7 soluciones para mejorar la seguridad de datos en las PyMES

agosto 9, 2016

 

La seguridad de datos es una de las mayores preocupaciones de los empresarios y ejecutivos hoy en día. Según un artículo publicado por Forbes a principios de 2016, las amenazas cibernéticas constituyen una de las más severas para los CEO a nivel mundial.

Por otro lado, el Informe Cibersecurity Index elaborado por IBM indica que el 45% de los ataques informáticos durante 2015, fueron accesos no autorizados. Esto quiere decir que casi la mitad de las amenazas, fueron en búsqueda de información almacenada por las empresas.

Las grandes empresas no son las únicas que se ven afectadas por las amenazas cibernéticas. Las PyMES también pueden convertirse en víctimas de los hackers y delincuentes que van en búsqueda de la información que almacenan, tanto en servidores propios, como aquella que le confían a sus proveedores. Y a diferencia de las multinacionales y gran empresa que poseen recursos para blindar su seguridad informática, las PyMES suelen quedar más expuestos.

Por ello os compartimos 7 soluciones para mejorar la seguridad de los datos en la pequeña y mediana empresa:

1. Uso de contraseñas seguras en los ordenadores y dispositivos corporativos.

Gran parte de las brechas de información ocurre por la debilidad en las contraseñas. Anualmente la empresa SplashData publica un estudio de las contraseñas más utilizadas. En el estudio de 2015, la lista estuvo encabezada por “123456” y “password”. Si bien los empleados tienden a utilizar contraseñas cortas y fáciles de recordar, éstas pueden ser descifradas por hackers a través de algoritmos en cuestión de minutos. Es por ello que se recomienda como una medida efectiva en la seguridad de datos, utilizar contraseñas de al menos 12 caracteres y que combinen mayúsculas, minúsculas, números y caracteres especiales.

2. Un usuario por sesión contribuye a la seguridad de datos.

Es común que en algunas PyMES y especialmente en comercios los empleados compartan ordenador, sobretodo en aquellos locales en que trabajan por turnos. Si bien no siempre se puede asignar un ordenador a cada persona, cuando sea necesario compartir equipos se debe procurar que cada usuario tenga una sesión propia y personal. De esta manera, se puede saber quién tiene acceso a la información.

Asimismo, los accesos deben ser restringidos según la necesidad. Otorgar facultades de Administrador a todos los usuarios es una de las maneras más sencillas de hacer vulnerable a la empresa. Según datos del ya citado Cibersecurity Index, el 60% de los accesos no autorizados fue con participación de personal interno o proveedores.

3. Clasificar datos sensibles.

No todos los datos tienen el mismo grado de sensibilidad. Puede haber información confidencial o extremadamente delicada en un ordenador, archivada junto a datos personales como información comercial del día a día. Se debe establecer un mecanismo de clasificación y establecer medidas de seguridad de datos adecuadas según la sensibilidad de la información.

4. Utilizar antivirus y Firewall.

Virtualmente todos los ordenadores de una compañía se encuentran conectados a Internet hoy en día, por lo tanto se encuentran expuestos a ataques maliciosos vía virus o intentos de acceso no autorizados. El uso de un antivirus y un Firewall confiable, si bien implica una inversión para la empresa, el monto a desembolsar será siempre mucho menor al daño económico que puede sufrir si sus datos caen en manos de un tercero.

5. No utilizar Whatsapp como canal para transmitir información confidencial.

Si bien WhatsApp logró encriptar las conversaciones de sus usuarios y con ello disminuir el riesgo de una fuga de la información en tránsito, la premisa se mantiene: El uso de redes sociales o un canal de comunicación como Whatsapp expone las empresas no sólo por la facilidad de interceptar los datos, sino porque deja información sensible al alcance de cualquiera que tenga acceso al dispositivo.

6. Evitar el acceso a redes públicas desde dispositivos corporativos.

En la era del trabajo remoto, es común que el personal e incluso los directores de las compañías tenga información asociada a sus dispositivos portátiles y que accedan a ella desde distintas locaciones. Sin embargo hacerlo desde lugares públicos puede implicar riesgos, ya que deja expuesta la información del dispositivo ante personas que se encuentren en la misma red y puedan, malintencionadamente, intentar acceder al mismo.

