LA EXPECTATIVA DE RECUPERACION DE ACTIVOS EN CASOS DE PHISHING Sobre el presentador. Licenciado en Derecho; Especialista en Fraudes Bancarios. Se desempeño como Instructor de la Asociación Bancaria Costarricense en temas de Legitimación de Capitales y como Profesor de Criminología de la Universidad Libre de Costa Rica. Fue Director Fundador del Centro de Inteligencia Conjunto Antidrogas CICAD, hoy en día Instituto Costarricense sobre Drogas y es miembro activo y Vocero de la Comisión de Seguridad Bancaria. Lic. Roberto Mendez R. Abogado Banco Nacional de Costa Rica Actualmente funge como Director de Seguridad del Banco Nacional de Costa Rica con responsabilidades primarias en la prevención de delitos asociados a la actividad bancaria. Antecedentes El delito de estafa bajo la modalidad del Phishing, es una figura delictiva que esta generando hoy día graves perjuicios económicos a cientos de clientes bancarios, usuarios en su mayoría de servicios de banca electrónica en línea, servicio que se encuentra en la mira de los reguladores y de las organizaciones de defensa de los derechos de los consumidores. Puede ser que alguno de ustedes, o bien alguien que ustedes conozcan, haya recibido o esté por recibir un mensaje fraudulento que lo induzca a revelar sus claves personales para acceder a servicios de banca electrónica y termine por desconfiar de un servicio bancario, que tiende a incrementarse en los años venideros. Dada la complejidad de este tipo de delito transnacional y del intrincado laberinto de posibilidades que tienen los delincuentes para ocultar el rastro y destino de los fondos sustraídos, las posibilidades de recuperación efectiva de capitales se convierten en todo una expectativa para las víctimas y un gran reto para los investigadores criminales. Temario Concepto de Delito. Concepto de Fraude. El delito de Estafa. Generalidades sobre la “persona virtual”. El robo de datos mediante Keyloggers. El robo de identidad y la modalidad de “Phishing”. Cómo funciona el Phishing: Mensajes, Falsificación de Páginas Oficiales. El Art. 35 de la Ley de la Promoción de la Competencia Efectiva del Consumidor y la Teoría de la Responsabilidad Objetiva. Conclusiones. Concepto del delito Crimen*: Infracción Gravísima.// Perversidad Extrema.//Acción merecedora de la mayor repulsión y pena.//Maldad grande.//Tremenda injusticia.// Pecado mortal. En Derecho Penal. Genéricamente, delito.// También culpa.// De modo específico, la categoría más grave y penada de infracciones contra el orden jurídico. *G.Cabanellas. Diccionario de Derecho Usual Qué es un fraude? “Todo acto o efecto de lesión, que se causa en el patrimonio ajeno de una persona o institución, de forma no violenta, por medio del ardid o engaño y con intención de lucro, para beneficio personal o de un tercero”.* *G. Cabanellas, Diccionario de Derecho Usual Delito de Estafa Art. 216 C.P. ARTÍCULO 216.- Quien induciendo a error a otra persona o manteniéndola en él, por medio de la simulación de hechos falsos o por medio de la deformación o el ocultamiento de hechos verdaderos, utilizándolos para obtener un beneficio patrimonial antijurídico para sí o para un tercero, lesione el patrimonio ajeno, será sancionado en la siguiente forma: 1.- Con prisión de dos meses a tres años, si el monto de lo defraudado no excediere de diez veces el salario base (*). La Persona Virtual Generalidades: Frente a un mundo bancario virtual, en el que imperan las transacciones electrónicas en línea, nosotros somos personas virtuales, pues requerimos identificarnos frente a sistemas de validación, creados para evitar fraudes por suplantación de identidad. Generalmente esos sistemas se diseñan sobre la base de números de identificación (cédula de identidad, pasaporte, etc.) y a través de una clave que debe ser diseñada por el interesado y cumplir ciertas condiciones (no menos de ocho caracteres, combinación de letras y números; no utilización de vocales; etc.) El uso de sistemas de validación adicional como la tarjeta de coordenadas, el token; la firma digital y otros, permite incrementar el nivel de seguridad personal frente al problema de robo de identidad. KEYLOGGER Son herramientas de software (malware; spyware; troyanos) o hardware que permiten grabar el texto que escribe una persona en su teclado. En el caso del hardware, el keylogger se presenta como dispositivos USB y PS2 que se conectan entre el PC y la instalación del teclado a través de los puertos, los cuales, graban en una memoria interna el texto digitado en el computador, de este modo toda la actividad que se realizó en un determinado PC, podría estar en manos de un “estafador”. Robo de Identidad El 'phishing', es el envío masivo de mensajes electrónicos que fingen ser notificaciones oficiales con el fin de obtener datos personales y bancarios de los usuarios para hacerse pasar por ellos en diversas operaciones 'on line', es uno de los delitos informáticos en auge. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraude se recibe habitualmente a través de mensajes de correo electrónico o de ventanas emergentes. ¿Cómo funciona el “Phishing“? Estructura de los mensajes: Introducción Justificación del porqué debe registrarse nuevamente en el sistema. Facilitación de vínculos para iniciar el registro en línea. Amenaza de cierre de cuentas o perdida de datos si no procede de acuerdo a instrucciones. Al dar click donde dice personas o empresas, se despliega la siguiente página Aparece una dirección web que claramente no es la de uso oficial del BCR. No aparece el “candado” que indica página segura. ESTIMACIÓN DE PERJUICIO ECONÓMICO El Art. 35 de la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor y la Teoría de la Responsabilidad Civil Objetiva En lo que interesa…. ARTÍCULO 35.- Régimen de responsabilidad. El productor, el proveedor y el comerciante deben responder concurrente e independientemente de la existencia de culpa, si el consumidor resulta perjudicado por razón del bien o el servicio, de informaciones inadecuadas o insuficientes sobre ellos o de su utilización y riesgos. Sólo se libera quien demuestre que ha sido ajeno al daño… Conclusiones El Phishing es una modalidad delictiva transnacional de investigación compleja. Genera grandes perjuicios económicos. Los autores pueden encontrarse en cualquier parte del mundo. El rastreo de capitales suele complicarse en la medida en que se multiplican las transferencias electrónicas de fondos entre cuentas bancarias. Generalmente la Policía detiene a personas “facilitadores” que se encuentran en las bases de la estructura criminal. Generalmente el producto del delito se legitima rápidamente. No existe una cultura de recuperación en nuestro sistema Información de contacto Email. robertm@bncr.fi.cr Teléfono. (506) 2223-7220 Dirección postal. Banco Nacional de Costa Rica, Apartado 10015-1000 San José, C.R. Gracias!