Delitos Informaticos RESUMEN

Delitos Informaticos Tema 1

Características de la ciberdelincuencia y del ciberdelincuente Alejados ya de las primeras épocas de la ciberdelincuencia, donde los autores de ataques informáticos se vanagloriaban públicamente de sus hazañas, y su máxima motivación era hacerse con un nombre en la culturahacker, la delincuencia informática actual fija sus objetivos con criterios económicos, huyendo en todo caso de la notoriedad y buscando únicamente un enriquecimiento rápido. Sin lugar a dudas, Internet y todos los servicios alojados en la Red son un mercado rebosante de oportunidades para los cibercriminales, que saben cómo explotarlo.

Características de la ciberdelincuencia Existen una serie de características que definen a la ciberdelincuencia y que la distinguen de la que podemos calificar como delincuencia tradicional. Entre esas particularidades, se pueden encontrar las siguientes:



Son delitos de fácil comisión. De forma genérica y dejando de lado los delitos puramente tecnológicos que necesitan una mayor elaboración, la preparación y ejecución de la mayoría de los ciberdelitos no conlleva apenas dificultad.



Con relativa frecuencia estos tipos delictivos tienen un elemento internacional, al situarse geográficamente el autor y su/s víctima/s en distintos países.



Una misma acción delictiva puede causar un número muy elevado de víctimas, sin que tengan una relación directa ni entre ellas ni con el autor. Como ejemplo podemos citar la Botnet Mariposa, compuesta por más de 12 millones de ordenadores comprometidos.



Los resultados del delito pueden manifestarse bien de manera instantánea, como es el caso de las estafas o distribución de contenidos ilícitos, a pesar de la distancia geográfica existente, o bien mucho tiempo después (por ejemplo con la distribución de malware).



En algunos casos, el hecho del delito pasa completamente desapercibido para la víctima, que no es consciente de haberlo sido.



Existe una importante cifra negra de delitos, tanto por no ser las víctimas conscientes de serlo o porque, siéndolo, prefieren no presentar denuncia.



Los indicios de la comisión de un delito informático suelen hallarse en servidores informáticos, donde no se almacenan por períodos prolongados de tiempo.



Además, son fácilmente modificables y/o destruibles. Estas características hacen complicada la investigación policial y judicial.



Las pruebas son difíciles de obtener con garantías jurídicas y fácilmente manipulables.



Están castigados en el Código Penal con escasa pena. Los tipos más usuales de ciberdelitos, en sus casos no agravados, están penados con un máximo de tres años de prisión.



Los investigadores policiales necesitan importantes conocimientos técnicos y de procedimientos, constantemente actualizados para desarrollar investigaciones relacionadas con la delincuencia tecnológica.

Características del ciberdelincuente Los primeros ciberdelincuentes que surgieron a la par que la universalización de los servicios de acceso a Internet, se caracterizaban por tratarse de personas

individuales que buscaban obtener dinero fácil —como el caso de los estafadores—, por tener ideas románticas sobre lo que debía ser la libertad en la Red —primeros hackers— o, también por quienes, como los pedófilos, buscaban nuevas vías para ampliar sus relaciones. Actualmente conviven junto a estos mismos delincuentes individuales, redes de delincuentes perfectamente organizados y con sólidas relaciones internacionales, dispuestos a realizan importantes inversiones económicas tanto en el desarrollo de herramientas informáticas como en la estructura de su organización, a fin de obtener unos muy suculentos beneficios. En contra de la imagen que los delincuentes evocan en la sociedad, como personas violentas que se enfrenta a sus víctimas cara a cara, valiéndose de su superioridad física, la realidad de los ciberdelincuentes es otra. La violencia es sustituida por la preparación técnica en algunos casos, o por la facilidad de la comisión de delitos en otros. Se esconden detrás de conexiones anónimas a Internet, como cibercafés, redes públicas o con la utilización de software especialmente diseñado para no dejar rastro sobre su origen, se aprovechan de la inocencia de sus víctimas a través de técnicas de ingeniería social o mediante la infección de equipos conmalware. Dominan el medio informático, si bien existen perfiles técnicos, que los cualifican para asumir distintas funciones o para poder cometer tipos delictivos concretos. Existe una diferencia clara en el escalafón de la ciberdelincuencia, entre los que con abundantes conocimientos técnicos, dominan la tecnología y aquellos otros que, únicamente están capacitados para su utilización. Motivacion de los Ciberdelincuentes      

Economicos Economicos Empresariales Politicos Terroristas Interes de un Estado Otras Motivaciones

Ciberdelincuencia organizada Internet posibilita a los criminales un inmenso campo de actuación que, comprendiendo la práctica totalidad el mundo, les permite desarrollar de manera simultánea diversas actividades delictivas, generando enormes beneficios económicos sin apenas riesgos que asumir. El modelo de negocio a desarrollar exige investigación, desarrollo, innovación, especialización,subcontratación, y, en

algunos casos, también disponer de servicios de atención a la post-venta. Estas características necesitan de una estructura bien definida y en algunos casos jerarquizada, que posibilite el efectivo reparto de tareas. Es decir, se trata de delincuencia organizada. Para poder definir lo que se entiende por delincuencia organizada, EUROPOL cita determinadas características, a las que llama «indicadores», que deben cumplir los grupos criminales desde un punto de vista operativo.

La delincuencia organizada es una de las mayores amenazas para la sociedad por el potencial criminal que proyecta, y porque la existencia de fronteras físicas entre países no le supone un límite real a sus actividades. Antes bien todo lo contrario, se benefician de la falta de coordinación y colaboracióninternacional efectiva.

Respuestas al ciberdelito Tanto desde organizaciones internacionales y regionales, como desde los gobiernos nacionales y, también, desde los distintos operadores jurídicos y cuerpos de policía, se viene abordando la ciberdelincuencia y los fenómenos asociados a ella, desde distintas perspectivas. Se trata de propuestas de reformas legislativas, de reorganización de capacidades o de implementación de distintos protocolos especialmente estudiados. Diferenciando entre las respuestas a la ciberdelincuencia que se han propuesto a nivel nacional o internacional, a continuación se citarán alguna de ellas por ser las más representativas.

Internacional 

Consejo de Europa: Convenio sobre la Ciberdelincuencia.

También conocido como el Convenio de Budapest, se trata de un tratado internacional vinculante que otorga un marco para la adopción de medidas legislativas por los países que lo ratifiquen.

En 1996, el Comité Europeo de Problemas Penales del Consejo de Europa estableció un comité de expertos al que asignó el examen de los delitos que se cometían a través de Internet, el modo en que debían reflejarse en las distintas legislaciones nacionales, así como la necesidad de buscar un enfoque común con el que lograr una cooperación internacional efectiva, que permitiera adoptar una política criminal conforme a las necesidades. Así pues, buscaban acordar definiciones, tipificaciones y sanciones comunes, además de una imprescindible eficacia en cooperación internacional. El Convenio sobre la Ciberdelincuencia fue aprobado por el Comité de Ministros del Consejo de Europa en su 109ª reunión, celebrada el 8 de noviembre de 2001. Se abrió a su firma por los Estados el día 23 del mismo mes con motivo de la celebración de la «Conferencia Internacional sobre Ciberdelincuencia» en Budapest. Posteriormente, en enero de 2003 se promulgó la firma del Protocolo Adicional al Convenio de Ciberdelincuencia para criminalizar actos de racismo y xenofobia cometidos a través de los sistemas informáticos. El Convenio nació con una clara vocación de universalidad, abriéndose su firma, no únicamente a los países pertenecientes al Consejo de Europa, sino también a otros no pertenecientes a esta organización como EE.UU., Japón o Canadá, que encontraron en su contenido una vía con la que dar mayor eficacia a las investigaciones y procedimientos penales, apoyándose en el articulado del Convenio para realizar las modificaciones normativas necesarias.



Unión Europea: Decisión Marco 2005/222/JAI Relativa a los ataques contra sistemas de información La Decisión Marco firmada el 24 de febrero de 2005, estableció como objetivo la aproximación de las legislaciones penales de los Estados de la Unión Europea en materia de ataques contra los sistemas informáticos, posibilitando con ello un enfoque común sobre qué tipos concretos de conductas deberían ser tipificadas como infracciones penales perseguibles. A su vez, pretendía lograr una cooperación judicial y policial eficaz contra la delincuencia organizada. La necesidad de impulsar la cooperación, nació ante la constatación del crecimiento progresivo de ladelincuencia organizada en el ámbito de Internet que la convertía en una verdadera amenaza a nivel internacional. Igualmente, se comenzaba a tomar consciencia de la peligrosidad y consecuencias que supondrían ataques terroristas dirigidos contra los sistemas de información que gestionan las infraestructuras críticas.

Las diferencias existentes en las distintas legislaciones europeas, dificultaban la cooperación y la lucha eficaz contra las organizaciones criminales cada vez más asentadas en la red. A su vez, complicaban los intercambios de información y obstaculizaban la necesaria coordinación entre las autoridades judiciales y los servicios policiales, en las investigaciones de delitos de naturaleza transnacional que no se podían ajustar a los principios de jurisdiccionalidad que caracterizan a los delitos conocidos hasta ese momento. 

Unión Europea: Directiva 2011/93/UE del Parlamento Europeo y del Consejo (De fecha 13 de diciembre de 2011) Relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil, por la que se sustituye la Decisión marco 2004/68/JAI del Consejo. Si bien la Directiva es amplia en cuanto a su objeto, en el presente tema nos centraremos únicamente, en lo que recoge en relación con la pornografía infantil y al embaucamiento de menores con fines sexuales a través de medios tecnológicos, por poder considerarse incluidas estas actividades en los delitos considerados informáticos.



Respuesta policial internacional Internacionalmente, y dentro de nuestro entorno, dos organismos de colaboración policial están desarrollando importantes esfuerzos para combatir la ciberdelincuencia, desde el punto de vista meramente policial. Se trata de INTERPOL y EUROPOL. o

INTERPOL El cometido de INTERPOL es facilitar que las policías de todo el mundo colaboren. Está formada por una red de 188 países a los que ofrece apoyo técnico y operativo con el que enfrentarse, con mayores garantías de éxito que de manera individual, a la delincuencia internacional especializada. INTERPOLimparte formación específica en diversos campos, presta apoyo especializado en materia de investigaciones y proporciona información operativa. Con todo esto, ayuda a las distintas policías a percibir y adelantarse a las tendencias en materia de delincuencia, a analizar la información que reciben y a desarrollar operaciones policiales con las que identificar y detener a delincuentes.



EUROPOL

Situada en la ciudad holandesa de La Haya, EUROPOL es la agencia de la Unión Europea encargada de la lucha contra la delincuencia organizada y el terrorismo. Cuenta con un centro de apoyo para operaciones, facilita el intercambio de informaciones policiales entre los Estados miembros y dispone de un centro de intercambio de experiencias prácticas en distintos ámbitos, entre los que se encuentra la ciberdelincuencia. Dentro de la estructura de EUROPOL, se ha constituido el Centro Europeo Contra el Cibercrimen(European Ciber Crime Center, EC3), que funciona como punto central en la lucha contra la ciberdelincuencia dentro de la Unión Europea. Permite una reacción rápida ante potenciales ataques informáticos a nivel europeo. A Nivel Nacional 

Código Penal Como se ha hecho referencia anteriormente, los avances en las TIC’s y especialmente Internet, han facilitado a la delincuencia un nuevo campo donde desarrollar sus actividades criminales, adaptando los modus operanditradicionales a las especiales características de la sociedad de la información, además de descubrir nuevas oportunidades delictivas en los sistemas informáticos y en los datos contenidos en ellos.



Guardia Civil (GC) Desde 1996, la Guardia Civil cuenta con unidades especializadas en delincuencia tecnológica, que se han ido desarrollando en personal y capacidades a la par que la progresiva implantación de las TIC’s ha traído consigo un aumento de delincuencia asociada a ellas. En la actualidad, la respuesta de la GC se realiza desde dos perspectivas o niveles competenciales independientes, pero íntimamente coordinados, toda vez que son complementarios y basados en una mayor eficacia policial y mejor servicio al ciudadano.



Cuerpo Nacional de Policía (CNP) Consciente del auge de las TIC’s, de la presencia cada vez más acentuada de la delincuencia organizada y de la situación extremadamente compleja que para la investigación policial tienen estas circunstancias, el Cuerpo Nacional de Policía ha reforzado su presencia y capacidades con la creación de la Unidad de Investigación Tecnológica (UIT).

Tema 2

Estafas en la banca electrónica. Phishing La banca electrónica es uno de los servicios con mayor aceptación y utilización por los usuarios de Internet. Esto es debido a que, a través de su web, los clientes de una entidad pueden realizar consultas, operaciones y transacciones de forma completamente autónoma, ágil, inmediata y sin limitación por fecha, situación geográfica u horario. Sin embargo, el acceso desde Internet mediante un sistema de identificación y validación del usuario de la banca electrónica es al mismo tiempo su debilidad, al ser potencialmente vulnerable esta identificación a suinterceptación y utilización por personas no autorizadas. Podemos entender como Phishing aquellas acciones desarrolladas con fin de obtener mediante ingeniería social y/o malware, la información necesaria para acceder de manera no autorizada a determinados servicios —no únicamente financieros— suplantando en ellos la identidad de su legítimo titular. Generalmente, el fin perseguido es la realización de transferencias desde las cuentas de las víctimas hasta otras gestionadas directa o, en la mayoría de los casos, indirectamente por los responsables del ataque. Si bien, como acabamos de definir, el término Phishing hace referencia únicamente a la fase previa de la estafa, caracterizada por tener como finalidad la obtención de las claves necesarias para acceder a la banca electrónica de la futura víctima, comúnmente se viene empleando este término para definir el proceso delictivo completo, a saber: Obtención de claves de identificación, acceso a los datos privados de la víctima y

finalmente trasferir y monetizar el importe económico defraudado. En este tema se engloba el proceso completo bajo el término ciclo del Phishing.

Ciclo del Phishing El ciclo del Phishing se puede dividir en distintas fases atendiendo a los pasos que, como actos preparatorios se diseñen y ejecuten con la finalidad de lograr el objetivo final. Se trata de un proceso complejo en el que intervienen distintos actores en tiempos distintos y con responsabilidades e implicaciones diferentes, si bien complementarias y necesarias todas ellas. De manera simplificada y para el presente documento, se ha optado por identificar y agrupar todas las actividades en únicamente tres fases independientes:

Ingeniería Social 

Introducción Se pretende que sea la potencial víctima la que facilite voluntariamente sus datos de identificación en la banca electrónica. Para ello, emplean técnicas que han ido evolucionando y perfeccionando en el transcurso del tiempo, como consecuencia del aumento en la concienciación del usuario en cuestiones de seguridad. Requiere un periodo previo de elaboración durante el cual realizan acciones preparativas de la campaña de Phishing, como pueden ser las siguientes:



SMS fraudulentos: Smishing Otra manera de obtener los datos privados mediante ingeniería social, es a través de mensajes SMS o MMS. Las comunicaciones simulan provenir de una entidad financiera o bancaria. Informan al titular que han surgidoproblemas de validación en su tarjeta o que ha sido bloqueada por razones de seguridad y que para

poder volver a utilizarla, deben acreditar su titularidad mediante un formulario al que se accede a través de una dirección web. 

Llamadas fraudulentas: Vishing Los delincuentes contactan telefónicamente con sus víctimas simulando provenir de una entidad bancaria, informándoles de la presunta utilización fraudulenta de su tarjeta bancaria. Estas comunicaciones suelen realizarse a través de servicios de telefonía sobre VoIP (Voz sobre IP. Tecnología que permite que las llamadas se realicen a través de Internet desde cualquier parte del mundo aprovechando las facilidades de anonimato que la Red ofrece). br Por lo general, la comunicación no se efectúa por una persona real, sino que se trata de una grabación efectuada, siguiendo patrones similares a los utilizados por los distintos servicios de atención al cliente. Durante la comunicación se requieren los datos bancarios o las numeraciones de las tarjetas de crédito,incluyendo por supuesto, el número PIN, la fecha de caducidad y el código CVV, como paso previo a poder ser atendido supuestamente por un operador. En otras ocasiones, las grabaciones telefónicas remiten al cliente a una página web en la que realizar las presuntas comprobaciones, a través de formularios donde los Phishers obtienen los datos que buscan.



Pesca dirigida: Whaling Esta modalidad no está dirigida a cualquiera que pueda recibir el correo electrónico típico del Phishing, sino que se centra en la búsqueda de un perfil concreto de usuario de banca online. Se dirigen a directivos de determinadas compañías, a administradores de redes, a personal clave en organizaciones concretas, a personas mayores con importantes activos económicos, a empresarios, etc. Se centran sobre estos grupos al suponer que disponen de mayor capacidad económicas. En otras ocasiones, lo que se pretende es tener acceso a información sensible que podrá ser utilizada para cuestiones distintas al simple robo de dinero.

Malware 

Introducción El crecimiento exponencial de ataques de Phishing que se produjo con la universalización de los servicios de banca electrónica, tuvo como natural consecuencia que las entidades iniciaran campañas de advertencia y

sensibilización sobre seguridad, dirigidas a sus clientes con la finalidad de disminuir su incidencia. Al mismo tiempo se implementaban medidas de fortalecimiento en la identificación de los usuarios de la banca electrónica, pasando a utilizarse por defecto —junto con login y password—otros sistemas como las tarjetas de coordenadas o dispositivos tipo Token (Dispositivo que genera contraseñas dinámicas y válidas por un periodo limitado de tiempo, generalmente de un solo uso), con los que se pretendía garantizar la no suplantación del usuario. Estas medidas llevaron a los criminales a desarrollar otros sistemas de ataque que les permitieran robar la identidad electrónica de sus víctimas. Desde ese momento, los programas conocidos como virus o gusanos informáticos abandonaron sus objetivos iniciales, que se centraban únicamente en causar daños informáticos, para comenzar a orientarse en lo que hoy conocemos como software malicioso omalware. Su principal característica y objetivo, consiste en robar cualquier tipo de información confidencial de los sistemas informáticos en los que se instalan, sin que sea detectada ni su presencia ni su actividad. 

Keyloggers. Se trataba de programas que recogían en un fichero, las pulsaciones que se realizaban sobre el teclado. En su variante de malware bancario, estos programas estaban diseñados para activarse cuando detectaban que se accedía a una de las URL’s para las cuales habían sido programados, esencialmente pertenecientes a entidades bancarias. Toda la información recogida (claves de acceso, nombre de usuarios, claves de firma, etc.) se enviaba alPhisher que lo controlaba.



Screenloggers. Una de las primeras medidas que tomaron los responsables de la banca electrónica para aumentar la seguridad en la identificación de sus clientes, fue la implementación de los teclados virtuales en sus accesos online. Este tipo de teclados requerían que el usuario pulsara con el puntero sobre la pantalla, en lugar de hacerlo sobre el teclado físico. Ante esto, los ciberdelincuentes, desarrollaron los programas conocidos como Screenloogers, que permitían capturar «porciones» de la pantalla, alrededor del lugar en el que se pulsa con el puntero.



Troyanos Bancarios Como se ha comentado, las técnicas de Phishing junto con la ingeniería social se sirven de un tipo demalware específicamente diseñado y desarrollado con el único objeto de robar información de acceso a la banca electrónica, o a cualquier otro servicio como redes sociales o correo electrónico, paraobtener beneficios con la comisión de fraudes bancarios. Este tipo específico de malware se conoce como Troyano Bancario.



Alteración de DNS: Pharming

Al igual que los mensajes de correo electrónico y los dirigidos a los teléfonos móviles, el objetivo delPharming es lograr que la víctima acceda a una página web fraudulenta diseñada, o al menos modificada, con la finalidad de capturar información confidencial. Para su éxito no se requiere la acción consciente de la víctima como ocurre en los ataques asociados a la ingeniería social, sino que se produce por una manipulación informática.

Fase II: Captación de mulas: Como resultado de las técnicas descritas en la Fase I, los Phishers disponen de la información necesaria para acceder a la banca electrónica de sus víctimas y para realizar transferencias en su nombre. No obstante, esto es únicamente una posibilidad, ya que para poder hacer efectivo del dinero y por lo tanto disponer de él, necesitan a personas que, residiendo en el mismo país de las víctimas para facilitar y agilizar las transferencias, accedan a recibirlas en sus cuentas bancarias —con o sin conocimiento de su origen ilícito— para después enviar el dinero recibido a los delincuentes, a través de empresas de envío internacional.

Fase III: Transferencia, monetización y envío de lo defraudado: Ya con la información sobre las claves de acceso a la banca online de una víctima, los delincuentes suplantan su identidad electrónica y realizan transferencias online por todo el importe que puedan a las cuentas facilitadas por las mulas. Si bien el acceso a la cuenta y la transferencia se puede materializar en cualquier horario, prefieren realizarlaen días y horas no laborables a fin de de retrasar al máximo el momento en que la víctima detecte el fraude, e informe a la entidad bancaria de destino de la ilegitimidad de la operación realizada y ordene su retrocesión.

Fraude en medios de pago físico Card no present fraud (CNP Fraud) En los apartados relacionados con el Phishing, se ha descrito que el objetivo de los cibercriminales eraconseguir la información necesaria para el acceso a los servicios de banca electrónica de sus víctimas, esencialmente nombre de usuario, password, además de otras claves con las que poder realizar posteriores transferencias fraudulentas. Junto con los datos de acceso a la banca online, otro de los objetivos a los que los delincuentes le dedican un considerable esfuerzo utilizando diversos vectores de ataque, como el diseño, creación y difusión de malwareespecifico, o la utilización de redes botnets, es la información que aparece físicamente grabada en las tarjetas bancarias. Estos son la numeración de la tarjeta, la fecha de caducidad y el código de verificación, también

conocido como CVC, CVC2 o CID (se trata de un número de tres o cuatro cifras, que se solicita a fin de comprobar que se dispone físicamente de la tarjeta bancaria durante la realización de procesos de compra a través de plataformas electrónicas o telefónicas). Con estos datos los ciberdelincuentes pueden realizar compras de productos o servicios a través de Internet o mediante llamadas telefónicas. A esta actividad delictiva se le conoce como carding o card no present fraud.

Skimming Mucho más complejo, es realizar una copia de la información que no aparece a simple vista en las tarjetasbancarias y por lo tanto, al desconocerla su usuario legítimo, no puede ser obtenida por manipulación informática del equipo de la víctima o mediante técnicas de ingeniería social. La clonación de la tarjeta consiste en obtener, en primer lugar, toda la información almacenada en la banda magnética y posteriormente copiarla en otra tarjeta, con la que realizar compras en establecimientos físicos y/o retirar dinero en cajeros automáticos, como si de la original se tratase, para ello es necesario conocer el número PIN de la tarjeta clonada. Con la modificación del Código Penal llevada a cabo con la Ley Orgánica 5/2010, se incluyó una nueva Sección del Capítulo II (de las falsedades documentales) dentro del Título XVIII (de las falsedades) bajo el epígrafe «De la falsificación de tarjetas de crédito y débito y cheques de viaje». Esta sección, la cuarta, se ha incluido un único artículo, el 399 bis, donde se tipifica las conductas asociadas a fraudes con tarjetas de crédito físicas.

Ciclo del Skimming: Obtención de los datos de las tarjetas Las técnicas que utilizan los Skimmers, se dirigen a conseguir disponer de dos tipos de datos distintos, pero complementarios y necesarios para la utilización de una tarjeta bancaria. Estos son, los datos que se incluyen en la banda magnética y el número PIN que permite utiliza la tarjeta. 

La banda magnética las características de las bandas magnéticas de las tarjetas se recogen detalladamente en la normativa internacional ISO, concretamente en las 7810, 7811 y 7813. Se dividen en tres pistas con la siguiente estructura: o

Pista 1: Donde se pueden incluir 79 caracteres alfanuméricos, contiene esencialmente datos del código de país, el nombre del titular de la tarjeta, la fecha de su caducidad, el código de servicio y otros datos discrecionales en

donde se puede incluir información variada. Los datos que aparecen en relieve en la tarjeta deben coincidir con los incluidos en esta pista. o

Pista 2: Permite el almacenamiento de 40 caracteres numéricos. Entre otros datos, incluye el número de cuenta principal.

o

Pista 3: Puede almacenar 107 caracteres numéricos y se emplea principalmente para almacenar aquella información que cambia con frecuencia o que es posible que lo haga

Tanto la pistas 1 como la 2, son únicamente de lectura, por lo que una vez grabadas no se puede alterar su contenido. 

El número PIN. No aparece en ninguna de las pistas y debe ser únicamente conocido por el titular de la tarjeta bancaria.

Carta Nigeriana, Scam 419 Las cartas nigerianas, conocidas también como estafa nigeriana e, incluso como scam 419 (hace referencia al artículo del código penal de Nigeria que castiga esta actividad delictiva), es uno de los clásicos entre las estafas. Dirigida a ciudadanos de los cinco continentes, no se trata de un nuevo tipo delictivo aparecido a la sombra de Internet, sino que existía mucho antes si bien utilizaba para su comisión el envío de manera física de miles de cartas. Con la universalización en el uso del correo electrónico, los estafadores han visto exponencialmente mejorada su capacidad de envío de comunicaciones, junto con un abaratamiento muy significativo de la inversión y una mayor rapidez en el contacto con las víctimas y la consecuente materialización de la estafa. En los distintos tipos de mensaje que se incluyen en los correos electrónicos, siempre se hace referencia a una muy importante cantidad de dinero proveniente de diversas vías como herencias, subvenciones internacionales, robos etc. que se encuentra depositada a disposición del remitente, el cual no puede hacerla efectiva directamente por distintos motivos, obligándole a solicitar la ayuda del destinatario del correo, a quien promete una importante comisión a cambio de recibirla en su cuenta bancaria.

Estafas en relaciones personales: Romancescam Las relaciones personales también han encontrado en la red y en las comunicaciones, una nueva vía en que desarrollarse. Existen páginas web especializadas en compartir aficiones, experiencias, ilusiones o en las que buscar distintos tipos de relaciones personales.

La información que los usuarios vuelcan en estos tipos de páginas web, les describe plenamente, mostrando su edad, sus aficiones, sus pasiones, su gustos, sus costumbres, la existencia o no de familia y su relación con ella, su nivel económico, sus creencias religiosas y un sinfín de datos identificativos de su carácter, que con un poco de ingeniería social pueden ser utilizados por los delincuentes para idear, planificar, desarrollar y finalmente consumar una estafa personalizada. Los estafadores especializados en el romancescam, conocen que para obtener dinero de este tipo de estafas, han de actuar con organización, cautela y paciencia. El primer paso que deben dar es contactar con las futuras víctimas, para lo que pueden optar por dos vías. Ser activos en su búsqueda, enviando correos electrónicos e iniciando, por lo tanto, ellos la relación epistolar o por el contrario, publicar anuncios y esperar que sean las propias víctimas las que se pongan en contacto con los estafadores. Si siguen la primera vía, necesitan obtener direcciones de email, actuales y activas, a las que enviar los correos. Las que tienen más valor y resultan de mayor interés para los ciberestafadores, son las de losusuarios registrados en páginas web’s especializadas en relaciones personales. Pueden conseguirlas de manera artesanal, es decir una a una o comprando a organizaciones especializadas en hacking, las bases de datos de clientes de alguna de estas páginas, que previamente han sido robadas.

Falsos antivirus: ROGUES Además de ser uno de los métodos de estafa más difundidos, es uno de los más efectivos. Se conocen como ROGUES a un tipo concreto de malware que, generalmente, se instala de manera oculta durante la navegación por web’s poco seguras o a través de descargas de ficheros desde páginas de descargas directas o programas P2P. El malware se instala en el equipo y genera la aparición repetitiva de mensajes emergentes (pop-ups), en los que se puede leer un texto, advirtiendo de la existencia de un peligroso y destructivo virus que ha infectado el ordenador.

Test Tema 2 Tu resultado:13sobre15 Acertadas: 13 - Falladas: 2 Resultado medio del grupo 

1. Entre los estafadores considerados con tradicionales y los que cometen sus estafas a través de Internet, existen grandes similitudes y diferencias. De entre las siguientes que se citan, indica cuáles corresponden con los ciberestafadores.

o

Son necesarias grandes cualidades interpretativas o teatrales.

o

Requieren una previa y considerable inversión económica.

Asumen siempre riesgo físico.

o

Ninguna de las anteriores se corresponden con características de los

o ciberestafadores. 

2. En la redacción del Código Penal, se hace distinción entre dos tipos de fraudes relacionados con Internet. ¿Cuáles son? Según la cantidad estafada se dividen en estafas graves y estafas menos

o graves. o

Los que cuentan con Internet como elemento facilitador de su comisión y las identificadas como estafas informáticas. Las que se cometen a través de correo electrónico y las que se realizan por

o vía web. o 

Las estafas informáticas y las estafas tecnológicas. 3. Las acciones llevadas a cabo por delincuentes con el fin de obtener, por distintas vías, la información necesaria para acceder de manera no autorizada a las cuentas bancarias online de otras personas, se conoce como:

o

Skimming.

o

Piercing.

o

Phishing.

o

Smishing.



4. En este tema se ha dividido el ciclo del Phishing en tres fases. ¿cuál de la siguientes no se corresponde con una de ellas? (varias respuestas).

o

Captación de mulas.

o

Identificación de cuentas.

o

Traslado de efectivo.

o

Localización de víctimas.



5. En los correos electrónicos fraudulentos enviados por las organizaciones de Phishers, se suele hacer mención a distintas cuestiones relacionadas con la seguridad de la banca electrónica, entre las que se encuentran:

o

Cambios en la política de seguridad.

o

Detección de presuntos fraudes.

o

Actualización de sistemas.

o 

Todas las anteriores. 6. La técnica para obtener los datos privados relacionados mediante la utilización de mensajes de texto o MMS, se conoce como:

o

Skimming.

o

Piercing.

o

Phishing.

o

Smishing.



7. En cuanto a la modalidad dirigida no a una generalidad de personas, sino a usuarios concretos de banca online, elegidos por su perfil al suponer que disponen de mayor capacidad económica, se conoce como:

o

Skimming.

o

Whaling.

o

Phishing.

o

Smishing.



8. Los programas informáticos que recogen en un fichero las pulsaciones que se realicen sobre el teclado del equipo informático en el que estén instalados, se conocen como:

o

Troyanos.

o

Capturadores.

o

Cracks.

o

Keyloggers.



9. La técnica diseñada para capturar información personal mediante la modificación del servidor de DNS, se conoce con el término:

o

Pharming.

o

Dnsing.

o

Phishing.

o

Smishing.



10. Dentro del ciclo del Phishing, un correo electrónico en donde apareciera el texto que a continuación se muestra, ¿en qué fase se incluiría?

Ampliar imagen

o

Captura de datos.

o

Captación de mulas.

o

Trasferencia, monetización y envío. Ninguna de las anteriores, no se incluye dentro del ciclo del Phishing, sino

o del Skimming. 

11. Si bien el acceso ilegítimo a las cuentas online de las víctimas para realizar las transferencias y con ello materializar la estafa, se pueden realizar en cualquier momento, ¿en qué franjas se suelen producir con mayor frecuencia? (Varias respuestas)

o

En días laborables.

o

En días no laborables.

o

En horas laborables.

o

En horas no laborables.



12. El carding o card no present fraud, consiste en la utilización de determinados datos relacionados con una tarjeta bancaria, con el fin de realizar compras o pagos fraudulentos. ¿Cuáles son esos datos concretos? (Varias respuestas)

o

La numeración de la tarjeta.

o

El número PIN.

o

La caducidad de la tarjeta.

o

El código CVV.



13. Esencialmente, las técnicas recogidas bajo el término Skimming, se dirigen a la obtención de dos datos concretos referidos a las tarjetas bancarias, estos son:

o

El número PIN y el nombre del usuario.

o

Saldo de la tarjeta y el número PIN.

o

Los datos de la banda magnética y el número PIN.

o

El nombre del usuario y el saldo de la tarjeta



14. El termino Dump hace referencia a: A la división de responsabilidades entre los integrantes de una organización

o criminal.

A la segunda fase del ciclo del Skimming.

o

A la falsificación de elementos de los cajeros automáticos, donde ocultar las

o cámaras.

A los datos de tarjetas bancarias que se pueden obtener a través del

o mercado negro. 

15. El siguiente mensaje es característico de un tipo concreto de estafa. ¿Cuál?

Ampliar imagen

o

Lotería.

o

Romancescam.

o

Nigeriano.

o

Novia Rusa.

Tema 3

Daños informáticos Introducción De todos los delitos descritos en este manual, los incluidos en este punto son los que se pueden considerar como más puramente informáticos. Se trata de ataques contra los principios de confidencialidad (accesos no autorizados a los ficheros alojados en un sistema), integridad (realizar alteraciones en los ficheros alojados en un sistema) y disponibilidad (dejar fuera de servicio a un sistema completo), entre los que se encuentran los accesos ilícitos a sistemas informáticos o partes de los mismos, la

interceptación ilícita de las comunicaciones de datos, los ataques contra la integridad—tanto de los datos como de los sistemas— y los abusos de dispositivos. La inclusión de estas actividades dentro de nuestro derecho penal, es relativamente reciente y consecuencia directa tanto de la aparición de nuevas figuras delictivas como de la necesaria homogenización con la normativa europea.

Malware Bajo este término se incluye el software específicamente diseñado para permitir el acceso y posterior manipulación de un sistema informático, sin el conocimiento ni autorización de su propietario y/0 usuario. Mientras que los primeros especímenes de malware (1999) y LoveLetter (2000), buscaban causar daños en el equipo informático de manera visible e inmediata, en la actualidad su pretensión es la de no ser detectados manteniéndose el mayor tiempo posible activo, robando información o utilizando los recursos del equipo de la víctima en beneficio del ciberdelincuente. Los programas maliciosos han evolucionado a la par del incremento de usuarios de Internet, alcanzando su desarrollo técnico mayor complejidad y sofisticación en su distribución — principalmente a través de técnicas de ingeniería social, aprovechando vulnerabilidades o malas configuraciones en los sistemas operativos o en las aplicaciones— y consecuencias. El número de malware existente en la actualidad se calcula en millones, incluyéndose en él todo tipo de amenazas como virus, gusanos, troyanos, backdoor, rootkits, scareware, spyware, adware, etc.

Advanced Persistent Threat (APT) (Amenazas Persistentes Avanzadas) APT hace referencia al conjunto de medios empleados y técnicas utilizadas como parte de un sofisticado ciberataque, dilatado en el tiempo, cuyo objetivo es la infiltración en un sistema o red informática y su permanencia por periodo prolongado de tiempo, durante el que tendrá acceso y extraerá constantemente información sensible y/o crítica de la empresa u organismo víctima. Como características descriptivas de una Amenaza Persistente Avanzada, se pueden incluir las siguientes: 

Amenazas dirigidas: Se trata de amenazas específicamente enfocadas a un objetivo determinado. Están planteadas y desarrolladas a medida de la empresa u organismo concreto a cuya información se pretende acceder. La víctima no es casual, como ocurre con la difusión de malware tradicional, sino que es seleccionado por el atacante, por motivos claros y conforme a la información concreta a la que quiera acceder.



Amenazas avanzadas: Se trata de sistemas de ataques complejos, muy desarrollados y diseñados de forma exclusiva —incluido el software malicioso a usar

en cada infiltración— para un objetivo concreto, por lo que se adaptan a la perfección en el ecosistema al que atacan. Los responsables cuentan con amplísimos recursos tecnológicos, humanos y económicos, junto con la ausencia de límite temporal para conseguir su objetivo. En el desarrollo del ataque se suelen emplear de manera coordinada múltiples vectores de ataque. Utilizan malware, se sirven de exploits que explotan vulnerabilidades no publicadas, utilizan ingeniería social e incluso intervienen las comunicaciones de las personas que consideran de interés para sus propósitos. 

Amenazas persistentes: Si los sistemas de seguridad implementados por la víctima impiden el éxito de un determinado ataque, el ciberdelincuente no abandonará el objetivo, sino que buscará nuevas estrategias sobre las que desarrollar modos de acceso alternativo. Una vez logrado el objetivo inicial de colonizar un sistema o una red, se mantiene en él durante un muy prolongado periodo de tiempo, siendo muy difícil tanto su detección como su eliminación total. Las APT están en constante mutación, adaptándose continuamente a las características del sistema que ataca. Esta versatilidad hace que su detección sea muy compleja a través de los métodos tradicionales de detección de intrusiones.

Según el informe White Paper Defending Against Advanced Persistent Threats publicado por la compañíaSolutionary, las distintas fases en las que divide el ciclo de la vida de un ataque APT, son las siguientes:

Reconocimiento – Establecer un Backdoor – Obtencion de Credenciales – Explorar e Instalar Utilidades – Escalada de Privilegios/Movimiento Lateral/Extraccion de Datos – Mantener Persistencia BOTNET El termino botnet hace referencia a una red de ordenadores (a los equipos que de esta manera forman parte de una red Botnet, se les suele llamar «robots» «bots» o «zombis»), que estando infectados por un malware, son controlados de manera coordinada y remotamente por una persona que como responsable de su mantenimiento y utilización, se le identifica con el termino botmaster. Este control sobre los equipos informáticos, puede ser utilizado para usarlo de manera coordinada o distribuida en determinadas acciones ilícitas, sin que los usuarios de los equipos infectados participen en ellas o tengan conocimiento de su realización o consecuencias. El número de equipos que pueden llegar a formar parte de una botnet, es prácticamente ilimitado, habiéndose detectado y desarticulado redes con millones de equipos infectados. Ransomware El tipo concreto de malware conocido como ransomware (proviene de la palabra inglesa Ransom, cuyo significado es «rescate»), criptovirus o virus de la policía, hace referencia a una variante específica desoftware malicioso, que bloquea el acceso al sistema informático o a determinados archivos, exigiendo que se pague una cantidad de dinero a modo de «rescate», para devolver su control al usuario. Los primeros casos se dieron en Rusia en los años 2005 y 2006. Desde entonces el malware ha ido evolucionando, tanto en la manera de su distribución como en las tácticas que se emplean para conseguir sus objetivos.

Ataques a la Propiedad Intelectual en la red Se va a tratar únicamente de los ataques a los derechos contra la propiedad intelectual que se sirven de Internet para su consumación, dejando a los que se cometen mediante la distribución en soportes físicos. A pesar del esfuerzo legislativo (prueba de ello es la abundante normativa existente en la materia) y de la persecución de los titulares de los derechos de propiedad intelectual, hacia los distintos modos de distribución a través de la red, la piratería entendida como «la puesta a disposición de una multitud de personas de obras protegidas sin la autorización de sus legítimos titulares», ha aumentado en los últimos años de manera exponencial, apoyada sin lugar a dudas, en la extraordinaria evolución tecnológica que ha

traído consigo protocolos y formatos que facilitan el intercambio de archivos o la posibilidad de descargarlos a gran velocidad y con excelente calidad. Intercambio mediante protocolos Peer To Peer (P2P) Los protocolos de intercambio P2P, como los utilizados por los programas Emule, Ares, Bittorrent, Azureus etc., facilitan el poder compartir distintos tipos de ficheros entre los usuarios de Internet, permitiendo buscar archivos concretos en lo que se configura como una colección inmensa de contenidos. Su funcionamiento permite una gran agilidad en la descarga al de efectuarse de manera simultánea desde multitud de usuarios. Páginas web desde las que se facilitan enlaces a los contenidos Si bien los contenidos protegidos se encuentran almacenados en servidores comerciales (conocidos como Cyberlockers, tales como Fileserver, 4share, Hotfile, Letiibit, etc., que por su popularidad y rapidez de descarga se están convirtiendo en una referencia en cuanto al almacenamiento online), no es a través de ellos como los usuarios finales acceden a los ficheros. Generalmente, realizan las búsquedas de las películas, software, libros electrónicos, etc. en páginas web o foros especializados, donde sus gestores incluyen junto al título de la obra, el enlace al fichero almacenado en el servidor desde el que poder descargarlo.

Visionado directo o streaming Streaming. Se trata de un sistema que permite visionar un archivo de vídeo o escuchar uno de audio sin necesidad de descargarlo previamente en el equipo informático, gracias a un reproductor multimedia y un almacenamiento mínimo en el sistema.

Delitos relacionados con la difusión de contenidos En este apartado se engloban todos aquellos delitos que son lesivos para intereses diversos, tales como injurias, incitación al odio o a la violencia, calumnias, amenazas o terrorismo, en los que Internet y el resto de sistemas de comunicación —mensajes instantáneos, SMS, MMS etc.— actúan como elemento facilitador que incrementa exponencialmente las posibilidades para su comisión y la capacidad de ocultamiento de su autor, multiplicando los efectos lesivos que estos delitos ocasionan en la víctima. Sino los más frecuentes, los que causan mayor lesividad y rechazo social, son la distribución de contenidos relacionados con abusos a menores y con el terrorismo.

Contenidos relacionados con abusos a menores (mal conocido como pornografía infantil) A pesar de ser el tipo penal que con más interés y coordinación internacional se persigue y el que cuenta con un número mayor de iniciativas jurídicas y de acuerdos internacionales,

aún no se ha logrado encontrar la manera de parar la difusión y, lo que es peor, detener la producción de este tipo de contenidos, debido en gran medida a que es una actividad criminal que mueve grandes cantidades de dinero a nivel internacional. El artículo actual del Código Penal mediante el que se persigue el delito de difusión de contenidos relacionados con abusos a menores es el 189. Se tipifican en él acciones como la elaboración, la producción, la venta, ladifusión, la exhibición, la posesión para la difusión o para la propia tenencia de material pornográfico en el que se haya utilizado a menores o incapaces, así como la conocida como pornografía virtual opseudopornografía, en la que no han sido utilizado menores, sino que se emplea su imagen o voz alterada o modificada. Entre las diversas vías por las cuales, actualmente, se procede a la difusión de este tipo de contenidos ilícitos, se encuentran las siguientes: 

Páginas web a las que se accede sin ningún tipo de restricción, a través de los navegadores y que se encuentran indizadas por los buscadores.



Páginas web indizadas en los buscadores pero de acceso condicionado, por lo que exige que sus usuarios formen parte la comunidad, en la que participan enviando archivos o a la que contribuyen ingresando importes económicos.



Páginas web no indizadas por los buscadores (conocido como Deep Web). Para acceder a ellas hay que conocer previamente su dirección web y hacerlo a través de determinados protocolos de comunicaciones.



Mensajería instantánea a través de canales de IRC, chats, MMS, etc.



Foros, que al igual que las páginas web, pueden ser de libre acceso o de acceso restringido.



Correos electrónicos individuales o mediante listas de correos.



Redes Peer to Peer (P2P).

Contenidos relacionados con el terrorismo Como para cualquier tipo de organización, las terroristas han descubierto el enorme potencial que les brinda Internet. Según el informe de la Oficina para la Droga y el Delito de las NNUU (ONUDC) publicado en 2012, los grupos terroristas y sus simpatizantes usan Internet para reclutar, radicalizar, formar, financiar, diseminar propaganda, entrenar e incitar a seguidores a cometer actos de terrorismo, así como a reunir y divulgar información con fines terroristas.

En el presente punto no se abordan las capacidades que los grupos terroristas tienen de utilizar la red o los sistemas informáticos como objetivo último de un ataque, ni de cometer actos de ciberterrorismo en sentido estricto, sino de cómo utilizan las facilidades de comunicación que les ofrece Internet para alcanzar sus diversos fines. Ciberterrorismo se puede definir, como las actividades terroristas llevadas a cabo en el ciberespacio con el objetivo de causar terror. Esta definición está en conexión con la armonización de la definición de terrorismo basada en la Decisión Marco 2002/475/JAI del Consejo de 13 de junio de 2002 sobre la lucha contra el terrorismo.

Ciberacoso—Ciberbullying Podríamos definir el ciberacoso como una agresión psicológica que perdura en el tiempo, ocasionada por una o varias personas, dirigida contra otra y que se efectúa utilizando las tecnologías de información y comunicación. Se trata, por lo tanto de la mera traslación a la esfera de las TIC de una acción de humillación real. Por lo general el ciberacoso es acompañado por acciones de acoso directo, siendo el realizado a través de la red una continuación del efectuado en el mundo real. Si, además, incluimos otro elemento diferenciador como es la edad de los que actúan, podemos referirnos a elciberbullying como un tipo específico de acoso, en el que tanto el acosador como la víctima son menores de edad (en edad escolar) y en el cual, al igual que en el ciberacoso, se utilizan las tecnologías de información y comunicación como medio para llevarlo a término. Los ciberacosadores utilizan la red como medio para obtener información de sus víctimas, a las que realizan un seguimiento online y, en el caso de tener los conocimientos técnicos necesarios, espiar accediendo a sus cuentas y perfiles electrónicos, como plataforma para reforzar su acoso. Por lo tanto, las características que definen y diferencian estas conductas lesivas de acoso son: 

El Ciberbuying se da entre menores de edad. Esto es, tanto el acosador como la víctima del acoso son menores en edad escolar. Cuando no se da esta condición y se trata de adultos, utilizamos el término genérico de ciberacoso.



El medio que se utiliza para llevarlo a cabo o para hacerlo expansivo, son las Tecnologías de Información y Comunicación, entre las que podemos citar como ejemplo, los siguientes canales a través de las que se reciben, publican o difunden comentarios humillantes, vejatorios, amenazantes, sexuales, etc.



La finalidad con la que se realiza es diferente para el ciberbullying que para el ciberacoso. En elciberacoso tiene un trasfondo variado entre los que destacan: o

El laboral, cuando se utilizan las nuevas tecnologías para lanzar informaciones que causandescredito sobre la víctima, como medida para impedir o dificultar un desarrollo profesional.

o

Sexuales, cuando se pretende obtener imágenes o vídeos personales de contenido sexual, a través del acoso.

o

Personal, cuando se utiliza como venganza. Un ejemplo puede ser las publicaciones de imágenes íntimas de ex—parejas en redes sociales o páginas de contacto, con finalidades como la humillación o la negociación ventajosa en el proceso de separación. Otro caso es la difusión pública de información privada, conociendo el daño que va a causar en la imagen de la víctima o en sus relaciones personales. También se suele dar la comisión por imitación o réplica, este es el caso de la difusión exponencial de contenidos personales, que son difundidos sin haber tenido relación directa con su obtención y que al difundirse masivamente, multiplican la humillación de la víctima del acoso.



En cuanto a la finalidad del ciberbullying, como se ha citado antes, es únicamente la de la humillaciónde la víctima menor, como los autores, por un grupo con los que está directamente relacionado al compartir actividades escolares o deportivas. Se trata de una prolongación a la red de la intimidación, insultos, rechazo social y agresiones físicas que sufre en su actividad diaria y que se sustenta en la relación de poder que los autores o acosadores tienen sobre la víctima. Cuando las víctimas son los profesores o educadores y los autores son los alumnos que buscan humillarlos, al acoso se le conoce como Ciberbaiting.

Grooming También es conocido como child grooming o internet grooming, se trata de un acoso originado por un adulto y dirigido a un menor, cuyo objetivo final es la aproximación física con intenciones sexuales. Durante el grooming, el autor utiliza la red como medio para ganarse la confianza de su víctima, sirviéndose de todo tipo de estrategias dirigidas a establecer una previa conexión emocional. Con ella, logra que el menor realice actos de naturaleza sexual, ya sean de manera voluntaria o forzada. En primer lugar será virtual a través de la red y después real.

En el desarrollo del grooming se da cabida a otros delitos como son las amenazas, los daños informáticos y el propio acoso, sin embargo todos estos delitos se cometen con la finalidad de culminar un ataque de carácter sexual. Esta figura delictiva ha sido incluida en nuestro Código Penal en la reforma operada por la Ley Orgánica 5/2010, que introdujo un nuevo artículo 183 bis. Fases del Grooming: El modo o las formas a través de las cuales el autor de un grooming, desarrolla su conducta delictiva depende de muchos factores, como la existencia de una previa relación con la víctima, la edad del menor, el dominio que el autor tenga de las comunicaciones electrónicas y la experiencia que haya ido acumulado en delitos similares. No obstante se puede describir un ataque típico de grooming siguiendo las siguientes fases: 

Contacto con el menor Iniciada generalmente a través de las redes sociales dirigidas a menores, o en foros o páginas web donde acuden y participan. El autor se hace pasar por un niño/a de edad similar, con el que comparte gustos y aficiones. El objetivo de esta fase es obtener direcciones de correo electrónico o de mensajería instantánea, privadas del menor.



Ganarse la confianza, obtención de información A través de conversaciones, más o menos intrascendentes, donde se muestra como alguien que comparte los mismo gustos sobre deporte, música, juegos, etc. el autor consigue que le facilite información sobre su vida privada y la de su familia, como su dirección, colegio/instituto al que acude, deportes que practica y donde los realiza, actividades de los padres, conflictos familiares y escolares, etc. Con frecuencia inician contactos a través de webcam, si bien el acosador se sirve de una grabación en bucle, donde no se muestra él. Esta falsa grabación ha sido efectuada bien por el autor a una víctima anterior o la ha obtenido a través de Internet. Durante esta fase se convierte en una persona de confianza del menor, al que le puede contar sus inquietudes en la creencia que las entiende y comparte. Si el menor sufre cualquier tipo de conflicto familiar o social, encontrará en su amigo online alguien en quien apoyarse. Si dispone de los conocimientos técnicos necesarios, utilizará malware para acceder al contenido del ordenador de la víctima, a las cuentas electrónicas que utilice y a la webcam, con la que grabará toda la vida intima de la víctima.



Intercambio de imágenes o vídeos, seducción El autor inicia conversaciones con pequeñas connotaciones sexuales no explícitas, pidiendo y/o enviando imágenes donde aparezcan partes del cuerpo desnudo o semidesnudo. Hay que tener en cuenta que en muchas ocasiones las víctimas son tan pequeñas, que no tienen la experiencia vital suficiente como para entrever esas connotaciones sexuales, por lo que generalmente acceden a enviar imágenes sin ser conscientes de lo que están haciendo realmente, ya que lo ven como un simple juego. Poco a poco van convenciendo a los menores para que realicen actos de naturaleza sexual explícita delante de la webcam, que son grabados sin su consentimiento. Si es necesario —para reforzar la idea de que se trata de un juego— el menor verá a través de su ordenador, al supuesto amigo que realiza consigo mismo actos similares a los que le pide. En realidad es una grabación previa efectuada a otro menor víctima. Si la victima tiene mayor edad y con ella cierta madurez sexual, una de las tácticas que emplear es la de cibernovio/a. En este caso se mostrará como alguien físicamente muy atractivo, un poco mayor con experiencia y vida atrayente.



Acoso Una vez que ha obtenido las grabaciones y fotografías del menor, el autor se muestra como es, exigiendo que continúe realizando actos sexuales cada vez más explícitos. Para lograrlo le amenazará con distribuir las imágenes que ya tiene entre los familiares y amigos de la víctima. Le mostrará las grabaciones que de forma consentida o no (a través de la webcam) le ha realizado. Le cambiará la palabra de acceso a su correo electrónico y otras acciones con las que pretenderá que el menor se vea obligado, por miedo o vergüenza, a acceder a lo que le solicite. En ocasiones, las más graves, el autor pide a cambio de no distribuir el material que posee, un encuentro físico y sexual con el menor.



Difusión En la inmensa mayoría de los casos, una vez humillado el menor hasta los extremos que el autor considere suficientes, las imágenes y grabaciones de vídeo son distribuidas entre los amigos y familiares de la víctima, con la simple intención de causar daño. En otras ocasiones, no excluyentes, piden que les faciliten nombres y direcciones de correo de otros menores a los que acosar.

Test Tema 3 Tu resultado:12sobre12 Acertadas: 12 - Falladas: 0

Resultado medio del grupo 

1. Los delitos que se pueden considerar como puramente informáticos, son los recogidos bajo el término «daños informáticos», que se definen como ataques contra qué principios de los que a continuación se señalan. Varias respuestas correctas.

o

Correo electrónico.

o

Inegridad.

o

Indisponibilidad.

o

Confidencialidad.



2. Dejar fuera de servicio un sistema informático, podría incluirse como un ataque contra el principio de:

o

Funcionalidad.

o

Productividad.

o

Confidencialidad.

o

Disponibilidad.



3. Se podría decir que el salto cualitativo en el diseño del malware, se dio a partir del diseño de:

o

Malware dirigido a Smartphones.

o

Utilización de la ingeniería social.

o

Malware polimórfico.

o

El diseño de troyanos.



4. Entre los objetivos buscados, en los ataques especialmente diseñados para dispositivos móviles, se encuentran: (varias respuestas correctas). Utilizar el Smartphone para enviar mensajes a números de teléfonos

o privados. o

Capturar la información referida a las conexiones con redes sociales.

o

Robo de información particular.

o

Utilización del sistema telefónico como parte de una botnet móvil.

 o

5. No forma parte de las características de una APT: Estar desarrollada específicamente para un objetivo concreto.

Los autores cuentan con altísimos recursos económicos para su comisión.

o

Una vez instalada el APT, el malware no se modifica a fin de no ser

o detectado. o 

Permanecen activos por un periodo muy prolongado de tiempo. 6. Entre las fases en las que se puede dividir un ataque ATP, se encuentran las siguientes. (Varias respuestas correctas)

o

Reconocimiento.

o

Obtención de credenciales de usuario.

o

Desinstalar software de comunicaciones.

o

Escalada de privilegios.



7. Una red de ordenadores que, tras ser infectada por un malware, es controlada de manera coordinada y remota, ¿cómo puede ser conocida?

o

Red de malware.

o

Red de phishing.

o

Red de troyanos.

o

Red de Botnet.



8. El malware conocido como Ransomware, es también identificado como:

o

Virus troyano.

o

Virus de secuestro.

o

Virus de la Policía.

o

Virus mutante.

 o o

9. El éxito del Ransomware se basa, entre otras cosas en: Facilidad de desinfección. La individualización del mensaje presentado, en función del sistema operativo instalado en el equipo informático de la víctima.

o

El pago del rescate a través de sistemas de pago directo.

o

La sencillez del código del malware.



10. Entre las vías para obtención de beneficios asociadas a las webs de distribución de obras sujetas a propiedad intelectual, se encuentran: (varias respuestas correctas).

o

Publicidad.

o

Venta de direcciones de correos electrónicos.

o

Cobro por descargas priorizadas.

o

Distribución de críticas cinematográficas.



11. Los grupos terroristas utilizan la red, entre otras finalidades, como medio de propaganda. Esto les facilita: (varias respuestas correctas)

o

Difundir sus ideales.

o

Justificar sus acciones.

o

Que sus comunicados sean emitidos por los medios de comunicación, sin influir en el momento en que se realizará. Obtener impacto social y mediático.

o 

12. El acoso realizado a través de Internet u otros medios, en el que tanto el autor como la víctima son menores de edad, se conoce como:

o

Ciberacoso.

o

Grooming.

o

Ciberbullying.

o

Ciberbaiting.

Tema 4

Introducción Existen distintas vías que pueden ser seguidas para informar a las autoridades policiales o judiciales, de la existencia de un hecho que pudiera ser considerado como delictivo. Según se actúe como víctima o como mero informante, unido al grado de implicación que se quiera asumir durante el proceso penal —que en su caso se pudiese abrir a consecuencia de la comunicación— la información se puede trasladar a través de Comunicación, Denuncia o Querella.

Comunicación Consiste en informar simplemente de la existencia de un hecho —que pudiera ser delictivo — a una de las autoridades con competencias para su investigación. La forma habitual y más sencilla para comunicarlo, es a través de las direcciones de correo electrónico que las distintas policías tienen abiertas para la atención al ciudadano (recuerda lo descrito en el tema 1, en el apartado dedicado a la respuesta policial nacional) o mediante la utilización de formularios situados en páginas web, como es el caso de la web del Grupo de Delitos Telemáticos de la Guardia Civil o del Cuerpo Nacional de Policía. Es la vía idónea para informar de hechos que han sido observados en Internet y de los que el comunicante no ha sido víctima. Con esta comunicación únicamente se pretende que las autoridades tengan conocimiento de su existencia y, de ser efectivamente delictivo, inicien de oficio las investigaciones oportunas. Es importante que en la comunicación, además de describir detalladamente todo lo ocurrido, se aporten cuantos datos se dispongan sobre el hecho que se notifica. Así, se debe incluir —dependiendo del caso y las circunstancias concretas de que se trate— la dirección URL completa, el Nick, la cuenta de correo electrónico, números de teléfono, etc.

En ocasiones es de utilidad, la inclusión de una captura de pantalla donde se observe claramente lo que se quiere comunicar. Si bien, algunas de las vías de comunicación con las Autoridades no permite incluir imágenes, esto se puede solventar informando en una primera comunicación de su existencia y quedar a la espera de que sean requeridas —u ofrecerlas— como ampliación a la comunicación inicial. Para esto no se debe olvidar dejar constancia del modo en el que se pueden poner en contacto con el comunicante.

Querella (Art. 270-281 Ley de Enjuiciamiento Criminal) Se trata de la declaración por escrito presentada por medio de procurador y suscrita por letrado guardando ciertos requisitos, que una persona realiza ante el juez de instrucción competente, sobre unos hechos que considera constitutivos de delito. En esta comunicación solicita que se abra una causa criminal a fin de proceder a su investigación. El querellante forma parte del proceso constituyéndose como parte acusadora del mismo, pudiendo pedir que se practiquen aquellas gestiones de investigación que considere oportunas, para la comprobación del hecho.

Denuncia (Art. 259 a 269 Ley de Enjuiciamiento Criminal) Presentar una denuncia consiste en poner en conocimiento de un juez, fiscal o policía (personándose en unjuzgado o en una dependencia policial habilitada para ello), unos hechos y las circunstancias que sobre ellos se conozcan, que pudieran ser considerados como delictivos. Se pueden presentar por escrito o mediante palabra ante el funcionario encargado de recibirla. No es posible presentar una denuncia de manera telemática, ya que la Ley exige la personación del denunciante o en su caso un representante legal, debiendo en ambos casos acreditar su identidad. Al contrario que en el caso de la querella, el denunciante no intervine personalmente en el proceso, si bien puede ser llamado a manifestar sobre cuanto conociera del asunto, en las distintas fases del proceso penal. En las denuncias escritas, no se puede dejar de incluir los extremos siguientes: o

Datos de identificación del denunciante: Nombre, apellidos DNI u otro documento de identidad válido, como es el pasaporte. Lugar y fecha de nacimiento. Domicilio a efectos de notificaciones, pudiendo ser el particular o el laboral. Teléfono y otros medios de contacto, como puede ser una dirección de correo electrónico.

o

En el caso de que la denuncia se haga en representación de una empresa u organismo, se tiene que hacer constar este hecho —aportando copia de

los poderes de representación que se disponga para ello— así como nombre o razón social de la empresa, CIF y domicilio social. o

Describir detallada y cronológicamente todos los elementos que se encuentren relacionados con el hecho denunciado y las consecuencias que han tenido, tanto si son cuantificables económicamente hablando o no. Por ejemplo, las potenciales pérdidas que la empresa víctima ha podido tener, como consecuencia de la falta de actividad ocasionada por el ataque informático sufrido.



Incluir todos aquellos elementos que, como pueden ser gráficos, capturas de pantalla, fotografías, etc. puedan aportar claridad y facilitar la comprensión de los hechos denunciados. Estos elementos se pueden incluir dentro del mismo cuerpo del documento o como anexos independientes, si bien en este caso deben de estar correctamente identificados, relacionados y conectados con aquella parte de la denuncia a la que aporten claridad. En el caso de que la interpretación de la información que aporten, resulte complicada para personas sin formación específica o sin relación con la actividad empresarial concreta de que se trate, se debe hacer un esfuerzo adicional en la explicación detallada de su significado y relación con lo denunciado.



Incluir aquellos elementos que puedan servir para acreditar lo denunciado. Se puede tratar de volcados de páginas web —almacenadas en soporte como CD’s o DVD’s — mensajes de correo electrónico, capturas de pantalla donde se observen mensajes, textos, fotografías, clonados de dispositivos, etc. Clonar un dispositivo consiste en realizar una copia de la información, mediante la utilización de un software o hardware específico. Con esto se consigue disponer de una copia exacta del dispositivo inicial sobre la que realizar los oportunos análisis forenses, dejando la original sin modificación alguna a disposición de la autoridad judicial. En el caso de contarse con correos electrónicos recibidos, cuyo origen esté relacionado con el ciberdelincuente, se deben aportar a la denuncia incluyendo las cabeceras técnicas completasdel mensaje original recibido. De la información que en ellas aparece, se pueden obtener importantes datos, en ocasiones los únicos, con los que iniciar una línea de investigación.



Incluir relación completa de la información que, en su caso, se disponga del autor del delito. Se puede tratar de direcciones de correo electrónico, Nick utilizado, perfil en redes sociales, números de cuentas bancarias, direcciones postales, números de teléfono, usuario de programas concretos, etc. En todo caso, junto con estos datos se debe incluir en la denuncia, copia de los mensajes recibidos o intercambiados con el autor a través de cualquier vía de comunicación.

En el caso de tener sospechas sobre la identidad concreta del autor, estas pueden ser expuestas en la denuncia, añadiendo todos los elementos de convicción que sobre esa autoría se dispongan. 

Ha de quedar reflejada en la denuncia de quién son propiedad los dispositivos que, en su caso hayan sido dañados, así como a quién pertenecen los que se aporten como parte de la denuncia.

Salvaguarda de evidencias digitales El objetivo de la salvaguarda es disponer de las pruebas o indicios de una actividad criminal, de la que se sea víctima o con la que se esté relacionado, en las mejores condiciones para ponerlas a disposición de la autoridad judicial competente, para su investigación.

En este contexto, como evidencia digital podemos entender aquella información que, hallándose almacenada en un sistema informático o electrónico, pueda resultar determinante para la resolución de un delito, para conocer de qué manera se ha cometido o qué efectos concretos ha causado. De forma genérica, identificamos al dispositivo contenedor como si de la propia evidencia se tratase.

Las evidencias digitales, por su naturaleza, son frágiles y pueden ser manipuladas, alteradas o destruidasde una forma muy sencilla, tanto consciente e intencionadamente como por la utilización de procedimientos inadecuados durante su recogida, traslado, almacenamiento o examen. Es extremadamente importante que el personal llamado a manipularlas, conozca cuáles son los riesgosconcretos y las potenciales consecuencias asociadas a una mala identificación o a una manipulación errónea de las evidencias. Podrían llegar a quedar inservibles anulando, consecuentemente, toda posibilidad de realizar un análisis forense, facilitando con ello la impunidad de los autores del ciberdelito. Dentro de este protocolo es conveniente incluir la necesidad de contar con testigos que puedan, en el caso de ser requeridos para ello, dar testimonio del proceso completo de recogida de evidencias. El número de testigos recomendable es de dos, a ser posible pertenecientes a departamentos distintos y que no tengan dependencia jerárquica de la persona que realiza el proceso.

El proceso de la recogida de evidencias se puede estructurar en los siguientes puntos:

Identificación Las evidencias digitales se pueden presentar tanto de forma física, como en forma lógica. La forma físicahace referencia a un dispositivo tangible, donde se encuentra almacenada la información, que pueda llegar a ser considerada como evidencia, mientras que la lógica identifica a la representación virtual de la información, entendiendo por ella a los datos con independencia del soporte en el que se almacenen. El primer paso, es la selección de aquellos medios de almacenamiento digital que puedan contener indicios de la acción delictiva y, por lo tanto, puedan llegar a ser considerados como evidencias digitales. Es conveniente tener muy presente las capacidades humanas y técnicas en cada momento disponibles y en base a ello,priorizar el aseguramiento de determinadas evidencias sobre otras, teniendo en cuenta para ello el criterio su volatilidad, entendiendo por esto la posibilidad de perder las evidencias por modificaciones automáticas que se puedan producir mientras que el sistema se encuentre en funcionamiento. Con esto se pretende minimizar las posibles alteraciones o pérdidas de datos y, a la vez, asegurar su obtención en las mejores condiciones posibles. No siempre resulta sencillo localizar e identificar, qué dispositivos concretos son los que son necesarios asegurar por contener la información de interés. Se puede dar el caso de hallarse en entornos de Cloud Computing, en redes de almacenamiento SAN, en dispositivos NAS, o en entornos virtualizados, lo que hace el proceso mucho más laborioso y complicado materializar el informe sobre su realización.

Recogida o adquisición Por recogida se entenderá el proceso completo que se siga, para retirar del lugar donde se encuentren los dispositivos físicos, al objeto de realizar sobre ellos —en primer lugar— una copia y un posterior análisis forense, o para asegurarlos como posibles elementos probatorios de una actividad criminal. Se incluye, así mismo, el modo en el que se proteja el dispositivo a fin de evitar su manipulación, desperfectos o rotura que lo inutilice.

Además, se debe recoger en el mismo acto y dejar constancia escrita de ello, toda aquella información o material que, estando íntimamente ligado a los hechos que originan la recogida de los dispositivos, pudiera resultar de utilidad en futuras fases. Se puede tratar de contraseñas de acceso a dispositivos o a determinados archivos, documentos físicos, nombres de usuarios, cableado o adaptadores específicos del dispositivo, etc.

Preservación El objetivo es garantizar la integridad de los dispositivos donde se almacenan las evidencias, evitando que sean manipulados o que sean expuestos a condiciones en las cuales puedan sufrir alteraciones físicas o electrónicas. Se pretende, de esta manera, acreditar que la evidencia se encuentra en las mismas condiciones que en el momento de su identificación. En el proceso de documentación se incluirá de manera detallada y cronológica, todos aquellos extremos relacionados con la manipulación de los soportes de almacenamiento, con sus traslados a distintos emplazamientos y con el personal responsable en cada caso. Se pretende garantizar la «cadena de custodia» durante todo el tiempo en el que pueda tener relevancia. Entre la información que se debe incluir en la documentación referida a cada evidencia y que a manera de «cadena de custodia» la individualiza, se pueden encontrar algunas de la siguiente: 

Un número de identificación por cada evidencia. Se trata de un número o referencia única para cada dispositivo.



Lugar donde se encontraba en el momento de su identificación como potencial evidencia.



Fecha y hora en que fue identificada como potencial evidencia.



Descripción detallada del dispositivo. Tipo, marca, modelo, número de serie, etc.



De no disponerse de estos detalles, por no existir o por no ser legibles, se les individualizará de alguna manera que resulte permanente y a la vez no los altere. Se puede tratar de un adhesivo no removible (no debe ser colocada sobre las partes mecánicas o electrónicas del dispositivo) o de una inscripción con un elemento indeleble.



Lugar de almacenamiento y persona responsable de ello.



Personas que acceden a la evidencia en el lugar de su custodia. Fecha, hora, actividad detallada que realiza con ella.



En el caso de tener que trasladarse de lugar de custodia, se incluirá: o

Fecha y hora de la salida.

o

Motivo.

o

Si es o no definitivo el traslado.

o

Lugar de traslado.

o

Responsable del traslado.

o

Fecha y hora de regreso.

Los dispositivos deben de almacenarse de manera que se garantice su protección contra daños físicos, como pueden ser los ocasionados por caídas o por su contacto con líquidos, así como contra las alteraciones que puedan sufrir como consecuencia de su exposición al calor o humedad. Los medios magnéticos de almacenamiento deben estar, además, protegidos por envases inertes magnéticamente, anti—estáticos y libres de partículas. Como se intenta exponer, es esencial garantizar la seguridad de la evidencia original, evitando su pérdida o manipulación y asegurando por tanto, su integridad y autenticidad. Es muy posible que se pretenda realizar algunos análisis o informes internos antes o paralelamente a la denuncia formal, para ello se puede realizar una copia o clonado de cada evidencia, guardando las precauciones descritas anteriormente para no alterar el original, incluida la realización de la función Hash. La Norma ISO 27037 «Information technology—Security techniques— Guidelines for identification, collection, acquisition and preservation of digital evidence», publicada en octubre de 2012, contiene un protocolo pensado para ser la base de la actuación del personal definido como DEFR (Primera Respuesta ante Incidentes Digitales), a los conocidos como EDS (Especialistas en Respuesta a Incidentes) y por los Analistas Forenses, durante aquellos procesos de identificación, recogida, adquisición y preservación de potenciales evidencias digitales. Busca establecer una metodología que asegure tanto la integridad como la autenticidad de las evidencias a fin de compensar su fragilidad. Para ello no exige el conocimiento por el personal técnico de determinadas herramientas o la utilización de métodos de trabajo concreto, sino que es la propia metodología la que se convierte para esta Norma, en el elemento clave sobre el que descansa la credibilidad y el buen hacer de los profesionales a los que se dirige.

Sus indicaciones se refieren a los procesos previos al análisis de la evidencia, sin que aborden cuestiones judiciales, procedimientos disciplinarios empresariales u otras actividades que, estando relacionadas con la salvaguarda o recogida de las evidencias, se salgan de su adquisición.

Test Tema 4 Tu resultado:10sobre10 Acertadas: 10 - Falladas: 0 Resultado medio del grupo 

1. De las vías que existen para poner en conocimiento de las autoridades la existencia de un ciberdelito, ¿cuál de ellas se puede realizar a través de un mensaje electrónico?

o

La querella.

o

La denuncia.

o

La comunicación.

o

Cualquiera de ellas.



2. A la hora de presentar una denuncia, se debe tener en cuenta que: (varias respuestas correctas)

o

Se debe describir todo lo ocurrido de manera general.

o

El lenguaje que se debe emplear será el adecuado para ser comprendido por personas sin formación técnica.

o

Se debe describir lo ocurrido de manera detallada.

o

No se aportarán información más allá del hecho ocurrido.



3. Entre las siguientes características, ¿cuáles definen a las evidencias digitales? (varias respuestas correctas) La permanencia en el tiempo, es similar a la de las relacionadas con los

o delitos tradicionales. o

No son fáciles de manipular.

o

Son fáciles de manipular.

o

No son permanentes en el tiempo.



4. A fin de contar con las máximas garantías de éxito en la resolución de un ciberdelito, es recomendable que las denuncias sigan algunas recomendaciones, como por ejemplo: (Varias respuestas correctas)

o

Se debe presentar cuando se tengan todos los datos, sin que el tiempo que se tarde afecte en algo a la investigación. Es conveniente, aunque no obligatorio, que la denuncia se presente por

o escrito. o

Es aconsejable que la denuncia sea confeccionada únicamente por el responsable técnico de la empresa víctima, ya que es él que conoce lo que ha ocurrido exactamente.

o

El objeto de la denuncia es que lo que en ella se exponga sea comprendido por todos los actores jurídicos y policiales que intervengan.



5. En la denuncia se debe incluir. (Varias respuestas correctas). Datos de identificación del autor del delito.

o

Describir detalladamente todos los elementos que se relacionen con el

o hecho denunciado. o

Las consecuencias que el hecho hayan tenido en la víctima.

o

Aquellos elementos que puedan completar o apoyar los hechos que se describan en la denuncia, como pueden ser gráficos, imágenes etc.



6. Como aquella información que, hallándose almacenada en un sistema informático o electrónico, pueda resultar determinante para la resolución de un delito, para conocer cómo se ha producido o qué efectos concretos ha causado, podemos entender:

o

Datos identificativos.

o

Relación de hechos.

o

Evidencia digital.

o

Prueba digital.



7. Entre las características de las evidencias digitales, se encuentran: (Varias respuestas correctas)

o

Que son resistentes.

o

Que son inalterables.

o

Que son frágiles.

o

Que son alterables.



o

8. Entre los procesos que se desarrollan durante la recogida de las evidencias, no se encuentran: Identificación.

o

Alteración.

o

Recogida.

o

Preservación.



9. El proceso completo que se sigue para retirar del lugar donde se encuentren los dispositivos físicos, al objeto de realizar sobre ellos un análisis forense, se le conoce cómo:

o

Adquisición.

o

Toma de muestras.

o

Duplicado.

o

Recogida.



10. Entre la información que se debe incluir en la documentación, que acompañe a toda evidencia se debe incluir: (varias respuestas correctas)

o

Fecha en que fue identificada como posible evidencia. Número de evidencia común para todos los dispositivos identificados como

o posibles evidencias. o

Lugar en el que se encontraba en el momento de ser identificada.

o

Descripción general del dispositivo.