Tema CIVIDADES DELITOS INFORMATIOS 2

Tipos delictivos I.
Fraudes en la red
[2.1] ¿Cómo estudiar este tema?
[2.2] Introducción
[2.3] Estafas en banca electrónica. Phishing
[2.4] Fraude en medios de pago físico
[2.5] Otros tipos de fraude en la red
2
TEMA
Esquema
Tipos delictivos I. Fraudes en la red
TEMA 2 – Esquema
Estafas en banca Fraudes en medios de Otros tipos de fraudes
electrónica. Phishing pago físico en la red
Card No Present Fraud Nigerianos

Ciclo del Phishing
1
Skimming loterías
Captura de datos
Venta de vehículos
Captación de mulas
Romancescam
Transferencia
monetización y Falsos antivirus
envío de lo
defraudado
© Universidad Internacional de La Rioja (UNIR)

Delitos Informáticos
Ideas clave
2.1. ¿Cómo estudiar este tema?
Para estudiar este tema, lee el contenido de estas ideas clave y compleméntalas con la
información que irás encontrando en los distintos documentos y páginas web a los que
se irá haciendo referencia.
2.2. Introducción
Sin duda, las estafas son los delitos que más rápido y con más éxito han realizado
la migración desde la vida real a la virtual. Los estafadores han modificado las
técnicas utilizadas con el objetivo de embaucar a sus víctimas en timos como «la
estampita», en los «nazarenos» o en los «trileros», para adaptarlas a la red, que se
presenta como un espacio ideal donde engañar a sus víctimas sin asumir ninguno
de los riesgos que las estafas tradicionales llevaban consigo.
Existe una enorme diferencia entre los timadores o estafadores «tradicionales» con los
«electrónicos». Mientras que los primeros requerían una preparación constante y unas
muy acentuadas capacidades interpretativas o teatrales, además de estar
obligados a realizar una mínima inversión económica en la preparación de la estafa
y asumir riesgo «físico» real, las nuevas generaciones de estafadores virtuales no
necesitan nada de esto. Resulta extremadamente sencillo, por poner un simple ejemplo,
planificar y ejecutar una estafa basada en la falsa venta de un producto a través de
Internet, escudándose en el anonimato que les ofrece la red.
En los fraudes online, junto con los delitos contra el honor, es donde existe una mayor
incidencia de cifra negra (delitos no denunciados), propiciada por dos factores
principales. El primero es que las estafas suelen ser por importes bajos, lo que
desanima a las víctimas a denunciar por considerar que no merece la pena tener que
pasar por las distintas fases procesales. El segundo factor es propio de las empresas
que, en ocasiones, prefieren asumir las pérdidas y no denunciar las estafas de las que
han sido objeto, al considerar que de hacerse públicas, les ocasionará perdidas
empresariales de superior cuantía que el importe efectivamente estafado.
TEMA 2 – Ideas clave 2 © Universidad Internacional de La Rioja (UNIR)

Nuestro Código Penal distingue entre los fraudes que únicamente utilizan Internet
como elemento facilitador de su comisión, como es el caso de los fraudes en el
comercio electrónico (Artículo 248.1 del C.P.), de las identificadas como «estafas
informáticas» o «fraudes informáticos (Artículo 248.2)» en la que incluye a las
relacionadas con manipulaciones informáticas, como es el caso del acceso
ilegítimo a cuentas bancarias online, utilizando para ello los datos identificativos del
usuario y sus claves de acceso, de su legítimo titular, sin haber obtenido su
autorización. Igualmente recoge la utilización de tarjetas bancarias o sus numeraciones
para efectuar cargos a sus propietarios, como una modalidad concreta de estafa.
Artículo 248
1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante
para producir error en otro, induciéndolo a realizar un acto de
disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa:
a. Los que, con ánimo de lucro y valiéndose de alguna
manipulación informática o artificio semejante, consigan una
transferencia no consentida de cualquier activo patrimonial en
perjuicio de otro.
b. Los que fabricaren, introdujeren, poseyeren o facilitaren
programas informáticos específicamente destinados a la comisión
de las estafas previstas en este artículo.
c. Los que utilizando tarjetas de crédito o débito, o cheques
de viaje, o los datos obrantes en cualquiera de ellos, realicen
operaciones de cualquier clase en perjuicio de su titular o de un
tercero.
Como se puede ver en la redacción del artículo 248, las características de estas estafas,
se centra en una manipulación informática con la que se consiga realizar una
transferencia patrimonial que no haya sido autorizada por el legítimo
propietario del importe defraudado, ocasionando por lo tanto, un perjuicio.
Los tipos de estafas que se cometen a través de Internet son innumerables. Desde las
más sencillas, caracterizadas por la falta de planificación previa y sin que los autores
tengan especiales conocimientos técnicos, a las más sofisticadas y complicadas que
necesitan de una preparación detallada, elevada capacitación técnica de sus autores y
elementos técnicos avanzados, con las que desarrollarlas en las distintas fases
complementarias, que son necesarias para su correcta ejecución.

Es imposible reflejar todos los tipos de estafas que se cometen a través de la red, por lo
que en el presente tema únicamente se mostraran algunas de las más representativas
por su incidencia real. Así, se expondrá detalladamente las conocidas bajo el término
Phishing y las relacionadas con la duplicación de tarjetas bancarias. Junto a
ellas, se describirá también el modus operandi de otros tipos variados de fraudes
comunes.
2.3. Estafas en la banca electrónica. Phishing
La banca electrónica es uno de los servicios con mayor aceptación y utilización por
los usuarios de Internet. Esto es debido a que, a través de su web, los clientes de una
entidad pueden realizar consultas, operaciones y transacciones de forma
completamente autónoma, ágil, inmediata y sin limitación por fecha, situación
geográfica u horario.
Sin embargo, el acceso desde Internet mediante un sistema de identificación y

validación del usuario de la banca electrónica es al mismo tiempo su debilidad, al
ser potencialmente vulnerable esta identificación a su interceptación y utilización
por personas no autorizadas.
Podemos entender como Phishing aquellas acciones desarrolladas con fin de obtener
mediante ingeniería social y/o malware, la información necesaria para acceder de
manera no autorizada a determinados servicios —no únicamente financieros—
suplantando en ellos la identidad de su legítimo titular. Generalmente, el fin
perseguido es la realización de transferencias desde las cuentas de las víctimas hasta
otras gestionadas directa o, en la mayoría de los casos, indirectamente por los
responsables del ataque.
Si bien, como acabamos de definir, el término Phishing hace referencia únicamente a la

fase previa de la estafa, caracterizada por tener como finalidad la obtención de
las claves necesarias para acceder a la banca electrónica de la futura víctima,
comúnmente se viene empleando este término para definir el proceso delictivo
completo, a saber: Obtención de claves de identificación, acceso a los datos privados
de la víctima y finalmente trasferir y monetizar el importe económico defraudado. En
este tema se engloba el proceso completo bajo el término ciclo del Phishing.

Ciclo del Phishing
El ciclo del Phishing se puede dividir en distintas fases atendiendo a los pasos que,
como actos preparatorios se diseñen y ejecuten con la finalidad de lograr el objetivo
final. Se trata de un proceso complejo en el que intervienen distintos actores en
tiempos distintos y con responsabilidades e implicaciones diferentes, si bien
complementarias y necesarias todas ellas.
De manera simplificada y para el presente documento, se ha optado por identificar y

agrupar todas las actividades en únicamente tres fases independientes:
Tres fases del ciclo de Phishing:
Captura de datos
Captación de mulas
Transferencia, monetización y envío de lo defraudado
Como es fácilmente comprensible, al no estar sujetas a ningún estándar o norma

homologada, cada diseño y desarrollo de una campaña de Phishing, depende
exclusivamente de sus responsables. En cada caso concreto, las fases serán distintas en
cuanto a su extensión, duración, complejidad y objetivos, así como a cualquier
otro factor que en cada momento pueda interesar a los Phishers (nombre con el que
se conoce a los autores del Phishing). No obstante las podemos simplificar
agrupándolas en las siguientes fases.
Fase I: Captura de datos:
Se centra en la obtención de datos confidenciales, como nombres de usuario,

claves de acceso, números de teléfono, domicilios, documentación —
pasaportes, tarjetas de identidad, etc.— tipos y numeración de las tarjetas
bancarias, su fecha de caducidad, su CCV, el seudónimo y contraseña de
usuario de páginas de subastas o redes sociales y un larguísimo etcétera de
información personal, que pueda ser considerada de interés por parte de los
ciberdelincuentes para diseñar su objetivo final, es decir, qué tipo concreto de fraude
quiere realizar.

Para obtener los datos referidos y teniendo en cuenta la capacidad técnica del
delincuente o las posibilidades de acceso a software específico, existen dos vías para
iniciar la campaña de recopilación de información; bien a través de Ingeniería
Social, sirviéndose para ello de avisos mediante correos electrónicos, redes sociales,
etc. o bien de algún tipo de Malware específicamente diseñados, como los conocidos
como troyanos bancarios.
Ingeniería Social
o Introducción
Se pretende que sea la potencial víctima la que facilite voluntariamente sus
datos de identificación en la banca electrónica. Para ello, emplean
técnicas que han ido evolucionando y perfeccionando en el transcurso del tiempo,
como consecuencia del aumento en la concienciación del usuario en
cuestiones de seguridad. Requiere un periodo previo de elaboración durante el
cual realizan acciones preparativas de la campaña de Phishing, como pueden ser
las siguientes:
- Diseñar una web con idéntica apariencia a la de la entidad financiera a

cuyos clientes se dirige el Phishing. La manera más sencilla de copiar una web,
es descargar la original con cualquier software que lo permita y realizar sobre
ella los cambios necesarios —esencialmente de programación— a fin de poder
«capturar» los datos de acceso, que de manera manual incluyen los usuarios
legítimos (esta falsificación de web se conoce como Web Spoofing).
No obstante, con anterioridad a lo citado, los Phishers comprobarán si la web

original cuenta con alguna vulnerabilidad que puedan ser explotada (como
puede ser un ataque de Cross Site Scripting (XSS)) por los atacantes. De ser
así, la aprovecharán para obtener de ella la información confidencial de sus
víctimas.
- Registrar un Dominio lo más parecido posible al de la entidad sobre la que

pretendan realizar el Phishing. Suelen registrar dominios muy similares al
original, a fin de confundir al usuario e incluso registrando dominios de
segundo nivel en otros países con distinto dominio de primer nivel (ejemplo:
bancosantander.es en bancosantander.ec).

- La web creada se debe alojar en un Servidor Web, generalmente público y

comercial, para que resulte accesible desde los equipos informáticos de las
víctimas. En otras ocasiones, utilizan servidores legítimos donde se alojan
servicios informáticos que nada tienen que ver con la estructura criminal, pero
que, al contar con vulnerabilidades, son utilizadas de manera ilegítima y
sin conocimiento de sus administradores.
- Obtención de direcciones de correo electrónico activas a las que dirigir la

campaña de Phishing. Estas direcciones se pueden adquirir de distintas
maneras. Desde su compra en mercados más o menos legítimos, de bases
de datos donde se almacenan miles de direcciones electrónicas, hasta el
proceso de identificar y archivar electrónicamente las direcciones que
aparecen en multitud de páginas web o, incluso, generándolas
automáticamente mediante programas informáticos específicamente
programados para esta actividad.
- Acceso a servidores que, de manera voluntaria o por deficiencias en su

configuración de seguridad, son utilizados para enviar desde ellos los correos
electrónicos con la campaña de Phishing. Como norma general, instalan
software que permite la automatización de envío de correos electrónicos
de manera masiva, como si de cualquier otra campaña de Spam «legal» se
tratase.
- Finalmente se diseña el texto y contenido del mensaje que se enviará a través

de correo electrónico u otro sistema de comunicación, como puede ser un
SMS.
o Correos electrónicos fraudulentos
En el diseño del correo electrónico se materializará el engaño a la

víctima, al lograr simular que proviene de una entidad bancaria o financiera,
de un organismo oficial, de una empresa, de una ONG, etc. y dependiendo de este
supuesto origen así será el texto que incluirá.
Los más habituales hacen referencia a entidades bancarias que, alegando

problemas de seguridad, cambios en su política de acceso, detección de presuntos
fraudes o actualización de sus sistemas, requieren una aceptación de

condiciones o confirmación de datos personales, para lo que el cliente

debe acceder a la supuesta página oficial mediante un enlace que se encuentra en
el cuerpo del mensaje. El objetivo es convencer a la víctima de que se trata de una
comunicación normal enviada por vía electrónica, sin que le resulte sospechosa.
Ejemplos de campañas de Phishing
Como se puede observar, en este ejemplo se encuentran las características de un

Phishing no muy elaborado. Una redacción en castellano deficiente: «le
pedimos a Usted a introducir los detalles completos de la cuenta para que
pudamos renovar nuestra base de los clientes…», direcciones webs con nombres
de dominio muy similares a los de la entidad que pretenden suplantar
«www.bancosantader.es, www.gruposantahder.es» y errores típicos causados
por utilizar los mismos modelos de correos, para distintas campañas de Phishing,
esto es hacer mención a una entidad distinta a la que supuestamente lo envía
«Esta carta se automáticamente manda a cada cliente del kutxa…».
En este caso, como en la práctica totalidad de este tipo de mensajes, pulsando

sobre los enlaces se abriría una página web —con idéntico diseño a la de la
entidad objetivo— en la que aparece un formulario invitando a introducir el
nombre de usuario, la clave de acceso y, en ocasiones, la clave de
operaciones. Es decir, la víctima facilita todos los datos necesarios tanto para
acceder a su banca online como para efectuar transferencias electrónicas.

En otras ocasiones, las URL no

aparecen literalmente, sino que
se invita al receptor del mensaje
a hacer click sobre un enlace, un
botón de aceptar o similar.
Situando el puntero sobre link, se puede ver cuál es la dirección real a la
que redirecciona. En el caso del ejemplo, consultando la dirección IP que
aparece (70.103.198.51), se constata que el enlace, en realidad, se efectúa con una
web alojada en una empresa situada en EE.UU., lo que podría ser una
indicación sobre la ilegitimidad del correo recibido.
En los mensajes más preparados, la dirección URL que aparece corresponde con
la entidad financiera real; sin embargo, situando el puntero sobre el link se
observa que el enlace se realizaría en realidad con una dirección ajena a la
entidad suplantada.
Como ya se ha mencionado, los correos fraudulentos no solo hacen referencia a

entidades bancarias, sino que también utilizan la imagen de otras
entidades o instituciones para lograr el engaño en sus víctimas. Así existen
correos presuntamente enviados por entidades gestoras de tarjetas de
crédito o débito.

En este caso, se trata de una campaña de Phishing dirigida a obtener datos

relacionados con tarjetas de crédito asociadas a VISA. Como se observa en este
ejemplo, tanto la redacción como el vocabulario utilizados son correctos sin
apenas errores gramaticales, mostrando una apariencia digna de todo crédito.
Sus autores buscan atemorizar a los receptores del correo sobre la potencial
utilización ilegítima de sus tarjetas bancarias. En el mensaje que se muestra,
informan que se ha realizado una supuesta utilización de la tarjeta
bancaria «fuera del patrón típico de compra» y que la tarjeta del cliente
pude estar comprometida. Para dar aún más credibilidad le asignan un
supuesto número de caso y le solicitan que verifique su identidad mediante el
acceso a una web.
En este otro ejemplo de Phishing, dirigido también a obtener datos de tarjetas

bancarias, los autores decidieron que era más rentable enviar un correo en
nombre de las dos más importantes empresas gestoras de tarjetas bancarias. Este
hecho, el que dos empresas que son competencia directa, se hayan unido para
enviar un correo, debería ser suficiente indicio para levantar las sospechas de
cualquier usuario sobre su auténtica motivación. Pero, de pasar por alto esto, la
redacción debería alarmar de inmediato «Recordar que esta es la intención de
registrar su seguridad».

A través del Link «Haga ahora» se accede a dos formularios consecutivos, en los
que se solicitan todo tipo de datos personales con la supuesta finalidad de
evitar el uso fraudulento de la tarjeta.
Esta misma campaña de Phishing

se realiza paralelamente en
distintos países, por lo que
tanto el correo inicial como los
formularios que se envían, son
modificados por los autores,
variando los textos para que
aparezcan en el lenguaje del
potencial destinatario.
Esto trae consigo que cometan

ciertos errores ortográficos,
gramaticales o de idioma. En el
ejemplo, podemos ver que utilizan «nombres» en plural y «apellido» en singular,
lo que indica que utilizan una base extranjera en la que lo habitual es tener dos
nombres y un solo apellido. También incluyen «Code Postal» en lugar de Código
Postal. Otro detalle que sobresale, es que bajo los campos donde se debe insertar

la fecha de nacimiento, aparece las letras «jj» que pudiera hacer referencia a la
palabra alemana «Jahr» que se traduce como año.
Una vez completada la primera parte

del formulario, la información se
remite electrónicamente a servidores
controlados por los Phishers. Tras
esto, y de manera automática, se
inicia un segundo formulario,
diseñado para capturar los datos
de la tarjeta bancaria. En el
ejemplo que se muestra, destaca que
no existen errores de redacción y que
está especialmente pensado para nuestro país, ya que se solicita el DNI.
Con los datos enviados a los phishers a través de los formularios mostrados como
ejemplo, lo delincuentes pueden no solo utilizar las numeraciones de las
tarjetas en comercio electrónico, sino que además las pueden «clonar»,
duplicándolas físicamente y realizar con ellas compras en establecimientos
físicos o retirar dinero desde cualquier cajero automático. No obstante, siendo
importante el quebranto que podrían hacer con la utilización de la tarjeta a la
víctima, no se debe dejar de plantear que los delincuentes podrían también
suplantar su identidad completa y utilizarla para la comisión de cualquier otro
tipo de delito.
Al finalizar el proceso completo y capturar la información de la víctima, la misma

página falsa enlaza con la autentica de VISA España a fin de completar el
proceso sin despertar ningún tipo de sospechas sobre su origen
fraudulento, evitando así que se detecte el robo de información en ese momento.
Como ya se ha citado, la variedad de entidades, empresas y organismos

suplantados en las campañas de Phishing es enorme. Por citar alguna que de
manera cíclica se repite, se puede señalar a la que se sirve de la imagen de la
Agencia Tributaria. El Phishing busca obtener los datos personales de sus
víctimas tras convencerles que tienen pendientes una devolución, cosa que no es
la práctica habitual en este organismo; no obstante, no se debe despreciar el

poder de convicción que aún mantiene o la curiosidad que provoca y que hace que
se pulse sobre el enlace web con el que cuenta el texto del mensaje electrónico.
Otra empresa que es utilizada

constantemente para realizar
campañas de Phishing es PayPal.
Generalmente, los correos enviados
hacen referencia al supuesto
bloqueo de la cuenta del usuario o
que se ha efectuado una
trasferencia desde esa cuenta,
solicitando que se acceda a
través de un enlace para
reactivarla o confirmar la
operación. Como cabe suponer, la
web que se abre al pulsar sobre el link es una suplantación de la original,
donde se piden los datos de usuario y clave de acceso. Tras esto, una nueva
web se muestra pidiendo la información asociada a la cuenta de PayPal,
incluyendo por supuesto los referidos a la tarjeta de crédito asociada.
Como modo sencillo para comprobar

que se trata de un intento de estafa,
basta con situar el puntero sobre
cualquiera de los enlaces que aparecen
en el texto del correo. De esta manera

se conoce cuál es la dirección web real a la que redirige el link, que no guarda
relación con PayPal.
o SMS fraudulentos: Smishing
Otra manera de obtener los datos privados mediante

ingeniería social, es a través de mensajes SMS o
MMS. Las comunicaciones simulan provenir de una
entidad financiera o bancaria. Informan al titular que
han surgido problemas de validación en su
tarjeta o que ha sido bloqueada por razones de
seguridad y que para poder volver a utilizarla, deben
acreditar su titularidad mediante un formulario al que
se accede a través de una dirección web.
Como cabe esperar, tras la dirección se encuentra un formulario que únicamente

pretende obtener los datos de la tarjeta bancaria supuestamente
bloqueada.
La clara apuesta que se está haciendo por la banca electrónica y el acceso a esta
desde distintas plataformas móviles, lleva aparejada que el Smishing y otras
evoluciones del Phishing —dirigidas a las nuevas vías de comunicación
electrónica— estén despertando el interés en las organizaciones
criminales que las perciben como una nueva oportunidad de negocio, toda vez
que sobre estos nuevos dispositivos no existe una concienciación en seguridad,
tan extendida como en los ordenadores personales.

o Llamadas fraudulentas: Vishing
Los delincuentes contactan telefónicamente con sus víctimas simulando

provenir de una entidad bancaria, informándoles de la presunta utilización
fraudulenta de su tarjeta bancaria. Estas comunicaciones suelen realizarse a
través de servicios de telefonía sobre VoIP (Voz sobre IP. Tecnología que permite
que las llamadas se realicen a través de Internet desde cualquier parte del mundo
aprovechando las facilidades de anonimato que la Red ofrece).
Por lo general, la comunicación no se efectúa por una persona real, sino que se
trata de una grabación efectuada, siguiendo patrones similares a los utilizados
por los distintos servicios de atención al cliente. Durante la comunicación se
requieren los datos bancarios o las numeraciones de las tarjetas de
crédito, incluyendo por supuesto, el número PIN, la fecha de caducidad y el
código CVV, como paso previo a poder ser atendido supuestamente por un
operador. En otras ocasiones, las grabaciones telefónicas remiten al cliente a una
página web en la que realizar las presuntas comprobaciones, a través de
formularios donde los Phishers obtienen los datos que buscan.
o Pesca dirigida: Whaling
Esta modalidad no está dirigida a cualquiera que pueda recibir el correo

electrónico típico del Phishing, sino que se centra en la búsqueda de un perfil
concreto de usuario de banca online. Se dirigen a directivos de
determinadas compañías, a administradores de redes, a personal clave en
organizaciones concretas, a personas mayores con importantes activos
económicos, a empresarios, etc.
Se centran sobre estos grupos al suponer que disponen de mayor

capacidad económicas. En otras ocasiones, lo que se pretende es tener acceso
a información sensible que podrá ser utilizada para cuestiones distintas al
simple robo de dinero.
Malware
o Introducción
El crecimiento exponencial de ataques de Phishing que se produjo con la
universalización de los servicios de banca electrónica, tuvo como natural

consecuencia que las entidades iniciaran campañas de advertencia y

sensibilización sobre seguridad, dirigidas a sus clientes con la finalidad de
disminuir su incidencia. Al mismo tiempo se implementaban medidas de
fortalecimiento en la identificación de los usuarios de la banca electrónica,
pasando a utilizarse por defecto —junto con login y password— otros sistemas
como las tarjetas de coordenadas o dispositivos tipo Token (Dispositivo
que genera contraseñas dinámicas y válidas por un periodo limitado de tiempo,
generalmente de un solo uso), con los que se pretendía garantizar la no
suplantación del usuario.
Estas medidas llevaron a los criminales a desarrollar otros sistemas de ataque que
les permitieran robar la identidad electrónica de sus víctimas. Desde ese
momento, los programas conocidos como virus o gusanos informáticos
abandonaron sus objetivos iniciales, que se centraban únicamente en causar
daños informáticos, para comenzar a orientarse en lo que hoy conocemos como
software malicioso o malware. Su principal característica y objetivo consiste en
robar cualquier tipo de información confidencial de los sistemas
informáticos en los que se instalan, sin que sea detectada ni su presencia ni su
actividad.
El éxito en la infección por un malware puede deberse a la existencia de

vulnerabilidades en el sistema, conocidas por los atacantes o a procedimientos
exitosos de ingeniería social. La consecuencia es que el usuario ejecuta el
código dañino que se halle, por ejemplo, en un documento adjunto recibido en
un correo o en alguna web diseñada o modificada por los Phishers.
Los primeros malware diseñados para acceder a los servicios de banca
electrónica que se detectaron, fueron los conocidos como Keyloggers y
Screenloogers:
- Keyloggers. Se trataba de programas que recogían en un fichero, las

pulsaciones que se realizaban sobre el teclado. En su variante de malware
bancario, estos programas estaban diseñados para activarse cuando
detectaban que se accedía a una de las URL’s para las cuales habían sido
programados, esencialmente pertenecientes a entidades bancarias. Toda la
información recogida (claves de acceso, nombre de usuarios, claves de firma,
etc.) se enviaba al Phisher que lo controlaba.

- Screenloggers. Una de las primeras medidas que tomaron los responsables de

la banca electrónica para aumentar la seguridad en la identificación de sus
clientes, fue la implementación de los teclados virtuales en sus accesos
online. Este tipo de teclados requerían que el usuario pulsara con el puntero
sobre la pantalla, en lugar de hacerlo sobre el teclado físico. Ante esto, los
ciberdelincuentes, desarrollaron los programas conocidos como
Screenloogers, que permitían capturar «porciones» de la pantalla, alrededor
del lugar en el que se pulsa con el puntero.
Como contramedida, los diseños de teclados virtuales incluyeron como

característica que, al pulsar sobre el número o letra, aparecieran en la pantalla
asteriscos en lugar de los dígitos. La continua evolución en malware, permitió
a los ciberdelincuentes desarrollar nuevos «especímenes», que cuentan con la
posibilidad de capturar fragmentos de video donde quedan reflejados los
movimientos del puntero sobre la pantalla, por lo que conocen sobre qué
números o letras se sitúa el puntero, antes de pulsar sobre ellos.
Con el desarrollo de las medidas de seguridad y con la dependencia de los

usuarios de la banca electrónica hacia las nuevas tecnologías, se está impulsando
a los diseñadores de malware a crear programas cada vez más sofisticados que
aumentan en complejidad y potencialidad criminal. Su desarrollo constante les
permite adaptarse a las peculiaridades de cada mercado al que se dirigen.
Estudian cada entidad financiera, bancaria o de cualquier otra

naturaleza a la que pretenden atacar, conocen ampliamente el diseño de
sus páginas web, el tipo de tecnología con que están dotadas, la semántica del
código HTML o Java que emplean. Con toda esta información desarrollan
ataques especialmente dirigidos a explotar las vulnerabilidades detectadas,
logrando un muy alto porcentaje de éxito en sus ataques.
Como exponente del malware, se puede hacer referencia a los programas

conocidos como Troyanos Bancarios y al ataque definido como Pharming.
o Troyanos Bancarios
Como se ha comentado, las técnicas de Phishing junto con la ingeniería social se

sirven de un tipo de malware específicamente diseñado y desarrollado con
el único objeto de robar información de acceso a la banca electrónica, o a

cualquier otro servicio como redes sociales o correo electrónico, para obtener
beneficios con la comisión de fraudes bancarios. Este tipo específico de
malware se conoce como Troyano Bancario.
Su diseño les permite determinar cuándo deben activarse y comenzar a

actuar, evitando la captura de información inútil para sus fines y estar activo un
tiempo elevado, que conllevaría una mayor posibilidad de ser detectado. Su
activación se produce cuando desde el equipo en el que se ha instalado, se accede
a una de las direcciones web que tiene almacenadas en su programación como
objetivo. A partir de ese momento comienza su actividad de espionaje de datos,
que se producirá de diversas maneras dependiendo de cómo estén configurados o
cuan actuales sean los troyanos.
A modo de ejemplo de métodos de captura de datos, podemos citar la captura y

modificación de formularios y páginas web. El malware consigue que al
mostrarse un formulario en la web original de una entidad, junto con los campos
preestablecidos, aparezcan otros nuevos incluidos por el malware mediante
programación, en los que solicitan del usuario que introduzca datos adicionales
de los que demanda la página web.
Estos tipos de ataque o método de captura de información, surgen tras la

implementación de sistemas complementarios de autentificación del cliente,
como las tarjetas de coordenadas o claves secundarias para operar en la banca
electrónica. Algunos tipos de malware, al detectar la solicitud de las coordenadas,
comienzan a pedir todos los datos de la tarjeta, con lo que si el usuario, pensando
que cuantas más coordenadas le pida más seguro será el sistema, se las facilita,
estará cediendo estos datos a los phishers y anulará la seguridad implementada
con la tarjeta de coordenadas.
En la actualidad existe malware destinado a la captura de datos bancarios de

altísima complejidad y grado muy elevado de éxito. A modo de ejemplo se
puede citar el conocido ZeuS o Spy Eye, los de mayor éxito en propagación y en
resultados.

Con las nuevas vías de acceso a la banca electrónica y al resto de servicios

personales a través de los smartphone y las tabletas, los desarrolladores de
malware —siguiendo su lógica empresarial— han fijado sus objetivos en el diseño
de programas maliciosos específicamente destinado a estos nuevos dispositivos,
conocedores de que en poco tiempo se accederá mayoritariamente a Internet y a
la banca electrónica desde estos sistemas.
o Alteración de DNS: Pharming
Al igual que los mensajes de correo electrónico y los dirigidos a los teléfonos
móviles, el objetivo del Pharming es lograr que la víctima acceda a una página
web fraudulenta diseñada, o al menos modificada, con la finalidad de capturar
información confidencial. Para su éxito no se requiere la acción consciente
de la víctima como ocurre en los ataques asociados a la ingeniería social, sino
que se produce por una manipulación informática.
Cuando un usuario teclea en su navegador una dirección web, por ejemplo

www.unir.net, el servicio de DNS (Domain Name System) traduce el nombre de
la web (el dominio) por la dirección IP en la que se encuentra alojado, haciendo
que sea ésta la que el navegador muestre al usuario.
El Pharming consiste en modificar el servicio de DNS para que al escribir la

dirección de la web, no se muestre la real sino una fraudulenta con igual
apariencia a la original causando engaño en la víctima que, al creer que se
encuentra en la auténtica, introducirá sus claves que serán robadas.
Dependiendo de lo sofisticado que sea el ataque, los delincuentes pueden

modificar las tablas del servidor de DNS, con lo que lograrían que todos los
usuarios de Internet que tuvieran a ese DNS como referencia, se vieran afectados
por el ataque o en local alterando únicamente la navegación de un usuario.

Un ataque en local se realiza aprovechando una característica del diseño de los

sistemas operativos, consistente en la existencia de un archivo en el que se
almacenan nombres de dominios y la dirección IP asociada a ellos. Si esta
relación de dominios e IP’s es alterada por un malware diseñado para
efectuar ataques de Pharming en local, cuando el usuario teclee una
dirección web, su navegador o cualquier otra aplicación que necesite acceder a
Internet, se dirigirá en primer lugar al archivo referido antes, donde encontrará la
dirección web solicitada que enlaza con una dirección I.P. (modificada por el
ataque) que será a la que se acceda sin que sea necesario una consulta al DNS,
toda vez que supuestamente conoce su situación en la red.
Como contramedida, en principio bastaría con que el usuario

se cerciorase de la existencia de una conexión segura a través
del protocolo SSL. Sin embargo, existen tipos de malware
que instalan certificados para cifrar y validar la conexión con la
página falsa, por lo que salvarían de este modo la desconfianza inicial de la
víctima.
No siempre que se obtienen datos mediante estas técnicas, son utilizados

directamente por los atacantes para realizar las siguientes fases del Ciclo del
Phishing, sino que en muchos casos son vendidos a otros delincuentes u
organizaciones criminales, produciéndose un auténtico tráfico de datos
personales y mercado secundario de información.
Fase II: Captación de mulas:
Como resultado de las técnicas descritas en la Fase I, los Phishers disponen de la

información necesaria para acceder a la banca electrónica de sus víctimas y para
realizar transferencias en su nombre. No obstante, esto es únicamente una
posibilidad, ya que para poder hacer efectivo del dinero y por lo tanto disponer de él,
necesitan a personas que, residiendo en el mismo país de las víctimas para facilitar y
agilizar las transferencias, accedan a recibirlas en sus cuentas bancarias —con o
sin conocimiento de su origen ilícito— para después enviar el dinero recibido a los
delincuentes, a través de empresas de envío internacional.

A estos colaboradores se les conoce como mulas o muleros y son captados a través de
distintos métodos, que han ido evolucionando como adaptación a las constantes
campañas de información sobre estas estafas que se vienen realizando.
Tradicionalmente, la captación de las mulas se realiza mediante el envío de simples

correos electrónicos en los que se ofrece la posibilidad de realizar desde casa y con
total libertad de horarios, una actividad laboral que exige poco tiempo de dedicación y a
cambio de la cual, se recibe una considerable compensación económica.
Según sea la capacidad técnica del grupo criminal que se sitúa tras la campaña de
Phishing o que se sirve de ella para realizar las estafas, así será la complejidad o la
elaboración de los correos, cuyo único fin es lograr salvar las cada vez mayores
reticencias de los internautas en aceptar estos trabajos.
Así, de no disponer de un respaldo con capacidades técnicas, se conformarán con

enviar cientos de correos electrónicos fácilmente detectables como fraudulentos,
mientras que de tratase de organizaciones más afianzadas o con soporte técnico-
informático elevados, acompañaran a sus mensajes todo lujo de explicaciones
avaladas con la existencia de páginas web, creadas con la única intención de dotar de
credibilidad las ofertas de trabajo. En estas web aparecen las supuestas actividades
empresariales que se presentan con gran calidad, pretendiendo lograr con ello vencer
las potenciales reticencias haciendo creer que la actividad que se propone es legal y
respaldada por una importante empresa internacional.


No obstante, las ofertas de trabajo no son las únicas vías para captar a los
colaboradores. Existen innumerables modos para intentar lograr la participación de
personas ajenas a la organización criminal en su actividad ilícita. A modo de ejemplo,
se puede citar los correos en los que se buscan personas que quieran colaborar en
supuestas campañas de ayuda a zonas afectadas por una crisis, consecuencia de
desastres naturales o por conflictos armados.
En estas modalidades se solicita de los receptores de los correos que participen como
parte de la cadena de remisión de dinero a los damnificados. Deben facilitar una
cuenta bancaria en la que recibirán parte de los importes donados por particulares y
empresas, para después reenviarlos a los responsables de la organización humanitaria,
utilizando para ello los servicios de compañías de envío internacional de dinero. Con
esta ayuda, presuntamente, se pretende evitar la inicial participación de las entidades
bancarias, ahorrando con ello sus comisiones y facilitando que llegue más dinero a las
personas que lo necesitan sobre el terreno.
Una vez que los Phishers han captado a las mulas, establecen redes a fin de garantizarse
la plena disponibilidad de una o varias de ellas para cada transferencia que puedan
realizar. Los delincuentes tienen que asegurarse que no se deja de materializar
una estafa por no disponer de una cuenta a la que realizar la transferencia.
Por este motivo, aunque en el presente manual se han descrito como consecutivas las
Fases I y II del Ciclo del Phishing, en realidad se efectúan de manera simultánea.
Las redes o bolsas de mulas, son utilizadas de manera que les permita a los
Phishers diversificar los riesgos. Usualmente, el dinero total que roban de la cuenta de
una víctima es enviado mediante varias transferencias a cuentas bancarias a
nombre de distintas mulas. Con esto, logran minimizar los riesgos de ser
anuladas o identificadas las operaciones como fraudulentas y perder el importe total.
Igualmente, se aseguran que si alguna mula se arrepiente de su colaboración o decide
quedarse con el total del dinero recibido, no pierden el resto del importe defraudado.
Como se ha podido observar, las mulas son el elemento determinante del delito ya
que sin su acción consciente y voluntaria, no se podría consumar la estafa, son
ellos los que reciben el importe defraudado y son ellos los que lo ponen a disposición de
la organización delictiva.

Es fácil advertir que toda la inversión que los Phishers realizan en campañas de
ingeniería social, en el desarrollo de malware y en su distribución, carece de sentido y
de resultado final, sin la participación de las mulas, lo que las convierte en parte
esencial en el proceso criminal con independencia de que sean o no
conscientes de su participación en el delito.
Fase III: Transferencia, monetización y envío de lo defraudado:
Ya con la información sobre las claves de acceso a la banca online de una víctima, los
delincuentes suplantan su identidad electrónica y realizan transferencias online
por todo el importe que puedan a las cuentas facilitadas por las mulas.
Si bien el acceso a la cuenta y la transferencia se puede materializar en cualquier

horario, prefieren realizarla en días y horas no laborables a fin de retrasar al
máximo el momento en que la víctima detecte el fraude, e informe a la entidad bancaria
de destino de la ilegitimidad de la operación realizada y ordene su retrocesión.
Inmediatamente realizada la transferencia electrónica, los delincuentes se ponen en

contacto con la mula, pidiéndole que la haga efectiva y que, tras quedarse con un
porcentaje previamente establecido (suele rondar entre el 5 el 10% de lo recibido), les
remitan el dinero a través de empresas internacionales de envío de dinero. Las
direcciones de envío suelen estar situadas en países del este de Europa.
En algunas ocasiones, los Phisher piden a las mulas que entreguen el dinero
personalmente a miembros de la organización, bajo la excusa de tratarse de los
responsables de la supuesta actividad comercial en su zona. Estas personas
pueden tener la residencia habitual en España y colaborar con la organización criminal
de manera estable o temporal, habiendo sido captados de forma parecida a las mulas.
En otros casos, se tratan de los escalones más bajos de la organización que realizan
viajes relámpago, con la única intención de recoger los resultados económicos de una
campaña de phishing.
Los destinatarios a los que las mulas realizan los envíos de dinero no son los
responsables últimos de la estafa, sino que simplemente son otros escalones de la
organización, cuya misión se limita a recibir el importe transferido y a su vez remitirlo,
a otros niveles superiores de la organización criminal.

Con el dinero en poder de los niveles más altos de la organización criminal, se cierra el
ciclo del Phishing que, como se ha descrito, involucra a distintos actores en las
distintas fases de las que se compone, desde la preparación de la campaña y selección
de objetivos hasta la materialización del dinero y su recepción por los cibercriminales.
2.4. Fraude en medios de pago físico
Card no present fraud (CNP Fraud)
En los apartados relacionados con el Phishing, se ha descrito que el objetivo de los

cibercriminales era conseguir la información necesaria para el acceso a los servicios
de banca electrónica de sus víctimas, esencialmente nombre de usuario,
password, además de otras claves con las que poder realizar posteriores
transferencias fraudulentas.
Junto con los datos de acceso a la banca online, otro de los objetivos a los que los
delincuentes le dedican un considerable esfuerzo utilizando diversos vectores de
ataque, como el diseño, creación y difusión de malware especifico, o la utilización de
redes botnets, es la información que aparece físicamente grabada en las tarjetas
bancarias. Estos son la numeración de la tarjeta, la fecha de caducidad y el
código de verificación, también conocido como CVC, CVC2 o CID (se trata de un
número de tres o cuatro cifras, que se solicita a fin de comprobar que se dispone
físicamente de la tarjeta bancaria durante la realización de procesos de compra a través
de plataformas electrónicas o telefónicas).
Con estos datos los ciberdelincuentes pueden realizar compras de productos o servicios
a través de Internet o mediante llamadas telefónicas. A esta actividad delictiva
se le conoce como carding o card no present fraud.
La vía más habitual para la obtención de estos datos, es su compra en mercados ilegales
a los que se accede mediante determinadas páginas web, foros o chat’s específicamente
dedicados a su comercio. Se describirá más detalladamente cómo se distribuye esta
información, en el siguiente punto dedicado al Skimming.

Los productos que suelen adquirir los delincuentes mediante la utilización de técnicas
de CNP Fraud, suelen ser aquellos que pueden ser fácil y rápidamente vendidos,
como equipos electrónicos, informáticos o teléfonos. También suelen utilizar este tipo
de fraude para la compra de billetes de avión u otro tipo de transporte.
Normalmente, al efectuar la compra a través de Internet, indican como lugar de entrega

de los productos, domicilios no relacionados con los autores en cuyos
alrededores esperan la llegada del transportista al que se identifican con el nombre
ficticio facilitado durante el proceso de compra, logrando con ello que se lo entregue.
En otras ocasiones, los recogen directamente en las oficinas de la compañía
distribuidora, en la que se identifican con documentación falsa.
Para este tipo de fraude suelen utilizar numeraciones de tarjetas bancarias extranjeras,
con la finalidad de alargar al máximo su utilización efectiva, conocedores del dilatado
tiempo que transcurre entre la materialización de una compra, el conocimiento efectivo
del fraude por su titular y el conocimiento por las autoridades de la estafa.
Skimming
Mucho más complejo, es realizar una copia de la información que no aparece a

simple vista en las tarjetas bancarias y por lo tanto, al desconocerla su usuario
legítimo, no puede ser obtenida por manipulación informática del equipo de la víctima
o mediante técnicas de ingeniería social.
La clonación de la tarjeta consiste en obtener, en primer lugar, toda la

información almacenada en la banda magnética y posteriormente copiarla en
otra tarjeta, con la que realizar compras en establecimientos físicos y/o retirar dinero
en cajeros automáticos, como si de la original se tratase, para ello es necesario conocer
el número PIN de la tarjeta clonada.
Con la modificación del Código Penal llevada a cabo con la Ley Orgánica 5/2010, se
incluyó una nueva Sección del Capítulo II (de las falsedades documentales) dentro del
Título XVIII (de las falsedades) bajo el epígrafe «De la falsificación de tarjetas de
crédito y débito y cheques de viaje». Esta sección, la cuarta, se ha incluido un

único artículo, el 399 bis, donde se tipifica las conductas asociadas a fraudes con
tarjetas de crédito físicas.
Artículo 399 bis.
1. El que altere, copie, reproduzca o de cualquier otro modo falsifique

tarjetas de crédito o débito o cheques de viaje, será castigado con la pena
de prisión de cuatro a ocho años. Se impondrá la pena en su mitad superior
cuando los efectos falsificados afecten a una generalidad de personas o cuando
los hechos se cometan en el marco de una organización criminal dedicada a
estas actividades.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica
sea responsable de los anteriores delitos, se le impondrá la pena de multa de
dos a cinco años.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales
podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado
7 del artículo 33.
2. La tenencia de tarjetas de crédito o débito o cheques de viaje
falsificados destinados a la distribución o tráfico será castigada con la
pena señalada a la falsificación.
3. El que sin haber intervenido en la falsificación usare, en perjuicio de
otro y a sabiendas de la falsedad, tarjetas de crédito o débito o cheques de viaje
falsificados será castigado con la pena de prisión de dos a cinco años.
Para esta actividad delictiva descrita, se hace necesaria la utilización de elementos

electrónicos especialmente diseñados, además de contar con conocimientos
específicos y pertenecer a una organización con capacidad de actuación
internacional. Al conjunto de técnicas y procedimientos para llegar a conseguir la
clonación de una tarjeta se le conoce como Skimming.
Las organizaciones que se especializan en esta actividad concreta de estafa, conocen

perfectamente las características concretas de cada tipo de tarjeta, los límites
económicos que permiten retirar periódicamente, las medidas de seguridad con que
cuentan y, sobre todo, cómo están técnicamente diseñadas.
Igualmente, tienen un amplio conocimiento sobre el funcionamiento de los cajeros
automáticos y de otros dispositivos a través de los cuales se puede operar con una
tarjeta bancaria.
Toda la actividad que rodea al Skimming, desde el diseño y creación de los elementos
electrónicos necesarios para la obtención de la información de las tarjetas, hasta la
retirada efectiva de dinero o la compra física de algún producto, la podemos englobar
dentro del término ciclo del Skimming, donde estarían incluidos la obtención de
los datos de las tarjetas, su duplicación y, finalmente su utilización física en
establecimientos comerciales.

Ciclo del Skimming:
Obtención de los datos de las tarjetas
Las técnicas que utilizan los Skimmers, se dirigen a conseguir disponer de dos
tipos de datos distintos, pero complementarios y necesarios para la utilización de
una tarjeta bancaria. Estos son, los datos que se incluyen en la banda magnética y
el número PIN que permite utiliza la tarjeta.
o La banda magnética las características de las bandas magnéticas de las tarjetas

se recogen detalladamente en la normativa internacional ISO, concretamente en
las 7810, 7811 y 7813. Se dividen en tres pistas con la siguiente estructura:
- Pista 1: Donde se pueden incluir 79 caracteres alfanuméricos, contiene

esencialmente datos del código de país, el nombre del titular de la tarjeta, la
fecha de su caducidad, el código de servicio y otros datos discrecionales en
donde se puede incluir información variada. Los datos que aparecen en relieve
en la tarjeta deben coincidir con los incluidos en esta pista.
- Pista 2: Permite el almacenamiento de 40 caracteres numéricos. Entre otros

datos, incluye el número de cuenta principal.
- Pista 3: Puede almacenar 107 caracteres numéricos y se emplea principalmente

para almacenar aquella información que cambia con frecuencia o que es
posible que lo haga
Tanto la pistas 1 como la 2, son únicamente de lectura, por lo que una vez
grabadas no se puede alterar su contenido.
o El número PIN. No aparece en ninguna de las pistas y debe ser únicamente

conocido por el titular de la tarjeta bancaria.
Existen diversas técnicas para lograr apoderarse de la información de las tarjetas, si

bien podemos distinguir dos principales. En la primera es necesario instalar
físicamente sistemas que permitan copiar la información, mientras que la segunda
requiere la participación de alguna persona, como puede ser el caso de empleados
desleales.

o Instalación física de sistemas lectores
Consiste en la instalación en cajeros automáticos de dispositivos físicos que,

simulando formar parte de la estructura original del cajero, tienen como fin
copiar la información almacenada en las bandas magnéticas y del
número PIN de las tarjetas que se utilicen.
Estas actividades se realizan por

organizaciones criminales que cuentan
con entidad suficiente, como para disponer
de equipos humanos de desarrollo que
estudian meticulosamente cada tipo
concreto de cajero automático. Para cada
uno, diseñan específicamente los módulos
concretos que necesitan instalar, de manera que se integren perfectamente como
parte de la estructura del cajero, sin despertar ninguna sospecha en los
empleados o en los clientes.
La parte esencial y sobre la que gira el

diseño, es la boca o ranura por la que
se introducen las tarjetas. Se trata de
una pieza construida con materiales
plásticos con idéntico diseño a la
original, si bien un poco más grande a
fin de encajar sobre la autentica. De
esta manera consigue pasar totalmente
desapercibida a los clientes.
En la falsa boca se instala una cabeza lectora para que, al pasar por ella la
banda magnética, grabe la información que contienen sus pistas. Al
situarse el falso dispositivo lector inmediatamente antes del auténtico, permite
que una vez copiados los datos, se produzca una autentica lectura por el
sistema electrónico del cajero, permitiendo al cliente continuar normalmente
con la operación solicitada. Esta característica, la de no interferir en el uso
normal de la tarjeta, incluida la extracción de dinero si fuera el caso, tiene como

objetivo que la manipulación no sea detectada, propiciando que más tarjetas sean
copiadas.
Para lograr un encaje perfecto de las falsas bocas lectoras, en ocasiones necesitan
instalarlas junto con los embellecedores y paneles que las rodean, por lo que el
proceso de construcción es mucho más elaborado y costoso, si bien necesario
para poder instalarlo con éxito sin llamar la atención.
La información que recoge el lector puede ser almacenada en algún dispositivo

de memoria instalado en la falsa boca (como pueden ser memorias tipo RAM o
USB donde se almacenan los datos sustraídos). Esta opción está en desuso por los
problemas de seguridad que presenta para los delincuentes, ya que el tener que ir
periódicamente a sustituir el dispositivo de memoria, ampliaba las posibilidades
de ser descubiertos. Los dispositivos actuales cuentan con funcionalidades que les
permite el envío de la información de manera automatizada e
inalámbrica, a través de Bluetooth, SMS, GSM, etc. La necesaria
alimentación del dispositivo se salva a través de pequeñas baterías que se
instalan conjuntamente.
Junto con la información de las bandas magnéticas, los delincuentes necesitan

conocer el número PIN de las tarjetas que copien, ya que sin esta información no
podrían utilizar las tarjetas en comercios ni retirar efectivo en cajeros. Para
lograrlo pueden optar por, al menos, dos vías o técnicas.
La primera es la instalación de una mini cámara que, situada

estratégicamente, capture imágenes del teclado numérico mientras el cliente
pulsa su número de identificación.
Dependiendo de la calidad de la cámara y de la situación concreta del cajero y de

su teclado, se deben de situar a una distancia más o menos cercana al teclado y
con visión directa, evitando ser interferida por cualquier elemento que acompañe
al usuario o que se encuentre instalado en el frontal del cajero. Se suelen
disimular como parte de falsos embellecedores diseñados y creados, al igual
que las falsas bocas lectoras, especialmente para cada tipo de cajero automático o
utilizando elementos desmontables con los que cuente el cajero, como
pueden ser soportes para sobres o publicitarios.

Detalle de un falso embellecedor, donde se puede observar el orificio creado para situar
tras él la óptica de la cámara de vídeo.
Cámara unida a un módulo de transmisión inalámbrica y a las pilas para su

funcionamiento
La segunda vía para conseguir el número PIN, consiste en la instalación de un

falso teclado sobre el original del cajero automático. Si bien el grosor de este
dispositivo es mínimo, en su parte interior cuenta con un sistema electrónico que
permite almacenar la secuencia numérica que el usuario de la tarjeta marca para
poder operar. Al mismo tiempo, los números pulsados son interpretados
correctamente por el teclado original, permitiendo el acceso a las opciones del
cajero automático sin producir error alguno ni detectándose la manipulación del
teclado.

Al igual que ocurría con la información obtenida a través de la grabación de las

pistas de la tarjeta, los números PIN pueden ser transmitidos inalámbricamente
hasta equipos informáticos situados en las inmediaciones del cajero y que son
manejados por los delincuentes.
Al igual que lo descrito antes, referido a la obtención de información en cajeros

automáticos, estas técnicas de lectura, almacenamiento y trasmisión de
los datos almacenados en las bandas magnéticas de las tarjetas bancarias, así
como de los números PIN asociados a ellas, son instalados en otros tipos de
dispositivos en los que se pueden utilizar las tarjetas bancarias. Este es el caso de
estaciones de servicio donde existen surtidores que permiten el pago con
tarjeta, peajes e, incluso se han instalado en lectores TPV’s (Terminal Punto de
Venta), situados en comercios para el pago con tarjetas bancarias.
Para evitar la utilización de técnicas de

Skimming, los diseños de cajeros automáticos y
otros tipos de dispositivos, van progresivamente
incluyendo elementos específicamente pensados
para impedirlo. En la imagen de ejemplo, se
puede apreciar el sistema ideado para proteger
las máquinas expendedoras de billetes de tren en
Holanda.
o Participación de empleado confabulado
Para esta modalidad se ha de contar con la ayuda de algún empleado desleal de

un establecimiento comercial o con la participación de otra persona, que tenga
acceso físico a las tarjetas bancarias de terceros, por un periodo breve de
tiempo.
Esencialmente, consiste en aprovechar que un cliente entrega su tarjeta

bancaria con el objeto de abonar una compra o servicio para, discretamente,
copiar la información de la banda magnética, mediante un dispositivo lector
portable (se trata de dispositivos de tamaño mínimo que pueden ser ocultados
de manera discreta), que dispone de una memoria interna que permite almacenar
un número considerable de tarjetas. Periódicamente se extrae la información
utilizando un programa informático.

En algunos casos se combinan las dos técnicas antes citadas, como cuando se
utiliza un grabador de tarjetas disimulado, a la vez que la obtención del número
PIN asociado, se realiza con la intervención de una persona que de manera
discreta observa el teclado, anotando la combinación numérica del PIN del
titular.
Distribución de la información
Ya con la información útil para sus propósitos, los delincuentes tienen que disponer
de capacidad y conocimiento técnico suficiente, además del material
específicamente destinado para clonarlas. Estas actividades las pueden desarrollar
los mismos integrantes de la organización delictiva que han sustraído la
información, otros delincuentes especializados en esta fase o, incluso, terceros a los
que venden la información sustraída a través de distintas vías, como anuncios en
páginas web’s o foros dedicados específicamente a este mercado, donde se suele
emplear el término Dump para referirse a los datos de las tarjetas bancarias. Los
precios se fijan en relación al tipo de tarjeta (Classic, Gold, Platinium,
Infinte, etc.) y al país o zona geográfica de origen.
En los anuncios de este mercado, junto con el precio de los lotes de

numeraciones de tarjetas que se ofrecen y las condiciones en las que se produce
su envío, se expone la forma en que se puede contactar con el vendedor, soliendo
realizarse a través de direcciones de correo electrónico o mediante ICQ (sistema de
mensajería instantánea.).


Para efectuar la clonación física, es decir para crear tarjetas bancarias con la
información que han robado y con ellas poder efectuar compras en establecimientos
comerciales, la organización debe de disponer de diversas herramientas o, en su
caso, encargar este servicio a otro grupo criminal que disponga de ellas.
Necesitan, en primer término, los

soportes de tarjetas en blanco
con bandas magnéticas en las que
grabar los datos sustraídos.
Además, es necesario contar con
una impresora de alta calidad
y de especiales características que
permita imprimir sobre las tarjetas
el diseño que tendrían las
originales, con igual intensidad y
variedad de colores.
En las falsas tarjetas se deben

incluir los hologramas o
logotipos con los que cuentan
cada tipo concreto de tarjeta y que están pensados, precisamente para evitar ser
copiadas. Estos hologramas se pueden comprar sin dificultad a través de distintas
páginas web.
Ya con el soporte prácticamente acabado, deben codificar la información en las

pistas de la banda magnética. Para esto se utiliza software y un lector/grabador
de bandas magnéticas a través del cual se efectuará la grabación.
Por último, se debe hacer coincidir la información

grabada en la banda magnética con la que aparecerá en
relieve en el exterior de la tarjeta. Se utilizan para
lograr esto, máquinas troqueladoras, conocidas como
Manual Card Embosser.

Realización de operaciones con las tarjetas
Disponiendo ya de las tarjetas clonadas, únicamente queda el efectuar compras con

ellas o retirar dinero a través de cajeros automáticos. Para el primer caso, cada
tarjeta se acompaña de un documento de identidad en donde consta, junto a la
fotografía de la persona que la usa, datos identificativos coincidentes con los que se
ha introducido dentro de la banda magnética y que hacen referencia a su titular,
facilitando así realizar las compras y salvar las medidas más simples de
comprobación de legitimidad de la tarjeta.
Generalmente, no utilizan los datos de las tarjetas robadas en el mismo país donde
las obtienen con el objeto de retrasar al máximo el momento en que su titular
denuncia su utilización ilegítima. Estos grupos criminales están tan bien
organizados y actúan con tanta coordinación, que se han detectado casos en los que
se realizaban compras con una tarjeta clonada en un país extranjero, apenas una
pocas horas después de haberse copiado su banda magnética en un cajero situado
en España.
La franja de tiempo durante la que pueden utilizar la tarjeta clonada, depende de

algunos factores como la cantidad de dinero que tenga fijada como límite, el tiempo
que tarde el titular de la tarjeta en darse cuenta de su uso ilegítimo, los sistemas
antifraude que tenga implementados la entidad financiera que haya expedido la
tarjeta o el país en el que se haya utilizado la tarjeta clonada.
Sin duda, el elemento que más dificultad está suponiendo para

la consecución de los objetivos de las redes de skimmers, es la
implantación de modelo de tarjeta conocido como EMV
(Europay Mastercard and VISA). Se trata de un estándar al que
todas las tarjetas electrónicas de los países que lo han
adoptado, han migrado y cuya característica visual externa es la
inclusión en la tarjeta, de un circuito integrado (chip), que puede soportar
procesos criptográficos, con lo que la información relacionada con las
operaciones, es transmitida cifrada no pudiendo ser interceptada.

2.5. Otros tipos de fraudes en la red
Las técnica utilizadas para estafar a través de los distintos servicios de la red,
únicamente están limitadas por la imaginación del delincuente. La
característica que las define, es la exigencia en el uso de ingeniería social con la que
lograr ocasionar un engaño suficiente en la víctima, como para que acceda a realizar la
disposición económica y, con ello, el consecuente beneficio económico que obtiene el
autor de la estafa.
Es imposible mostrar en este manual todos los tipos de estafas que se pueden cometer a
través de la red, consideradas por lo tanto como estafas informáticas o ciberestafas.
Por este motivo únicamente se describirán un número limitado de ellas, por ser, quizás,
las más características y representativas.
Carta Nigeriana, Scam 419
Las cartas nigerianas, conocidas también como estafa nigeriana e, incluso como
scam 419 (hace referencia al artículo del código penal de Nigeria que castiga esta
actividad delictiva), es uno de los clásicos entre las estafas. Dirigida a ciudadanos de los
cinco continentes, no se trata de un nuevo tipo delictivo aparecido a la sombra de
Internet, sino que existía mucho antes si bien utilizaba para su comisión el envío de
manera física de miles de cartas.
Con la universalización en el uso del correo electrónico, los estafadores han visto
exponencialmente mejorada su capacidad de envío de comunicaciones, junto con un
abaratamiento muy significativo de la inversión y una mayor rapidez en el contacto con
las víctimas y la consecuente materialización de la estafa.
En los distintos tipos de mensaje que se incluyen en los correos electrónicos, siempre se
hace referencia a una muy importante cantidad de dinero proveniente de diversas vías
como herencias, subvenciones internacionales, robos etc. que se encuentra
depositada a disposición del remitente, el cual no puede hacerla efectiva directamente
por distintos motivos, obligándole a solicitar la ayuda del destinatario del correo, a
quien promete una importante comisión a cambio de recibirla en su cuenta bancaria.
Ante la potencial víctima, el autor del correo se puede presentar como familiar de un
dictador del tercer mundo o de un miembro de su gobierno fallecido o detenido, como

político corrupto, como soldado destinado en un conflicto internacional, como

empleado de banca desleal, como una persona de edad avanzada o aquejada de una
enfermedad incurable, etc.
En ocasiones, refuerzan su presentación y la historia que en ella cuentan, aportado en

el texto del mensaje un enlace web a una publicación aparecida en un medio de
comunicación real y de reconocida solvencia, en el que aparece una noticia
presuntamente relacionada con lo expresado en el correo. En el caso del ejemplo
siguiente, se trata de un accidente aéreo sufrido por un ministro de Kenia.
De: Lacy Kipkalya <lacy.kipkalya@yandex.com> 

Fecha: 16/11/2012 05:37:10 
Asunto: Please my dearest help me!
 P ara: undisclosed recipient s:
I am writing this mail to you with tears and sorrow from my heart. With due
respect, trust and humanity, i appeal to you to exercise a little patience and
read through my letter, i wish to contact you personally for a long term
business relationship and investment assistance in your Country so i feel quite
safe dealing with you in this important business having gone through your
remarkable profile, honestly i am writing this email to you with pains, tears
and sorrow from my heart, i will really like to have a good relationship with
you and i have a special reason why i decided to contact you, i decided to
contact you due to the urgency of my situation, My name is Miss Lacy Kipkalya
Kones, 23yrs old female and I held from Kenya in East Africa. My father was
the former Kenyan road Minister. He and Assistant Minister of Home Affairs
Lorna Laboso had been on board the Cessna 210, which was headed to Kericho
and crashed in a remote area called Kajong'a, in western Kenya. The plane
crashed on the Tuesday 10th, June, 2008.
You can read more about the crash through the below site:
http://edition.cnn.com/2008/WORLD/africa/06/10/kenya.crash/index.html
After the burial of my father, my stepmother and uncle conspired and sold my
father's property to an Italian Expert rate which the shared the money among
themselves and live nothing for me. I am constrained to contact you because of
the abuse I am receiving from my wicked stepmother and uncle. They planned
to take away all my late father's treasury and properties from me since the
unexpected death of my beloved Father. Meanwhile i wanted to escape to the
USA but they hide away my international passport and other valuable
travelling documents. Luckily they did not discover where i kept my fathers
File which contains important documents. So I decided to run to the refugee
camp where i am presently seeking asylum under the United Nations High
Commission for the Refugee here in Ouagadougou, Republic of Burkina Faso.
One faithful morning, I opened my father's briefcase and found out the
documents which he has deposited huge amount of money in bank in Burkina
Faso with my name as the next of kin. I travelled to Burkina Faso to withdraw
the money for a better life so that I can take care of myself and start a new life,
on my arrival, the Bank Director whom I met in person told me that my
father's instruction/will to the bank is that the money would only be release to
me when I am married or present a trustee who will help me and invest the

money overseas. I am in search of an honest and reliable person who will help
me and stand as my trustee so that I will present him to the Bank for transfer
of the money to his bank account overseas. i have chosen to contact you after
my prayers and I believe that you will not betray my trust. But rather take me
as your own sister.
Although, you may wonder why I am so soon revealing myself to you without
knowing you, well I will say that my mind convinced me that you may be the
true person to help me. More so, my father of blessed memory deposited the
sum of (US$11.500, 000) Dollars in Bank with my name as the next of kin.
However, I shall forward you with the necessary documents on confirmation of
your acceptance to assist me for the transfer and statement of the fund in your
country. As you will help me in an investment, and i will like to complete my
studies, as i was in my 1year in the university when my beloved father died. It
is my intention to compensate you with 30% of the total money for your
services and the balance shall be my capital in your establishment. As soon as I
receive your positive response showing your interest I will put things into
action immediately. In the light of the above. I shall appreciate an urgent
message indicating your ability and willingness to handle this transaction
sincerely.
AWAITING YOUR URGENT AND POSITIVE RESPONSE, Please do keep this

only to yourself for now untill the bank will transfer the fund. I beg you not to
disclose it till i come over because I am afraid of my wicked stepmother who
has threatened to kill me and have the money alone ,I thank God Today that
am out from my country (KENYA) but now In (Burkina Faso) where my father
deposited these money with my name as the next of Kin. I have the documents
for the claims.       Yours Sincerely  L acy K ipkalya K ones
Según el mercado al que se dirija el correo, así será el idioma en el que se escriba. Las
traducciones suelen estar hechas con la ayuda de traductores online y, por lo tanto, son
fácilmente detectables por los errores gramaticales que cometen.
De: James Abbah [mailto:j_abbah@cantv.net]

Enviado el: lunes, 19 de noviembre de 2012 6:06
Para undisclosed recipients
Asunto: Confirme este mensaje con urgencia
Mi buen amigo,
Saludos a usted
Antes de que yo me presente, me permito informarle que este correo

electrónico no es una broma y le insto a que tratarlo con seriedad. Esta carta
debe venir a usted como una sorpresa, pero creo que es sólo un día en el que
las personas se encuentran y se convierten en grandes amigos y socios de
negocios. Mi nombre es Sr. James Abbah.
El gerente de la sucursal de un banco presente aquí en Ghana. Te escribo esta

propuesta de buena fe, en la creencia de que puedo confiar en usted con la
información que estoy a punto de revelar a usted. Como he dicho, tengo una
transacción que beneficie a los dos, ya que su ayuda es necesaria como un
extranjero. Que utilizo para trabajar como jefe del departamento de
contabilidad en mi oficina central del banco, pero en diciembre pasado me

pidió que tomara la posición de un gerente en una de nuestras sucursales para

reemplazar al anterior que pasó, así que fue como me convertí en el
Administrador presente y descubrió una fortuna.
Al reanudarse el deber, en mi revisión de rutina y hacerse cargo, descubrí una

cuenta con una importante suma de dinero en dólares que ha estado flotando y
desaparecidos durante los últimos 4 años. De mi investigación, descubrí que la
rama en la que yo soy el gerente, una ganancia excesiva de un interés
devengados por el dinero depositado por la Comunidad Económica de los
Estados comité pago del contrato, y que el dinero ha sido flotando. De hecho,
he puesto este fondo en una cuenta de llamadas PLICA sin un beneficiario
legítimo y que se convertirá en su nombre en cuanto a identificar su interés
por escrito. La cuenta de depósito en garantía llamada es un tipo secreto de la
cuenta en mi banco y no otra persona sabe sobre esta cuenta o cualquier otra
cosa que le concierne, la cuenta no tiene otro beneficiario. He mantenido un
estrecho seguimiento de la cuenta desde entonces. A medida que el gerente de
la sucursal del banco, directamente no se puede sacar el dinero sin la ayuda de
un extranjero y es por eso que estoy en contacto con usted para una ayuda para
reclamar los fondos y compartirlo conmigo.
Tengo el poder para influir en la liberación de los fondos a cualquier extranjero

que viene con el depositante del dinero, con la información correcta sobre la
cuenta, que yo te daré. Su responsabilidad será la de ayudar a mover los
fondos a su país. Va a ser una transferencia de banco a banco y yo tenemos que
asegurar que no existen riesgos involucrados en este negocio. La operación se
ejecutará en virtud de un acuerdo legítimo que le protegerá de cualquier
violación de la ley. Si acepta trabajar conmigo, quiero que indicar cómo desea
compartir los fondos en porcentaje, por lo que ambas partes estarán
satisfechos. Ponte en contacto conmigo tan pronto como reciba este mensaje si
sentimos que podemos trabajar juntos, para que podamos entrar en detalles.
Agradeciendo de antemano y que Dios los bendiga. Por favor, tratar con la
máxima confidencialidad.
Espero su respuesta urgente.
Saludos, Sr. James Abbah
El primer objetivo buscado con el correo es, simplemente, que alguien conteste. A
partir de ese momento, los estafadores utilizarán todos los argumentos que sean
necesarios para convencer a su interlocutor de lo sencillo y beneficioso que es el
negocio propuesto. En principio no debe realizar ninguna gestión, salvo facilitar un
número de cuenta donde recibir la transferencia y enviar copia de su documentación
para realizar los necesarios procesos burocráticos.
Tras conseguir que se acepte participar en el negocio propuesto y cuando todo parece ir
bien, se persuade a la víctima para que adelante una, en principio, pequeña cantidad de
dinero con la que obtener algún permiso administrativo necesario para realizar la
transferencia, sobornar a determinados funcionarios, pagar algún impuesto, etc. Si
acepta y paga este primer requerimiento, le pedirán nuevas cantidades de dinero

justificándolas con distintos pagos necesarios para liberar el dinero. Esto se repite hasta
que, al final, la víctima se reconozca como estafada.
From: Bancaja España <payments@bcbanca.es>

Date: October 7, 2012 3:51:38 AM CDT
To: undisclosed recipients
Subject: ATTENTION: (TAKE NOTE)
Manager of Operation,
International Transfer Dept
BCja Branch, Madrid
7 October 2012
13311 FM 807 Dalhart

Texas 79022,
USA.
Sir,
On behalf of the management and the Board of Trustees of this Bank, you are
informed that your fund was meant to be transferred to you and it was
insured under high European insurance bond to be in our treasury and
security deposit bureau and we have no right to deduct even a cent from the
said beneficiary’s principal sum. As the said sum has insurance bond place on
it by the sending origin you Uncle/Relative Late Mr. Emmanuel Crabtree.
This is to avoid quarreling and misunderstanding with your attorney Andreu
Batllo Carlos with the management of this bank. He is here today in our
bank disturbing our management after a discussion with him. Please advise
him. This is your money and we would carry out the transfer once the fee is
paid I promise you that.
You are to pay €6,800.46, for COST OF TRANSFER / TRANSFER FEES,
CLEARANCE AND ADMINISTRATIVE FEE. This to enable a fast procedure
towards the release of your fund/money from treasury and security deposit
bureau immediately the above mentioned fees is paid by you, for you to have
access to your money.
This charge is mandatory and none deduct able according to banking rule
and regulation in our country. Note: based on the information above you are
advised to try and make this payment immediately or unfailingly, this will
enable our bank to credit your nominated bank account immediately this fee
is paid as this is only fee that is delaying your fund. We are sorry for the
inconveniences we put to you but you have to understand us. This order is
from the above. There is a charge for foreign transfer of huge sum both local
both local and international.
You are now to start making all the necessary arrangement on how you
make the above payment immediately to avoid confiscation of your total sum
by the Spanish government based on UN and EU banking policy that is
applicable until the date.
Thanks for your understanding and cooperation
Yours faithfully,
Dr. Evaristo Muñoz Marti
Bancaja Bank
Calle De Alcalá, 522 1ª -28027 Madrid, Spain

En algunas de estas estafas realmente elaboradas, los delincuentes llegan a crear una
falsa página web, con la apariencia de pertenecer a un banco real con domicilio
social en algún país occidental. Como parte del engaño, y para ganarse la confianza de
la potencial víctima, le informan que han trasferido a una cuenta abierta a su nombre
en esa entidad financiera, una importantísima cantidad de dinero (generalmente varios
millones de dólares). Para comprobarlo, solo tienen que acceder a través de Internet
con la palabra de paso y clave que le facilitan.
Convencida la víctima de disponer de esa cantidad de dinero a su disposición en una

entidad de toda solvencia, no pone reparos a realizar las disposiciones económicas que
le piden relacionadas con trámites, comisiones, impuestos etc., a fin de poder liberar el
dinero y transferirlo a su entidad bancaria.
Premio de la lotería
Se trata de una variante del anterior tipo de estafa, distinguiéndose en que, en lugar de
una importante cantidad de dinero que alguien quiere compartir, el correo electrónico
que se recibe informa que se ha ganado un premio a la lotería nacional de un país u otra
gestionada por empresas privadas. (Si bien existen otros países a cuyas loterías se hace
referencia en las estafas, sin duda la lotería de España es la más utilizada como
reclamo).

From: vnnlott876@wowway.com 
Reply-to undisclosed recipients  
Sent: 10/2/2012 4:04:41 A.M. Eastern Daylight Time 
Subj: Good Day,
Good Day,  Your Email ID has won you the award sum of €1.Million
(Euros)in the Ongoing Online Email Award held in Madrid Spain on the 29th
of September 2012. 
WInning Informations!!! 
BATCH NUMBER: 09049-6657-2002) 
LOTTERY DATE :(29TH OF SEPTEMBER 2012) 
PLACE:(Madrid Spain). 
For the Claim Process do send name and Contact Information also state the
mode of payment you will prefer.  1.Cheque 2.Bank Transfer 
Congratulations!!! M rs.H elena Pirlo.
Existen también variaciones en este tipo de estafas, como la que hace referencia a un
premio Ganado gracias a la lotería de Microsoft.
De: essoh georrges

[mailto:familleessohgeorges@hotm
ail.fr]  
Enviado el: sábado, 22 de
septiembre de 2012 7:45 
Asunto: A SU ATENCIÓN
A SU ATENCIÓN,
LE CONTACTAMOS POR ESTA

PRESENTAMOS PARA
INFORMARLE DE SU GANANCIA
A MICROSOFT LOTERÍA
SOCIEDAD.
ESTO NO ES UN SPAM NI UN
VIRUS, QUIERE ENCUENTRAN
EN FICHERO LIGA LA
NOTIFICACIÓN DE SU
GANANCIA DE 250.000€ EN EL ÚLTIMO SORTEO.
DESPUÉS DE COMPROBACIÓN DE LA NOTIFICACIÓN DE SU GANANCIA

EN DOCUMENTO ADJUNTO, QUIERE PONERSE EN CONTACTO CON EL
ABOGADO ACREDITA ABAJO PARA EL PROCEDIMIENTO DE RETIRADA
DE SU GANANCIA.
CONTACTO DEL ABOGADO:
GABINETE DE ESTUDIO JURÍDICO DE MAESTRO ALFRED STANKOVIC

ABOGADO ACREDITA A MICROSOFT LOTERÍA SOCIEDAD
MAESTRO ALFRED STANKOVIC

MAIL: maitre.alfredstankovic@list.ru
TELF: +7926(778)732
CORDIALMENTE
Para que la víctima crea realmente que ha sido agraciada con un sorteo en el que ni
siguiera ha participado, junto con el correo electrónico se le envían distintos
documentos, evidentemente falsificados, firmados por supuestos responsables de
organismos oficiales en los que se informa de la veracidad del premio y de los pasos que
han de seguir para poder hacer efectiva la cantidad ganada en la lotería.
Venta de vehículos a través de Internet
A través de las páginas de venta o subasta online, se materializan la inmensa

mayoría de las ciberestafas. Entre las distintas razones que lo justifican destaca, sin
duda, la facilidad en su comisión, ya que únicamente se ha de publicar un anuncio
en uno de los muchísimos sitios web que favorecen este tipo de comercio entre
particulares y esperar que la víctima se interese por el producto ofertado.
Cualquier objeto que se anuncie tiene su potencial comprador. Solamente es preciso

conocer cómo, de qué manera y a qué precio presentar el producto para que sea
atractivo. Generalmente, lo que suelen realizar los estafadores no es sino copiar un
anuncio auténtico y publicarlo literalmente en otro servicio online con sus datos de
contacto.

Como se ha dicho, todo tipo de objetos pueden servir para estafar ya sean
anuncios de ordenadores, bicicletas, muebles, equipos de música, discos, robots de
cocina, juguetes, etc. Además, también se sirven de los anuncios online, para estafar en
servicios ofertados, como son los alquileres de pisos, estancias en casas rurales,
hoteles o, de forma global de vacaciones.
No obstante lo citado, quizás las estafas más recurrentes y que se han mantenido
activas desde hace más tiempo, son las relacionadas con las ventas de vehículos a
través de páginas especializadas en estos tipos de anuncios. De manera esquemática,
estos fraudes siguen el siguiente patrón:
Primero publican un anuncio en un

medio especializado en compra-venta de
vehículos, donde incluyen fotografías
del supuestamente ofertado, así como
una descripción sobre su estado y
características técnicas. Con mucha
frecuencia, el anuncio es una copia de
una oferta de venta publicada por el
legítimo propietario del vehículo, con el
que los ciberestafadores han contactado,
haciéndose pasar por personas
interesadas en la compra. Con esta excusa le han pedido copia escaneada de la
documentación del vehículo. Esto lo hacen en previsión de que las víctimas de su
estafa se la soliciten a ellos, como prueba de que realmente son sus dueños.
El anuncio publicado por los estafadores, se caracteriza en que el precio de venta es

sustancialmente inferior al que tendría en el mercado, con lo que se garantizan
atraer a un número elevado de potenciales clientes.
Las medidas de precaución que toman los estafadores a la hora de publicar los
anuncios, hacen que no sea fácil averiguar desde qué lugar físico concreto se ha
realizado la publicación, evitando así su identificación. El pago por el anuncio a los
gestores de la página web, en el caso de ser requerido, se realiza a cargo de tarjetas
bancarias cuyas numeraciones han sido ilícitamente obtenidas.

Generalmente, un comprador potencial de vehículos conoce e mercado y la horquilla de

precios en que se mueve cada marca y modelo. No obstante, cuando encuentra un
vehículo a un precio interesante, suele enviar un correo pidiendo más información y la
confirmación del precio.
Como contestación suele recibir un mensaje electrónico en el que el vendedor le

describe los motivos que le hacen desprenderse del coche a ese precio tan bajo. Suele
tratarse de cuestiones profesionales o personales, las que han llevado al dueño del
vehículo a residir en un país extranjero donde no utilizan el coche y por lo tanto
necesitan venderlo. En la mayoría de las estafas de este tipo, el autor dice encontrarse
en el Reino Unido, lo que le da otro argumento para querer vender el vehículo español,
al resultarle muy complicado conducir por la izquierda.
De: [mailto:]
En nombre de
Enviado el: lunes, 18 de marzo de 2013 22:22 
Para: undisclosed-recipients: 
Asunto: 2002 Volkswagen Golf 1.9 TDI GTI, Ed.Especial, 150 CV, 119.000
Km, Diesel, Gris, 1.500 Euros
Buenas,   Perdona por tardar en responder. Mi nombre es xxxxx xxxxxxxx

con D.N.I xxxxxxxxx. Vendo el coche porque me he casado con un inglés y nos
hemos mudado en Inglaterra. Ya tenemos un coche nacional para nosotros y
no puedo tener el otro tambien. Estoy embarazada y en estos momentos estoy
en una maternidad Inglesa. Voy a dar la luz muy pronto. El precio es barato
porque necesito vendelo muy rapido. Voy a nacer y el dinero nos viene muy
bien despues. El coche lo tengo aqui con migo en Inglaterra. E l coche es
nacional con matricula espanola, tiene todo al dia. Impuestos y revisiones. No
tiene ningun defecto. Es perfecto de motor, chapa y pintura.  Por razones
personales y medicales e dejado el coche en custodia de una
empresa de transporte local localizada en Londres -
Inglaterra. Ellos se encargan de transporte, pago y cambio de nombre. Los
gastos de transporte los pago yo y el cambio de nombre esta incluido en el
precio final de venta. Usted tendras que pagar solo el precio del coche y nada
mas. D espues que el comprador recibe el coche tiene 48 horas para la
comprobacion del coche y de los documentos. Si despues de los 48 horas el
comprador decidera de no comprar el coche, la empresa de transporte va a
restituirme el coche sin ningun gasto o compromiso para el comprador. Tengo
confianza en lo que vendo y soy 100% segura que el coche esta en perfecto
estado. E l coche ya lo tiene la empresa de transporte. L a inspeccion del coche
y de los documentos esta completa y no hay ninguna problema. El pago por el
coche se hace en efectivo o atravez de transferencia. Usted decideras el
momento de la entrega.  Pero en el momento cuando voy a enviar los
datos del comprador a la empresa de transporte para empezar los
trámites, ellos van a pedir una confirmación que tienes el dinero en
efectivo para hacer la compra. Otra vez, EL PAGO DEL COCHE SE
HACE SOLO DESPUES QUE USTED RECIBES Y COMPRUEBAS EL
COCHE Y LOS DOCUMENTOS. NO ANTES. Cualquier gasto para esta

conferma que pide la empresa de transporte lo pago yo. Quiero hacer una
transaccion rapida y segura para los dos. S i estas deacuerdo con el
procedimiento mandame los siguientes datos para poder empezar los
tramites: N ombre:  Apellido:  Calle y Numero:  Código Postal:  Ciudad y
Pais: N úmero de DNI :  Número de T eléfono:  E n cuanto tenga sus datos
voy a contactar con la empresa y ellos se pondran en contacto telefonico y por
email con usted para enviar los pasos a seguir y finalizar la compra.  
Descripcion del coche:  
2002 Volkswagen Golf 1.9 TDI GTI, Ed.Especial, 150 CV, 119.000
Km, Diesel, Gris, 1.500 Euros  
Vehiculo en perfecto estado, cambio por 4 puertas por familia, se puede llevar
a revisar, todas revisiones, correa, etc. en concesionario oficial, mejor ver para
juzgar.
El comprador no puede ver el vehículo porque se encuentra en el extranjero. Esto es un

inconveniente lógico y por ese motivo vendedor ofrece la posibilidad de realizar la
operación a través de una empresa escrow. Este tipo de empresas existen y centran su
actividad empresarial en la realización de labores de intermediación entre
compradores y vendedores legítimos. Esta intermediación, de manera simple, se
puede resumir en los siguientes puntos:
Tanto el comprador de un producto como el vendedor, estando de acuerdo en los

términos sobre precio y condiciones, deciden utilizar el servicio de una empresa
intermediaria con la que contactan y acuerdan el servicio.
El comprador envía el dinero pactado como precio por el producto, no al vendedor

sino a la empresa escrow.
Una vez el dinero está en poder de la empresa, el vendedor envía la mercancía,

que es comprobada y garantizada su llegada hasta el comprador, por la empresa
escrow.
Ya la mercancía en poder del comprador, dispone de un tiempo previamente

establecido, para proceder a la inspección de la mercancía, pudiendo tras
comprobarla, aceptarla o en su caso rechazarla si no cumpliese con las condiciones
del contrato.
De estar todo conforme a lo establecido, la empresa escrow transfiere al

vendedor el pago efectuado por el comprador, completándose de esta manera el
intercambio comercial.

De esta manera se consigue que tanto el vendedor como el comprador, estén seguros
del éxito de la operación evitando potenciales estafas o incumplimientos de
contratos, además de garantizar de ser necesario, el anonimato del vendedor.
Volviendo a los estafadores especializados en las supuestas ventas de vehículos a través

de internet, como se ha dicho, proponen al comprador que le enviarán el vehículo a
través de una empresa escrow, si bien no tienen que realizar ningún pago hasta que le
haya llegado el coche y compruebe que todo está en orden, de no ser así pueden
devolver el coche sin ningún gasto ya que todo gasto será asumido por el
vendedor. Para mayores garantías, será la empresa directamente la que comunicará
con el comprador, informándole en todo momento del lugar físico en el que se
encuentra el vehículo.
Efectivamente, el comprador recibe al poco tiempo un correo de una supuesta empresa

escrow (evidentemente se trata de una falsa empresa, cuya existencia se limita a la
existencia de una web), donde le informa que tienen en su poder el coche y que se inicia
el traslado.
Para que el comprador tenga información del lugar en donde se encuentra en cada
momento el vehículo, le envían un enlace web a una página a la que pueden acceder,
con un nombre de usuario y una password que también le facilitan, y desde la que
puede conocer la ubicación del vehículo. La falsa web va siendo modificada para que al
acceder la víctima, aparezca la información que en cada momento interesa a los
estafadores.
Poco tiempo después, el comprador recibe otro correo de la supuesta empresa escrow,
donde le comentan que el vehículo ha tenido algún problema administrativo.
Generalmente, se trata de que no puede cruzar una determinada frontera sin satisfacer
el pago de un impuesto. Para abonarlo, el comprador debe enviar el importe solicitado
a través de una empresa de envío internacional de dinero.
Ya efectuado el pago, poco después volverá a recibir otro correo donde, nuevamente se
le requiere más dinero para hacer frente a cualquier otro trámite. De abonar este
segundo requerimiento, habrá un tercero, un cuarto y así sucesivamente hasta que el
comprador comprenda que se ha convertido en una víctima de un delito de estafa.

Si bien el precio de venta del vehículo es relativamente bajo, los criminales no

pretenden en ningún momento cobrarlo íntegramente. Su objetivo se dirige a obtener
las pequeñas cantidades de dinero a que se ha hecho referencia en el párrafo
anterior. Multiplicadas por un número muy considerable de víctimas, les hace
embolsarse enormes cantidades de dinero con la puesta en práctica de una estafa muy
simple, de fácil preparación y ejecución.
Estafas en relaciones personales: Romancescam
Las relaciones personales también han encontrado en la red y en las comunicaciones,

una nueva vía en que desarrollarse. Existen páginas web especializadas en compartir
aficiones, experiencias, ilusiones o en las que buscar distintos tipos de relaciones
personales.
La información que los usuarios

vuelcan en estos tipos de páginas
web, les describe plenamente,
mostrando su edad, sus aficiones,
sus pasiones, su gustos, sus
costumbres, la existencia o no de
familia y su relación con ella, su
nivel económico, sus creencias
religiosas y un sinfín de datos
identificativos de su carácter, que
con un poco de ingeniería social
pueden ser utilizados por los
delincuentes para idear, planificar,
desarrollar y finalmente consumar
una estafa personalizada.
Los estafadores especializados en el romancescam, conocen que para obtener dinero

de este tipo de estafas, han de actuar con organización, cautela y paciencia. El
primer paso que deben dar es contactar con las futuras víctimas, para lo que pueden
optar por dos vías. Ser activos en su búsqueda, enviando correos electrónicos e
iniciando, por lo tanto, ellos la relación epistolar o por el contrario, publicar
anuncios y esperar que sean las propias víctimas las que se pongan en
contacto con los estafadores.

Si siguen la primera vía, necesitan obtener direcciones de email, actuales y activas, a

las que enviar los correos. Las que tienen más valor y resultan de mayor interés para los
ciberestafadores, son las de los usuarios registrados en páginas web’s especializadas
en relaciones personales. Pueden conseguirlas de manera artesanal, es decir una a una
o comprando a organizaciones especializadas en hacking, las bases de datos de
clientes de alguna de estas páginas, que previamente han sido robadas.
La otra vía, como se ha citado, consiste en publicar en las páginas de contactos perfiles
que resulten atractivos, para que de esta manera sean otras personas las que deseen
iniciar una relación. Las cuotas o pagos que este tipo de páginas suele solicitar para
inscribirse y utilizar sus servicios, son pagadas utilizando los datos de tarjetas de
crédito robadas y compradas en el mercado del cibercrimen.
Las fotografías que se incluyen en los falsos perfiles pueden ser sacadas de Internet,
generalmente de páginas de modelos o de redes sociales. No obstante, en cada vez más
ocasiones, son imágenes de personas reales relacionadas con la organización
criminal, que se prestan a fotografiarse con el fin de propiciar la estafa a cambio de
dinero. El motivo por el que esta opción se está imponiendo, es debido a que al
extenderse este tipo de estafas y consecuentemente existir abundantes advertencias en
foros y web’s, las personas que contactan a través de estas páginas, suelen desconfiar
inicialmente, pidiendo a modo de prueba, fotografías personalizadas para comprobar la
veracidad de la amistad y la existencia de la persona contactada.
No solo son perfiles de mujeres los utilizados para las estafas relacionadas con
romancescam, con cada vez más frecuencia, los perfiles que se utilizan como ganchos
para las estafas, son de hombres interesados en conocer mujeres para iniciar una
relación seria y formal.
Cuando las futuras víctimas insisten en mantener conversaciones telefónicas o a

través de cualquier programa que permita las llamadas a través de internet, como es el
caso de Skype, las organizaciones cuentan con personas dispuestas a entablar estas
comunicaciones, siguiendo un guión preestablecido a fin de no desvirtuar la imagen
trasmitida con los correos electrónicos.
Establecido ya el inicial contacto, poco a poco van compartiendo supuestas

experiencias, coincidiendo en gustos, intercambiando opiniones sobre todo tipo de
cuestiones y con ello, los estafadores van obteniendo más datos personales con los que

ir planeando qué tipo de estafa es la más adecuada.
Existen multitud de tipos diferenciados de estafas basadas en la manera en cómo

engañar a la víctima, a modo de ejemplo se citan a continuación dos de las más típicas:
Novia Rusa
Dirigida a hombres, consiste en que una supuesta mujer joven y por supuesto muy
atractiva, que reside en un país del este de Europa (se están dando casos en que dice
estar residiendo en países occidentales) y quiere compartir experiencias o, incluso
entablar una relación seria destinada a contraer matrimonio.
Con el intercambio de correos electrónicos, comenzara una relación que se puede

prolongar durante meses, en la que poco a poco se irá estableciendo una conexión
emocional basada en el romanticismo. La joven, en uno de los muchos papeles que
puede interpretar, pertenece a una familia sin recursos, tiene formación
universitaria aunque trabaja en un comercio, sus hermanos o familiares directos
están enfermos, quiere trabajar de modelo y le encantaría vivir en España.
Cuando detecta por los contendidos de los correos electrónicos, que la víctima tiene
interés en la relación, de forma muy sutil le insinúa que necesita dinero para
solventar gastos inesperados o para poder viajar y conocerse personalmente. De
enviarle el dinero, le solicitan más con cualquier excusa, como que sufrió un atraco,
que un familiar ha sufrido un accidente y ha tenido que darle el dinero que le había
enviado para pagar la atención sanitaria, que ha tenido que pagar una deuda de su

padre alcohólico, que se lo ha dado al dueño de la casa donde vive y evitar que la
desahucien, etc.
Accidente o enfermedad en un país extranjero
Suelen dirigirse a mujeres y son mucho más elaboradas y dilatadas en el tiempo que
las anteriores descritas. Exigen consolidar una previa relación de sincera
complicidad. Los estafadores representan perfiles donde se describen a sí mismos
como personas leales, serias, con hijos ya en edades adultas y con trabajos liberales
que les obligan a viajar por todo el mundo, por lo que es difícil tener una cita física.
Cuando la relación se va asentando y empieza a existir algo más que una amistad
epistolar, el estafador suele comentar que tras un viaje que tiene que hacer, irá a
conocerla personalmente y comenzar con la relación de manera real y oficial.
Poco después la víctima recibe una comunicación, remitida por un familiar, amigo u
otra persona con alguna relación con el supuesto novio, en la que le dicen que este
ha sufrido un accidente grave en el país donde se encontraba de viaje y que
necesita dinero inmediatamente para poder ser asistido médicamente. La cantidad
que piden no es mucha, si bien en cuanto la reciban, volverán a pedir más dinero
motivado por supuestos pago de soborno, material médico, gastos de repatriación
etc.
Falsos antivirus: ROGUES
Además de ser uno de los métodos de estafa más difundidos, es uno de los más
efectivos. Se conocen como ROGUES a un tipo concreto de malware que,
generalmente, se instala de manera oculta durante la navegación por web’s poco
seguras o a través de descargas de ficheros desde páginas de descargas directas o
programas P2P.

El malware se instala en el equipo y

genera la aparición repetitiva de
mensajes emergentes (pop-ups), en los
que se puede leer un texto, advirtiendo
de la existencia de un peligroso y
destructivo virus que ha infectado
el ordenador.
El usuario puede, desde la misma

ventana emergente, descargar un
software antivirus que eliminará
el malware. Tras acceder a su
descarga e instalación, el nuevo
programa inicia un presunto chequeo de
los archivos del sistema, confirmando la
existencia del virus detectado, junto con
otros potenciales peligros para el
sistema. Además invita a comprar la
licencia del producto descargándose la versión completa del programa antivirus. Para
ello se dirige a una web donde puede realizar la compra mediante tarjeta bancaria.
El fraude consiste en que ni el virus detectado existe realmente, ni el antivirus que

pretende que se descargue tras su compra, es tal herramienta de seguridad.

Lo + recomendado
No dejes de leer…
Payment card fraud in the European Union. Perspective of law

enforcement agencies
Informe elaborado por Europol en el que se describen las características del fraude con
medios de pago.
Accede al documento desde el aula virtual o a través de la siguiente dirección web:

https://www.europol.europa.eu/sites/default/files/1public_full_20_sept.pdf
Report on card fraud
Informe desarrollado por el Banco Central Europeo en el que hace referencia al fraude
ocasionado con medios de pago en la Zona Única de Pagos para el Euro (SEPA).

http://www.ecb.int/pub/pdf/other/cardfraudreport201207en.pdf
TEMA 2 – Lo + recomendado 54 © Universidad Internacional de La Rioja (UNIR)

Why Phishing Works
Informe publicado por Rachna Dhamija de la Universidad de Harvard y J. D.

Tygar, y Marti Hearst de la de Berkeley en 2006, sobre el éxito de las campañas de
Phishing. Se trata de un estudio efectuado con un número reducido de personas, a las
que se les puso a prueba en relación a su capacidad de discernir entre la autenticidad o
no de distintas páginas web.
Accede a los artículos desde el aula virtual o a través de las siguientes direcciones web:
Documento sobre el estudio en la dirección electrónica:
http://www.cs.berkeley.edu/~tygar/papers/Phishing/why_phishing_works.pdf
Presentación sobre el estudio en la dirección:
http://www.cs.washington.edu/education/courses/cse484/09wi/lectures/masters/Phi
shingPresentation.pdf
No dejes de ver…
Instalación de un dispositivo skimming
Operación conjunta entre Policía Nacional Española y de Bulgaria. Vídeo emitido por
las cadenas de televisión españolas, donde se hace un seguimiento al proceso de
instalación de un dispositivo skimming en un cajero automático.
Accede al vídeo desde el aula virtual o a través de las siguientes direcciones web:
https://www.youtube.com/watch?v=ogeHQGN1l-k

Vídeo publicado en TVE sobre métodos de skimming y phishing
El siguiente reportaje advierte sobre los métodos que se emplean para duplicar tarjetas
de crédito y los riesgos que supone esa práctica.
Accede al vídeo desde el aula virtual o a través de las siguientes direcciones web:
http://www.youtube.com/watch?v=dHkq9OaHa-M
419: The Internet Romance Scam
Reportaje centrado en las estafas romancescam.
Accede al reportaje desde el aula virtual o a través de las siguientes direcciones web:
https://www.youtube.com/watch?v=EWOmPKZ4tnw
https://www.youtube.com/watch?v=yQCWmdRbzK4

Skimming
Distintos vídeos relacionados con skimming.
Accede a los vídeos desde el aula virtual o a través de las siguientes direcciones web:
http://www.youtube.com/watch?v=urrwUJjbi4A
http://www.youtube.com/watch?v=OrPNkuAWEyk

+ Información
A fondo
White Paper: Mobile Financial Fraud
Informe publicado en abril de 2013 por el Anti-Phishing Working Groups

(AWPG), sobre las amenazas a dispositivos móviles.

http://docs.apwg.org/reports/mobile/APWG_Mobile_Report_v1.9.pdf
Webgrafía
APWG
El Anti-Phishing Working Groups (AWPG), se configura como un grupo de

trabajo al que están invitados a participar todos los sectores, públicos o privados,
involucrados en dar una respuesta al tipo delictivo conocido como Phishing. La web
facilita distintos recursos de utilidad, así como consejos para usuarios e informes
periódicos sobre el estado del Phishing.
http://apwg.org
TEMA 2 – + Información 58 © Universidad Internacional de La Rioja (UNIR)

INCIBE
Dentro de la web del Instituto Nacional de Tecnologías de la Comunicación, tienen una

sección formación donde existe múltiple información sobre ciberdelitos.
https://www.incibe.es/formacion
CCN-CERT
El portal del CCN-CERT ofrece información actualizada sobre tipos de fraudes online y
Phishing.
https://www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/fraude-on-line-y-
phising.html

Interpol
Apartado dentro de la página web de Interpol donde se incluye distinta información

relacionada con el fraude a través de la utilización de tarjetas.
https://www.interpol.int/es/Delitos/Delincuencia-financiera/Fraude-con-tarjetas-de-
pago
VISA
Página web VISA con información sobre la prevención de las estafas a través de Card-
not-present-fraud.
https://usa.visa.com/support/small-business/fraud-protection.html
Escrow-fraud
Web dedicada a compartir información sobre las falsas empresas Escrow. Cuenta con
una interesante base de datos en imágenes de webs utilizadas para el fraude.
https://www.escrow.com/