7. Formatear el equipo antes de asignarlo a un nuevo empleado.

Es común -sobretodo en PyMES y microempresas- que los empleados utilicen equipos que anteriormente pertenecían a otra persona y reciban el ordenador tal y como lo dejó el usuario anterior. Esto no representa mayor problema en los casos en que el nuevo usuario continuará efectuando la labor de su antecesor; sin embargo, cuando se asigna un mismo equipo a otra persona de otra área o función, habrá mucha información que no es necesaria para su cargo a la cual tendrá acceso yque puede comprometer la seguridad de la empresa. Por lo tanto, siempre es recomendable formatear los equipos antes de asignarlos a un nuevo miembro de la compañía y así prevenir una brecha en la seguridad de datos.

Primera condena por enaltecimiento del terrorismo en redes sociales (II)

julio 25, 2016

85

El Tribunal Supremo estima el recurso de Casación promovido por la defensa, contra la sentencia de la Sala de lo Penal de la Audiencia Nacional, Sección 4ª, de fecha 29 de enero de 2016, en causa seguida por delito de enaltecimiento del terrorismo y humillación a la víctimas del terrorismo. STS 623/2016, de 13 de julio. 

 

STS 623/2016, de 13 de julio de 2016

Tribunal Supremo, Sala de lo Penal, Sección 1ª

Nº de Recurso: 291/2016

Nº de Resolución: 623/2016

Procedimiento: RECURSO CASACIÓN

Ponente: Excmo. Sr. Julián Artemio Sánchez Melgar.

 

Los hechos enjuiciados se refieren a la difusión de una serie de mensajes con un contenido propio del denominado “Discurso del Odio”, mediante la técnica de comunicación pública denominada “twitter” -una variedad de la mensajería instantánea con acceso abierto- y que han sido expresamente admitidos por su autora desde un inicio.

 

Pueden destacarse las siguientes cuestiones jurídico-procesales del cuerpo de la sentencia:

 

  • Acerca del análisis jurídico de los elementos típicos del art. 578 C.P.

 

En palabras del art. 578 del Código Penal -redacción vigente al tiempo de los hechos enjuiciados- en el que la Sala de instancia fundamenta la condena del recurrente:

 

El enaltecimiento o la justificación por cualquier medio de expresión pública o difusión de los delitos comprendidos en los artículos 571 a 577 de este Código o de quienes hayan participado en su ejecución, o la realización de actos que entrañen descrédito, menosprecio o humillación de las víctimas de los delitos terroristas o de sus familiares se castigará con la pena de prisión de uno a dos años. El Juez también podrá acordar en la sentencia, durante el período de tiempo que el mismo señale, alguna o algunas de las prohibiciones previstas en el artículo 57 de este Código”.

 

La STS 224/2010, de 3 de marzo, confirma que tal precepto viene a sancionar como delito dos conductas claramente diferenciables y ambas relacionadas con el terrorismo: por un lado, “el enaltecimiento o justificación del terrorismo o sus autores”; por otro, “la realización de actos en desprecio, descrédito o humillación de las víctimas de delitos terroristas”, figura ésta que cuenta con perfiles propios, definidos y distintos de la anterior.

Para la STS 656/2007, de 17 de julio, el primer inciso del párrafo del tipo que analizamos ubica la apología propiamente dicha, definida como “enaltecimiento o justificación de los delitos de terrorismo o de quienes hayan participado en su ejecución”. Se apunta en dicha resolución, que el precepto corresponde a la “ratio legis” de reforzar la tutela en los delitos de terrorismo, sancionando conductas que “no son terroristas “per se”, pero que les favorecen en cuanto significan apoyo a estas graves infracciones punibles”.

 

Esta misma sentencia considera, por otro lado, que el segundo inciso de este tipo penal reputa punible un supuesto por completo diferente, como es “la realización de actos que entrañen descrédito (esto es, disminución o pérdida de la reputación de las personas o del valor y estima de las cosas), menosprecio (equivalente a poco aprecio, poca estimación, desprecio o desdén) o humillación (herir el amor propio o dignidad de alguien, pasar por una situación en la que la dignidad de la persona sufra algún menoscabo) en las víctimas de los delitos terroristas o en sus familiares”; es decir, “conductas especialmente perversas de quienes calumnian o humillan a las víctimas, al tiempo que incrementan el horror de sus familiares”.

 

La humillación o desprecio a las víctimas afecta directamente “al honor como víctimas y, en último término, a su dignidad”, valores que tienen reconocida relevancia en la Carta Magna (arts. 18.1 y 10 CE).

