Las estafas electrónicas: el spoofing.

Las estafas electrónicas: El spoofing.

(Laura Vizcaíno Hernández).

El spoofing nace como una nueva  técnica defraudatoria de suplantación de identidad dirigida a obtener la transferencia de activos de la víctima a un tercero de modo que se protege el esquema extractivo de una eventual defensa por parte de aquella. El objetivo es que el estafado actúe fiado de hacerlo en un ámbito de seguridad, de confianza, y facilite de un modo u otro sus claves y contraseñas al delincuente.

Concretamente, es una técnica de hacking que consiste en suplir la identidad de una persona en la red o de una página web con la finalidad de obtener información privada o el acceso a páginas con credenciales falsas y hacerse valer de las mismas para la comisión de un delito, que suele ser la estafa. Es un anglicismo que podríamos traducir como “burla” o “pantomima”, es decir, un engaño o fingimiento para ocultar una cosa.

Hoy en día, en un mundo donde la comunicación en línea es la vía predominante para la mayoría de transacciones, los ataques de spoofing son cada vez más usuales.

Hay diferentes tipos de hacking que presentan matices dependiendo la fuente del ataque:

a) Suplantación de dirección IP.

Los ciberdelincuentes utilizan la dirección IP del equipo de la víctima para enviar paquetes TCP/IP o UDP/IP –  que son protocolos de comunicación a través de la red – a través de los cuales el hacker obtiene el acceso a la red personal. Este sistema es el más utilizado por los atacantes ya que permite un ataque DDoS, es decir, un grupo de personas atacan a un servidor u ordenador desde muchos equipos a la vez provocando que dicho servidor no sea suficiente para soportar tantos datos y provoque su colapso y caída.

Quizá este tipo de ataque es el más conocido ya que es el utilizado por los hackers para hacer caer grandes servidores de empresas como acto de protesta como ha sucedido recientemente con Instagram, Netflix o Facebook.

b) E-mail spoofing.

Este tipo de ataque puede darse en una doble dirección. Por un lado, el atacante puede utilizar una dirección de correo de una persona o entidad fiable para solicitar información confidencial o remitir spam que sirva de anzuelo, así como hacer uso de cuenta de correo robada y utilizada para enviar correos malintencionados. En cualquiera de los tres escenarios la situación inicial es de confianza – la víctima piensa simplemente que le ha llegado, por ejemplo, una oferta de una tienda de ropa, o un correo de un amigo o conocido al que le han usurpado la cuenta -. Por otro lado, el atacante puede crear una dirección de correo o una web con la apariencia de ser una fuente de confianza con la finalidad de hacerse con información confidencial y poder usar esta con fines fraudulentos.

Este último escenario es el conocido como “phishing” que se define como la estafa que tiene como objetivo obtener datos privados de usuarios de internet, especialmente de sus cuentas o datos bancarios, a partir de un correo que actúa como anzuelo y a partir de una respuesta generada en un clima a la vez de nerviosismo por un supuesto ataque y de confianza por la aparente procedencia de la misiva que nos pide las claves. En castellano podría traducirse como el arte de pescar a través de trampas. Es popular sobre todo por las suplantaciones y fraudes que se realizar a través de la banca online haciéndose el delincuente pasar por la entidad del usuario para robarle grandes cantidades de dinero.

c) Suplantación web.

Aunque el nombre pueda evocar al anterior, no estamos ante el mismo supuesto. En este caso el criminal es un intermediario entre la víctima y la web a la que pretende acceder. De este modo, lo que hace es monitorear su actividad y acceder a sus datos personales. Es lo que los informáticos denominan un “bicho” que actúa en el dispositivo de una forma similar a como actúa un Teamviewer. Una vez dispone de acceso a nuestro ordenador, sólo tiene que esperar a que hagamos alguna operación – incluso puede grabar horas de nuestra actividad – y cuando disponga de los datos, atacar nuestras cuentas corrientes.

d) Suplantación de DNS.

Consiste en acceder a los servidores de nombres de dominio de la víctima y, una vez dentro, modificar sus direcciones IP para redirigirlas a servidores maliciosos. Aquí el ataque no es visible para la víctima, ya que tiene lugar contra el servidor donde se aloja el dominio, por lo que usualmente se trata de un esquema de suplantación articulado de un modo mucho más complejo – los servidores tienen cortafuegos y sistemas defensivos mucho más elaborados que los de un particular – y dirigido generalmente a la obtención de datos de empresas.

e) Suplantación de ARP.

