Los dos delitos más comunes y controversiales cometidos por medios informáticos: Clonación de Tarjetas de crédito y Phishing o transferencias electrónicas ilegítimas


Porwilliammoura- Postado em 06 dezembro 2012

Los dos delitos más comunes y controversiales cometidos por medios informáticos: Clonación de Tarjetas de crédito y Phishing o transferencias electrónicas ilegítimas

 
Abstract: 
Como primer acercamiento a la temática debo destacar que ninguno de estos dos delitos es en realidad un delito informático puro, sino mas bien delitos cometidos por medios informáticos, clasificación que ya he propugnado en obras anteriores, de manera que hecha la salvedad, trataremos de acercarnos a las conductas y sus posibles regulaciones, modificando un poco la mecánica de los delitos anteriores a fin de lograr una mejor comprensión de la razón por la cual se tipifica estas conductas en los tipos penales que se describen.

Como primer acercamiento a la temática debo destacar que ninguno de estos dos delitos es en realidad un delito informático puro, sino mas bien delitos cometidos por medios informáticos, clasificación que ya he propugnado en obras anteriores, de manera que hecha la salvedad, trataremos de acercarnos a las conductas y sus posibles regulaciones, modificando un poco la mecánica de los delitos anteriores a fin de lograr una mejor comprensión de la razón por la cual se tipifica estas conductas en los tipos penales que se describen.

Normalmente, cuando se plantea la situación de si estos dos delitos están o no legislados en México la respuesta suele ser que no, aún si la pregunta se le realiza a un abogado o un Ministerio Público, y es por esa razón que pretendo en estas líneas realizar un somero análisis de las dos conductas (que en realidad son mas de dos ya que los sujetos que intervienen en cada caso son varios en la mayoría de los casos) para de estar manera intentar su subsunción en las normas penales si es que las mismas existen.

La clonación de Tarjetas de Crédito:

Como clonación de Tarjetas de crédito podemos comprender en principio dos conductas que utilizan tecnologías similares para producir resultados que no en todos los casos son los mismos:

  • Clonación para compras
  • Clonación para retiros de cajeros

La primera de estas conductas consiste en copiar la información contenida en la banda magnética (o en su caso el chip) de una tarjeta de crédito o de débito para luego transferir la misma a otro plástico (o chip) y por medio de ese segundo elemento realizar compras con el saldo o el crédito que el cuentahabiente pudiera tener disponible en la misma.

La segunda, si bien comienza con la copia de la información contenida, además requiere de la obtención del número confidencial del cliente para la realización de retiros, ya que como sabemos sin ese número (NIP o número de Identificación Personal o PIN por sus siglas en Inglés) no es posible realizar extracciones en los cajeros automáticos que es a lo que se apunta con esta conducta en particular. Debido a estas pequeñas diferencias en las conductas desarrolladas por los sujetos activos es que a fines didácticos separaré las conductas para su desarrollo.

Como se desarrolla la clonación de tarjetas para compra:

En el momento en que el sujeto pasivo (victima) realiza un pago en un comercio, (habitualmente en restaurantes o bares ya que es donde mas fácilmente el sujeto pierde contacto visual con su plástico, aunque puede ser en cualquier comercio), el primer sujeto activo pasa la banda o introduce el chip de la tarjeta en un dispositivo conocido como skimmer o chismosa que almacena la información de la misma para su posterior descarga. Esta operación puede ser realizada por el mesero, por el cajero o por cualquier otro empleado que tome contacto con el plástico.

En una segunda etapa, el que obtiene la información se la entrega a un segundo sujeto activo que es el que descarga la misma en una PC y desde allí la vuelca a otros plásticos en blanco a los cuales también se les agregan los logos institucionales y se le imprime la apariencia de una verdadera tarjeta.

En un tercer punto, se entrega ese plástico ya terminado a una persona que es la que sale a realizar las compras a los diferentes comercios, preferiblemente de productos que sean de fácil venta como por ejemplo electrónica de punta y de alto valor de mercado.

