Tendencias en el fraude bancario a usuarios
En base a los datos publicados en le Memoria Anual de la fiscalçia General del Estado para el año 2022 los fraudes informáticos constituyen el mayor volumen de hechos delictivos conocidos en el ámbito de la cibercriminalidad.
La ciberdelincuencia ha crecido más de un 700% desde que existen estadísticas, reflejo de ello es que los afraudes informáticos han pasado de los cerca de 21.000 casos registrados en el año2011 a los más de 250.000 del año 2020.
Al tercer trimestre del año 2023 la cibercriminalidad se ha incementado respecto al años 2022 en un 21.50 %, llegando a los 337.251 hechos conocidos de los cuales 304.819 son estafas informáticas y 32.432 otros ciberdelitos.
Las comunidades autónomas con más incidenica son las comunidades de Madrid, Cataluña y Valencia, y ls de menor incidencia o hechos conocidos serían las de Melilla y Ceuta, según datos estadísticos del Ministerio del Interior para el tercer trimestre del año 2023.
El desarrollo del comercio electrónico precisa de la confianza y seguridad que el sistema debe infundir a los usuarios pero en la actualidad la tendencia del fraude es alcista.
La estafa informática

Para entender que esxiste una estafa informática tienen que concurrir tres elementos:
- Un sujeto que actúe con ánimo de lucro, es decir que quiera obtener un beneficio.
- Que se genere un perjuicio a un tercero (el usuario o consumidor) mediante un acto de disposición de sus fondos
- Que exista manipulación informática para producir un engaño bastante o suficiente para conseguir el objetivo.
Siendo indiferente que sea cometido para beneficio propio o de otra persona (STS de 24 de julio de 2001) o que sea en grado de tentativa (STS 7 julio de 1981).
Igualmente resulta intrascendente que el perjuicio causado sea al sujeto que sufre el engaño o a un tercero, diferenciando así el sujeto pasivo del engañoo engañado y el sujeto pasivo del delito o perjudicado.
Aunque es esencial la intención fraudulenta de quien realiza la maniobra engañosa.
Tipos de delitos informáticos
pHISHING
Se define como la pesca de datos, en el que los datos a pescar serían las claves de acceso a las cuentas y servicios bancarios del perjudicado, para ello utilizan correos electrñonicos o páginas web que imitan la imagen y apariencia de una entidad bancaria.
Para terminar con éxito el engaño se valen de otras personas interpuestas con cuenta bancaria a las que transfieren el dinero y éste los transfiere a otra cuenta cobrando comisión por ello.
Normalmente se inicia suplantando la identidad del banco para obtener información de cuentas bancarias, tarjetas de crédito o cualquier otra información relacionada con el banco o servicio financiero.
El usuario puede recibir un correo electrónico o cualquier otro mensaje instantáneo, incluso mediante llamada telefónica, que le informa de que debe cambiar sus claves de acceso y se le proporciona un link o enlace para que lo haga.

La pesca se realiza mediante envío masivi de emails pidiendo información personal y reservada, con redireccióndel usuaio a las páginas webs fraudulentas, y propornionando enlaces o archivos que infectan el dispositiv del sujeto engañado.
El PHISHING se basa en ingeniería social.
Pharming

Consiste en crear una página web falsa con la misma apariencia de otra que es de confianza, para que cuando acceden los usuarios obtengan la información de sus credenciales y así poder suplantar su identidad.
Supone un desvio del traáfico de laweb original a la suplantada, mediante el envenenamiento de DNS o asociacion de la web original con la IP del infractor. Ataca, pues a los servidores DNS y cambia la secuencia numérica tecleada por el usuario victima.
Como variante aparece el ataque a los equipos individuales, en vez de manipular el servidor DNS, esta variante requiere que previamente se haya infectado el euipo de la victima con un maleware.
El PHARMING se basas en ingeniería técnica.
Scam
Es la captación de personas para servirse de ellos para blanquear dinero fruto de estafas informáticas como el Phishing a cambio de una comisión.

Programa troyano

Consiste en la instalación del equipo de la victima de un programa malicioso, aunque aparantemente inofensivo, que una vez ejecutado ofrece al delincuente controlsobre el equipo infectado, para ello se crea una puerta trasera que permite el acceso no consentido.
Puede recabar sus datos ysuplantar su identidad para cometer infracciones informáticas, también puede cifrar todos sus datos pedir recompesa por descifrarlos.
Control de teclado
El control de teclado se consigue introdución en el equipo de la víctima un programa, sin su conocimiento (normalmente mediante descargas gratuitas), y busca secuencias de usuarios y contraseña que envia al estafador de forma oculta parala victima. Pudiendo así suplantr al estafado para la comisión de delitos.
Se puede lograr mediante aplicación informática o hardware conectado al equipo de forma física lo que le permite monitorizar todas las pulsaciones del equipo del estafado.

Carding

Esta modalidad se produce con la compra periódica y qpor importes pequeños , normalmente inferiores a 100 €, previo acceso a los datos de una tarjeta de crédito o haber clonado la tarjeta.
Se inicia con la compra en una tienda falsa, la operación no se realizó y el producto o servicio no se adquirió nunca, pero los datos se obtuvieron.
Los ciberdelincuentes de sirven de intermediarios que reciben los productos adquiridos y pagan un pequeño precio por ello.
Vishing
Es un tipo de estafa de ingeniería social realizada a través del telefóno, por la que el estafador suplanta la identidad de una empresa, organización o persona de confianza, para obtener información reservada de la víctima.
Normalmente, para conseguir la atención de la víctima, el ciberdelincuente le persuade o le comunica la interrupción de algún servicio o suministro de agua, luz etc., si no le facilita datos reservados, también es posible que le persuada advirtiéndole de que no ha optado por algún descuento que le corresponde y que puede reintegrarle el importe a la cuenta que indique, tras lo que intentará instalar un programa malicioso en el dispositivo de la víctima

Sim swapping

Esta modalidad se ejecuta cuan el ciberdelincuente ha conseguido un duplicado de la sim del teléfono móvil de la víctima, pudiendo obtener el segundo factor de autenticación que se envía al usuario para la confirmación de la transacción.
El ciberdelincuente realiza una operación por banca online y recibe la clave que confirma la transacción solicitada en el dispositivo donde activó la sim duplicada.
Smishing
En estos casos la identidad que se suplanta es la de empresas o terceros de confianza mediante el envío de un mensaje o sms para obtener información personal y bancaría de la víctima para comenzar la estrategia del fraude.
Suelen utilizar unenlace fraudulento para redirigirnos a una web falsa, desde la que se ontienen los datos, también es posible que se utilice el engaño para que contactes con un número de telefono de tarifa especial, suscripciones a este tipo de servicio o incluso que realices alguna transferencia.

Fraude del CEO

Esta nodalidad de fraude bancario se realiza por un empleado no autorizado o falso empleado que ordena una transacción al banco en nombre de la empresa, en esta ocasión se precisa la falta de diligencia de la entidad bancaria al no verificar la autorización del ordenante.
En estos casos es indudable la responsabilidad de la entidad bancaria. Nuevamente nos encontramos ante una modalidad derivada de la ingeniería social.
Interceptación de ordenes de pago
En esta modalidad el ciberdelincuente suele ser ocasional, pues consiste que al momento de realizarse una operación mercantil la cuenta de abono del importe del precio obtenido por la transacción es sustituida por la del ciberdelincuente, lo que mplica la necesidad de que el ejecutor de la estafa intervenga de alguna forma en la transacción realizada y goce de la confianza de ambas partes de la operación.
en estos casos no suele existir responsabilidad de la entidad bancaria, pues cumple órdenes de la parte que ordena la transferencia de dinero, ni de la que pudiera recibir el servicio o producto, pues efectivamente pagó el precio y a la cuenta indicada por la otra parte de la transacción.
A la víctima sólo le queda la identificación del titular de la cuenta beneficiaria y su persecución en el orden penal.