 

En consecuencia, tampoco en este caso ni el ejercicio de la libertad ideológica ni la libertad de expresión pueden servir de cobertura “a la impune realización de actos o exteriorización de expresiones que contengan un manifiesto desprecio hacia las víctimas del terrorismo en tal grado que conlleve su humillación”.

 

Tal razonamiento recién expuesto, entraña la necesidad de que el enjuiciamiento se traslade a un plano en el que el Juez penal deba examinar “si los hechos exceden los márgenes del ejercicio de los derechos fundamentales que en ellos se protegen”, ya que, de llegar a esa conclusión, la acción penal no podría prosperar, puesto que las libertades del art. 20.1 a) y d) C.E “operarían como causas excluyentes de la antijuridicidad de esa conducta” (STC 104/1986, de 13 de agosto , reiterada en las SSTC 105/1990, de 6 de junio ; 85/1992, de 8 de junio ; 136/1994, de 9 de mayo ; 297/1994, de 14 de noviembre ; 320/1994, de 28 de diciembre ; 42/1995, de 18 de marzo ; 19/1996, de 12 de febrero ; o 232/1998, de 30 de diciembre).

 

No cabe entender, por tanto, que los hechos probados puedan ser a un mismo tiempo valorados “como actos de ejercicio de un derecho fundamental y como conductas constitutivas de un delito” (SSTC 2/2001, de 15 de enero; 185/2003, de 27 de octubre).

 

Esta misma Sala ha afirmado en otros fallos (STS 752/2012, de 3 de octubre) que “mientras que el delito de enaltecimiento del terrorismo exige publicidad, (“… por cualquier medio de expresión pública o difusión…“), no ocurre lo mismo en el tipo de humillación a las víctimas de aquél” (“… o la realización de actos que entrañen descredito, menosprecio o humillación de las víctimas…“).

Primera condena por enaltecimiento del terrorismo en redes sociales (I)

julio 25, 2016

86

El Tribunal Supremo estima el recurso de Casación promovido por la defensa, contra la sentencia de la Sala de lo Penal de la Audiencia Nacional, Sección 4ª, de fecha 29 de enero de 2016, en causa seguida por delito de enaltecimiento del terrorismo y humillación a la víctimas del terrorismo. STS 623/2016, de 13 de julio.

 

STS 623/2016, de 13 de julio de 2016

Tribunal Supremo, Sala de lo Penal, Sección 1ª

Nº de Recurso: 291/2016

Nº de Resolución: 623/2016

Procedimiento: RECURSO CASACIÓN

Ponente: Excmo. Sr. Julián Artemio Sánchez Melgar.

 

Los hechos enjuiciados se refieren a la difusión de una serie de mensajes con un contenido propio del denominado “Discurso del Odio”, mediante la técnica de comunicación pública denominada “twitter” -una variedad de la mensajería instantánea con acceso abierto- y que han sido expresamente admitidos por su autora desde un inicio.

 

Pueden destacarse las siguientes cuestiones jurídico-procesales del cuerpo de la sentencia:

 

  • Acerca de la trascendencia jurídica del concepto “Discurso del Odio” en la doctrina de los Derechos Fundamentales.

 

Tanto el Tribunal Europeo de Derechos Humanos (v.gr. SSTEDH de 8 de julio de 1999, SÜREK vs. Turquía, y de 4 de Diciembre de 2003, MÜSLÜM vs. Turquía), como nuestro Tribunal Constitucional (STC 235/2007, de 7 de noviembre) y esta misma Sala (STS 812/2011, de 21 de julio) entienden que el castigo del enaltecimiento del terrorismo persigue la justa interdicción de lo que vienen denominando “discurso del odio”: alabanza o justificación de acciones terroristas.

 

Derechos fundamentales, como la libertad de expresión (art. 20 CE) o la libertad ideológica (art. 16 CE), no amparan tales comportamientos, pues el terrorismo constituye “la más grave vulneración de los derechos humanos de la comunidad que lo sufre”, sustentado por un discurso que se basa “en el exterminio del distinto, en la intolerancia más absoluta, en la pérdida del pluralismo político, y, en definitiva, en generar un terror colectivo que sea el medio con el que conseguir esas finalidades( STS 224/2010, de 3 de marzo ).

 

Conviene apuntar, que no se trata de criminalizar opiniones discrepantes sino de combatir actuaciones dirigidas a la promoción pública de quienes ocasionan un grave quebranto en el régimen de libertades y daño en la paz de la comunidad con sus actos criminales, atentando contra el sistema democrático establecido” (STS 676/2009, de 5 de junio).

 

En sentencias recientes de esta Ilustre Sala (STS 846/2015, de 30 de diciembre) se expone que la humillación o desprecio a las víctimas, por su parte, “afecta directamente, a su honor y, en definitiva, a su dignidad” (arts. 18.1 y 10 CE), al mismo tiempo que la libertad ideológica o de expresión no pueden ofrecer cobijo “a la exteriorización de expresiones que encierran un injustificable desprecio hacia las víctimas del terrorismo, que conllevan a su humillación”.

 

Mientras que la libertad ideológica no tiene más limitación, en sus manifestaciones, que la necesariapara el mantenimiento del orden público protegido por la Ley(art. 16.1 CE), la libertad de expresión encuentra su frontera “en el respeto a los derechos reconocidos en este Título, en los preceptos de las Leyes que lo desarrollan, y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia(art. 20.4 CE).

 

En esta línea, cabe asegurar que determinadas restricciones a la libertad de expresión pueden ser “legítimas e incluso hasta necesarias ante conductas que pueden incitar a la violencia, o, como sucede en la humillación a las víctimas, provocar un especial impacto sobre quien las sufre en un contexto terrorista” (539/2008, de 23 de septiembre).

 

  • Acerca del fundamento jurídico de la dosimetría penal aplicable al caso en concreto.

La sentencia recurrida no hace sino asumir acríticamente la petición del Ministerio Fiscal, que era la máxima penalidad imponible; y ello –según detalla- porque todas las conductas punibles reflejadas en el art. 578 del Código Penal, “fueron perpetradas por la acusada de forma reiterada y firme”.

 

Sin embargo, la Sala de instancia no tuvo en cuenta que este delito no puede ser sancionado en continuidad delictiva, por tratarse el tipo que lo define de un “concepto global que abarca diversos grados de ilicitud”, aunque se trate de acciones reiteradas de humillación a las víctimas del terrorismo.

 

Este tipo de acciones, materializadas en desprecio, deshonra, descrédito, burla y afrenta de aquellas personas que han sufrido el zarpazo del terrorismo y cuya dignidad debe ser protegida, han de ser castigadas con “una pena proporcionada tanto al desvalor de la conducta como a las condiciones personales de la persona infractora”.

 

Por tanto, la pena a imponer deberá de atender, por un lado, “a las expresiones que conforman el tipo objetivo del delito”; y por el otro -y de forma sustancial- “a la personalidad y en este caso juventud de la autora de esta infracción criminal”.

 

Destacar además, que la LO 2/2015, de 30 de marzo, al modificar el art. 578 del C.P, elevó su penalidad. Concretamente, de uno a tres años de prisión más una multa de doce a dieciocho meses, aumentando las penas a su mitad superior cuando los hechos se hubieran llevado a cabo mediante “la difusión de servicios o contenidos accesibles al público a través de medios de comunicación, internet, o por medio de servicios de comunicaciones electrónicas o mediante el uso de tecnologías de la información”, como ha sucedido en este caso.

 

Por todo lo anterior, esta Sala entiende ajustado a derecho casar la sentencia recurrida y “decretar una penalidad más proporcionada a las condiciones personales del culpable”.

 

Lectura Recomendada: Las redes sociales antes, durante y después de la masacre en París 

Ciberdelitos: Cómo el phishing es utilizado para realizar estafas

septiembre 15, 2015

  Alex Garberí Mascaró

  José Alejandro Cuevas Sarmiento

 

  1. ¿Qué es el phishing?

El phishing es uno de los métodos de estafa más comunes hoy en día, que busca engañar al usuario, generalmente haciéndole suministrar sus datos a través de una página o un correo electrónico falso. Los datos posteriormente son utilizados por el estafador para distintos fines, tales como:

 

  1. La venta de la información captada (el caso de nombre de usuarios, correos y redes sociales) a empresas o terceras personas que deseen una base de datos;
  2. La sustracción ilegal de fondos (cuando se obtienen contraseñas, datos de tarjeta de crédito o bancarios); o
  3. El “secuestro” de las cuentas para pedir rescate a los usuarios.

