El documento define varios tipos de fraude financiero y delitos informáticos, e incluye estafas como el phishing y malware. También describe las leyes colombianas relacionadas con los delitos informáticos y ofrece recomendaciones para evitar ser víctima de fraude, como investigar cualquier solicitud inusual de una entidad financiera y estar informado sobre las últimas técnicas de estafa.
1. Introducción
El sector financiero siempre ha sido propicio a fraudes e irregularidades, que han
ocasionado importantes quebrantos económicos, tanto a entidades como a
inversores, así como otras consecuencias negativas, entre las que destacan
pérdidas de imagen y de clientes, sanciones e, incluso, la desaparición de
sociedades.
Definición de términos
Para la elaboración de este estudio se utilizaron las siguientes definiciones de
trabajo:
• Crímenes Económicos: son aquellas actividades ilícitas y de carácter patrimonial
que se realizan en perjuicio de una compañía, afectando o dañando sus activos,
capital social o cualquier otro derecho o bien (material o inmaterial) del que sea
propietario.
• Malversación de Activos: se refiere al robo o uso indebido de recursos de la
compañía, como dinero o cualquier otro bien (por ejemplo materias primas,
maquinaria o productos terminados), para obtener un beneficio no autorizado o
irregular.
• Fraude Financiero: se refiere a la alteración, modificación o manipulación de
información contable o financiera de una compañía con el propósito de reflejar una
situación económica o financiera equivocada o engañosa. A medida que los
bancos y el sector financiero se blindan para evitar el fraude, ya sea a través del
fleteo, robo electrónico o suplantación de identidad, los delincuentes sofistican las
formas de robo.
• Corrupción: se refiere a pagos ilegales realizados a servidores públicos o
funcionarios de compañías privadas para obtener o retener algún contrato o
cualquier otro beneficio personal o para un tercero; entendiendo por pago ilegal
tanto sobornos en dinero como en cualquier otra forma, como regalos, viajes,
favores, etcétera.
• Cibercrimen: se refiere a aquellas actividades ilícitas de carácter informático que
se llevan a cabo para robar, alterar, manipular, enajenar o destruir información o
activos (como dinero, valores o bienes desmaterializados) de las compañías
afectadas, utilizando para dicho fin algún medio informático o dispositivos
electrónicos.
El HURTO se diferencia de la ESTAFA porque en este último es imprescindible el
elemento subjetivo: engaño, mientras en aquel no. Otro elemento diferenciador es
que en el HURTO el bien se sustrae o se apoderan de él, mientras en la ESTAFA
el bien se entrega tácita o expresamente.
2. De acuerdo con la Asociación Bancaria de Colombia (Asobancaria), en los últimos
dos años las entidades han invertido más de 200 millones de dólares para evitar el
delito; según la directora de Operación Bancaria de Asobancaria, Margarita
Henao, las diferentes instituciones están en la búsqueda continua de acciones y
herramientas que permitan mitigar los riesgos asociados a situaciones de fraude.
Dentro de esta modalidad de robo o fraude se pueden encontrar los siguientes
casos:
Alteración de registros.
Apropiación indebida de efectivo o activos de la empresa.
Apropiación indebida de las recaudaciones de la empresa mediante el
retraso en el depósito y contabilización de las mismas (denominado: jineteo,
centrífuga o lapping).
Castigo financiero de préstamos vinculados a la alta gerencia.
Defraudación tributaria.
Inclusión de transacciones inexistentes (falsas).
Lavado de dinero y activos.
Obtener ilegales beneficios económicos a través del cometimiento de
delitos informáticos.
Ocultamiento de activos, pasivos, ingresos, gastos.
Ocultamiento de un faltante de efectivo mediante la sobrevaloración del
efectivo en bancos aprovechando los períodos de transferencias entre
cuentas (denominado: tejedora o kiting).
Omisión de transacciones existentes.
Pérdidas o ganancias ficticias.
Sobre o sub valoración de cuentas.
Sobre valoración de acciones en el mercado.
Delitos informáticos más frecuentes en el sector financiero
Los fraudes relacionados con banca en línea (Spyware, Keylogger, Screenlogger,
Mouselogger, etc.). Dentro de los principales delitos financieros se identifican los
siguientes:
Pérdida o robo de la tarjeta: Sucede cuando una persona hace uso de una tarjeta
que ha sido olvidada o robada, fingiendo ser el titular.
