ESPACIO ASOCIADOS

Principales fraudes bancarios al consumidor

índice

Tendencias en el fraude bancario a usuarios

En base a los datos publicados en le Memoria Anual de la fiscalçia General del Estado para el año 2022 los fraudes informáticos constituyen el mayor volumen de hechos delictivos conocidos en el ámbito de la cibercriminalidad.  

La ciberdelincuencia ha crecido más de un 700% desde que existen estadísticas, reflejo de ello es que los afraudes informáticos han pasado de los cerca de 21.000 casos registrados en el año2011 a los más de 250.000 del año 2020.

Al tercer trimestre del año 2023 la cibercriminalidad se ha incementado  respecto al años 2022 en un 21.50 %, llegando a los 337.251 hechos conocidos de los cuales 304.819 son estafas informáticas y 32.432 otros ciberdelitos.

Las comunidades autónomas con más incidenica son las comunidades de Madrid, Cataluña y Valencia, y ls de menor incidencia o hechos conocidos serían las de Melilla y Ceuta, según datos estadísticos del Ministerio del Interior para el tercer trimestre del año 2023.

El desarrollo del comercio electrónico precisa de la confianza y seguridad que el sistema debe infundir a los usuarios pero en la actualidad la tendencia del fraude es alcista.

La estafa informática

Para entender que esxiste una estafa informática tienen que concurrir tres elementos:

  1. Un sujeto que actúe con ánimo de lucro, es decir que quiera obtener un beneficio.
  2. Que se genere un perjuicio a un tercero (el usuario o consumidor) mediante un acto de disposición de sus fondos
  3. Que exista manipulación informática para producir un engaño bastante o suficiente para conseguir el objetivo.

Siendo indiferente que sea cometido para beneficio propio o de otra persona (STS de 24 de julio de 2001) o que sea en grado de tentativa (STS 7 julio de 1981). 

Igualmente resulta intrascendente que el perjuicio causado sea al sujeto que sufre el engaño o a un tercero, diferenciando así el sujeto pasivo del engañoo engañado y el sujeto pasivo del delito o perjudicado.

Aunque es esencial la intención fraudulenta de quien realiza la maniobra engañosa.

Tipos de delitos informáticos

pHISHING

Se define como la pesca de datos, en el que los datos a pescar serían las claves de acceso a las cuentas y servicios bancarios del perjudicado, para ello utilizan correos electrñonicos o páginas web que imitan la imagen y apariencia de una entidad bancaria.

Para terminar con éxito el engaño se valen de otras personas interpuestas con cuenta bancaria a las que transfieren el dinero y éste los transfiere a otra cuenta cobrando comisión por ello.

Normalmente se inicia suplantando la identidad del banco para obtener información de cuentas bancarias, tarjetas de crédito o cualquier otra información relacionada con el banco o servicio financiero.

El usuario puede recibir un correo electrónico o cualquier otro mensaje instantáneo, incluso mediante llamada telefónica, que le informa de que debe cambiar sus claves de acceso y se le proporciona un link o enlace para que lo haga.  

La pesca se realiza mediante envío masivi de emails pidiendo información personal y reservada, con redireccióndel usuaio a las páginas webs fraudulentas, y propornionando enlaces o archivos que infectan el dispositiv del sujeto engañado.

El PHISHING se basa en ingeniería social.

Pharming

Consiste en crear una página web falsa con la misma apariencia de otra que es de confianza, para que cuando acceden los usuarios obtengan la información de sus credenciales y así poder suplantar su identidad.

Supone un desvio del traáfico de laweb original a la suplantada, mediante el envenenamiento de DNS o asociacion de la web original con la IP del infractor. Ataca, pues a los servidores DNS y cambia la secuencia numérica tecleada por el usuario victima.

Como variante aparece el ataque a los equipos individuales, en vez de manipular el servidor DNS, esta variante requiere que previamente se haya infectado el euipo de la victima con un maleware.

El PHARMING se basas en ingeniería técnica.

Scam

Es la captación de personas para servirse de ellos para blanquear dinero fruto de estafas informáticas como el Phishing a cambio de una comisión.

Programa troyano

Consiste en la instalación del equipo de la victima de un programa malicioso, aunque aparantemente inofensivo, que una vez ejecutado ofrece al delincuente controlsobre el equipo infectado, para ello se crea una puerta trasera que permite el acceso no consentido.

Puede recabar sus datos ysuplantar su identidad para cometer infracciones informáticas, también puede cifrar todos sus datos pedir recompesa por descifrarlos.

Control de teclado

El control de teclado se consigue introdución en el equipo de la víctima un programa, sin su conocimiento (normalmente mediante descargas gratuitas), y busca secuencias de usuarios y contraseña que envia al estafador de forma oculta parala victima. Pudiendo así suplantr al estafado para la comisión de delitos.

Se puede lograr mediante aplicación informática o hardware conectado al equipo de forma física lo que le permite monitorizar todas las pulsaciones del equipo del estafado.

Carding

Esta modalidad se produce con la compra periódica y qpor importes pequeños , normalmente inferiores a 100 €, previo acceso a los datos de una tarjeta de crédito o haber clonado la tarjeta.