Western Union
Espacio dentro de la web de la empresa de envío internacional de dinero Western

Union, informan a sus clientes de los potenciales peligros de ser utilizado como parte
de organizaciones de estafadores.
https://www.westernunion.com/us/en/fraudawareness/fraud-types.html
Romancescam
Webs con importante información sobre romancescam.
http://www.romancescams.org
http://www.romancescam.com/forum/portal.php
http://www.scamdigger.com/gallery/index.php/

Scam letters
Web donde existe información sobre correos electrónicos fraudulentos de distintos

tipos.
http://www.scamletters.com
Scam Warners
Web donde se incluye información sobre distintos tipos de Scam.
http://www.scamwarners.com
EMVCO
Organismo responsable del desarrollo y mantenimiento del estándar de Europay

Mastercard and Visa.
http://www.emvco.com

Actividades
Trabajo: Vectores de ataque
Podemos definir un vector de ataque como el camino que usa un ciberdelincuente para
acceder al activo objetivo del ataque.
A lo largo de esta asignatura conocerás la existencia de múltiples ciberdelitos: phising,

smishing, inserción de malware, keyloggers, botnets, pharming, carding, skimming,
fraude del CEO, rogues y un largo etcétera.
Pero en todos estos casos, ¿cómo es el vector de ataque? O, al menos, ¿cómo creemos
que ha podido ser? Es esta la tarea que se asigna en esta actividad.
Un pequeño ejemplo concreto: si quisieras entender un viejo malware como

Kournikova, y dar respuesta a cómo comprueba el gusano si ya ha realizado el mailing
masivo, cuál es el asunto de los correos que se envían, qué ocurre el 26 de enero de cada
año… analizando el código fuente, se obtiene la respuesta (ver en Google el código
fuente). En clase veremos ejemplos concretos como el ataque del CEO, captura de datos
de tarjetas bancarias con apps, etc.
Se trata de documentar un ciberdelito, analizándolo al máximo en su funcionamiento,

bien a través de código, vídeos, artículos científicos, prensa, etc.
Extensión máxima: sin delimitación de extensión, a criterio del estudiante. Artículo en

fuente Georgia 11 e interlineado 1,5.
TEMA 2 – Actividades 63 © Universidad Internacional de La Rioja (UNIR)

Test
1. Entre los estafadores considerados con tradicionales y los que cometen sus estafas a
través de Internet, existen grandes similitudes y diferencias. De entre las siguientes que
se citan, indica cuáles corresponden con los ciberestafadores.
A. Son necesarias grandes cualidades interpretativas o teatrales.
B. Requieren una previa y considerable inversión económica.
C. Asumen siempre riesgo físico.
D. Ninguna de las anteriores se corresponde con características de los
ciberestafadores.
2. En la redacción del Código Penal, se hace distinción entre dos tipos de fraudes
relacionados con Internet. ¿Cuáles son?
A. Según la cantidad estafada se dividen en estafas graves y estafas menos graves.
B. Los que cuentan con Internet como elemento facilitador de su comisión y las
identificadas como estafas informáticas.
C. Las que se cometen a través de correo electrónico y las que se realizan por vía
web.
D. Las estafas informáticas y las estafas tecnológicas.
3. Las acciones llevadas a cabo por delincuentes con el fin de obtener, por distintas
vías, la información necesaria para acceder de manera no autorizada a las cuentas
bancarias online de otras personas, se conoce como:
A. Skimming.
B. Piercing.
C. Phishing.
D. Carding
4. En este tema se ha dividido el ciclo del Phishing en tres fases. ¿Cuál de la siguientes
no se corresponde con una de ellas? (varias respuestas).
A. Captación de mulas.
B. Identificación de cuentas.
C. Traslado de efectivo.
D. Localización de víctimas.
TEMA 2 – Test 64 © Universidad Internacional de La Rioja (UNIR)

5. En los correos electrónicos fraudulentos enviados por las organizaciones de

Phishers, se suele hacer mención a distintas cuestiones relacionadas con la seguridad
de la banca electrónica, entre las que se encuentran:
A. Cambios en la política de seguridad.
B. Detección de presuntos fraudes.
C. Actualización de sistemas.
D. Todas las anteriores.
6. La técnica para obtener los datos privados relacionados mediante la utilización de

mensajes de texto o MMS, se conoce como:
A. Skimming
B. Piercing.
C. Phishing.
D. Smishing.
7. En cuanto a la modalidad dirigida no a una generalidad de personas, sino a usuarios

concretos de banca online, elegidos por su perfil al suponer que disponen de mayor
capacidad económica, se conoce como:
A. Skimming
B. Whaling.
C. Phishing.
D. Smishing.
8. Los programas informáticos que recogen en un fichero las pulsaciones que se

realicen sobre el teclado del equipo informático en el que estén instalados, se conocen
como:
A. Troyanos.
B. Capturadores.
C. Cracks.
D. Keyloggers.
9. La técnica diseñada para capturar información personal mediante la modificación

del servidor de DNS, se conoce con el término:
A. Pharming
B. Dnsing.
C. Phishing.
D. Smishing.

10. Dentro del ciclo del Phishing, un correo electrónico en donde apareciera el texto
que a continuación se muestra, ¿en qué fase se incluiría?
A. Captura de datos.
B. Captación de mulas.
C. Trasferencia, monetización y envío.
D. Ninguna de las anteriores, no se incluye dentro del ciclo del Phishing, sino del
Skimming.
11. Si bien el acceso ilegítimo a las cuentas online de las víctimas para realizar las
transferencias y con ello materializar la estafa, se pueden realizar en cualquier
momento, ¿en qué franjas se suelen producir con mayor frecuencia? (Varias
respuestas)
A. En días laborables.
B. En días no laborables.
C. En horas laborables.
D. En horas no laborables.
12. El carding o card no present fraud, consiste en la utilización de determinados

datos relacionados con una tarjeta bancaria, con el fin de realizar compras o pagos
fraudulentos. ¿Cuáles son esos datos concretos? (Varias respuestas)
A. La numeración de la tarjeta.
B. El número PIN.
C. La caducidad de la tarjeta.
D. El código CVV.

13. Esencialmente, las técnicas recogidas bajo el término Skimming, se dirigen a la

obtención de dos datos concretos referidos a las tarjetas bancarias, estos son:
A. El número PIN y el nombre del usuario.
B. Saldo de la tarjeta y el número PIN.
C. Los datos de la banda magnética y el número PIN.
D. El nombre del usuario y el saldo de la tarjeta.
14. El término Dump hace referencia a:

A. A la división de responsabilidades entre los integrantes de una organización
criminal.
B. A la segunda fase del ciclo del Skimming.
C. A la falsificación de elementos de los cajeros automáticos, donde ocultar las
cámaras.
D. A los datos de tarjetas bancarias que se pueden obtener a través del mercado
negro.
15. El siguiente mensaje es característico de un tipo concreto de estafa. ¿Cuál?
Estimado amigo.
Sé que esta carta puede venirle como una sorpresa. Conseguí su dirección por un directorio Comercial local en la web.
Debo pedir perdón por tomar un poco de su tiempo valioso para explicarle esta oferta que creo será de la ventaja suma
a ambos nosotros.
Soy Ex,Capt David Amossou, el Director de Operación y la Entrega de Trans Seguridad y Compañía Financiera en
COTONOU – la REPÚBLICA DE BENÍN,
ÁFRICA DE OESTE En nuestra compañía descubrimos dos Caja Galvaniza y una de la Caja contiene una suma del USD
de 1,300,000.00 dólares (Once millón trescientos mil dólares americanos) y la otra caja que contiene 150 kilogramos
de Oro de 18 quilates que pertenece a uno de nuestro cliente extranjero Sr.Mohammed Al--Fuhard un libanés que
murió junto con su familia entera en un accidente de avión que ocurrió el jueves por la tarde como Boeing 727 salió del
aeropuerto en Cotonou, la capital comercial de Benín en las orillas del Océano Atlántico. En el 25 / 12 / 2003.Usted
mismo puedes confirmar en este dos sitio
Web:
http://www.cnn.com/2003/WORLD/africa/12/26/benin.crash/index.html
http://www.rfi.fr/actufr/articles/048/article_25680.asp
Ya que nuestra compañía consiguió la información sobre su muerte hemos estado esperando que su familiar más
cercano venga y reclame sus dos remesas porque no podemos liberar este remesas a alguien a menos que alguien los
solicite como familiar más cercano o relación a Sr., Mohammed Al--Fuhard como indicado en nuestras pautas de
compañía y leyes pero lamentablemente aprendimos que todos su supuesto el familiar más cercano murió al lado de él
en el accidente de avión no que deja a nadie para la reclamación y nuestro derecho de compañías y la pauta aquí
estipula que si tal remesa permanece sin reclamar después de dos años, tal remesa será confiscada como la propiedad
sin reclamar.
En este caso que no podemos localizar ninguna de su relación como su familiar más cercano, me gustará presentarle a
nuestra compañía como,el Socio de negocio de Sr, Mohammed Al--Fuhard Mohammed y su representante de familia y
asi todos los viejos documentos de Sr, Mohammed serán cambio en su nombre como el nuevo beneficiario de las dos
remesas. immediatamente concluimos el trato usted será autorizan al 50 % del total mientras el 50 % restante será mi
propio porcentaje. Esto significa 50/50
También querré informarle que todo el documento legal que cubrirá esta transacción será proporcionado legalmente
por un abogado respetable aquí en Cotonou sin problema niguno. Note: exijo la confianza más alta de usted para
guardar este negocio estrictamente confidencial para razones de seguridad y también querer que usted supiera que
nuestra compañía no sabrá que soy el que quién se puso en contacto con usted para significar esta reclamación.
Por fabor ponga en contacto conmigo via este correo urgentemente cuando recibir este correo E-mail:
excapt_david@zwallet.com

A. Lotería.
B. Romancescam.
C. Nigeriano.
D. Novia Rusa.

Tema CIVIDADES DELITOS INFORMATIOS 2

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Tema CIVIDADES DELITOS INFORMATIOS 2

Încărcat de

Drepturi de autor:

Formate disponibile

Tipos delictivos I.

[2.3] Estafas en banca electrónica. Phishing

[2.4] Fraude en medios de pago físico

[2.5] Otros tipos de fraude en la red

Tipos delictivos I. Fraudes en la red

Card No Present Fraud Nigerianos

© Universidad Internacional de La Rioja (UNIR)

2.1. ¿Cómo estudiar este tema?

TEMA 2 – Ideas clave 2 © Universidad Internacional de La Rioja (UNIR)

TEMA 2 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

2.3. Estafas en la banca electrónica. Phishing

Sin embargo, el acceso desde Internet mediante un sistema de identificación y

Si bien, como acabamos de definir, el término Phishing hace referencia únicamente a la

TEMA 2 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

Ciclo del Phishing

De manera simplificada y para el presente documento, se ha optado por identificar y

Tres fases del ciclo de Phishing:

Transferencia, monetización y envío de lo defraudado

Como es fácilmente comprensible, al no estar sujetas a ningún estándar o norma

Fase I: Captura de datos:

Se centra en la obtención de datos confidenciales, como nombres de usuario,

TEMA 2 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

- Diseñar una web con idéntica apariencia a la de la entidad financiera a

No obstante, con anterioridad a lo citado, los Phishers comprobarán si la web

- Registrar un Dominio lo más parecido posible al de la entidad sobre la que

TEMA 2 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

- La web creada se debe alojar en un Servidor Web, generalmente público y

- Obtención de direcciones de correo electrónico activas a las que dirigir la

- Acceso a servidores que, de manera voluntaria o por deficiencias en su

- Finalmente se diseña el texto y contenido del mensaje que se enviará a través

o Correos electrónicos fraudulentos

En el diseño del correo electrónico se materializará el engaño a la

Los más habituales hacen referencia a entidades bancarias que, alegando

TEMA 2 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

condiciones o confirmación de datos personales, para lo que el cliente

Ejemplos de campañas de Phishing

Como se puede observar, en este ejemplo se encuentran las características de un

En este caso, como en la práctica totalidad de este tipo de mensajes, pulsando

TEMA 2 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

En otras ocasiones, las URL no

Como ya se ha mencionado, los correos fraudulentos no solo hacen referencia a

TEMA 2 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

En este caso, se trata de una campaña de Phishing dirigida a obtener datos

En este otro ejemplo de Phishing, dirigido también a obtener datos de tarjetas

TEMA 2 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

Esta misma campaña de Phishing

Esto trae consigo que cometan

TEMA 2 – Ideas clave 11 © Universidad Internacional de La Rioja (UNIR)

Una vez completada la primera parte

Al finalizar el proceso completo y capturar la información de la víctima, la misma

Como ya se ha citado, la variedad de entidades, empresas y organismos

TEMA 2 – Ideas clave 12 © Universidad Internacional de La Rioja (UNIR)

Otra empresa que es utilizada

Como modo sencillo para comprobar

TEMA 2 – Ideas clave 13 © Universidad Internacional de La Rioja (UNIR)

o SMS fraudulentos: Smishing

Otra manera de obtener los datos privados mediante

Como cabe esperar, tras la dirección se encuentra un formulario que únicamente

TEMA 2 – Ideas clave 14 © Universidad Internacional de La Rioja (UNIR)

o Llamadas fraudulentas: Vishing

Los delincuentes contactan telefónicamente con sus víctimas simulando

o Pesca dirigida: Whaling

Esta modalidad no está dirigida a cualquiera que pueda recibir el correo