Ciberataque que permite vaciar cuentas bancarias
El SIM Swapping es el ciberataque de moda que está comenzando a ser utilizado por los ciberdelincuentes en España. Consiste en suplantar la identidad de una persona ante su compañía de servicios telefónicos y pedir un duplicado de la tarjeta SIM de su teléfono móvil para con ello, acudir a su banca online y operar con la misma, recibiendo los SMS con el código de confirmación de operaciones bancarias en esa nueva SIM, procediendo a desviar el dinero de la cuenta corriente de la víctima hacia otra propiedad de los delincuentes.
La víctima, solo se percata de la situación cuando deja de tener cobertura en su teléfono móvil y por mucho que reinicia el dispositivo o intenta buscar cobertura no lo consigue ya que, al entra en funcionamiento la nueva SIM duplicada que los ciberdelincuentes piden a la compañía de servicios telefónicos, la SIM que está en el teléfono de la víctima deja de funcionar. Cuando la víctima consigue enterarse de lo que ha acontecido con su teléfono, o si revisa el estado de sus cuentas corrientes, se encontrará con que las mismas están vacías, e incluso, en algunos casos, se ha llegado a pedir por parte de los ciberdelincuentes, a través de la banca online, un préstamo de los llamados preconcedidos.
La dificultad de detectar este nuevo ciberataque y el despiste de las compañías proveedoras de telefonía móvil que facilitan la copia de la SIM, ocasiona que esta modalidad delictiva se haya disparado en los últimos meses. Por ello, en la presente publicación vamos a realizar una breve síntesis de los delitos que se cometen en el SIM swapping.
La suplantación de identidad. El delito de usurpación del estado civil (401 CP).
La identidad de una persona está formada por sus datos personales: nombre, teléfono, domicilio, fotografías, número de la seguridad social, números de cuentas bancarias, etc… En la actualidad todo se encuentra en internet y los ciberdelincuentes utilizan diversos medios para la obtención de estos datos como pueden ser las técnicas de phishing y estudios de perfiles en las redes sociales. Con todo ello van completando la identidad de la víctima. Una vez completada, se presentan ante la compañía telefónica haciéndose pasar por esta y piden el duplicado de la tarjeta SIM.
Los anteriores hechos constituyen un delito de usurpación de estado civil que el artículo 401 del Código Penal señala como “El que usurpare el estado civil de otro será castigado con la pena de prisión de seis meses a tres años”.
Delito de intrusión informática e interceptación de trasmisiones de datos informáticos (197 bis CP)
Una vez que el ciberdelincuente ya tiene la tarjeta SIM del teléfono móvil de la víctima, por lo que recibirá en ella todos con códigos de seguridad y códigos de confirmación de identidad que por el sistema del banco se generen, ya puede entrar en la banca online y proceder a operar con la misma para transferir el dinero a la cuenta que considere.
El Código Penal, en su artículo 197.1 castiga esta intrusión informática: “El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años”. A su vez, en el apartado segundo del mismo artículo se pena la interceptación de transmisiones informáticas como puede ser la recepción en el móvil de la víctima de los códigos de seguridad: “El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses”.
Esta informática. Delito de estafa con medios electrónicos. (248.2 CP)
Los hechos por los cuales se comete el SIM swapping también pueden ser penados mediante el artículo 248.2 del Código Penal pues este, en su apartado a), considera reos de estafa a quienes “con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro” y en el apartado c) “los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero”.
Responsabilidades de los operadores de telefonía y de banca online.
A su vez, debemos realizar un breve análisis del papel que juegan los operadores telefónicos y los bancos dentro de esta forma delictiva. Siendo cuestionable la responsabilidad penal de los mismos, no lo es la responsabilidad civil que les obligará a reintegrar al consumidor las cantidades substraídas, así como a anular cualquier contrato de préstamo o semejante que se haya realizado con la suplantación de identidad, siendo para ello de principal aplicación la Directiva (UE) 2015/2366 sobre servicios de pago.
Si ha sido víctima de alguna forma de comisión de estafa informática, el área penal de Ancla Abogados dispone de una serie de abogados penalistas que podrán asesorarle y proteger sus intereses. Somos un despacho con más de 25 años de experiencia en A Coruña con un trato profesional y directo que a buen seguro conseguirá lo que usted necesita. No dude en llamarnos, estaremos encantados de informarle.
