Estafas a través de Internet: phishing y scam

El phishing es una práctica consistente en el envío masivo de mensajes electrónicos con apariencia de veracidad, generalmente referidos a una entidad bancaria, solicitando datos personales, nombres de usuario, contraseñas, passwords, etc., con el único propósito de recoger esa información del usuario con fines fraudulentos y delictivos.

Aunque en un principio esta práctica se centraba principalmente en simular correos electrónicos emitidos por bancos, últimamente los ciberdelincuentes han ampliado su ámbito de actuación y los envíos masivos de correos electrónicos o mensajes al móvil parecen que son emitidos por todo tipo de grandes empresas. Muestra de ello es el reciente fraude de los mensajes WhatsApp que suplantan la identidad corporativa de Mercadona, incitando al usuario a facilitar datos a cambio de un sorteo de un vale de compra. Se trata de mensajes aparentemente enviados por una empresa conocida (tecnológica, cadena de alimentación, grandes almacenes, etc.) incitando al destinatario a inscribirse, registrarse o visitar una página web (falsa lógicamente) en la que facilitar sus datos personales o contraseñas de acceso. Además, el uso de las redes sociales hace que la propagación de los mensajes se realice de forma exponencial.

En todos los casos se trata de llevar a cabo una estafa on-line. Se envía un correo electrónico o un mensaje al móvil que aparentemente corresponde a la entidad bancaria y se le solicita al usuario que facilite datos relacionados con sus cuentas bancarias y tarjetas de crédito, con la excusa de actualizar números PIN o nombres de usuario, solicitando los datos a través de un formulario o incluyendo un enlace a una página web.

Esta conducta está tipificada en el artículo 248 del Código Penal que determina que comenten estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno, añadiendo el segundo apartado que también se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

Otro tipo de estafa en Internet es el scam como fase previa al phishing. Esta estafa se desarrolla en tres fases, en las cuales se ven implicadas personas incautas y confiadas que, sin ser conscientes de ello, se convierten en coautores de un hecho delictivo. En la primera fase de esta estafa, a través de chats, correos electrónicos o anuncios difundidos por Internet, diversas empresas ofertan trabajo fácil desde el domicilio con el que se pueden obtener grandes beneficios. Consiste en hacer de intermediario de transferencias internacionales de ciertas cantidades de dinero, ofreciéndose en concepto de remuneración un cierto porcentaje. Para poder optar a este trabajo se exige una conexión a Internet de 24 horas, tener cuenta corriente propia y conocer los sistemas internacionales de envío de dinero. Para aumentar la apariencia de legalidad y la total desvinculación con el blanqueo de dinero se apoyan en conocidas empresas legales de pago por Internet como Paypal o Western Union. En esta información, que suele tener defectos idiomáticos y faltas de ortografía, incluyen un formulario que debe ser rellenado con el número de cuenta y algunos datos personales.

Una vez captadas las personas que van a hacer de intermediarios, comienza la segunda fase del timo, la conocida como phishing. Mediante un envío masivo en nombre de entidades bancarias nacionales de prestigio, imitando sus páginas web, consiguen que los usuarios de la banca on line introduzcan sus datos personales, número de cuenta y claves de acceso financieras a través de Internet. Una vez que la víctima facilita las claves de banca on line, los delincuentes comienzan a efectuar transferencias de fondos de esas cuentas hacia las de los intermediarios. Efectuado el ingreso, contactan con ellos por correo electrónico indicándoles las directrices sobre cómo y dónde remitir el dinero, una vez obtenida la comisión prometida. Este dinero es remitido por el intermediario a terceras personas mediante transferencias que efectúan en empresas de envío rápido de dinero. Así se cierra el círculo y el dinero finaliza en manos de los delincuentes, dificultando a los investigadores seguir el camino recorrido por el mismo.

El beneficio de esta práctica delictiva es importante dada la masificación de los envíos. Pero como sospechosos únicamente quedan los intermediarios captados que buscaban empleo, convertidos en cómplices de una cadena delictiva. Éstos desconocen además casi todo de sus “empleadores”, debido no sólo al anonimato de la red sino también a su ubicación en países con bajo grado de colaboración judicial y policial, siendo difícil llegar a los verdaderos cerebros de la trama delictiva.

Conscientes de estas amenazas, las entidades financieras redoblan sus esfuerzos por luchar contra los ataques de la red. Sin embargo, el problema radica en que dichos ataques no van dirigidos a sus estructuras informáticas, sino a los propios usuarios mediante páginas y correos falsos que escapan al control de las entidades. Por ello, desde la Administración, las asociaciones de internautas y las propias entidades financieras se recomiendan diversas medidas de seguridad para evitar en lo posible éstos y otros intentos de fraude:

• Mantener un antivirus permanentemente actualizado.

• Instalar firewalls para evitar accesos no deseados.

• No facilitar las claves de acceso contestando a mensajes de correo electrónico. Como regla general, las entidades financieras nunca piden los datos de acceso de ningún cliente por mensajes de correo electrónico.

• Ser especialmente escrupuloso con las contraseñas: no utilizar la misma contraseña todo el tiempo y para todas las aplicaciones; modificarlas periódicamente; desactivar las funciones de almacenamiento de claves en la memoria; no facilitarlas a terceros, etc.

• Llevar un control de la cuenta bancaria que permita detectar rápidamente cualquier movimiento sospechoso o no autorizado.

• Limitar los canales de acceso a las cuentas bancarias on line, con lo que se limitan también las posibilidades de ser pirateados.

• No introducir datos relativos a información bancaria y contraseñas en sitios de autoría dudosa o no contrastada.

• No acceder a la banca online mediante enlaces incluidos en correos electrónicos, es preferible teclear el nombre directamente en el navegador.

• Comprobar que el nombre de la página se corresponda con el nombre de la entidad (http://nombredelaentidad.es), pues las páginas fraudulentas en lugar del nombre de la entidad aparece una secuencia numérica o IP, que no pertenece a ningún servidor de la entidad bancaria.

• Observar que la página trabaja con protocolo SSL, o servidores seguros, que garantizan la encriptación del tráfico de datos entre maquina y cliente. A simple vista se puede comprobar si en la barra de direcciones del navegador aparece al comienzo de la dirección: https:// en lugar de http://, o bien si en la barra de estado en la esquina inferior izquierda aparece un pequeño candado amarillo que nos advierte que se trata de una página segura.

• Desconfiar de correos maliciosos o de dudosa procedencia. En estos casos siempre es mejor pecar por exceso que por defecto y es preferible no atender los correos que nos pidan información de nuestra cuenta y contactar directamente con la entidad para ampliar la información.

Fases del blanqueo de capitales

El blanqueo de capitales, entendido como la actividad tendente a volver a introducir en el circuito financiero dinero o activos procedentes de actividades de origen delictivo, se acomoda a unas etapas o fases: fase de colocación; fase de encubrimiento y fase de integración. Esta secuencia temporal en el blanqueo de capitales es la que definió el Grupo de Acción Financiera Internacional (GAFI) y la que mayor predicamento tiene, si bien debe aclararse que aunque se trata de fases más o menos diferenciadas, en ocasiones se solapan y, además, la experiencia práctica ha demostrado que este esquema simple puede complicarse con ramificaciones dentro del sistema financiero y con operaciones sofisticadas de alcance internacional.

1) Fase de colocación. Es la primera etapa del proceso y consiste en la introducción del dinero procedente de actividades delictivas en los circuitos financieros. Se realiza eludiendo las obligaciones de información e identificación, generalmente mediante el fraccionamiento de los importes y su colocación e inversión a través de depósitos bancarios múltiples, oficinas de cambio de moneda, etc. En esta primera fase se trata de introducir en el sistema el dinero procedente de actividades delictivas y hacer desaparecer el rastro original para que se desvincule de su origen. El denominador común siempre es fraccionar los importes y realizar diversas operaciones de bajo importe que puedan soslayar la obligación de declarar.