 

Aunque ya hemos tratado de forma general las estafas electrónicas en otro artículo, en esta ocasión nos enfocaremos en el phishing tradicional, orientado a la sustracción ilegal de fondos.

 

  1. Cómo funciona el phishing tradicional para facilitar delitos de estafa

 

El delincuente crea una fachada que simula páginas que visita habitualmente la víctima: Bancos, Redes Sociales, instituciones públicas; y le alerta de una situación que amerita una acción inmediata. Un caso frecuente es a través de correos electrónicos que solicitan la actualización inminente de datos.

 

Estos correos son en realidad señuelos que utiliza el delincuente, que contienen enlaces visualmente parecidos a los del proveedor que están simulando, para confundir al usuario. Si éste hace click al enlace y coloca los datos, estará enviando su información al delincuente.

 

Es común que los Bancos sean los principales señuelos para esta modalidad de phishing. La imagen de BBVA, Santander, ING Bank, y muchas otras entidades se utilizan frecuentemente para captar los datos de los clientes, a pesar de los esfuerzos de estas empresas por advertir a sus usuarios.

 

Una vez el delincuente se hace con los datos de un usuario, puede acceder a su cuenta en línea del Banco y realizar transacciones y pagos de servicios no autorizados. Es común que estas transacciones no sean directamente a la cuenta del infractor, sino que se utilicen “mulas” (terceros ajenos a la operación de phishing y que en muchas ocasiones desconocen el origen de los fondos) que reciben el dinero en sus cuentas, retiran el efectivo y lo depositan a cuentas en el extranjero, de manera que se dificulte el rastreo de los fondos.

 

  1. Qué delitos se concretan en esta modalidad de phishing

 

Cuando se sustraen los datos de cuenta de la víctima para realizar operaciones que lo perjudiquen patrimonialmente, se concreta un delito de estafa previsto en el artículo 248.2c del Código Penal Español:

 

”c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.”

 

Al ser esta una forma de estafa, deben concurrir los tres elementos esenciales para que se concrete dicho delito: Engaño, error y desplazamiento patrimonial.

 

  • Se concreta el engaño en el momento en que se envía un correo en el cual se simula la imagen, logotipo y apariencia de un Banco, para que la víctima ingrese sus datos y contraseña.
  • Concurre el error cuando producto del engaño, la víctima facilita sus datos al autor, datos que de otra manera no le hubiese suministrado.
  • El desplazamiento patrimonial ocurre cuando el autor del delito, habiéndose apoderado de los datos, utiliza los mismos para realizar transferencias o retiro de los fondos de la víctima.

 

  1. Cómo prevenir la estafa

 

La medida más efectiva para prevenir la sustracción de los fondos es evitar caer en el phishing. Para ello, recomendamos tener en cuenta lo siguiente:

  1. Activar la bandeja de “spam” de su correo electrónico. Usualmente los correos de este tipo son filtrados por los servidores de correo y marcados como correo no deseado, y esto contribuye a reducir el riesgo de abrir el correo y confundirlo con uno legítimo.
  2. Familiarizarse con la estructura habitual de los correos que le envía su banco o proveedor de servicios. Por más que los delincuentes traten de simular los correos y comunicaciones de una institución, siempre existirán detalles que pueden delatarlos, tales como mala ortografía, colocación de imágenes en baja resolución o uso de un lenguaje no habitual en las comunicaciones corporativas.
  3. Cuando reciba una notificación de algún servicio que requiera su atención urgente, no copie los vínculos que se encuentran en el correo. Siempre coloque la dirección a la que ha accedido antes, en lugar de abrir o copiar el vínculo que aparece en el correo.
  4. Mantenga actualizado su antivirus y no lo desactive. Si utiliza algún enlace en la página del delincuente, puede que descargue inadvertidamente algún archivo o malware que monitoree su actividad y le suministre continuamente información al infractor.
  5. En caso de dudas, consultar en los buscadores. Hay estafas que se dan a conocer a través de foros por los mismos afectados o por gente que los detecta y busca prevenir a los demás.

 

Si deseas más información sobre delitos contra la privacidad e intimidad o cómo prevenirlos, puedes consultar nuestra sección de Delitos Informáticos o contactarnos a través de info@garberipenal.com.

 

[double_line_divider]

Compliance personalizado y a medida.

