Mi primer artículo (año 2005) Nuevos Fraudes: El delito de phishing.

Nuevos fraudes: el delito del Phishing.

Es conocido por todos que el modo de vida humano, tanto individual como social, ha sido golpeado fuertemente en sus bases clásicas por la nueva era de la tecnología. La transformación del medio social ha llegado a extremos impensados por el hombre hace sólo algunas décadas atrás, desde las formas de comunicación, industrialización, entretenimiento hasta en detalles mínimos como la vestimenta o el calzado, han sucumbido ante la poderosa era tecnológica. Junto con la inserción de la informática al medio de vida social y la adecuación de los hábitos comunes de los ciudadanos a la nueva era, también se han desarrollado técnicas delictivas que aprovechan estos avances en los medios de comunicación para perpetrar ilícitos de un proceder cada vez más sencillo y con un potencial de alcance cada vez más extenso, recordemos que con la secularización de Internet el espectro de posibles víctimas de delitos informáticos ha llegado a cantidades abismales y han desaparecido las fronteras geográficas que, de algún modo, limitaban el ámbito de acción de los delincuentes, posibilitando que en cualquier punto del globo pueda realizarse una compra fraudulenta, como es en la gran mayoría de los casos resultantes del Phishing. 

El fraude, como todas las actividades del hombre, también ha sido afectado profundamente en su estructura clásica con el advenimiento de las nuevas tecnologías, es conocido el debate que aún se escucha en las charlas de juristas sobre si una máquina puede o no ser engañada y si debemos apartarnos del concepto de “Mente Errada”, concepto que hoy día es la base fundamental de un delito de fraude, sin olvidarnos de otros aspectos como la conducta engañosa del autor del delito, etc. Cierto es que la técnica de Phishing está exenta de este debate desde el momento en que se cumplen todas las condiciones para poder encuadrar este ilícito dentro del delito de fraude.

Concepto.

Podemos asegurar, realizando una generalización de los delitos informáticos, que el Phishing es una de las técnicas delictivas de mayor relevancia económica que se persigue actualmente, consta en la inducción maliciosa y dolosa, por parte del ejecutante, a los internautas con el fin de procurarse datos sobre cuentas bancarias, tarjetas de crédito, etc.

El anteproyecto de Ley en su Art. 5 se ha acercado a esta actividad con el tipo “Fraude Informático” y ha dado un concepto sobre el mismo:

“cualquier manipulación o artificio tecnológico semejante de un sistema o dato informático que procure la transferencia no consentida de cualquier activo patrimonial en perjuicio de otro”.

Este concepto, comprendiendo que se refiere a Fraude Informático y no a la técnica de Phishing en especial, dista de la realidad del delito que nos ocupa desde el momento en que no se realizan transferencias patrimoniales desde una página de Phishing sino que el fin objetivo es la captación de datos únicamente, luego la persona puede vender la base de datos a otra, o realizar el fraude económico por sí mismo, pero no necesariamente significa una transferencia de activos patrimoniales, sí podemos decir que esta conducta delictiva es el paso previo a un fraude económico. Es decir que el Fraude propiamente dicho es el montaje escénico de una página de Internet de similares características a la original con la intención de inducir al internauta al error para poder obtener sus datos económicos personales. Este delito está íntimamente relacionado con la captación de datos de tarjetas de crédito y cuentas bancarias pero no obsta la posibilidad de realizar un procedimiento similar para la captación de datos personales no económicos como, por ejemplo, contraseñas de mail, datos de acceso a bases privadas, accesos a discos virtuales, etc.

A los fines de esclarecer en algún punto el concepto de Phishing he redactado un concepto propio que intenta realizar una descripción lo más completa y sintética posible:

“El Phishing es el delito por el cual una persona procura la obtención de datos financieros mediante el engaño de su propietario a través de un medio telemático”.

Cabe resaltar que en un principio el concepto de la telemática estaba asociado a la información automática que transitaba mediante una conexión vía modem telefónico, hoy día, con la proliferación de las nuevas formas de conexión (ASDL, Cablemodem, Wireless) podemos asociar la telemática a la transmisión de datos informáticos por cualquier medio de conectividad.

Técnica.

El Phishing que conocemos hoy en día se realiza utilizando el spamming (envío de correo masivo) como medio de difusión, a estas alturas del desarrollo del e-mail, es ya conocido públicamente el “correo basura”. Básicamente es un correo electrónico que se envía en forma indiscriminada a una gran cantidad de usuarios de este servicio, dado que este Spam es enviado a una base de datos con cuentas de correo de los más variados servidores -alrededor del mundo- y quien lo envía no tiene el conocimiento certero de que los propietarios de estas cuentas de e-mail sean, a su vez, clientes de la entidad financiera que se ha “clonado” en el sitio fraudulento, es que se ha dado en llamar a esta actividad Phishing, que traducido al castellano significa Pesca, es decir que el autor de esta técnica intenta “pescar” de la extensa libreta de direcciones de e-mail que posee a algún usuario de servicios financieros online que, engañosamente, “muerda el anzuelo” tendido por el autor del delito, para dar una leve idea de la magnitud del Spam una base de datos ordinaria puede contener más de 10.000 direcciones de correo electrónico.

