Spoofing

¿ Qué es el Spoofing ?

Abogado Spoofing

El spoofing es un tipo de estafa que consiste en suplantar la identidad de una persona, empresa o entidad para apoderarse de información confidencial de las víctimas, o para cometer delitos en Internet.

El delito se puede llevar a cabo de muy diversas maneras, a través del correo electrónico, de mensajes de texto, de webs falsas, suplantando la dirección IP, etc. Y según la casuística de cada delito, tendrá diferentes penas.

spoofing abogado
Índice de Contenidos

Tipos de Spoofing o suplantación de identidad en Internet

En este artículo nos vamos a centrar en los tipos de spoofing más extendidos y conocidos, pondremos algunos ejemplos y estudiaremos las consecuencias legales de cada uno de ellos.

Aunque hay muchos más tipos de ataques de suplantación de identidad, como pueden ser spoofing de identificador de llamadas, ARP spoofing, spoofing de mensajes de texto, spoofing de GPS, ataque Man-In-The-Middle (MitM), spoofing de extensión, facial spoofing, etc, los casos a los que más nos hemos enfrentado los abogados penales especializados en delitos informáticos, son los siguientes.

Email Spoofing

¿Qué es el email spoofing?

El email spoofing consiste en enviar correos electrónicos haciéndose pasar por un destinatario falso para que las víctimas les proporcionen sus contraseñas, nombres de usuario, números de tarjetas de crédito, etc.

Ejemplo de email spoofing

Un caso muy conocido de suplantación de identidad por correo electrónico es el envío de emails que simulan ser de un banco o entidad financiera que, por motivos de seguridad o por confirmación de identidad, solicitan a la víctima actualizar sus datos personales (nombre de usuario, número de tarjeta de crédito, contraseñas etc).

El mensaje imita perfectamente el diseño utilizado por la entidad para comunicarse con sus clientes (logotipos, tipografías, etc) y los redirige a una web que imita a la original (web spoofing).

Si la víctima cae en las redes de los delincuentes y les da su información bancaria, estos acceden a su Banco Online y transfieren el capital a una cuenta de una persona que previamente ha sido reclutada por la organización criminal para actuar como intermediario aceptando el dinero en su cuenta para después transferirlo a otra persona en el extranjero, cobrando una suma de dinero a cambio, por cada operación.

Penas para el delito de email spoofing

Si seguimos con el ejemplo anterior, nos encontramos ante distintos delitos y delincuentes:

  • Al intermediario que acepta el dinero en su cuenta se le denomina «mulero bancario» y estaría cometiendo un delito de blanqueo de capitales por imprudencia grave castigado con una pena de prisión de seis meses a dos años y multa del triple del valor blanqueado. (Artículo 301.3 del código penal).
  • Los delincuentes que han accedido a la cuenta de la víctima y le han robado el dinero, se les podría acusar de un delito de estafa cuya pena será fijada por el Juez en función del importe defraudado, los medios usados para estafar y el daño económico ocasionado a la víctima. Si se considera de especial gravedad, la pena podría ser de uno a seis años de prisión y multa de seis a doce meses. (Artículo 249 y 250 del Código Penal).

ARTÍCULO 301 del Código Penal (Blanqueo de Capitales)

El que adquiera, posea, utilice, convierta, o transmita bienes, sabiendo que éstos tienen su origen en una actividad delictiva, cometida por él o por cualquiera tercera persona, o realice cualquier otro acto para ocultar o encubrir su origen ilícito, o para ayudar a la persona que haya participado en la infracción o infracciones a eludir las consecuencias legales de sus actos, será castigado con la pena de prisión de seis meses a seis años y multa del tanto al triplo del valor de los bienes. En estos casos, los jueces o tribunales, atendiendo a la gravedad del hecho y a las circunstancias personales del delincuente, podrán imponer también a éste la pena de inhabilitación especial para el ejercicio de su profesión o industria por tiempo de uno a tres años, y acordar la medida de clausura temporal o definitiva del establecimiento o local. Si la clausura fuese temporal, su duración no podrá exceder de cinco años.

3. Si los hechos se realizasen por imprudencia grave, la pena será de prisión de seis meses a dos años y multa del tanto al triplo.

ARTÍCULO 249 del Código Penal (Estafa)

También se consideran reos de estafa y serán castigados con la pena de prisión de seis meses a tres años:

a)Los que, con ánimo de lucro, obstaculizando o interfiriendo indebidamente en el funcionamiento de un sistema de información o introduciendo, alterando, borrando, transmitiendo o suprimiendo indebidamente datos informáticos o valiéndose de cualquier otra manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

ARTÍCULO 250 del Código Penal (Estafa Agravada)

El delito de estafa será castigado con las penas de prisión de uno a seis años y multa de seis a doce meses, cuando:

Revista especial gravedad, atendiendo a la entidad del perjuicio y a la situación económica en que deje a la víctima o a su familia.

El valor de la defraudación supere los 50.000 euros, o afecte a un elevado número de personas.

Si concurrieran las circunstancias incluidas en los numerales 4.º, 5.º, 6.º o 7.º con la del numeral 1.º del apartado anterior, se impondrán las penas de prisión de cuatro a ocho años y multa de doce a veinticuatro meses. La misma pena se impondrá cuando el valor de la defraudación supere los 250.000 euros.

Web Spoofing

¿Qué es el web spoofing?

El delito de web spoofing consiste en crear una web falsa (de un banco, tienda online, hotel, agencia de viajes, etc) para obtener información de las víctimas (contraseñas, nombres de usuario, números de tarjetas de crédito, credenciales de Paypal etc.), o instalar malware en sus ordenadores.

Aunque a priori parezca complicado duplicar una web real, en realidad, es muy sencillo copiando el código fuente de la página original.

La dirección URL puede ser muy parecida dando lugar al engaño. Por ejemplo, podría recibir un correo electrónico que parezca ser de Reebok utilizando el nombre de dominio falso «Rebook.com». O podría entrar en una web clonada de Amazon, cuyo nombre de dominio fuera https://www.amazoon.es/

IP Spoofing

¿Qué es el IP spoofing?

Antes de explicar en qué consiste el delito de IP Spoofing, explicaremos brevemente qué es una dirección IP.

Una dirección IP, o protocolo de internet, es una dirección única que identifica a un dispositivo en Internet. Contiene información de la ubicación y brinda a los dispositivos (ordenadores, tablets y teléfonos) acceso de comunicación a Internet.

Las compañías de telecomunicaciones pueden dar acceso a varios abonados con la misma IP en redes de datos móviles, mientras que en redes tipo ADSL o fibra óptica, se suele dar una dirección IP a un único abonado.

Esto permite identificar al usuario de un teléfono móvil o una tableta, o identificar la red en una conexión de ADSL o de fibra óptica, desde el que se haya enviado la información.

El delito de IP spoofing consiste en suplantar la dirección IP de una persona, para engañar a otros ordenadores de que es una fuente de confianza y enviarles contenido malicioso.

Ejemplo de IP spoofing

Supongamos que a través de un ataque de IP spoofing se envía un malware o virus a una empresa cuyo objetivo es inutilizar el acceso a su sistema de contabilidad, causando con ello una importante pérdida de actividad, pérdida reputacional, así como grandes pérdidas económicas. Además, los ciberdelincuentes exigen a la empresa un pago para eliminar el virus de su sistema y volver a estar operativos.

Penas para el delito de IP spoofing

En el ejemplo anterior, nos encontraríamos ante un concurso real de delitos ya que el delincuente habrá cometido dos delitos independientes: un delito de daños informáticos tipificado en el artículo 264 del código penal y castigado con la pena de prisión de seis meses a tres años, o pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, si el juez considerará que se han ocasionado daños de especial gravedad. Y un delito de extorsión del art. 243 CP castigado con la pena de prisión de uno a cinco años. Las penas de ambos delitos se acumularían según el artículo 73 del Código Penal.

ARTÍCULO 264 del Código Penal (Daños Informáticos)

El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.

Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:

Se hubiese cometido en el marco de una organización criminal.

Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.

El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.

Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.

El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.

Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado.

Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

ARTÍCULO 243 del Código Penal (Extorsión)

El que, con ánimo de lucro, obligare a otro, con violencia o intimidación, a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio o del de un tercero, será castigado con la pena de prisión de uno a cinco años, sin perjuicio de las que pudieran imponerse por los actos de violencia física realizados.

DNS Spoofing

¿Qué es el DNS spoofing?

Antes de explicar en qué consiste el delito de DNS Spoofing, explicaremos brevemente qué son los registros DNS.

DNS (Sistema de Nombres de Dominio), es un protocolo que sirve para traducir los nombres de los sitios web a sus respectivas direcciones IP.

Los servidores DNS conectan el nombre de un dominio con la dirección IP del servidor web donde se encuentra almacenado.

Cuando se produce un ataque de envenenamiento DNS, el atacante lo que hace es indicarle al servidor que cuando la víctima teclee un determinado dominio en el navegador, lo dirija a una IP falsa. Una vez allí, el usuario puede ser engañado para introducir sus datos personales o para instalar un virus en el sistema.

Ejemplo de DNS spoofing

Un ejemplo muy conocido de DNS spoofing es el denominado pharming, en el que un delincuente informático, a través de un ataque de envenenamiento de DNS, desvía el tráfico de internet de un banco hacia otro sitio web copia de la entidad bancaria, con el objetivo de capturar las claves de acceso y firma del usuario.

El usuario, confiado de que se encuentra en la página web de su banco, introduce sus datos personales y claves bancarias, recibiendo mensajes de error, o error en la conexión. En ese momento, el delicuente, que acaba de obtener las claves de la víctima, entra en su cuenta y realiza un traspaso de fondos a otras cuentas intermedias (muleros bancarios).

Penas para el delito de DNS spoofing

En el delito de pharming anterior, estaríamos ante una estafa tipificada en el artículo 249.1 con una pena de prisión de seis meses a tres años.

ARTÍCULO 249 del Código Penal (Estafa)

También se consideran reos de estafa y serán castigados con la pena de prisión de seis meses a tres años:

a)Los que, con ánimo de lucro, obstaculizando o interfiriendo indebidamente en el funcionamiento de un sistema de información o introduciendo, alterando, borrando, transmitiendo o suprimiendo indebidamente datos informáticos o valiéndose de cualquier otra manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.