La dedicación y transparencia distinguen nuestros servicios de asesoría, en consonancia con nuestra capacidad para entender las necesidades de la pequeña, mediana industria y comercios.

[button align_button=’center’ a_fffect=’fadeInLeft’ link=’http://www.garberipenal.com/contacto/’ background=’#967433′ border=’#ffffff’ color=’#ffffff’ hover_bg_color=’#ffffff’ hover_border=’#967433′ hover_text_icon_color=’#967433′ icon=’info-sign’]Contáctenos[/button]

 

 

 

 

Estafas a través de Medios Informáticos

julio 14, 2015

  Alex Garberí Mascaró

  José Alejandro Cuevas Sarmiento

 

Los avances tecnológicos han venido acompañados por la evolución de las estafas. No son pocos los mecanismos informáticos que se han utilizado para engañar a las personas y así i) obtener sus datos personales para sustraer fondos o ii) convencerlo para realizar pagos bajo engaño.

 

Aunque se han tomado medidas para reducir los ataques de phishing, según el Informe Anual  de Ciberamenazas Financieras del 2014, elaborado por Kasperky Lab, España se encuentra séptima entre los países donde se generan más ataques de malware a nivel mundial, y tercera entre usuarios de la plataforma Android (móviles).

 

Estas conductas, tipificadas en el artículo 248 del Código Penal, exigen diligencia por parte de las autoridades y de los Fiscales al momento de detectar y sustanciar los procedimientos, pero más aún exigen un cuidado y precaución por parte de los usuarios, que son los afectados y principales interesados en evitar ser víctimas de este tipo de delitos. A continuación presentamos un listado de algunas de las estafas más comunes que se han propagado a través de medios informáticos:

 

  1. Cartas Nigerianas

 

Existen múltiples variables, pero en líneas generales se trata de una modalidad de scamming en la cual la potencial víctima recibe un correo de una supuesta persona, que regularmente se encuentra ubicada en África, solicitando ayuda para disponer de un dinero que se encuentra retenido en su país de origen, y que sólo podría recuperar con la colaboración de un inversor extranjero (la potencial víctima), quien recibiría un porcentaje del monto ficticio (en muchas ocasiones millones de dólares).

Una vez la potencial víctima muestra interés y responde el correo, se le solicita el pago de una tasa de gastos administrativos o garantía, que debe transferir a un tercero. Completada la transacción, los estafadores desaparecen y la víctima pierde el dinero que pagó.

 

Este tipo de estafas, aunque han sido expuestas, se siguen presentando en la actualidad. El año pasado la Audiencia Nacional condenó a 14 personas por este tipo de delito, y algunas de las víctimas perdieron cifras cercanas al millón de dólares americanos.

 

  1. Phishing (Tradicional)

 

El phishing es otro de los métodos de fraude más comunes, y que busca engañar al usuario, generalmente haciéndole suministrar sus datos a través de una página falsa. Los datos posteriormente son utilizados por el estafador para distintos fines, tales como la venta de la información captada (el caso de nombre de usuarios, correos y redes sociales); la sustracción de fondos (cuando se obtienen contraseñas, datos de tarjeta de crédito o bancarios); o incluso el “secuestro” de las cuentas para pedir rescate a los usuarios.

 

Entre los modelos más comunes en este tipo de delito se encuentran:

 

Bancos: 

 

El usuario recibe un correo electrónico pidiendo que actualice sus datos, dirigiéndole a enlaces ficticios para tal fin. La imagen de BBVA, Santander, ING Bank, y muchas otras entidades se utilizan frecuentemente como señuelo para captar los datos de los clientes dando una apariencia errónea de legalidad, a pesar de los esfuerzos de estas empresas por advertir a sus usuarios.

 

Redes Sociales: 

 

Al igual que en el supuesto anterior, los usuarios reciben una notificación indicando que debe introducir sus datos. El correo lo redirige a un enlace en donde debe colocar sus datos. Suelen ser fácilmente identificables porque el enlace contiene errores ortográficos o de tipografía y suele haber elementos que no coinciden con la plataforma habitual de la red social. El más reciente timo de este tipo fue el “Whatsapp azúl” y el “Facebook Verde”, engaños que ofrecían a los usuarios cambiar el color de la aplicación respectiva, cuando en realidad redirigen a un enlace donde el usuario completa sus datos y los envía, sin su conocimiento, a un tercero.

