Buscando algún tema que tratar durante este mes de agosto, fecha en la que todo se paraliza y las vacaciones se convierten en el principio y fin de nuestros intereses, me he topado con un comunicado de prensa antiguo, de julio de 2014, del Banco Central Europeo en el que se ponía en conocimiento del público en general el robo de información, datos de contacto en concreto, que había sufrido a través de su website.

El primer pensamiento que se me vino a la cabeza fue: “¿pero éstos no tienen seguridad de ningún tipo? Pues buena la pueden liar”.

Como dato a tener en cuenta, el BCE se encarga de mantener la estabilidad del euro en toda la zona euro y la estabilidad de los precios, dentro de lo que se conoce como política monetaria, así como de la supervisión de todos los Bancos y Entidades Financieras y, además, actúa como banco de reserva (vamos, que cualquier banco está obligado a depositar una cierta cantidad de sus fondos en el BCE). Dicho así, realmente parece que hace poco e incordia mucho, al menos por cuanto puede afectarnos a cualquiera de nosotros en nuestro día a día.

Sin embargo, en la práctica resulta indispensable y un fallo en su seguridad informática es potencialmente catastrófico. ¿Qué pasaría si un listillo pudiese entrar en el sistema del BCE y modificar alegremente el tipo de cambio del euro respecto del dólar? ¿Y si modifica los registros del sistema para alterar a la baja la cuantificación de las reservas de monedas? En el primer caso, todas las relaciones comerciales en las que se cruce el charco se ven desbaratadas; en el segundo, acabaríamos todos sin un solo duro en nuestra cuenta del banco no tardando mucho.

Realmente, si bien la posibilidad de ataques al BCE o a cualquier otra Entidad Financiera es un hecho, un supuesto catastrófico de sabotaje informático está lejos de producirse. O eso creo en base a las reiteradas advertencias que viene dando a todos aquéllos a los que supervisa, con lo que espero que no esté predicando en el desierto.

Este año ya ha sido bautizado como el Año del Cibercrimen, pues, 2.200 millones de ataques bloqueados en tres meses por una única empresa se dicen pronto y, también, dan mucho miedo.

En estos oscuros pensamientos andaba cuando he recordado un caso de estafa por medio de una oferta de trabajo falsa en el que asistí. Uno de esos delitos que han estado en boga en los últimos años y que se han ido conociendo a través de diversos nombres en inglés: scam, phising, nigerian letters… aunque yo, personalmente, sigo prefiriendo la terminología española, que para algo fue el castellano el primer idioma que aprendí y, además, porque la terminología anglosajona en relación a los delitos patrimoniales, lato sensu, alcanza límites mareantes: como muestra, lo que nosotros llamamos fraude, que incluye diversos tipos de conductas, en los dominios ingleses podría ser: fraud, embezzlement, scamming, swindling, fiddling, larceny, payola, hoax, tort… y me paro aquí por no aburrir.

Por motivos de protección de datos, los nombres que utilizaré son inventados, sin perjuicio de mantener el relato de los hechos y que, imagino, alguno de vosotros ya conozca, pues según datos del Instituto Nacional de Ciberseguridad –INCIBE, es decir, el antiguo INTECO, este tipo de estafa ha tenido una incidencia de entre el 25-30% en los últimos años.

La historia, tal y como me la contaron, y que luego empeoró, fue así:

Un buen día, el cliente, a quien vamos a llamar María, recibió en su buzón de entrada del correo electrónico una oferta laboral consistente en actuar como representante de una entidad mercantil extranjera.

El trabajo de representación consistía en percibir en su cuenta bancaria personal los fondos procedentes de “operaciones mercantiles”, descontar su comisión del 10% de tales transferencias y proceder a enviar mediante Western Union el importe restante a los beneficiarios finales, que le serían indicados puntualmente tras cada transferencia.

María procedió a enviar sus datos personales (nombre, apellidos,  número del DNI, dirección, teléfono y número de cuenta bancaria) en un correo electrónico de respuesta a la oferta de trabajo recibida.

Al cabo de una semana recibió en su cuenta personal una transferencia por importe de 5.000€, de los cuales descontó su comisión de 500€, remitiendo mediante Western Union los restantes 4.500€ a un beneficiario residente en un país de la Europa del Este.

Pocos días después de haberse efectuado la transferencia a la cuenta de María, se presentó una denuncia ante la Policía Nacional por parte de Juan indicando que desde la cuenta de su Empresa se había realizado una transferencia de 5.000€ a una tal María, que desconocía y con quien no tenía relación alguna pero a la que había telefoneado para saber quien era. Juan declaró que creía que le habían quitado los códigos operativos (las claves) con los que realizaba las operaciones on-line en la página web de su banco.

Dándose el curso ordinario a la denuncia, se abrieron Diligencias Previas en el Juzgado que correspondió.

En este punto entramos en juego los abogados, debiendo tomar conocimiento pleno de los hechos e intentar solucionarle la papeleta a nuestro cliente, a María, quien fue imputada por un delito de estafa  según la calificación del Ministerio Fiscal y, por parte de la acusación particular, es decir, por los abogados de Juan, se le imputaba un delito de estafa y, en su defecto, un delito de apropiación indebida. Para que os hagáis una idea: le podían caer entre 6 meses y 3 años de cárcel.

Ahí es nada y todo por responder a una oferta de trabajo.

Me gustaría que en este punto os hicieseis una composición de lugar: ¿qué cara se os quedaría si un día os encontráis en el buzón una notificación del Juzgado diciendo que tenéis que pasar a declarar tal día y a tal hora por este y por aquel delito?

Con esa misma cara nos llegó María. Fuera parte de no entender nada de lo que decía el Juzgado (hay que reconocer que en muchas ocasiones no son claros, aunque lo intentan), María no tenía ni la más remota idea de cómo era posible que, por trabajar, le estuviesen imputando un delito de estafa.

Justamente, he aquí el quid de la cuestión: en los fraudes on-line todos somos víctimas pero a los ojos del Derecho Penal no necesariamente es cierto, al menos, a priori.

Estaréis de acuerdo conmigo en que María había sido víctima de phising, es decir, le habían engañado para que facilitase sus datos personales. Pero, en nuestro Derecho español, el phising no es un delito; y si no hay delito, no hay víctima. Además, a María la utilizaron como mula sin ella saberlo y, en consecuencia, se convirtió en un instrumento, en un mero medio para obtener un resultado delictivo a instancias del verdadero autor de los hechos, quien no pudo ser identificado.

Por su parte, Juan, a quien le habían robado las claves operativas, sí que había sufrido un delito, concretamente era víctima de un delito de descubrimiento de secretos, dado que, vete a saber cómo, le habían hackeado el ordenador y se habían apoderado de sus claves. Pero empezamos a rizar el rizo si tenemos en cuenta que las claves birladas eran relativas a las cuentas de la empresa, quien verdaderamente sufrió el perjuicio.

A lo largo de la instrucción que se llevó a cabo, no pudimos encontrar más escollos. De un lado, los correos electrónicos, que habían sido enviados a María y que facilitamos oportunamente, nos llevaban a un callejón sin salida: la empresa que nombraban en los mails no existía; la cuenta de correo electrónico remitente no había forma de saber de quién era, ni dónde o cuándo se había creado; el beneficiario final era ilocalizable en el país de destino y Western Union no tenía datos de quien recibió el dinero… Y todo ello pese a que los Agentes de la Autoridad hicieron su trabajo e informes correspondientes.

Del otro extremo, la entidad financiera involucrada fue poco cooperativa y con mantener la postura de “yo todo lo he hecho bien” le bastó para negarse a pagar a la empresa de Juan y que, en consecuencia, el seguro de la entidad tampoco se hiciese cargo del quebranto. Y en cierto sentido tenían hasta razón: sus medidas de seguridad habían aguantado y la transferencia que se había realizado era plenamente legítima pues iba acompañada de los códigos operativos correctos. Si las medidas de seguridad de la víctima no habían sido suficientes o no existían… Os imagináis el final de la frase: es problema suyo.

Y de remate, dado que de lo que estamos hablando es un procedimiento judicial y visto que la Justicia es lenta, muy lenta, excesivamente lenta, hasta que llegamos al final había pasado año y medio. Baste decir que le evitamos la condena a María.

Lo más ridículo de todo el asunto, como muchas veces nos repitió María, estribaba en que todo su calvario se podía haber evitado, simplemente, habiendo tenido un poco más de cuidado.

¡He ahí la piedra angular de toda esta historia! La seguridad comienza en el sentido común. El INCIBE podrá tener un blog muy bueno sobre ciberseguridad y la Oficina de Seguridad del Internauta  nos podrá dar todos los consejos habidos y por haber, pero si no empezamos por leer el blog y por seguir sus consejos, de poco nos sirve.

A estas alturas, todos sabemos que tenemos que cambiar las claves de nuestras cuentas con frecuencia, que no debemos repetirlas y que deben ser complicadas. De igual forma, ya todos conocemos los diferentes requisitos de seguridad de las páginas webs y ya hemos adquirido una cierta práctica en relación a los timos de los que podemos caer presos, tanto en las relaciones interpersonales tradicionales como a través de medios electrónicos. Lo único que nos haría falta es trasladar toda esa experiencia que hemos adquirido en nuestra vida real a las relaciones que mantenemos en nuestra vida virtual, de forma que la seguridad de la que gozamos pueda convertirse en ciberseguridad.

Como un último apunte, escribiendo estas líneas he recordado unas palabras que me decía mi abuela en tiempos y que, aunque parezca mentira, resultan perfectamente aplicables al mundo virtual: “Hijo, si parece demasiado bueno para ser verdad, desconfía”.