La responsabilidad por phishing en la banca electrónica (notas a propósito de la sentencia de primera instancia de castellón de 25 de junio de 2008)
| Autor | Ángela M.a Pérez Rodríguez |
| Páginas | 209-236 |
LA RESPONSABILIDAD POR PHISHING
EN LA BANCA ELECTRÓNICA
(NOTAS A PROPÓSITO DE LA SENTENCIA
DE PRIMERA INSTANCIA DE CASTELLÓN
DE 25 DE JUNIO DE 2008) *
Ángela M.ª PÉREZ RODRÍGUEZ
Universidad Pablo de Olavide de Sevilla
SUMARIO: I. INTRODUCCIÓN: CONTRATACIÓN ELECTRÓNICA Y FRAUDES INFORMÁTICOS.—II. EL
PHISHING BANCARIO.—1. Concepto y características del phishing.—2. Evolución del phishing.—
A) Phishing tradicional: el phishing engañoso mediante mensaje de correo electrónico.—B) El ata-
cante recurre a otros canales de comunicación («Smishing», «Vishing»).—C) El atacante utiliza
técnicas de personalización del ataque («Whale Phishing», «Spear Phishing»).—D) El atacante uti-
liza técnicas de especialización del ataque: la redirección («Pharming»), la técnica del intermedia-
rio («Man-In-The-Middle Phishing» o «MitM») y la instalación de códigos maliciosos («Malware-Ba-
sed Phishing»).—III. LA RESPONSABILIDAD POR DAÑOS EN EL PHISHING BANCARIO.—1. Las
cláusulas de exoneración de responsabilidad en la banca electrónica.—2. La posición de la juris-
prudencia española: la Sentencia del Juzgado de Primera Instancia de Castellón de 25 de junio de
2008.—IV. CONCLUSIONES.
I. INTRODUCCIÓN: CONTRATACIÓN ELECTRÓNICA
Y FRAUDES INFORMÁTICOS
El comercio sobre plataformas de Internet ha modificado profundamente
la manera en que las personas realizan transacciones económicas de bienes y
servicios. Como ha reconocido recientemente el Parlamento Europeo en su
Resolución de 5 de febrero de 2009 sobre comercio internacional e Internet 1,
el papel del comercio electrónico entre los miembros de la Organización
Mundial del Comercio se ha incrementado rápidamente en sectores como la
banca, las telecomunicaciones, la industria de los ordenadores, el sector de la
* El presente trabajo se enmarca dentro del Proyecto de Investigación del Plan Nacional I+D+I
2007-2010, SEJ 2007-65485/JURI, «El comercio electrónico, con particular referencia al sistema finan-
ciero», subvencionado por el Ministerio de Educación y Ciencia y cofinanciado por el FEDER.
1 Vid. considerando P de la Resolución del Parlamento Europeo de 5 de febrero de 2009, sobre co-
mercio internacional e Internet [2008/2204 (INI)].
210 LA RESPONSABILIDAD POR PHISHING EN LA BANCA ELECTRÓNICA...
publicidad o los servicios de distribución y de correo urgente. No cabe duda
de que la creciente utilización de Internet en el comercio comporta notables
oportunidades, pero también ciertos retos.
Uno de los más preocupantes es la proliferación de fraudes en las transac-
ciones electrónicas, y particularmente en la banca online, ya que ello merma
la confianza de los usuarios de Internet a la hora de realizar este tipo de ope-
raciones 2. Los fraudes online o fraudes informáticos son «actos que causan
un perjuicio patrimonial a otra persona mediante la introducción, alteración,
borrado o supresión de datos informáticos o mediante cualquier interferen-
cia en el funcionamiento de un sistema informático, con la intención fraudu-
lenta o delictiva de obtener ilegítimamente un beneficio económico para uno
mismo o para otra persona» 3.
Es difícil realizar una clasificación sistemática del fraude informático,
pero una de las fuentes de datos más completa al respecto es la del Internet
Crime Complaint Center (IC3) 4. En términos similares a nuestro Código Pe-
nal, la mencionada base de datos hace una diferenciación entre «estafas infor-
máticas» y «estafas tradicionales por medios informáticos» 5. Partiendo de
esa base de datos, el Observatorio de la Seguridad de la Información de IN-
TECO (Instituto Nacional de Tecnologías de la Comunicación) hace la si-
guiente clasificación de los fraudes informáticos 6.
Por una parte estarían las «estafas tradicionales a través de medios infor-
máticos», esto es, fraudes y timos tradicionales puestos al día a través de las
amplias posibilidades que ofrece Internet. Dentro de esta categoría estarían el
phishing, el cheque de caja falso, las «cartas nigerianas», la estafa de la lote-
ría, la estafa de la hipoteca y las pirámides de valor. Por otro lado estarían las
«estafas esencialmente electrónicas» o estafas que requieren la utilización de
medios electrónicos o informáticos para su comisión. Forman parte de este
2 Preocupación de la que se hace eco también el Parlamento Europeo en la citada Resolución:
«9. Sugiere que los comportamientos ilegales como la falsificación, la piratería, el fraude, la violación
de la seguridad de las transacciones y la invasión de la esfera privada de los ciudadanos no deben acha-
carse a la naturaleza del medio, sino que deber ser contemplados como aspectos de actividades comer-
ciales ilegales que ya existían en el mundo físico y se ven facilitados y exacerbados por la naturaleza y
las abundantes posibilidades tecnológicas del medio, y que se producen sobre todo cuando el medio no
opera con un estricto cumplimiento de las normas aplicables para beneficiarse de un régimen de respon-
sabilidad regulado; reitera la necesidad de establecer mecanismos para adoptar y reforzar las necesarias
y oportunas medidas de represión y coordinar de manera más eficaz y efectiva la lucha, hasta su plena
eliminación, contra las conductas ilegales que se dan actualmente en el comercio en línea...».
«14. Lamenta el número creciente de incidentes de hurto en línea tanto de datos personales como
de dinero, considera que la falta de confianza en la seguridad y la protección de las transacciones y los
pagos constituye el peligro más importante para el comercio electrónico, y solicita a la Comisión que in-
vestigue sus causas y redoble sus esfuerzos para establecer mecanismos que refuercen la confianza en
los pagos electrónicos internacionales entre empresas y particulares...».
3 Vid. art. 8 del Convenio del Consejo de Europa sobre ciberdelincuencia, hecho en Budapest el
23 de noviembre de 2001 (725/01.CON).
4 Vid. en www.ic3.gov.
5 Vid. arts. 248.1 y 2 del Código Penal de 1995.
6 Vid. más ampliamente en Estudio sobre usuarios y entidades públicas y privadas afectadas por la
práctica fraudulenta conocida como phishing, octubre de 2007, Observatorio de la Seguridad de la In-
formación, INTECO, disponible en http://aui.es/IMG/pdf_estudio_phishing_observatorio_inteco.pdf.
Para continuar leyendo
Solicita tu prueba