 

Plataformas de pago en línea; servicios de compra y juegos por internet: 

 

La dinámica se asemeja a los casos anteriores, el timo se inicia con la recepción de un correo electrónico por parte del usuario en donde se le solicitan sus datos y se indica que deben suministrarlos vía el enlace indicado. PayPal, E-Bay y los juegos más populares por internet han sido utilizados para este tipo de estafas.

 

Oficinas y Servicios Públicos: 

 

La potencial víctima recibe un correo notificándole la recepción de una multa, sanción o hasta beneficios que requieren su atención y respuesta inmediata. La Agencia Tributaria, Correspondencias y Telégrafos y la propia Policía Nacional están entre las instituciones que han sido utilizadas en esta modalidad.

 

Ofertas de Empleo falsa: 

 

A través de este mecanismo los timadores obtienen datos que posteriormente pueden vender.

 

Malware:

El malware es una aplicación no deseada que se instala en el ordenador de los usuarios sin su consentimiento. En muchas ocasiones viene escondida y se instala junto con otra aplicación, usualmente en descargas de películas gratuitas, juegos, multimedia, o falsos antivirus que en realidad tienen por objeto vulnerar la seguridad de un equipo.

Las aplicaciones no deseadas pueden tener múltiples fines, desde monitorear la actividad del usuario hasta instalar publicidad no deseada en los navegadores, e incluso dañar archivos contenidos en el ordenador.  Uno de los malware más peligrosos ha sido Zeus, diseñado para obtener información de cuentas bancarias de los usuarios a través de la información que colocan estos últimos en sus navegadores.

 

Recomendaciones Evitar Estafas Electronicas:

 

  1. No contestarcorreos electrónicos a personas desconocidas en las que se solicite algún tipo de información personal.

 

  1. Cuando reciba una notificación de algún servicio que requiera su atención urgente, no copie los vínculos que se encuentran en el correo, ubique la dirección web del servicio que aparece en los primeros lugares de los buscadores.

 

  1. Mantenga actualizado su antivirusy no lo desactive.

 

  1. No descargue softwarede páginas que no sean de su confianza.

 

  1. Si recibe alguna solicitud sospechosa y quiere responderla, verifique antes en los buscadoressi hay información sobre el contenido. Muchas de las estafas que circulan son reportadas rápidamente y los mismos usuarios lo difunden.

 

  1. Verifique el remitente del correo.Generalmente en los casos de phishing, es fácil detectar cuando el dominio no coincide con el de la empresa que supuestamente lo está enviando.

 

Si deseas más información o asesoría en materia de Compliance o Responsabilidad Penal de la Persona Jurídica, puedes consultar nuestra sección de Derecho Penal Económico o contactarnos a través de info@garberipenal.com.

 

[double_line_divider]

Compliance personalizado y a medida.

La dedicación y transparencia distinguen nuestros servicios de asesoría, en consonancia con nuestra capacidad para entender las necesidades de la pequeña, mediana industria y comercios.

[button align_button=’center’ a_fffect=’fadeInLeft’ link=’http://www.garberipenal.com/contacto/’ background=’#967433′ border=’#ffffff’ color=’#ffffff’ hover_bg_color=’#ffffff’ hover_border=’#967433′ hover_text_icon_color=’#967433′ icon=’info-sign’]Contáctenos[/button]

Siete delitos contra la privacidad e intimidad (I)

mayo 26, 2015

 Alex Garberí Mascaró y  José Alejandro Cuevas Sarmiento

El descubrimiento de secretos y la vulneración de la intimidad personal son dos supuestos que se han regulado con mayor fuerza en la reforma del Código Penal que entra en vigor el 1 de julio de 2015, tras la modificación integral del artículo 197 (ahora 197 bis, ter, quater y quinquies). Se adopta un enfoque orientado a impedir los ciberdelitos perpetrados a través de las nuevas tecnologías y con ello ampliar la protección de la intimidad, en un entorno en donde cada vez son más los datos personales e información que es registrada a través de sistemas y programas informáticos, o intercambiada a través de medios digitales.

En este sentido, el legislador ahora contempla 7 tipos delictivos en la materia, que se desprenden del artículo 197, bis, ter, quater y quinquies, y que enunciamos a continuación:

1. Descubrimiento de secretos o vulneración de la intimidad de otro (espionaje personal):

Ocurre cuando una persona se apodera sin consentimiento de otra de sus papeles, cartas, mensajes de correo electrónico, documentos o efectos personales con el fin de vulnerar su intimidad o descubrir sus secretos. También cuando se interceptan las telecomunicaciones o se utilizan artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación. Una infracción de este tipo se presenta cuando una persona, a través de un programa informático instalado en un ordenador, accede a la información de otros usuarios de una red sin su consentimiento.

