal ya se ha pronunciado al respecto de la usurpación o suplantación de identidad en el ámbito informático. Es inevitable destacar la importantísima y relativamente reciente Sentencia del Tribunal Supremo 8316/2012, de 3 de diciembre de 2012, por la que se absuelven a dos acusados por delitos de estafa realizada por medios telemáticos. En ella se cuestiona con rotundidad la dudosa afirmación referida al hecho de que se pueda relacionar categóricamente una operación fraudulenta a una dirección IP, y por ello, si el propietario o usuario asignado a la misma deba ser inequívocamente el autor de la operación. Su Fundamento de Derecho 3º.2 es taxativo:

«En efecto el propio informe advierte que su objetivo y alcance se reduce a poner en evidencia que la inferencia que vincula ser usuario de un ordenador y línea telefónica no lleva necesariamente a la conclusión de que ese usuario sea el autor de toda utilización telemática de esa infraestructura informática. Y tal desautorización se hace desde premisas acreditadas y cuya obtención no exige el examen del equipo informático. En el caso, además de no desmentidos por el informe pericial, el perito indica que dispuso de los datos premisa de sus conclusiones desde la factura emitida por el servidor».

Así, esta relación unívoca aparentemente inapelable entre la dirección IP y el usuario de la misma, a raíz de esta sentencia, presenta dudas razonables sobre la veracidad y certeza a la hora de imputar la culpabilidad a un individuo (esto es, el propietario del dispositivo).

Si pensamos en términos prácticos, y si me permiten la comparación, la dirección IP asignada a nuestro equipo informático se podría asimilar a una matrícula de coche: evidentemente, si el coche es de nuestra propiedad, su matrícula nos identifica como propietarios del mismo, pero, ¿qué ocurre si un delincuente nos lo roba para cometer un delito donde se valga para su perpetración el propio vehículo? ¿Habría que asignar una relación de autoría automáticamente entre matrícula y su propietario? Claramente, el Juez deberá recabar muchos más indicios para que se nos pueda relacionar en este tipo de delitos complejos. La diferencia fundamental en este símil es que cuando nos roban el coche, posiblemente, nos demos cuenta; cuando nos roban la dirección IP, seguramente no.

En fin, a partir de ahora, cada vez que navegue por los confines del ciberespacio, tenga a bien, si lo considera, todo lo que aquí se ha analizado; y permítame que cierre este artículo con las recomendaciones que propugna el Grupo de Delitos Telemáticos de la Guardia Civil en su Decálogo de Navegación Segura*. Básicamente nos aconseja una serie de sanas prácticas que ayudarán cuantiosamente a evitar cualquier contratiempo  on line, tales como actualizar de forma regular nuestro Sistema Operativo, utilizar un navegador actualizado, elegir contraseñas seguras y diferentes para cada servicio de Internet, verificar regularmente los movimientos de su/s cuenta/s bancaria/s, utilizar un antivirus con licencia y que se encuentre siempre actualizado, instalar un firewall, considerar la posibilidad de utilizar un único dispositivo para las transacciones bancarias y de comercio electrónico, desconfiar de los mensajes cortos que reciba, sobre todo si incluyen un enlace para acceder a contenido…

En definitiva, utilice el sentido común como mejor antivirus y no confíe ciegamente en los sistemas y sus aplicaciones.

*https://www.gdt.guardiacivil.es/webgdt/cusuarios.php

Javier Del Rey

Author: Javier Del Rey

Compartir esta Publicación en

Enviar Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *