La denominación de esta modalidad de ciberdelincuencia viene del inglés to fish (pescar). Es relativamente conocida y se trata de un ciberataque mucho más elaborado que otros supuestos más clásicos como el de las “cartas nigerianas”, donde, por ejemplo, se diseña un sitio web o se crea una dirección de correo comercial o institucional que está siendo simulada con la finalidad de obtener información confidencial y usarla fraudulentamente. Esta modalidad incluye también, en no pocas ocasiones, la creación de enlaces que al ser seleccionados descargan malware dentro del dispositivo desde el cual se está abriendo, funcionando como programa espía que se dedica a la captación de información de usuarios, contraseñas y sitios web que se utilizan cotidianamente en el dispositivo. Se puede mencionar el caso en el que a una persona le solicitan, supuestamente poder darle seguimiento a un envío pendiente o alguna transacción asociada al usuario, acceda a un enlace mediante el cual se descarga en el dispositivo de la persona un programa espía que capta los datos que utiliza cotidianamente para acceder a su cuenta bancaria por banca electrónica, con las correspondientes claves de acceso y firmas electrónicas para la utilización y disposición de los fondos o de los saldos de cuentas de ahorro o de cuentas corrientes que se tiene en dicha entidad financiera.
En esta modalidad varían los elementos a tener en cuenta por tratarse de una conducta más elaborada.
La imagen corresponde a un ejemplo de la forma en que se desarrolla la modalidad de phishing, el cual consiste en un correo electrónico enviado a una dirección de correo electrónico institucional de la Universidad de Granada. Se presentan diversas peculiaridades: aparece una entidad financiera española que es una multinacional conocida en todo el mundo, el Banco de Santander. Dentro del diseño del correo electrónico aparecen dos imágenes de tarjetas con el logo de la referida entidad financiera y se le trata de hacer creer al receptor que es un correo electrónico fidedigno, incluso figurando la dirección de correo (Santander Banco <id1011180@santander.es>). Esto es muestra de un trabajo más elaborado, que incluye el diseño gráfico de los correspondientes logos de la marca comercial de una entidad financiera expandida por todo el mundo, donde las posibilidades de captación de posibles víctimas son mucho más altas. A su vez, se evidencia que, en lugar de pedir directamente los datos personales, le señala al receptor que debe actualizar la información de su cuenta e incluso que debe activar un nuevo sistema de seguridad a través de un enlace del cual no se sabe exactamente hacia donde redireccionará al receptor y dentro del cual no aparece el nombre de la entidad financiera.
Siendo así, tenemos entonces que, en algunas modalidades de phishing no se piden directamente los datos personales, sino que se solicita acceder a un enlace e incluso advierte la recepción de un mensaje SMS con un supuesto código de seguridad, de manera que vincula al receptor no solo con el dispositivo informático (generalmente una computadora), sino también con el uso del teléfono móvil a través de la recepción de SMS. Como se aprecia, es una modalidad de ciberataque bastante más elaborada, por lo cual ya no es equiparable al carácter burdo, evidente y manifiesto que tienen las cartas nigerianas a las que se hizo previa referencia.
De otro lado, es pertinente mencionar que, en tiempos de pandemia, durante los meses de confinamiento los usuarios se encontraban más indefensos, porque en la búsqueda de herramientas para la compra o adquisición de bienes y servicios ha sido recurrente el uso de las redes, dado que las personas son mucho más reticentes a salir a las calles por temor al contagio, lo que conlleva el uso mucho más frecuente de los correos, plataformas de mensajería y, en general, adquisiciones de bienes y servicios por vía on-line.
La policía española recientemente advirtió sobre la difusión de virus troyanos a través de SMS, los cuales suplantaban la identidad corporativa de la empresa pública de mensajería Correos. En dichos SMS se anexa un enlace para hacer un seguimiento del envío de algún artículo comprado de manera online.
A la espera de cifras oficiales concretas, es bastante previsible que en tiempos de pandemia se haya elevado el número de víctimas y de fraudes cometidos, porque el recurso a empresas de mensajería se incrementó exponencialmente. Según mencionó la policía, la página web a la que redireccionaba cuando se accedía al enlace fraudulento, era una página simulada que no correspondía a esta empresa pública de mensajería. La página web fraudulenta indicaba al cliente que debía descargar una aplicación de gestión de envíos mediante un link; sin embargo, lo que ocurría era que una vez que se accedía al mismo, se descargaba un malware tipo virus troyano que obtiene información contenida en el terminal telefónico y en la agenda telefónica del afectado, para reenviar el mismo SMS malicioso a todos sus contactos. Paradójicamente, podemos comparar el modus operandi del virus tecnológico con el de la Covid-19, en tanto que el virus se aprovecha de un paciente que va contagiando a aquellos con los que se tiene contacto presencial.
En ese orden de ideas, no debe olvidarse la conexión de algunos casos de ciberdelitos o ciberataques con redes de lavado de activos o blanqueo de capitales, en tanto que la utilización de tales instrumentos informáticos fraudulentos se han destinado a la instrumentalización de las cuentas corrientes, a las que han accedido mediante la captación de esa información sensible, para la posterior la realización masiva de transferencias, en ocasiones por pequeñas cantidades, lo cual ha perjudicado muchísimo el rastreo de las cuentas corrientes utilizadas para el blanqueo.
De manera que, el trabajo del autor del lavado de activos es captar masivamente los números de cuenta corriente y hacer pequeñas transferencias desde las mismas que pasan mucho más inadvertidas a través de cuentas corrientes de muchos titulares. Dentro de ese mismo contexto, puede ocurrir que ingresen pequeñas cantidades a veces imperceptibles por el usuario de banca electrónica y reenvíen esa cantidad a cuentas de destino o a otras que también se instrumentalizan; o, haciendo disposición fraudulenta de fondos de esa cuenta, los transfieran a una distinta, que puede estar situada en el mismo país o en otro diferente, e incluso en un paraíso fiscal. El seguimiento, el rastreo, la investigación policial y judicial de una conducta que llega a utilizar decenas, centenares o incluso miles de cuentas es muchísimo más difícil de llevar a cabo, que la que se hace burdamente a una sola cuenta con una transferencia muy abultada.
En consecuencia, el phishing y la captación de esos datos sensibles de contenido y naturaleza financiera y bancaria tienen conexión con la comisión de otras infracciones penales como es el lavado de activos o blanqueo de capitales, lo cual se hace muy frecuentemente mediante el envío masivo de SMS’s o de correos electrónicos con enlaces maliciosos.