Como decíamos en un principio el Spam es el medio de difusión de esta técnica, donde se incluye un acceso directo a una página Web, con el diseño y logo de la empresa financiera (o la que solicite este tipo de información), con una base de datos ilegal donde el internauta errado coloca los datos de su cuenta con el fin de realizar una “actualización de datos”, luego este cúmulo de información es descargado por el creador del Phishing para procurarse un beneficio, sea vendiendo la base de datos, comprando por Internet o telefónicamente con los datos obtenidos, realizando transferencias de fondos, etc.

Procedimiento.

Para poder realizar un acabado análisis del Phishing es necesario dividir su proceder en partes o etapas:

Diseño de la página:

Las páginas de Internet utilizan diferentes lenguajes de programación en su diseño, pueden ser páginas hechas en HTML, PHP, ASP, etc. Cada página “colgada” en la red tiene a disposición de los usuarios su código e imágenes, sólo con realizar un click con el botón derecho del mouse, seleccionando “Ver código fuente” se puede obtener el “esqueleto” del código de la página y reformarlo según las conveniencias de quien lo descarga. Respecto de las imágenes, botones y logos insertos en la página, se pueden descargar a la PC de cada usuario realizando un click con el botón derecho colocando “guardar imagen” o “guardar destino como…”, de todas formas si estas opciones se encuentran deshabilitadas en el navegador se puede obtener toda la información de la página, desde la carpeta de Windows “Archivos Temporales de Internet”. De esta forma se pueden obtener todos los elementos necesarios para construir una página de idéntica visualización que la original y agregarle el código necesario para construir la base de datos donde se almacenará toda la información provista por el internauta engañado, tan sólo es necesario un mínimo conocimiento del sistema operativo y programación Web.

Publicación de la Página:

Para poder llevar a cabo este delito es necesario tener la certeza de que la página publicada que contenga la base de datos esté siempre online, para esto se requiere que sea montada en un servidor o en una maquina usuaria con una conexión permanente y con una dirección de ip fija o en su defecto tener acceso a un servidor de nombres de dominio (DNS), para poder modificar los registros de la página a medida que la maquina “portadora” del Phishing cambie su dirección de Internet.

Pagina montada sobre un Servidor:

Cuando la página que contiene el Phishing es montada sobre un servidor es más simple su publicación y permanencia online, así como también la detección del autor del delito. Un servidor de nombres de dominio (DNS) cumple la función de interpretar las direcciones “Humanas” y resolverlas en una dirección de Internet. Por ejemplo, cuando colocamos la página http://www.yahoo.com.ar en el navegador, el servidor de nombres se encarga de traducir esta dirección en la dirección de ip (por ejemplo 200.49.1.1) del servidor Web de Yahoo y direccionar la petición realizada por nuestro navegador al mencionado servidor Web, luego como la petición fue realizada mediante el protocolo HTTP y por el puerto 80, el servidor de yahoo reconoce que debe enviar la información de la página Web y no de otra especie, en estos casos la dirección de ip del servidor Web es fija o estática, lo que significa que siempre será la misma, en el caso que cambie esta dirección de ip y los datos no sean actualizados en el servidor DNS, al intentar ingresar a la página nos dará un error de “no se pudo encontrar la página” dado que la dirección de ip donde se realiza la petición es incorrecta y ya no contiene este “servicio”.

Hecha esta aclaración continuamos con el caso de Phishing, cuando la página está montada en un servidor Web el autor del delito se asegura que esté siempre online dado que los servidores tienen conexión permanente y direcciones de ip fijas, este es el caso de la página de la figura 1. Esta página fue montada en un servidor de nombres ns1.serve.com.ar, su dirección completa es http://ns1.serve.com.ar/cgi-bin/webscr=cmd=_home. Entonces el autor de este Phishing levantó su página en el servidor de una empresa y modificó el registro DNS para que cuando un usuario coloque la página antes trascripta en su navegador, ingrese al sitio que vemos en la figura 1, existen formas de “enmascarar” la dirección que aparece en la barra de direcciones del navegador, pero este no es el caso.

Como antes mencionaba este tipo de Phishing tiene la ventaja para los investigadores de presumir que el fraude fue ocasionado por una persona con acceso a la gestión del mismo, dado que hoy día la seguridad informática en este tipo de servidores es de alta tecnología y los encargados de la misma son especialistas en la materia. Por otro lado, todos los movimientos que se realizan en el servidor quedan registrados en los Logs del programa de seguridad y del equipo, por lo que, realizando el correspondiente peritaje sobre el servidor, se podría determinar cuando y desde donde se realizaron las modificaciones a los registros DNS, de esta forma se podrá dar con la persona autora del delito. 