Se inicia con la compra en una tienda falsa, la operación no se realizó y el producto o servicio no se adquirió nunca, pero los datos se obtuvieron.

Los ciberdelincuentes de sirven de intermediarios que reciben los productos adquiridos y pagan un pequeño precio por ello.

Vishing

Es un tipo de estafa de ingeniería social realizada a través del telefóno, por la que el estafador suplanta la identidad de una empresa, organización o persona de confianza, para obtener información reservada de la víctima.

Normalmente, para conseguir la atención de la víctima, el ciberdelincuente le persuade o le comunica la interrupción de algún servicio o suministro de agua, luz etc., si no le facilita datos reservados, también es posible que le persuada advirtiéndole de que no ha optado por algún descuento que le corresponde y que puede reintegrarle el importe a la cuenta que indique, tras lo que intentará instalar un programa malicioso en el dispositivo de la víctima

 

Sim swapping

Esta modalidad se ejecuta cuan el ciberdelincuente ha conseguido un duplicado de la sim del teléfono móvil de la víctima, pudiendo obtener el segundo factor de autenticación que se envía al usuario para la confirmación de la transacción.

El ciberdelincuente realiza una operación por banca online y recibe la clave que confirma la transacción solicitada en el dispositivo donde activó la sim duplicada.

Smishing

En estos casos la identidad que se suplanta es la de empresas o terceros de confianza mediante el envío de un mensaje o sms para obtener información personal y bancaría de la víctima para comenzar la estrategia del fraude.

Suelen utilizar unenlace fraudulento para redirigirnos a una web falsa, desde la que se ontienen los datos, también es posible que se utilice el engaño para que contactes con un número de telefono de tarifa especial, suscripciones a este tipo de servicio o incluso que realices alguna transferencia.

Fraude del CEO

Esta nodalidad de fraude bancario se realiza por un empleado no autorizado o falso empleado que ordena una transacción al banco en nombre de la empresa, en esta ocasión se precisa la falta de diligencia de la entidad bancaria al no verificar la autorización del ordenante.

En estos casos es indudable la responsabilidad de la entidad bancaria. Nuevamente nos encontramos ante una modalidad derivada de la ingeniería social.

Interceptación de ordenes de pago

En esta modalidad el ciberdelincuente suele ser ocasional, pues consiste que al momento de realizarse una operación mercantil la cuenta de abono del importe del precio obtenido por la transacción es sustituida por la del ciberdelincuente, lo  que mplica la necesidad de que el ejecutor de la estafa intervenga de alguna forma en la transacción realizada y goce de la confianza de ambas partes de la operación.

en estos casos no suele existir responsabilidad de la entidad bancaria, pues cumple órdenes de la parte que ordena la transferencia de dinero, ni de la que pudiera recibir el servicio o producto, pues efectivamente pagó el precio y a la cuenta indicada por la otra parte de la transacción.

A la víctima sólo le queda la identificación del titular de la cuenta beneficiaria y su persecución en el orden penal.
Grabación de llamadas comerciales. ¿Obligación o derecho?

La grabación de llamadas comerciales, por tanto, no puede entenderse únicamente como una obligación impuesta a las empresas. También es un derecho que protege a los usuarios, garantizando que puedan acceder a la información que les concierne y que se ha tratado de manera transparente y conforme a la ley.

LEER MÁS »
Meta utilizará los datos de sus usuarios para entrenar su IA

Protección de Datos y Privacidad Meta, la empresa propietaria de Instagram, Facebook y WhatsApp, está actualizando las condiciones de privacidad de  sus usuarios de tal manera que autoricen el uso de sus datos (incluyendo fotos o publicaciones) para alimentar y entrenar su herramienta de Inteligencia Artificial (IA), salvo si se oponen a ello. Personalmente considero que el interesado o afectado (usuario) tendría que prestar su  consentimiento expreso, inequívoco e informado para poder proceder al tratamiento de sus datos personales por parte de Meta. Teniendo el derecho asimismo de retirarlo en cualquier momento (artículo 7.3 RGPD UE). No obstante, Meta reconoce el derecho de oposición del usuario al tratamiento de sus datos personales conforme a lo estipulado por el artículo 21.1 RGPD UE. Puesto que según la propia Meta, la base jurídica en la que se ampararán serán sus intereses legítimos de usar la información del usuario para desarrollar y mejorar la IA en Meta. El artículo 6.1. f) RGPD UE contempla como una base legitimadora para poder proceder al tratamiento de datos, la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. Ahora bien, habría que comprobar si esos intereses legítimos alegados por el responsable del tratamiento (Meta) están justificados y son conformes a derecho. Sería interesante saber cuál sería la opinión de la autoridad de control nacional (AEPD), en un futuro pronunciamiento al respecto. Puesto que tales intereses legítimos no están nada claros.    Por otra parte hay que decir también que el ejercicio del derecho de oposición requiere de varios pasos que no son sencillos (requiere de siete acciones por parte del usuario), además la oposición nunca es completa, y no excluye a terceros, ni la cesión a terceras personas. Una prueba clara de que tal derecho no es completo, se encuentra en que la IA de Meta no distingue en las fotos entre los perfiles de usuarios que autorizaron el uso de sus datos personales del resto. De tal manera, que Meta no procede a informar sobre qué uso hace de los datos de terceros que no hayan dado su consentimiento previamente, entre los cuales podría haber datos de colectivos vulnerables como son los menores de edad. Según la propia Meta están trabajando en la nueva versión de la Política de Privacidad para que de esta manera refleje todos estos cambios. Esta nueva versión entrará en vigor el 26 de junio de 2024. En último lugar, procedemos a suministraros una URL con un vídeo donde podréis consultar los pasos a seguir para ejercitar el derecho de oposición al tratamiento de datos personales habilitado por Meta: derecho de oposición ante Meta

LEER MÁS »
Como crear contraseñas robustas en internet

Recomendaciones de interés para internautas Para poder preservar la privacidad en internet o en ámbitos digitales online es fundamental el uso de contraseñas fuertes o seguras. De esta manera podremos eludir accesos no autorizados por parte de terceros a nuestras cuentas. Por lo que procedemos a continuación a presentar una serie de consejos para de esta manera poder reforzar la seguridad y por lo tanto la privacidad de datos en entornos digitales. Es práctica común por parte de un sector de la ciudadanía el utilizar contraseñas poco robustas, con la amenaza o la inseguridad que esto implica. En muchas ocasiones, decidimos consumar la creación de una clave de acceso de manera rápida, sin tener en cuenta o sin  valorar las consecuencias que esto puede acarrear y el riesgo que puede entrañar. Por lo que el riesgo de que terceros no autorizados puedan tener acceso a nuestras cuentas puede ser múltiple o plural. A continuación vamos a proceder a proporcionar una serie de útiles consejos para reforzar nuestras contraseñas y así de esta manera que sean más seguras: Podemos seguir todos estos consejos descritos de manera asequible en una infografía alojada en la página web corporativa de INCIBE (Instituto Nacional de Ciberseguridad): https://www.incibe.es/ciudadania/formacion/infografias/crea-tu-contrasena-segura Dicha infografía ofrece una sistemática que se puede utilizar  cada  vez  que procedamos a registrarnos en un sitio web. A continuación reproducimos los pasos a seguir para poder crear una contraseña segura: Como medida de seguridad extra, INCIBE nos recomienda seguir también estos otros consejos para que los ciberdelincuentes no tengan nada que hacer: En último lugar, es muy importante tener en cuenta que cada usuario/persona  puede usar o emplear varias contraseñas diferentes con las implicaciones que esto entraña, siendo la más importante la dificultad para recordarlas todas ellas. La manera de evitar este notorio problema, es la utilización de un Gestor de Contraseñas con  una fiabilidad demostrada. Por lo que, utilizando este sistema, solamente sería necesario retener en la memoria la clave de acceso que hayamos seleccionado para entrar al Gestor de Contraseñas, la cual podemos denominarla contraseña madre, más conocida como clave maestra. Fuente: AEPD e INCIBE Otra entrada de interés: Controla tus datos personales en internet

LEER MÁS »

SUSCRÍBETE PARA ESTAR AL DÍA DE NUESTRAS NOVEDADES

En base al el Artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPD) y al artículo 13 del Reglamento General de Protección de Datos de la UE (RGPD)2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016, ASOCIACIÓN ESPAÑOLA PARA LA PRIVACIDAD DIGITAL (ASOCIACIONEPD) le informa de la existencia de un tratamiento de datos de carácter personal cuyo responsable es ASOCIACIÓN ESPAÑOLA PARA LA PRIVACIDAD DIGITAL (ASOCIACIONEPD) con CIF: G42631564 con dirección C/Médico Temístocles Almagro nº18 lc 2, 03300 Orihuela (Alicante), teléfono 965306309 email: dpo@asociacionepd.es
Objeto de tratamiento: datos de contacto… más info
Finalidades: La gestión y mantenimiento de los clientes y usuarios… más info
Conservación: durante el periodo de vigencia del consentimiento …más info
Legitimación: consentimiento de usuario de la web … más info
Destinatarios: Proveedores de Cookies … más info
Encargados de tratamiento: Proveedor de alojamiento web o hosting y hosting correo electrónico… más info
Transferencias internaciones. Proveedores de Cookies… más info
Ejercicio derechos: acceso, rectificación, supresión, oposición al tratamiento, limitación del tratamiento, portabilidad de sus datos, a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, a retirar el consentimiento en cualquier momento en la dirección Calle Médico Temístocles Almagro nº 18 lc 2, CP 03300, Orihuela (Alicante) o mediante vía electrónica, acreditando su personalidad, en la siguiente dirección de correo electrónico a dpo@asociacionepd.es … más info
Para más información usted puede consultar nuestra política de privacidad

POLÍTICA DE PRIVACIDAD

POLÍTICA DE COOKIES

ESTATUTOS

TÉRMINOS Y CONDICIONES

AVISO LEGAL RGPD – LSSICE