Este tipo de hackeo es el más peligroso ya que significa que el atacante ha logrado introducirse en la red privada del sistema y por tanto puede modificar las tablas de ARP – Address Resolution Protocol – para asociar su MAC – Media Acces Control – a la red de la víctima. Es decir, una vez dentro del equipo puede modificar su seguridad para darse permisos a sí mismos. Es más, puede quedarse latente en el sistema hasta que detecte una actividad que le resulte interesante para ejecutar la estafa, de manera que si no revisamos los permisos de acceso podemos estar expuestos sin saberlo durante un largo periodo de tiempo, e incluso podemos servir de gancho de la estafa que se ejecute contra nuestro entorno.

Tal y como establece el artículo 248.2, letra e) de nuestro Código Penal ejecutan la estafa quienes “valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

Como indica la Sentencia de nuestro Tribunal Supremo 369/2007, de 9 de Mayo, “La actual redacción del art. 248.2 del Código Penal permite incluir en la tipicidad de la de la estafa aquellos casos que mediante una manipulación informática o artificio semejante se efectúa una transferencia no consentida de activos en perjuicio de un tercero admitiendo diversas modalidades, bien mediante la creación de órdenes de pago o de transferencias, bien a través de manipulaciones de entrada o salida de datos, en virtud de los que la máquina actúa en su función mecánica propia. Como en la estafa debe existir un ánimo de lucro; debe existir la manipulación informática o artificio semejante que es la modalidad comisiva mediante la que torticeramente se hace que la máquina actúe; y también un acto de disposición económica en perjuicio de tercero que se concreta en una transferencia no consentida. Subsiste la defraudación y el engaño, propio de la relación personal, es sustituido como medio comisivo defraudatorio por la manipulación informática o artificio semejante en el que lo relevante es que la máquina, informática o mecánica, actúe a impulsos de una actuación ilegítima que bien puede consistir en la alteración de los elementos físicos, de aquéllos que permite su programación, o por la introducción de datos falsos. Cuando la conducta que desapodera a otro de forma no consentida de su patrimonio se realiza mediante manipulaciones del sistema informático, bien del equipo, bien del programa, se incurre en la tipicidad del art. 248.2 del Código Penal. También cuando se emplea un artificio semejante. Una de las acepciones del término artificio hace que este signifique artimaña, doblez, enredo o truco.”

A esa idea podríamos añadir la existencia de una necesaria colaboración de los ejecutantes del delito, ya que en la práctica en la mayoría de los delitos cometidos por Spoofing es necesaria la actuación de, al menos, dos personas: el atacante o “hacker” y la cyber-mula” – que podrá ser partícipe con conocimiento o por error –. Así, cuando se da una colaboración entre más de dos personas en esta suerte de delitos, lo que no es difícil ya que en no pocas ocasiones se suman a los anteriores quienes actúan como receptadores o blanqueadores de las cantidades sustraídas, podrán darse las penas correspondientes a grupo criminal. El objeto de la estructura estable que se genera, aunque sencilla en la mayoría de los casos, no es otro que evitar que las víctimas puedan recuperar lo sustraído.

Al margen de la penalidad, se plantea un problema no menor en la práctica con la competencia que a menudo genera retrasos en las indagaciones iniciales por parte de las Autoridades. Se trata de la cuestión de la competencia, que consideramos resuelta sobre la base de la doctrina de la ubicuidad construida por nuestro Tribunal Supremo. Dicha doctrina, que sienta sus bases en el Acuerdo no Jurisdiccional del Pleno de 3 de Febrero de 2005 – extiende el fórum delicti comissi a todos los lugares donde se desarrollan elementos del tipo (engaño, acto de disposición o manifestación del perjuicio) en el caso de las estafas informáticas se precisan matizaciones.

Así lo enseña el Auto de nuestro Tribunal Supremo, de fecha 19 de Febrero de 2014 al afirmar que “En resoluciones de esta Sala (ver auto de 30-3-10 y de 6-4-11 cuestión de competencia 20023/11 entre otras) se ha especificado que nos encontramos en presencia de cuatro ubicaciones:

a) Lugar de emisión de los correos: A efectos de la investigación, éste sería el lugar en el que se inicia la trama defraudatoria, aunque a efectos de la investigación de los hechos resulta irrelevante por las propias indicaciones que hace la policía en torno al origen de este tipo de cuentas de correo y su anonimato.

b) Lugar de actuación y de residencia de la intermediaria: Granollers, donde recibe las transferencias en su cuenta corriente, de donde se extrae materialmente el dinero del circuito bancario, y desde donde se efectúan los envíos de metálico a los destinos en el extranjero con arreglo a las instrucciones recibidas. A los efectos de la investigación del delito de estafa, este lugar cobra trascendencia. La actuación de Tamara implica una cooperación necesaria en el delito de estafa: Granollers sería el lugar donde se han realizado parte de las acciones típicas, y donde, se hace salir el dinero del circuito bancario al convertirlo en metálico.