Una vez obtenida de manera ilegítima la mercadería esta se comercializa en el mercado negro (a donde también van los productos robados) para de esta manera hacer efectivas las ganancias de todos los que intervienen en el proceso.

Como se desarrolla la clonación de tarjetas para cajeros:

En el caso de los cajeros automáticos la mecánica delictiva varía de la anterior.

Debido a la necesidad de la obtención del número confidencial, no es tan simple el primer proceso sino que se desarrolla a través de la colocación de dispositivos de lectura en los mismos equipos de retiro de dinero, los cuales pueden consistir en carcazas, o bien en la colocación de un skimmer a un lado de los lectores reales.

De esta manera se obtienen los datos de la banda magnética y para la obtención del NIP se colocan cámaras ocultas que graban en video la digitación que realiza el cuentahabiente, o, en su caso se colocan equipos de computación en lugar de las pantallas de los cajeros para que al digitar los números estos queden grabados en el equipo que colocó el sujeto activo y de esa manera completar la información necesaria.

Una vez obtenida la información se hace llegar la misma al sujeto que la volcará a una tarjeta en blanco pero en este caso no se requiere la impresión de logos ya que nadie llegará a ver la misma y el cajero automático no puede leer los datos impresos sino solo los que se encuentran en la banda magnética o bien en el chip en algunos casos.

Como se entrega esta información puede variar según la tecnología que se aplique al proceso, ya que esto puede ser retirando la carcaza o bien en algunos casos existen mecanismos de transmisión automática por los cuales el clonador puede recibir esta información por vía inalámbrica o frecuencias de radio.

Una vez colocados los datos y obtenido el NIP un tercer sujeto se apersona en los cajeros y con la tarjeta clonada hace disposiciones de efectivo haciéndose pasar por el titular ante los sistemas automatizados de entrega de dinero.

Tenemos entonces en los dos casos al menos tres sujetos (aunque en casos muy aislados pueden ser dos o incluso uno, aunque por cuestiones de tiempo físico esto es muy improbable), uno que obtiene la información, uno que duplica la misma y produce o reproduce las tarjetas originales y el tercero que posee las mismas y con ellas realiza disposiciones patrimoniales por medio de compras o retiros de efectivo según el caso, veamos ahora si existe alguna norma penal que pueda cubrir estas conductas.

La cuestión de competencia y jurisdicción:

Para iniciar el análisis que se propone, en primer término debemos analizar si corresponde este delito al fuero común o en su caso al federal.

Ala vista de que existen dos posibles víctimas, una el propio cuentahabiente, en primer término y el otro las entidades del sistema financiero en segundo, a veces esta disquisición puede volverse más compleja de lo que podría ser a primera vista.

De hecho ocurre que ante el delito consumado, es al titular de la cuenta a quien la institución bancaria le exige la denuncia ante autoridad competente y este recurre a la Agencia de Ministerio Público sin conocimiento real de las cuestiones jurídicas involucradas, por lo cual en verdad realiza la denuncia ante el Ministerio Público de su delegación o bien el que le resulte mas cercano.

Por lo general ocurre también que por la distribución geográfica, los mas cercanos resultan ser los agentes del fuero común.

Ahora la pregunta que se impone es: Quien es el verdadero damnificado?. Por regla general, los Bancos suelen devolver al usuario el dinero que le fuera extraído o, en su caso no cobrar los saldos impagos que fueron negados por el titular de la cuenta.

De esta manera en verdad quien asume el daño es la Institución Bancaria.

Esta situación nos coloca en un terreno especial, el de la competencia federal en razón de la materia, ya que por disposición constitucional, las cuestiones ligadas al sistema financiero son de exclusividad federal.

La ley aplicable:

Ya habiendo discernido la cuestión de cual resulta la autoridad competente en la materia en específico, hay que determinar la Ley aplicable, que por principio general debería ser el Código Penal Federal, bajo alguno de los delitos que este contiene.

El problema real es que este cuerpo normativo no contiene una conducta adecuada cuando algunos Estatales como el del Distrito Federal si la tienen.

Entonces, como resolver la situación?. Si se busca con un poco de detalle se advertirá que en algunas Leyes especiales y mas concretamente en la Ley de Instituciones de Crédito existe un capítulo penal que pudiera resultar aplicable, en este caso particular el Artículo 112 bis de ese cuerpo normativo, el cual bajo la premisa de que la Ley Especial prima sobre la Ley General, resulta en estrictos términos de derecho la de mejor perfil para su aplicación por el Ministerio Público Federal y los Jueces competentes.

El análisis concreto:

Como primera aproximación se debe conocer el texto legal [de la legislación mexicana], el cual a la letra reza:

CAPITULO  IIIDE LOS DELITOS

ARTICULO 112 Bis.- Se sancionará con prisión de tres a nueve años y de treinta mil a trescientos mil días multa, al que:

I. Produzca, reproduzca, introduzca al país, imprima o comercie tarjetas de crédito, de débito, formatos o esqueletos de cheques, o en general instrumentos de pago utilizados por el sistema bancario, sin consentimiento de quien esté facultado para ello;

II. Posea, utilice o distribuya tarjetas de crédito, de débito, formatos o esqueletos de cheques, o en general instrumentos de pago utilizados por el sistema bancario, a sabiendas de que son falsos;

III. Altere el medio de identificación electrónica y acceda a los equipos electromagnéticos del sistema bancario, con el propósito de disponer indebidamente de recursos económicos, u

IV. Obtenga o use indebidamente la información sobre clientes u operaciones del sistema bancario, y sin contar con la autorización correspondiente.

La pena que corresponda podrá aumentarse hasta en una mitad más, si quien realice cualquiera de las conductas señaladas en las fracciones anteriores tiene el carácter de consejero, funcionario o empleado de cualquier institución de crédito. 

* Adicionado 17-05-99.

Si recordamos las conductas involucradas ya descritas ut supra, e intentamos la subsunción penal en la norma advertiremos que:

  • El primer sujeto que aparece en la acción típica es quien obtiene de forma indebida la información, conducta que se advierte incluida de manera expresa en la fracción IV de l artículo, de manera que podemos considerar que la suya es una conducta típica y punible.
  • El segundo sujeto que es el que copia esa información en un nuevo plástico para ambos casos, puede imprimir para las tarjetas para compra y al menos produce o reproduce en el menor de los supuestos, de manera que su accionar resulta típico y punible también pero en este caso por la Fracción I del mismo artículo.
  • El tercer sujeto que es el que utiliza la tarjeta para fines ilegítimos, primero las posee y luego según el avance delictual las utiliza, de manera que su conducta se ve claramente subsumida en la Fracción II.

Con el presente análisis vemos claramente que todas las conductas posibles en este accionar delictivo están plenamente insertas en la norma penal especial de materia federal que puede ser utilizada sin necesidad alguna de reformas legislativas.

Las transferencias electrónicas ilegítimas, vaciamiento de cuentas, Phishing o Trapping:

El segundo gran mito urbano en los ámbitos del derecho mexicano es la inexistencia del tipo penal que tipifique las conductas de phishing, trapping, o mas comúnmente conocidas como vaciamiento de cuentas por internet o transferencias electrónicas ilegítimas.

Analicemos en que consiste esta conducta:

De hecho conocemos de antemano el resultado, que es, específicamente que un cuentahabiente de una entidad financiera pierde todo o parte del dinero que tiene depositado en su o sus cuentas.

¿Como puede suceder esto?

Pues bien, la tecnología que se ha desarrollado desde el nacimiento de internet ha tendido a la simplificación de los procesos en todos los ámbitos, y por sobre todo el bancario.

Ya desde hacer varios años se está desarrollando una fuerte tendencia hacia lo que se conoce como e-banking o banca electrónica que no es otra cosa que una variante más tecnificada de la banca telefónica, que permiten, desde la comodidad de la residencia o la oficina del titular de la cuenta, realizar operaciones de banca para conocer saldos, estados de cuenta o , en su caso realizar transferencias entre cuentas propias del usuario o hacia cuentas de otros usuarios, incluso, de otras entidades financieras.

¿Pues bien, donde pueden entrar aquí las conductas ilegítimas?

Es muy simple, cuando por algún medio un tercero ajeno a las cuentas se apropia de los datos de validación del usuario (nombre de usuario, número de cuenta, claves o números de tarjeta según el caso) y sin la autorización del mismo obtiene acceso al manejo de las cuentas y transfiere los fondos que en ella se encuentran hacia otra u otras cuentas que se encuentran bajo el control del o de los sujetos activos.

¿Y cómo es posible que un tercero ajeno obtenga esa información?

Pues bien, aquí es donde empieza la intervención de la tecnología informática en particular.

Respecto a la forma de obtención de las claves hay dos opciones muy claras

  • Phishing: que es la pesca de claves a través de internet, la cual puede ser realizada por mendio de programas especiales que pueden instalarse en la PC del usuario cuando este visita determinadas páginas o bien a través del envío de virus o programas adjuntados a los mail como troyanos, incluso en algunos casos se han presentado intrusiones directas por técnicas de hacking o más propiamente de cracking para la instalación de estos programas espías que envían información hacia otros equipos.
  • Trapping: a pesar de que muchos confunden esta técnica con el phishing, su potencialidad es mucho mayor, ya que se trata de ataques mucho más dirigidos hacia los cuentahabientes, dado que el phishing puro puede capturar claves de bancos como de cualquier otra cosa, en cambio el trapping por su naturaleza, sólo obtiene claves bancarias.

De hecho se materializa a través del envío masivo de mails con textos engañosos que lo que hacen es invitar al usuario a que luego de entrar a una página falsa que se presupone y aparenta ser la de la institución bancaria, se le solicita que ingrese los datos de su cuenta para grabarlos en una base de datos que está bajo el control de los sujetos activos, además del hecho de que al momento del ingreso al mail o en su caso a la página se instala en la máquina del usuario un programa de key logger que captura los pulsos del teclado y después envía éstos a una dirección web o de correo preestablecida, también bajo el control del o de los sujetos activos.

Si se analiza la conducta en particular, podremos advertir que en parte puede resultar muy complejo el tipificar la misma, ya que no hay en ningún ordenamiento una descripción detallada de las mismas, pero si se analiza el resultado final que es la transferencia de fondos sin autorización de la cuenta del titular hacia otra u otras la situación cambia completamente, ya que, si nos remitimos nuevamente a la Ley de Instituciones de Crédito, veremos que el artículo 113 bis expresa textualmente:

ARTICULO 113 Bis.- A quien en forma indebida utilice, obtenga, transfiera o de cualquier otra forma, disponga de recursos o valores de los clientes de las instituciones de crédito, se le aplicará una sanción de tres a diez años de prisión y multa de quinientos a treinta mil días de salario.

Si quienes cometen el delito que se describe en el párrafo anterior son funcionarios o empleados de las instituciones de crédito o terceros ajenos pero con acceso autorizado por éstas a los sistemas de las mismas, la sanción será de tres a quince años de prisión y multa de mil a cincuenta mil días de salario.

·          Adicionado 17-05-99.

Pues bien, tanto el phishing como el trapping, conducen claramente a la utilización, obtención, transferencia o disposición indebida de fondos de los clientes de la instituciones de crédito como su resultado real y tangible, de manera que la norma prevé expresamente estas conductas sin importar cual fuera el medio comisivo utilizado para la obtención de los resultados, ya que la misma no lo expresa.

Por esa razón es que podemos, en la práctica real y efectiva del derecho penal aseverar que sí existe normativa prevista para los casos de phishing, trapping y demás mecánicas de transferencias ilegítimas, y que además si en estas conductas intervienen funcionarios o empleados de las mismas instituciones, nos encontramos ante una figura agravada.

Country:

Subjects:

Editor notes: 
Author: 
 
 
http://www.alfa-redi.org/node/8998