2) Fase de encubrimiento, estratificación o diversificación. En esta fase se intenta desvincular los ingresos procedentes de la actividad delictiva de su origen, mediante la utilización de diversas operaciones financieras o no financieras. Consiste en el fraccionamiento, acumulación, ocultación, traslado de los importes hacia países con legislaciones menos rigurosas o a cuentas donde el dinero pueda tener una apariencia legal. En esta fase se segregan los productos ilícitos en su origen mediante intrincados mecanismos de sucesión de transacciones financieras (transferencias electrónicas, cheques de viaje, cheques de caja, etc.) a fin de ocultar su origen y transformar los fondos en aparentemente legales, con el objetivo final de ocultar el origen de los fondos, dificultar su control y facilitar el anonimato. En definitiva se trata de realizar movimientos sucesivos de dinero para dificultar seguir la pista y desvincular los fondos de su origen delictivo.

3) Fase de integración. Es la fase final consistente en la reincorporación al sistema financiero de los importes fraudulentos bajo una apariencia legítima y su retorno a su titular pero ya con una apariencia de legalidad.

Existe normativa nacional e internacional que obliga a identificar a clientes y operaciones, vigilar actividades y operaciones sospechosas, efectuar seguimiento y realizar declaraciones a las autoridades, pero todos esos controles no resultan suficientes para evitar el blanqueo de capitales.

Las entidades financieras pueden ser utilizadas en cualquier punto del proceso. Generalmente, la banca minorista es utilizada en la fase de colocación y en la fase final de integración, mientras que la banca de corresponsales es utilizada fundamentalmente en la fase de estratificación, dentro de la denominada «cadena de pagos» entre entidad emisora y entidad receptora de flujos monetarios. Es muy importante la actuación y detección de las actividades fraudulentas y operaciones sospechosas en un primer momento, pues las posibilidades de éxito serán mayores cuando antes se identifiquen.

La CNMV multa a Bankia y Caixa Banc por la comercialización de preferentes

Hoy se ha publicado en el Boletín Oficial del Estado las multas que la Comisión Nacional del Mercado de Valores (CNMV) ha impuesto a Banco Financiero y de Ahorros (BFA) Bankia y Catalunya Banc, por la comercialización de participaciones preferentes, y que suman, conjuntamente, 6,2 millones de euros.

Calatunya Banc, que ha sido sancionada por un total de 3,1 millones de euros, habiéndole sido impuesta una sanción como responsable directo y otras dos sanciones como sucesor en la responsabilidad declarada de Catalunya Caixa (entidad resultante de la fusión de Caixa Catalunya, Caixa Manresa y Caixa Tarragona). En todos los casos las sanciones responden a infracciones muy graves en relación con la comercialización entre 2008 y 2011 de productos híbridos (participaciones preferentes y deuda subordinada) sin evaluar si resultaban adecuados a los conocimientos y experiencia de los clientes; utilizando sistemas de evaluación que presentaban deficiencias metodológicas; sin advertir adecuadamente a éstos en los supuestos en que las operaciones eran no convenientes o no evaluadas; y no habiendo acreditado la entrega de información sobre las características y riesgos de dichos productos comercializados con carácter previo a su adquisición o informándolos inadecuadamente. Asimismo, por no gestionar adecuadamente los conflictos de interés generados por la realización de cases entre sus clientes a precios significativamente alejados de su valor razonable

En el caso de Bankia, Banco Financiero y de Ahorro (BFA) la multa asciende también a 3,1 millones de euros que se impone a Bankia como responsable directo (1.000.000 €) y 2,1 como sucesora en la responsabilidad declarada de Bancaja (1.000.000 €), Caja Madrid (1.000.000 €) y Caixa Laietana (100.000 €).

Estas multas vienen a sumarse a las impuestas a Santander el año pasado, también por un millón de euros, y a NovaCaixaGalicia este mismo año por 2 millones de euros.

Puntos de Atención al Emprendedor (PAE)

La red de apoyo a los emprendedores desplegada por las Administraciones Públicas con objeto de facilitar, simplificar y acelerar la creación de empresas se encuentra integrada actualmente en los denominados Puntos de Atención al Emprendedor (PAE) que han venido a unificar las anteriores iniciativas y organismos sobre la materia tales como los Puntos de Asesoramiento e Inicio de Tramitación (PAIT); los centros de Ventanilla Única Empresarial (VUE); la Ventanilla Única de la Directiva de Servicios en el mercado interior, eugo.es (VUDS), etc.

Los actuales Puntos de Atención al Emprendedor (PAE) se definen como oficinas pertenecientes a organismos públicos y privados que se encargan de facilitar la creación de nuevas empresas, el inicio efectivo de su actividad y su desarrollo, a través de la prestación de servicios de información, tramitación de documentación, asesoramiento, formación y apoyo a la financiación empresarial.

La unificación de estos servicios ya se inició con la Ley 14/2013, de 27 de septiembre, de apoyo a los emprendedores y su internacionalización, y ha culminado con el Real Decreto 127/2015, de 27 de febrero, de modo que desde el mes de marzo existe una única red de oficinas de atención a los emprendedores, bajo una sola denominación y marca, con el fin de evitar costes por duplicidades a las Administraciones Públicas, mejorar la información al ciudadano y a las empresas y ofrecer una tramitación electrónica completa en todos los estados por los que transita una empresa.

Los PAE pueden depender tanto de entidades públicas como privadas. Los “PAE públicos” son entidades pertenecientes o vinculadas al sector público (Ayuntamientos y Agencias de Desarrollo); Cámaras de Comercio y asociaciones o fundaciones del sector privado sin ánimo de lucro cuyos fines estén relacionados con la atención a los emprendedores. Los PAE “privados” son colegios profesionales, organizaciones empresariales o agrupaciones de empresas que hayan firmado el correspondiente Convenio de Colaboración con la Dirección General de Industria y de la Pequeña y Mediana Empresa (DGIPYME). En todo caso, tanto los PAE públicos como privados se apoyan en el Centro de Información y Red de Creación de Empresas (CIRCE), que es un sistema de información que permite realizar de forma telemática los trámites de constitución y puesta en marcha de determinadas sociedades mercantiles (sociedad de responsabilidad limitada, sociedad limitada nueva empresa, sociedad limitada de formación sucesiva y empresario individual). Asimismo, los PAE como utilizan las herramientas propias de CIRCE para la creación de empresas: el Documento Único Electrónico (DUE) y el Sistema de Tramitación Telemática (STT).

En cuanto a los servicios de que prestan los Puntos de Atención al Emprendedor hay que distinguir los servicios que se realizan de forma gratuita de los que se prestan mediante contraprestación económica. Legalmente hay un servicio que necesariamente se debe prestar de forma gratuita: la constitución de empresas mediante el sistema de tramitación telemática utilizando el Documento Único Electrónico. Todos los demás servicios, a excepción del DUE, pueden ser cobrados. La Ley sólo exige que previamente se informe al usuario (emprendedor o empresa) del carácter gratuito o lucrativo. Para ello cada PAE mantendrá una lista de los servicios gratuitos y de los presta mediante contraprestación económica, de acuerdo con los convenios que, en su caso, se celebren con el Ministerio de Industria, Energía y Turismo.

Entre otros, los Puntos de Atención al Emprendedor, prestarán los siguientes servicios:

· Facilitar la creación de nuevas empresas, el inicio efectivo de su actividad y su desarrollo, a través de la prestación de servicios de información, tramitación de documentación, asesoramiento, formación y apoyo a la financiación empresarial.

· Información sobre las características de las formas jurídicas societarias y, en especial, de la Sociedad Limitada Nueva Empresa (SLNE), la Sociedad de Responsabilidad Limitada (SRL) y el Empresario Individual. La información abarca múltiples aspectos como el marco legal, aspectos mercantiles más importantes, ventajas fiscales, aspectos contables, sistemas de tramitación, normativa aplicable, etc.

· Suministrar toda la información y formularios necesarios para el acceso a la actividad y su ejercicio. Aquí se incluye información sobre el régimen de Seguridad Social aplicable (criterios de adscripción, afiliación, cotización, etc.) y sobre las obligaciones fiscales.

· Tramitación de la constitución de empresas mediante el sistema de tramitación telemática utilizando el Documento Único Electrónico (DUE). Este servicio deberá prestarse con carácter obligatorio y gratuito.

· Ofrecer la posibilidad de presentar toda la documentación y solicitudes necesarias.

· Ofrecer la posibilidad de conocer el estado de tramitación de los procedimientos en que tengan la condición de interesado y, en su caso, recibir la correspondiente notificación de los actos de trámite preceptivos y la resolución de los mismos por el órgano administrativo competente.

· Suministrar toda la información sobre las ayudas, subvenciones y otros tipos de apoyo financiero disponibles para la actividad económica de que se trate en la Administración General del Estado, Comunidades Autónomas y Entidades Locales.

· Facilitar los trámites necesarios para la constitución de sociedades, el inicio efectivo de una actividad económica y su ejercicio por emprendedores.

· Facilitar la tramitación del cese de la actividad.

El portal CIRCE del Ministerio de Industria, Energía y Turismo facilita la búsqueda de PAE por Comunidades Autónomas, Provincias y Municipios.

Cobro de comisiones por retirada de efectivo en cajeros automáticos

El Banco de España, en nota de prensa publicada ayer, hace público su criterio y considera que la retirada de efectivo en un cajero automático constituye un único servicio de pago, con independencia de que se realice en un cajero propiedad de la entidad emisora de la tarjeta bancaria o de otra entidad. Así pues, dado que se trata de un único servicio de pago sólo puede originar el cobro de una comisión, ya sea por la entidad emisora de la tarjeta o por la entidad propietaria del cajero, y no por ambas entidades.

Para comunicar este criterio a las entidades afectadas y garantizar su cumplimiento, el Banco de España ha acordado remitir sendos escritos a la Asociación Española de Banca (AEB), la Confederación Española de Cajas de Ahorro (CECA), la Unión Nacional de Cooperativas de Crédito (UNACC), la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y la Asociación Española de Entidades de Pago (ANAED), como asociaciones representativas de las entidades supervisadas que desarrollan actividad de servicios de pago, instando a las entidades intervinientes en esta operativa a que adopten las medidas necesarias para garantizar que, en cada operación, se procede al cobro de la comisión sólo por una de ellas.

Conviene recordar que en España existen tres redes de tarjetas (ServiRed, Telebanco 4B y Euro 6000) y que cada banco está adherido a una de esas redes. Generalmente, la retirada de efectivo en cajero de la misma entidad suele ser gratuito (p. ej. retirada de efectivo en cajero de Banco Santander con tarjeta 4B emitida por Santander), pero las entidades cobran una comisión por retirar dinero de cajeros pertenecientes a la misma red pero que son de otra entidad (p. ej. sacar dinero en cajero de Banco Popular con tarjeta 4B emitida por el Banco Santander).

Cuando vamos a sacar dinero de un cajero de una entidad distinta, esta entidad (la que ha prestado el cajero automático en la operación de retirada de efectivo) cobra a la entidad emisora de la tarjeta la denominada tasa de intercambio. Sobre el concepto de la tasa de intercambio sus límites en las operaciones con tarjeta puede consultarse otra entrada de este mismo blog.

Legalmente, la tasa de intercambio se define como toda comisión o retribución pagada, directa o indirectamente, por cada operación efectuada entre los proveedores de servicios de pago del ordenante y del beneficiario que intervengan en una operación de pago mediante tarjeta. Así pues, las Tasas Multilaterales de Intercambio (TIM) son las tasas que las entidades bancarias se pagan entre sí para que se puedan realizar las transacciones comerciales, sin importar que las tarjetas correspondan o no a la entidad que realiza la transacción. Si no existieran las tasas de intercambio, el cliente sólo podría pagar con tarjeta de crédito en aquellos comercios que tuvieran un acuerdo con su entidad emisora y sólo podrían sacar dinero en cajeros de su propia entidad. Lo que sucede es que, a su vez, la entidad suele repercutir al cliente el coste de esa tasa de intercambio o, al menos, trasladarle parcialmente el importe de esa tasa que debe pagar a la entidad emisora de la tarjeta.

La alarma saltó cuando CaixaBank anunció que iba a cobrar directamente una comisión de dos euros a los no clientes por sacar dinero de sus cajeros, en lugar de aplicar la tasa de intercambio correspondiente a los bancos emisores de las tarjetas utilizadas, práctica bancaria que iba a ser seguida igualmente por “los grandes”, tal y como habían anunciando también BBVA y Santander, así como alguna otra entidad, quedando otras como Popular a la espera de lo que hiciese la competencia.

El argumento utilizado por las entidades es que han realizado grandes inversiones para renovar las infraestructuras de los cajeros automáticos y que ello justifica el cobro de la comisión. No obstante, el Banco de España en su comunicado hace notar que la retirada de efectivo, ya sea en cajero de la propia entidad emisora de la tarjeta o en cajero de otra entidad distinta, es un único servicio de pago y, por tanto, sólo genera una única comisión. Por todo ello es importante saber qué bancos pertenecen a cada uno de los sistemas de pago.

  

· ServiRed. La Sociedad Española de Medios de Pago, S.A. es el esquema de medios de pago líder en España. Cuenta con 40 millones de tarjetas emitidas, 945.860 comercios y cerca de 34.000 cajeros. ServiRed tiene 93 miembros (bancos, cajas de ahorros y cooperativas de crédito), de los cuales 72 son accionistas de la sociedad. Entre otros, pertenecen a Servired: Grupo BBVA; Grupo CaixaBank; Grupo Bankia; Grupo CatalunyaCaixa; Grupo Bankinter; Grupo Banco Sabadell; Grupo Caja España-Duero; Grupo Cooperativo Cajamar; Grupo Caja Rural; Barclays; Citibank; Deutsche Bank; Banco Mediolanum; Novanca; Banca Pueyo; Triodos Bank, etc. (Listado completo).

· Sistema 4B. Es un sistema de medios de pago participado por bancos españoles con el objetivo de impulsar los medios de pago electrónicos a través de tarjetas, como sustitución del efectivo, garantizando la calidad y confianza en el servicio del cliente final y la reducción de costes operativos para los bancos. 4B tiene emitidas 20 millones de tarjetas, tanto de débito como de crédito; cuenta con 12.752 cajeros automáticos de la red Telebanco 4B y ya admiten sus tarjetas 455.680 comercios que se han adherido a la red. Las entidades adheridas al sistema 4B son Banco Santander; Banco Popular Español; Banco Español de Crédito; Banca March; Bancopopular-e.com; Iberagentes Popular Banca Privada; Banif Banca Privada; Open Bank; Santander Consumer Finance; Banco Cetelem; Banco Inversis Net; Eurocrédito E.F.C.; Iberiacards; ING Direct; Servicios Financieros Carrefour y Targo Bank. (Listado completo).

· Euro 6000. Es un sociedad anónima cuyo objeto es administrar las redes y productos de medios de pago promovidos conjuntamente por sus entidades participantes, desarrollar productos, proyectos o servicios que aporten beneficios a los miembros y representarlos frente a otros sistemas pago naciones e internacionales. Cuenta con 18.098 cajeros y 142.627 terminales en comercios adheridos. Las entidades adheridas a Euro 6000 son: Cecabank; Banco Mare Nostrum (BMN); IberCaja; Unicaja Banco; Caixa Ontinyent; Evo Banco; Kutxabank; BBK; Liberbank; Abanca; CajaSur; Vital; Cofidis y Pagantis. (Listado completo).

Para profundizar en las medidas adoptadas por el Gobierno con el Real Decreto-ley 11/2015, de 2 de octubre, prohibiendo el cobro de comisiones a clientes por los propietarios de los cajeros y regulando el régimen del cobro de comisiones a las entidades emisoras de tarjetas recomendamos la consulta de otro artículo de este blog: Nuevo modelo de comisiones por retirada de efectivo en cajeros automáticos.