El envío por empresas dedicadas a tal fin produce al efecto de impedir la reversión del mismo al circuito y el reintegro a los perjudicados. Sería el Juzgado de Instrucción de Granollers competente para la instrucción de la causa por ser el lugar donde se han realizado conductas típicas del delito investigado. Además, es el lugar donde la investigación policial puede tener algún efecto, al poderse operar bien sobre el equipo informático de la imputada, bien sobre las empresas de envíos de dinero metálico al extranjero; en definitiva donde la instrucción puede alcanzar, dentro de lo posible, más eficacia.

c) Lugar de residencia de las víctimas del delito y domicilio de la entidad bancaria donde tienen abiertas sus cuentas corrientes. Estos son lugares, a efectos de la instrucción de la causa, absolutamente irrelevantes. La mecánica operativa desplegada a través de Internet prescinde de la localización física de la concreta sucursal bancaria en la que la víctima tenga situada su cuenta corriente. Se opera desde la red y a través de claves y procedimientos informáticos. La operativa que no precisa la presencia física del autor en las localidades donde se encuentran ubicadas dichas cuentas corrientes.

d) Lugar de emisión de la orden de transferencia. Puede ser relevante para la investigación. Normalmente no coincidirá con ninguno de los lugares anteriormente considerados, ni los domicilios de las cuentas corrientes de donde se extrae el dinero, ni el domicilio de la cuenta corriente del intermediario.”

De este modo, parece razonable convenir que el foro competente a favor de la víctima será el lugar donde se produce la disposición, que usualmente será donde resida o tenga parte relevante de sus intereses.

Visto lo anterior, creemos necesario apuntar algunas medidas básicas de protección frente al spoofing. Varias serán valoradas, con seguridad, como sencillas y fáciles de seguir, pero lo cierto es que ni todos solemos gestionar de modo seguro nuestra relación con los dispositivos electrónicos, ni mucho menos pensamos que podamos ser víctimas de un ataque de esta naturaleza.

Las medidas que de modo rápido y sencillo podemos adoptar para detectar  y evitar un posible ataque de spoofing son:

a.       Eliminar los correos con contenidos que requieran de contraseñas o datos personales y que tengan dudosa procedencia. No basta con eliminarlos de la lista, sino que hay que vaciar regularmente la papelera. Pensemos que el estafador ya cuenta con que vamos a poder ejecutar el comando de eliminación pensando que hemos conjurado el riesgo, por lo que existen sistemas de activación del spoofing vinculados a esa acción por nuestra parte.

b.      Evitar webs con URL’s incorrectas y que redirigen a otras direcciones o webs que no cuentan con la seguridad Https. Todo caso de redireccionamiento no consentido es potencialmente peligroso y debe suponer el cierre de la ruta.

c.       Utilizar un software que nos muestre en todo momento la IP de cada web. Incluso es posible que el software analice los riesgos asociados a la IP, ya que algunos incluso se nutren de bases de datos policiales o de malware asociado a determinadas IP o de zonas de riesgo que merece la pena evitar.

d. Configurar filtros en el router para controlar el acceso y el tráfico de paquetes.

e. Activar protocolos de verificación SPF ya que el dominio tendrá que autorizar al servidor de correo SMTP para enviar o recibir un correo.

f.  Evitar acceder a cualquier página que nos pida las claves de acceso a cuentas bancarias o correos. Nuestro Banco no nos va a pedir nunca las claves por medio de una interfaz reenviada desde un SMS, por ejemplo. De hecho, es preferible siempre llamar al teléfono de emergencia del Banco o buscar un cajero para verificar si ha existido un ataque en nuestra cuenta corriente. El estafador juega con nuestro miedo para movernos a darle las claves bancarias, de modo que la sangre fría y la cabeza calmada son el mejor antídoto contra la estafa.

Como corolario de lo expuesto, quizás podemos decir que cuando suceden situaciones extrañas como las narradas hasta aquí en un entorno como el de la red, se hace bueno aquel antiguo proverbio de los indios americanos. Si huele como un bisonte, es grande como un bisonte y embiste como un bisonte, sal de en medio: es un bisonte. La prudencia es con seguridad el mejor activo preventivo en esta materia.