Clonación de tarjetas de crédito/débito o Skimming y cajeros ATM: El duplicado se
realiza y se codifica sin el permiso de la compañía bancaria. La mayoría de los
3. casos implican la copia de la información de la banda magnética de una tarjeta
genuina sin el conocimiento del titular. De este fraude será inconsciente hasta que
los montos inexplicados aparecen en sus estados de cuenta. Conocido
comúnmente como transacciones fraudulentas con Cajeros Automáticos
Robo de datos: Ocurre cuando roban la información de la tarjeta durante una
transacción o por medio de un recibo y lo utilizan para hacer compras a distancia,
principalmente por teléfono o a través de Internet.
Robo de la tarjeta antes de la entrega al titular: Este fraude se produce cuando
una tarjeta es sustraída antes de llegar al domicilio del titular, generalmente
ocurre cuando la entidad financiera envía la tarjeta por correo y no cuenta con los
elementos eficaces de acuses de recibo.
Cambio de identidad en tarjetas. Existen dos tipos: a) Fraude de uso: Este delito
se produce cuando un criminal roba documentos, como estados de cuenta, y los
utiliza para abrir una cuenta nueva a nombre de la víctima.b) Toma de posesión
de la cuenta: Con este fraude un estafador utilizará datos personales del titular
para solicitar al banco que dirija pagos a otra parte.
Piratería: Reproducción/ utilización no autorizada de propiedad intelectual.
Distribución no autorizada de propiedad intelectual.
Acceso no Autorizado: Acceso abusivo a un sistema de información. Robo de
identidad, Interceptación de información
Phishing o spoofing: Es el más común. Es cuando el cliente recibe un e-mail en el
cual se le solicita ingresar o actualizar datos en una página web falsa.
Vishing y el SMShing: El cliente recibe una llamada telefónica, un e-mail o un
mensaje de texto a su teléfono móvil, en el cual se le solicita llamar a un Sistema
interactivo de voz falso
Pharming: Consiste en re direccionar al usuario hacia un URL fraudulento sin que
éste se entere. Cuando un usuario trata de acceder a un URL, la dirección
fraudulenta lo lleva hacia sitio fraudulento donde se le presenta una pantalla
similar a la original, en la cual ingresa su user y password. El sitio fraudulento
responde que hay error en user y/o password y que se debe intentar de nuevo.
Cuando el usuario reintenta, es direccionado al sitio legítimo. Se conoce como
DNS Poisoning.
4. Ingeniería Social: Es la práctica de obtener información confidencial a través de la
manipulación de usuarios legítimos. Aprovecha de la tendencia natural del hombre
a confiar en la gente, engañarles para romper los procedimientos normales de
seguridad y manipularles para realizar acciones o divulgar información sensible.
Spyware: Por lo general, se considera que los programas espía ("spyware"), tales
como el "Caballo de Troya", son programas que se instalan secretamente en una
computadora, apropiándose de cosas dentro de la misma sin el consentimiento o
conocimiento del usuario. Los programas espía pueden apropiarse de información
personal y comercial, ancho de banda o capacidad de procesamiento y
furtivamente pasárselas a otra persona.
Spam: Envío / Recepción de gran cantidad de correos electrónicos generalmente
conteniendo propaganda comercial. Una variante es el envío del mismo mensaje a
un solo servidor muchas veces con el fin de saturarlo e interrumpir el servicio.
Troyano o backdoor: es un programa que se encuentra escondido dentro de otro
que parece normal e inofensivo y que aparenta ser de alguna utilidad para
nosotros: juegos, fotos comprimidas, etc. Se activa al ejecutarse el programa que
le sirve de tapadera o camuflaje. Además, permiten instalar un programa de
acceso remoto a su PC para poder manipular ficheros, copiar información, simular
mensajes de aviso, obtener contraseñas, desconectar de Internet.
Malware: El malware bancario, los troyanos y keyloggers son todos programas
utilizados para fines delictivos, como por ejemplo aquellos diseñados para captar y
grabar las teclas que el usuario digita cuando ingresa su clave en una página web.
El malware bancario tiene la capacidad de inyectar contenido malicioso, como
ventanas emergentes (pop-ups) en sitios bancarios, a los que se accede desde
equipos infectados. Esta técnica ha sido comúnmente utilizada para recolectar
información financiera, como nombres de usuario y contraseñas de las víctimas y
así poder ser utilizados en un futuro. Conocidos ataques man-in-the-browser MitB
(hombre en el navegador)
Estafa Piramidal: La estafa piramidal, el hoax y la carta nigeriana se distribuyen
por correo electrónico y tratan de convencer al usuario de que entregando una
suma de dinero o sus claves electrónicas, luego obtendrá grandes ganancias a
través de una red social en la que aportan muchas personas.