Captura de pantalla 2016-05-29 a las 9.04.28.png

Página montada sobre una PC usuaria de Internet:

El caso más frecuente que ocurre en este tipo de delitos es que la página de Phishing se encuentre “hosteada” (alojada) en una PC de un usuario imprudente o desinteresado de la seguridad de su equipo. Dado que la red es una comunidad de equipos informáticos intercomunicados entre sí, donde no hay requisitos de ubicación para que una página de este tipo pueda ser accedida desde cualquier parte del mundo o desde un punto determinado del planeta, ésta es una de las causas por la cual la individualización del autor del delito es mucho mas compleja y aún el nivel de eficiencia y solidaridad jurídica internacional no se encuentra a la altura de las circunstancias, por lo que, si el Hacker que introduce la página de Phishing en la PC de un usuario argentino es de procedencia, por ejemplo, alemana, por el momento no existe un trámite expeditivo para lograr la necesidad de aplicación de justicia sobre el caso, más aun si el perjuicio es de un particular o de una empresa de alcance local, sí se logra en el caso de las grandes corporaciones multinacionales donde se tiene acceso a organismos de diferentes países y una relevancia económica importante en el desarrollo de la comunidad internacional. Es importante resaltar que para darle un freno a estos casos con la celeridad que se requiere, existe un espíritu “corporativo” entre los grandes servidores de Internet que operan sobre las conexiones de sus clientes, el proceder en casos de Phishing ante una denuncia comprobable en forma fáctica o con prueba fehaciente de otro servidor es inmediato.

Volviendo al caso, es posible montar una página de Phishing en cualquier maquina conectada a Internet que carezca de un medio de seguridad apropiado. Como mencionábamos con anterioridad al autor de esta página le interesa que se encuentre siempre online y que tenga una buena conexión para que el acceso sea rápido y con seguridad, es por esto que se eligen conexiones de banda ancha y en lo posible con direcciones de ip fija o al menos con una permanencia razonable.

La figura 2 nos muestra una página de Phishing montada sobre una conexión usuaria, es decir que no está montada sobre un servidor de Internet sino que está alojada en una PC cliente, es importante distinguir entre servidor e ISP, un ISP (Internet Service Provider) es una empresa prestadora de servicios de Internet al público en general, lógicamente tiene a disposición de sus clientes servidores de mail, navegación, ftp, etc. La distinción entre Servidor e ISP es que un servidor puede dar servicio de Internet a una red interna o puede alojar una página de Internet, pero no significa que preste servicio público de conexión a usuarios o clientes, es muy difícil encontrar una página de Phishing montada sobre un servidor ISP dado que los proveedores de Internet poseen una rigurosa política de seguridad y son los primeros que actúan sobre una conducta de este tipo.

Para montar una página de Phishing en una PC usuaria de Internet se debe realizar un escaneo previo de los puertos lógicos de la PC “portadora”, recordemos que los puertos son medios de conexión que pueden ser tanto físicos (como el conector de un mouse) como lógicos (como el puerto 80 de navegación), al encontrar el Hacker un puerto latente o “abierto” en la PC usuaria, ingresa al sistema operativo de la misma creando una carpeta contenedora del sitio fraudulento y le asigna un nombre (en la figura 2, el nombre asignado a la carpeta es: Fulton) dentro de esta carpeta se encontrarán los archivos de la página (la página principal en este caso fue nombrada fulton.htm) y la base de datos que almacenará toda la información que se aporte desde Internet.

Captura de pantalla 2016-05-29 a las 9.04.09.png

Conclusiones.

En los tiempos que corren, donde la informática ha penetrado a cada rincón de la existencia, donde los avances tecnológicos aceleran cada vez más su paso, donde no existen sistemas de seguridad cien por cien infalibles (o al menos de una seguridad perdurable), considero que es misión del nuevo jurista actualizar el Derecho y su aplicación a los nuevos vientos de cambios. A través de la historia hemos conocido como ha evolucionado el Derecho frente a la necesidad de justicia frente al brote de iniquidades y es en este tiempo donde debe procurarse la adecuación del fondo jurídico a la incesante dialéctica tecnológica, orden sobre el cual van a desenvolverse las relaciones entre individuos en esta “sociedad cibernética”.

En este breve artículo se ha intentado acercar al lector a una de las técnicas delictivas emergentes del nuevo milenio, es dable aclarar que este análisis, si bien está realizado desde una base práctica y real, no es un instructivo sobre cómo realizar un delito de Phishing ya que existen múltiples y necesarios pormenores técnicos no revelados por la simple cuestión de que son ajenos al interés de la temática.