2. Apoderamiento, utilización o modificación de información reservada en perjuicio de un tercero:

Tiene lugar cuando una persona se apodera, usa o altera los datos reservados de carácter personal o familiar de otra persona, que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado.  Este delito se concreta cuando una persona accede a la información privada registrada y protegida de un tercero, vulnerando los sistemas de seguridad o a través de engaños que le permitan hacerse con la contraseña, pero en todo caso sin la autorización del titular de los datos o información.

3. Difusión, revelación o cesión a terceros de datos, hechos, o imágenes captadas, posterior a su descubrimiento o apoderamiento de forma ilegítima:

Este delito se concreta cuando la persona que tuvo acceso a tales informaciones sin autorización del titular, las divulga o revela públicamente o ante terceros. De acuerdo al segundo apartado del numeral 3 del artículo 197 CP, será sancionado incluso quien realice la divulgación sin intervenir en su obtención pero conociendo su origen ilícito. Puede presentarse, entre otros casos, cuando un hacker que se hace de las imágenes de alguna celebridad, las hace públicas o las vende a un tercero que, a sabiendas del origen ilícito, de igual manera las publica.

Cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere menor de edad o persona con discapacidad, las penas se prevé más elevadas, lo mismo que se cuando se cometan por los responsables de los ficheros, soportes o registros informáticos, o bien se realicen con fines lucrativos.

4. Difusión, revelación o cesión a terceros de imágenes o grabaciones que menoscaben gravemente la intimidad de esa persona:

Así, en los casos en que se comparta con terceros o se divulguen vídeos o imágenes que se obtuvieron incluso con anuencia de su titular, en un entorno íntimo y fuera del alcance de la mirada de terceros, también se estaría incurriendo en un delito sancionado por la legislación penal. Se trata de un tipo penal que sanciona la publicación de vídeos o grabaciones que, aún obtenidas con consentimiento, no lo fue con la intención de hacerlos públicos, y que lesionan gravemente la intimidad.

La Ley prevé una pena agravada cuando quien realiza la conducta es o ha sido cónyuge o persona con análoga relación de afectividad, la víctima sea menor o incapaz o se realice con fines lucratrivos.

5. Intrusión:

Cuando una persona accede o permite a otra el acceso al conjunto o una parte de un sistema de información protegido con mecanismos de seguridad que vulnera, o se mantiene en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, estamos en presencia de una intrusión, delito que también está sancionado en nuestra normativa. Por ejemplo, un sujeto que utiliza un programa para infringir la seguridad de un sistema, teniendo así acceso a la base de datos o monitorear toda la información entrante y saliente.

6. Intercepción de transmisiones o datos:

Se refiere a aquellos actos orientados a interceptar transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, mediante la utilización de artificios o instrumentos técnicos, sin estar debidamente autorizado. Tiene semejanza con el supuesto de intrusión, pero en este caso no sería necesario entrar al sistema, sino se trataría de una mera intercepción de mensajes entrantes y salientes, como puede ser la utilización de un software que refleje en un móvil toda la información que recibe otro móvil.

7. Uso de programas informáticos o contraseñas para fines ilícitos:

No sólo se sanciona a quien comete la infracción del secreto o la intimidad, sino también a aquellos que brindan las herramientas para ello, sea un programa informático concebido para tales fines, o el suministro de contraseñas o códigos de acceso que permitan al infractor acceder a todo o parte de un sistema. La ley sanciona todas las conductas dirigidas a producir, adquirir, importar o, de cualquier modo, facilitar a terceros este tipo de herramientas. Por ejemplo, cualquier software diseñado para desencriptar contraseñas o monitorear información de terceros, o para engañar a los sistemas y causar la conducta deseada por el infractor. Las conductas deben ir dirigidas, evidentemente, a favorecer la comisión de las conductas de espionaje o apoderamiento de datos reservados de carácter personal (1 y 2).

Si desea más información o asesoría en materia de Compliance o Responsabilidad Penal de la Persona Jurídica, por favor contacte con nuestros expertos o comuníquese al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

También te interesa: