Detención extorsionador peruano

El pasado día 19 de marzo, fue detenido en Chiclayo (Perú) un ciudadano peruano que extorsionaba a unas menores españolas por Internet. Incide ha llevado a cabo una investigación que permitió aportar las pruebas de dicha extorsión y localizar al sospechoso. Tras interponer los padres la correspondiente denuncia, Incide coordinó sus resultados con la Brigada de Investigación Tecnológica de la Policía española, que tras exponer al caso al juez, hizo lo propio con Interpol y la Policía peruana. La operación fue un éxito y se ha detenido al sospechoso, encontrándose en poder de este varias pruebas de la extorsión cometida. En este enlace podéis ver un artículo de El País en el que se comenta la noticia: Detención extorsionador peruano 

Bloqueo web pirata

INCIDE ha participado en una investigación y en una propuesta técnica que ha servido para llevar a cabo el “bloqueo” cautelar de una página web que opera desde China comercializando productos de marca falsificados. Este bloqueo propuesto, afecta solo a los ciudanos españoles, ya que se ha realizado a nivel de los servidores DNS (Domain Name Service) de los principales PSI (Proveedores de Servicio de Internet) españoles. La web no ha sido cerrada, sino que se ha oscurecido el acceso a la misma desde España. Precisamente, la medida técnica propuesta, que permite ser ejecutada en España, ha permitido al juez, básandose en el artículo 8 de la LSSI bloquear el acceso de manera cautelar mientras dure la instrucción. En este enlace de la página web de INCIDE puede verse una breve descripción de la noticia y el material de la rueda de prensa de 4 de marzo organizado por ANDEMA y la Camara de Comercio de Barcelona.

Absolución del delito de estafa por comprar con una tarjeta de crédito ajena

Respecto de la notica aparecida recientemente en varios medios de comunicación, entre los cuales está la noticia aparecida en Informativos Telecinco el pasado viernes día 17 de febrero, en la cual intervine brevemente para comentar el fallo de una sentencia judical, quiero aclarar, ya que he visto cierto desconcierto al respecto, que la juez en cuestión no se ha vuelto loca y que el fallo de su tentencia, que fue absolver a los acusados, es perfectamente lógico.Por otro lado, no es que no se haya cometido un delito, pero no se ha cometido “técnicamente hablando” el delito de “estafa” del que se acusaba a las dos personas imputadas. Voy a tratar de explicarlo en las próximas líneas.Los hechos sucedieron así: dos personas compran a través de un comercio un DVD y rellenan con sus verdaderos datos y dirección de entrega la “ficha” de cliente del comercio. A continuación, cuando llega el momento de pagar, el comercio electrónico dirige la petición a la “pasarela de pago” de la entidad bancaria correspondiente. Ésta, realiza la correspondiente verificación “on-line” con el bnco emisor de que la tarjeta y comprueba que ésta es correcta y no está “revocada”, es decir, que no está denunciado su robo o desaparición. Comprobado esto, el banco acepta el pago e ingresa (dentro de las siguientes 24 ó 48 horas) el dinero al comercio electrónico, que envía a su vez la mercancia al cliente. Hasta aquí todo correcto, pero al mes siguiente el verdadero titular de la tarjeta recibe un cargo en su cuenta bancaria por una compra que él no ha realizado y reclama a su banco la devolución del dinero. El banco lo hace y éste a su vez descuenta de la cuenta del comercio electrónico el dinero en cuestión. El comercio reclama al banco, pero éste le comunica que su cliente no ha realizado esa compra. El comercio comprueba los datos, verifica que la mercancia ha sido entregada y denuncia al cliente que ha realizado la compra por el delito “estafa”.

El juicio se celebra y aun admitidos por la juez los hechos de que realmente las dos personas acusadas utilizaron sin permiso de un tercero los datos de su tarjeta de crédito, falla a favor de estos y los absuelve del mencionado delito. La razón es bien simple y la juez ha aplicado la ley a rajatabla. El código penal en su artículo 248 habla de dos supuestos para la “estafa informática”:
a)”La alteración, supresión u ocultación de datos existentes en el sistema manipulando o incidiendo en el mismo”
b) “las manipulaciones efectuadas en la configuración del programa (…) una verdadera manipulación informática que ocasiona que el programa realice operaciones en modo diferente al establecido”
y la juez interpretó, en mi opinión con buen criterio, que no se cumplió ninguno de los dos supuestos, ya que los datos de la tarjeta no fueron “manipulados” para realizar la compra. Es cierto que los acusados conocían esos datos y probablemente no deberían conocerlos, pero no se les acusaba de ese supuesto “robo de información”, sino de estafa. Entiende también la juez que no hubo manipulación de los programas o configuraciones de los mismos, como así fue. Por tanto, no parece haber habido ningún supuesto que encaje con el delito del que se les acusa. Por si fuera poco, la juez se pregunta si aunque no hayan cometido el delito de estafa informática, podrían haber cometido el delito de estafa, en general. En el parrafo primero del mencionado artículo 248 puede leerse: “Cometen estafa los que , con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno”. Pues bien, la juez teniendo en cuenta esto, los hechos probados y la jurisprudencia al respecto, concluye que no ve “engaño suficiente”, ya que nadie intento siquiera verificar la “identidad” de los acusados. Ellos no trataron de engañar al comercio, simplemente facilitaron unos datos de pago de una tarjeta y nadie, ni el comercio ni el banco les pregunto si eran o no los propietarios de dicha tarjeta.

Como se ha visto, la juez absolvó a ambos acusados del delito de estafa y en mi opinión, ésta es una típica sentencia en la que “Su Señoría” realiza una clara llamada de atención al legislativo para que adapte determinados supuestos del código penal que hoy por hoy quedan “en tierra de nadie”.

Por otra parte, además de la sorpresa que puede representar este fallo judicial, el gran perjudicado en esta historia también era inocente: “el comercio electrónico”, aunque podría decirse que su error fue acusar de “estafa” a estos dos individuos, que era lo más sencillo, pero quiza no analizaron bien con su abogado lo que podía ocurrir de acuerdo a lo que establece el código penal. Creo que deberían haber acusado al banco que acepto la compra por no verificar la identidad del titular. Pero aquí está el quid de la cuestión, el gran vacío de las compras por Internet. Hay bancos que lo hacen bien y bancos que lo hacen bastante mal. El banco debería siempre verificar al titular de la tarjeta mediante algún mecanismo. El más sencillo de implementar y en principio suficientemente seguro es que solicite en el momento de la compra “on-line” el PIN de la tarjeta (así la gente entendería porqué la VISA, la Master Card, etc también tienen PIN). Si se solicitase este dato que es SECRETO y que el titular no debería revelar a nadie, no se producirían hechos como los descritos, ya que aunque nos copiasen los datos de la tarjeta de crédito (número de tarjeta, nombre, fecha de caducidad y VCC) nunca podrían copiarnos el PIN, ya que este sólo debería estar en dos lugares, en la cabeza del titular de la tarjeta y en la base de datos del banco. Para los que no lo sepan, el PIN no está grabado en la banda magnética de la tarjeta. Mediante este simple mecanismo, que muchísimos bancos ya han implementado, se reduce mucho el riesgo de que alguien compre con una tarjeta que no sea suya. En principio el ciudadano, con o sin verificación de PIN, está protegido, ya que al no haber firmado nada, no puede ser acusado de nada. Pero el comercio electrónco y sobre todo el banco deberían aplicar medidas para evitar estos fraudes. Si se quiere mejorar y potenciar el comercio electrónico, se deben imponer controles de identidad y sin duda son los bancos y no los comercios los que pueden hacer algo al respecto, ya que para los comercios electrónicos siempre será mucho más complicado implantar medidas de verificación, sin embargo, los bancos tienen los medios tecnológicos y la infraestructura para poder realizar dichas comprobaciones.

En cualquier caso, el mejor método para verificar la identidad del titular de la tarjeta, está ya bastante cerca, pero aun quedan años hasta que el DNI eletrónico sea una realidad y mientras tanto, hay que utilizar los mecanismos que hoy existen.

Mi consejo para los comercios electrónicos es que si su “pasarela de pago” no solicita al cliente la comprobación de su PIN o algún otro dato secreto, deberían acordar con ellos que la responsabilidad de este tipo de fraudes la asuma el banco o cambiar de pasarela de pago a una más segura.

Entrevista Cadena Cope “Suplemento Económico”

Ayer me entrevistó Yolanda Canales en el programa “Suplemento Económico” de la cadena Cope. Dejo aquí el fichero con la grabación de la entrevista. En ella se habla de los riesgos de seguridad que tienen las empresas, desde el punto de vista informático, así como algunas de las soluciones y precauciones que éstas pueden tomar para reducirlos. Al final de la entrevista, se explican además los servicios que ofrece INCIDE y de como éstos pueden ayudar a las empresas que han sufrido algún incidente informático, como por ejemplo: competencia desleal, fuga de información, uso abusivo de los recursos informáticos, emails de amenazas o injurias, compromiso de los sistemas, etc.

Estafa Tarjetas de Crédito – Noticia Informativos Tele5

Post actualizado 12/3/06 (insertado video para visualización online)No era mi primera vez en la Tele, pero sí en una cadena de las Top 5 y en Prime Time. Aquí os dejo el video. El subtítulo que me han puesto de “Experto en Comercio Electrónico” no sé de donde se lo han sacado, pero supongo que es porque hay tantos creativos ocultos entre los periodistas, que cuando ven una oportunidad, dan rienda suelta a la imaginación ….