De falsas notificaciones judiciales a apoderarse de tu teclado: las más sofisticadas modalidades de phishing

Erick Iriarte, abogado experto en derecho digital y nuevas tecnologías, explicó que en el phishing se atrae a los usuarios para conseguir su información personal y dinero, utilizando correos electrónicos, sitios web engañosos, entre otros.

Jonathan Salazar y su pareja fueron abordados por dos individuos en el estacionamiento de un centro comercial. Estos sujetos los engañaron para participar en un sorteo supuestamente gratuito, en el que ganaron un paquete vacacional. Más tarde, fueron presionados y manipulados para firmar un contrato y realizar un pago total de 1.880 dólares.

Al intentar hacer uso del paquete, detectaron irregularidades en la cotización y solicitaron la devolución de su dinero. Sin embargo, la empresa nunca cumplió ni con el soñado viaje ni con el reembolso. “Actualmente el caso está archivado, quisiera que el Indecopi considere esta situación para que resuelva a mi favor”, dijo.

Se trata de la modalidad del ‘raspa y gana’. Esta consiste en la oferta de presuntos viajes otorgados a los consumidores. Sin embargo, para obtener el beneficio, se deben realizar pagos no acordados. Augusto Linares, abogado penalista del Estudio Linares, sostuvo que los estafadores suelen tener el objetivo final de acceder a los datos de las tarjetas de sus víctimas, esto debido a que los usuarios deben firmar un contrato donde brindan sus datos personales.

Cada vez son más los medios que los delincuentes utilizan para obtener los datos personales y dinero de sus víctimas. Uno de ellos consiste en el envío de falsas notificaciones de citaciones judiciales mediante correos electrónicos.

Se pide al receptor de la notificación que acuda a una sede del Poder Judicial, haciéndole creer que debe declarar sin alguna explicación adicional. Luego, el ciudadano llama al número telefónico ubicado en la supuesta citación judicial.

LEE TAMBIÉN: Denuncian intervenciones arbitrarias en Miraflores por actividades recreativas en la calle: ¿hay una normativa que las avale?

Es ahí donde le solicitan el pago de una suma de dinero para solucionar el caso en el que supuestamente se encuentra involucrado, ya sea como imputado, agraviado o incluso testigo.

Joel Villanueva, CEO de Anka, sostuvo que, para reconocer una notificación falsa, hay ciertos indicios. “Si recibes una notificación de citación judicial y te piden entregar información sensible, debes sospechar, ya que si estas involucrado en un proceso judicial, el juzgado debe tener todos tus datos. No hay que confiarnos”, dijo.

Sophia Icaza, abogada penalista del Estudio Linares y experta en temas de ciberdelitos, mencionó que es importante corroborar la información llamando al juzgado u órgano competente a través de los teléfonos de contacto en Internet o acudir a las dependencias respectivas.

Otra de las modalidades es el pharming. En este tipo de cibercrimen el tráfico de un sitio web es manipulado para permitir el robo de datos confidenciales. “Se redirecciona el tráfico de una web, vulnerando el dominio. Esto permite redirigir al usuario a otro dominio, por ejemplo, a una página clonada”, dijo Erick Iriarte.

El especialista resaltó que los ciudadanos desean acceder a una página legítima, pero al hacer clic, son dirigidos a otra página, una en la que los estafadores tienen el control. “Cuando logran ingresar a la configuración de la página, manipulan la brecha de seguridad para que, cuando los usuarios hagan clic en un enlace, terminen en la página falsa. Para llegar a ese punto, los estafadores han tenido que introducirse en todo el sistema”, mencionó.

Iriarte recomendó a los ciudadanos a estar atentos a las advertencias que puedan aparecer en sus pantallas antes de confirmar su ingreso a una web. Además, dijo que es importante fijarse si el dominio ubicado en la parte superior es el correcto, así como también hay que darse cuenta si se logra visualizar la figura de un candado al costado izquierdo.

LEE TAMBIÉN: Un total de 9 hospitales y casi 190 centros salud en la capital se verían afectados por el corte masivo de agua de Sedapal

“Además, estos enlaces pueden llegar a través de correos corporativos, por ello, las compañías deben informar claramente sus canales de comunicación para que así los clientes sepan cuáles son los medios adecuados”, dijo Joel Villanueva.

El siguiente modus operandi es el de Keylogging, en este se captura el tecleo de los usuarios. “Los estafadores pueden acceder a tu teclado si ingresaste a un enlace sospechoso. Si el usuario teclea su clave, el estafador la sabrá”, acotó Iriarte.

Este tipo de software malicioso oculto se introduce en el ordenador o smartphone de la víctima para registrar en secreto todo lo que escribe y así obtener información de sus cuentas y otros datos personales.

“Lo más probable es que el usuario, al necesitar un programa, decidió descargarlo en Internet en lugar de comprar el original. De esa forma, pudo haber obtenido un virus que busca robar datos. Para brindar protección, es importante instalarse un antivirus confiable”, agregó Villanueva.

Erick Iriarte contó que la mayoría de casos de phishing se dan porque el usuario hizo clic en un enlace fraudulento o descargó un archivo que almacena información personal. Debido a ello, el especialista considera que los peruanos deben tener una cultura de ciberseguridad. “Hay que evitar hacer clic en links sospechosos”, dijo. Precisó que hay muchos casos, pero pocas denuncias, ya sea por vergüenza o porque las personas no confían en las autoridades.

Sophia Icaza informó que en estos supuestos se observa una estafa, prevista y sancionada en el artículo 196 del Código Penal, “cuando se realiza para sustraer o acceder a los datos de tarjetas de ahorro o de crédito”. Afrontando una pena privativa de libertad que va de uno a seis años en su forma simple, y de cuatro a ocho años en la modalidad agravada.

LEE TAMBIÉN: Cuestionan a Sedapal por anunciar corte masivo de agua en 22 distritos de Lima: ¿cuáles son las recomendaciones que se deben seguir?

Además, contó que en algunos casos puede verse una supuesta suplantación de identidad, prevista en el artículo 9 de la Ley 30096 - Ley de delitos informáticos, y consiste en robar una identidad mediante cuentas de correo o redes sociales falsas con la finalidad de engañar y perjudicar a la víctima, logrando acceder a sus cuentas y más información confidencial sensible. La pena prevista para esta modalidad delictiva va de tres a cinco años de privación de libertad.

La abogada Icaza señaló que estas figuras delictivas forman parte de la denominada ciberdelincuencia, por lo cual se cuenta con una normativa penal aplicable como la Ley de delitos informáticos, delitos patrimoniales, entre otros. Para estos casos, se cuenta con una dependencia policial especializada denominada División de Alta Tecnología o Divindat, así como con la Fiscalía contra la Ciberdelincuencia, recientemente creada.

La Coordinación Nacional de las Fiscalías Especializadas en Delitos de Ciberdelincuencia informó a El Comercio que, cuando se les alerta sobre posibles estafas de notificaciones judiciales, realizan un meticuloso análisis de las comunicaciones y documentos involucrados, utilizando tecnologías avanzadas para rastrear su procedencia.

“En situaciones de pharming, hacemos requisiciones formales a los registradores de dominios para obtener información crucial sobre los sitios web fraudulentos, como la dirección IP utilizada durante su creación. Esto nos permite rastrear y localizar a los responsables. En el caso de keylogging, nuestro equipo de peritos especializados en ciberdelincuencia del laboratorio forense analiza el software malicioso para rastrear su origen. Esta investigación exhaustiva permite recolectar evidencia crucial”, comunicó.