Suplantación de identidad o robo de identidad: ocurren cuando su información
personal (por ejemplo su número de Seguro Social, los números de su cuenta
bancaria o su dirección) es robada y el ladrón puede usar su información para
cometer fraudes o robos, posiblemente dañando su historial crediticio y su buen
nombre en el proceso. Los ejemplos más comunes de fraudes incluyen los
fraudes con tarjetas de crédito, fraudes con servicios públicos o de teléfono,
5. fraudes bancarios, fraudes relacionados con empleos, fraudes con beneficios o
documentos gubernamentales y fraudes con préstamos.
Cookie: Información que, remitida por un servidor de Internet al navegador, es
devuelta posteriormente en cada nueva conexión. Pueden utilizarse con
intenciones legítimas, como la identificación de usuarios, o malévolas, como el
almacenamiento no consentido de pautas de navegación.
Scam: esta estafa se desarrolla en tres fases, en las cuales se ven implicados
ciudadanos inocentes que buscan empleo a través de la Red y que se convierten,
sin ser conscientes de ello, en coautores de un hecho delictivo. En la primera fase
de esta estafa se realizan ofertas de trabajo fácil desde el domicilio con el que se
pueden obtener grandes beneficios. Consiste en hacer de intermediario de
transferencias internacionales de ciertas cantidades de dinero, ofreciéndose en
concepto de remuneración un cierto porcentaje. En la segunda fase, ayudándose
de la técnica del Phishing, se obtienen los datos y claves de usuarios de Banca
On-line. En la tercera fase, los delincuentes, utilizando las claves de Banca On-line
obtenidas, comienzan a efectuar transferencias de fondos de esas cuentas hacia
las de los intermediarios. A continuación, este dinero es remitido por el
intermediario a terceras personas mediante transferencias, así se cierra el círculo
y el dinero finaliza en manos de los delincuentes, dificultando a los investigadores
seguir el camino recorrido por el mismo.
Spam: s lo que se conoce como correo basura o correspondencia no solicitada
que se envía a su cuenta de correo electrónico. Dichos mensajes podría tratar de
persuadirle para comprar un producto o servicio o visitar un portal donde puede
hacer compras, o podrían intentar embaucarle para que divulgue datos sobre su
cuenta bancaria o tarjeta de crédito.
Terrorismo informático: la difusión de noticias falsas en internet, por ejemplo
publicar que X banco está en quiebra.
Vandalismo: Negación de servicio. Destrucción de información. Suplantación de
sitio web. Utilización de software malicioso
No se encuentra definido el lavado de dinero digital.
6. Legislación penal colombiana sobre delitos informáticos
La Ley 1273 del 5 de enero de 2009, reconocida en Colombia como la Ley de
Delitos Informáticos, tuvo sus propios antecedentes jurídicos, además de las
condiciones de contexto analizadas en el numeral anterior. El primero de ellos se
remite veinte años atrás, cuando mediante el Decreto 1360 de 1989 se
reglamenta la inscripción del soporte lógico (software) en el Registro Nacional de
Derecho de Autor, que sirvió como fundamento normativo para resolver aquellas
reclamaciones por violación de tales derechos, propios de los desarrolladores de
software. A partir de esa fecha, se comenzó a tener asidero jurídico para proteger
la producción intelectual de estos nuevos creadores de aplicativos y soluciones
informáticas.
7.
8. Conclusión
Ya no existe un libro donde se describa el comportamiento común de los
criminales de esta época, la creatividad de los estafadores suele crecer y nosotros
somos sus víctimas si no aplicamos la lógica en la toma de decisiones.
Recomendación
Siempre que recibamos un correo o llamada de nuestro banco o de una entidad
financiera, debemos aprender a preguntar e investigar, y no siempre ser nosotros
a quienes se nos pregunte.
Hay que aprender a analizar los datos de las personas que nos envían correos,
SMS o llamadas, para estar seguros de que es un remitente verídico.
En internet hay muchos consejos y recomendaciones que nos serían útiles para
estar alertas antes los avances en las técnicas de estafa. Estar informado es la
mejor protección.
El establecimiento de políticas corporativas para el contenido de los correos
electrónicos. La entrega a los clientes de una manera para validar los correos
9. electrónicos. Establecimiento de autenticación más confiable para sitios Web.
Monitoreo de Internet por posibles sitios Web fraudulento
Fraudes electrónicos (ley 1273 de 2009)
Lo que está esta dirección http://junisita.galeon.com/