Responsabilidad de las entidades bancarias en los ciberdelitos

1.- Introducción

Hoy vamos a hablar de la responsabilidad de los bancos cuando se produce un ciberdelito. Como sabemos, determinadas estafas informáticas engañan a la víctima y a la vez eluden las medidas de seguridad de las entidades bancarias. Este mal funcionamiento de los mecanismos de protección puede derivar en una responsabilidad para las entidades bancarias.

Este tipo de delitos se centran en obtener las credenciales bancarias del usuario a fin de poder realizar operaciones sin su consentimiento o inducirle a pensar que la operación es correcta. Pero en realidad está realizando operaciones equivocadas, enviando el dinero a otra cuenta de destino.

Conjunto de tarjetas de crédito en referencia a la responsabilidad de los bancos cuando se produce un ciberdelito utilizándolas

Con independencia del método empleado por el atacante (phishing, fraude al CEO y sus múltiples variantes) la clave de estas operaciones radica en que se producen operaciones no consentidas por el usuario y que las medidas de seguridad de la entidad bancaria no han sido capaces de reaccionar.

2.- ¿Hay responsabilidad del banco cuando se produce un ciberdelito o es responsable la víctima?

Aunque ésta es la primera pregunta que mucha gente se plantea ante estos supuestos, debemos recordar que el “el gran responsable” es el atacante y en general las acciones judiciales siempre deberían ir encaminadas a su localización y enjuiciamiento.

Si bien, siempre debemos tener en cuenta que el ordenamiento jurídico impone a los distintos operadores del mercado financiero una serie de obligaciones, proporcionales al rol que ocupan, que deben cumplir para el buen funcionamiento de este.

De esta forma, a pesar de que el atacante sea un tercero y su conducta sea perseguible y punible, en ocasiones debe analizarse si las acciones del resto de partes afectadas han sido correctas o bien, han podido propiciar, favorecer o permitir el daño.

3.- Responsabilidad de los bancos cuando se produce un ciberdelito

La responsabilidad en este tipo de asuntos y con respecto a las entidades bancarias es de carácter civil.  Que se define como la obligación de toda persona (física o jurídica) de pagar por los daños y perjuicios que cause (directa o indirectamente) en la persona o el patrimonio de otra. 

La responsabilidad civil puede surgir de muchísimas formas y tendrá un tratamiento distinto en función del ámbito o suceso. Así, no se aplican las mismas normas en los accidentes de tráfico o laborales que en negligencias médicas o estafas informáticas.

En el caso que abordamos en el presente artículo, la posible responsabilidad de los bancos cuando se produce un ciberdelito, surge de la obligación que la ley impone a estas entidades de autenticar las operaciones de pago y garantizar así que el cliente ha consentido dicha operación.

Continuar leyendo “Responsabilidad de las entidades bancarias en los ciberdelitos”

Las estafas de inversión en criptomonedas

Introducción

Hoy vamos a hablar de distintos supuestos de estafas con criptomonedas, si bien, antes de llegar a ello, revisaremos brevemente el concepto de estafa y las diversas formas de cometerla que ha ido recogiendo nuestra legislación Penal hasta la fecha.

El nombre de “estafa” aparece por primera vez en el Código Penal de 1822, cuyo artículo 766 contenía un concepto enumerativo atendiendo a las diversas formas o medios para cometerla, definiéndola así: 

“Cualquiera que con algún artificio, engaño, superchería, práctica supersticiosa y otro embuste semejante, hubiese sonsacado a otro, dinero, efectos o escrituras, o le hubiere perjudicado de otra manera en sus bienes, sin alguna circunstancia que le constituyere en verdadero ladrón, falsario o reo de otro delito especial”.

Esta fórmula, con más o menos medios comisivos o formas de ejecución, se mantuvo en el tiempo en los sucesivos códigos de 1848, 1870, 1928 y 1944. Después de los “parches” de 1963 y 1973 y siguiendo la definición acuñada por Antón Oneca se alcanzó en 1983 el concepto legal unitario de la estafa:

 “La conducta engañosa, con ánimo de lucro, propio o ajeno, que, determinando un error en una o varias personas, les induce a realizar un acto de disposición consecuencia del cual es un perjuicio en su patrimonio o en el de un tercero”.

De esta forma, el delito de estafa quedó configurado con una serie de elementos esenciales como son:

1) La utilización de un engaño previo, por parte del autor del delito, y bastante como para generar un riesgo no permitido para el bien jurídico.  La suficiencia, idoneidad o adecuación del engaño ha de establecerse con arreglo a un baremo mixto objetivo-subjetivo, en el que se pondere tanto el nivel de perspicacia o comprensión del ciudadano medio como las circunstancias específicas que individualizan la capacidad del sujeto pasivo en el caso concreto. 

2) El engaño ha de desencadenar el error del sujeto pasivo de la acción.

3) Debe darse también un acto de disposición patrimonial del sujeto pasivo, debido precisamente al error, en beneficio del autor de la defraudación o de un tercero. 

4) La conducta engañosa ha de ser ejecutada con dolo y ánimo de lucro. 

5) De ella tiene que derivarse un perjuicio para la víctima, perjuicio que ha de aparecer vinculado causalmente a la acción engañosa (nexo causal o naturalístico) y materializarse en el mismo, el riesgo ilícito que para el patrimonio de la víctima supone la acción engañosa del sujeto activo.

Estos elementos, aunque en apariencia, fáciles de interpretar, nunca han estado exentos de discusión. Destacando sobre todo la difícil concreción de lo que es un engaño y lo que se considera “bastante”.

Continuar leyendo “Las estafas de inversión en criptomonedas”

Ciberseguros, los salvavidas de la navegación moderna

Síguenos en |     

“Años atrás, sin importar cuántos, hallándome con poco o ningún dinero en la faltriquera, y sin nada que me interesara especialmente en tierra, se me ocurrió hacerme a la mar por una temporada, a ver la parte acuática del mundo.”

Melville, Herman. Moby Dick, Capítulo I

1.- Introducción

Siempre he pensado, seguro que como muchos otros, que el mundo marino y el de Internet son ciertamente similares. No en vano se ha decidido reutilizar el término: “navegación”.

Tanto uno como otro sirvieron en sus orígenes uno para expandir el horizonte del hombre, generaron nuevas formas de comercio, de intercambio de noticias, de gentes (y su privacidad), pero también ataques, piraterías y guerras. Como vemos, comparten ventajas, amenazas y últimamente soluciones.

Imagen con elementos conceptuales que simbolizan la ciberseguridad en la navegación web.
Seguridad en la navegación, elaboración propia.

Me refiero sin duda a los ciberseguros

La cuestión es que Internet hoy es igual a muchas cosas positivas, pero también implica muchos ataques informáticos, de forma constante y regular, y además cada vez de mayor escala (solo en 2018 España recibió 102 ciberataques graves, es decir, dirigidos a infraestructuras críticas como centrales eléctricas o nucleares). Si pasamos del Internet conocido al Internet de las Cosas, España en la primera mitad de 2018 recibió más ciberataques que nadie.

Por tanto, hacer frente a esos ataques, con las correspondientes medidas de seguridad, pero también con las precauciones debidas si al final sufrimos un daño, es una cuestión básica. Es ahí donde entran en juego los ciberseguros. 

El mundo marino en sus inicios no estaba exento de riesgos, como es lógico. De hecho, aventurarse en el mar era una gran odisea hasta hace no mucho tiempo. De modo que las gentes de mar, o quien tenía intereses económicos “navegando”, comenzaron a elaborar una serie de pactos, acuerdos y normas que hoy son lo que conocemos como “seguros”.

Continuar leyendo “Ciberseguros, los salvavidas de la navegación moderna”

La vuelta al mundo en una transferencia internacional de datos

Síguenos en |     

“¿Acaso la Tierra ha disminuido?

– Sin duda que sí- respondió Gualterio Ralph-. Opino como míster Fogg. La Tierra ha disminuido, puesto que se recorre hoy diez veces más aprisa que hace cien años.”

La vuelta al mundo en 80 días, Capítulo III
Julio Verne

La anterior frase, del genial libro “La vuelta al mundo en 80 días” de Julio Verne, fue publicada en 1872, cuando la Tierra empezaba a quedarse “pequeña”. Hoy un turista puede dar la vuelta al mundo en una semana, la Estación Espacial Internacional tarda aproximadamente hora y media y seguramente nuestros datos personales se propagan a través de todos los servidores del globo en cuestión de minutos. Así que hoy, nuestro querido planeta tiende a diminuto.

Sin embargo, no vamos a hablar hoy de viajes de personas, sino de cómo pueden viajar nuestros datos personales entre los distintos países.

Ahora que se ha cumplido un año de la entrada en vigor del Reglamento General de Protección de Datos (en adelante RGPD), posiblemente una de las norma más importantes de lo que llevamos de siglo, nos vamos a adentrar en una parte muy concreta de ese mundo: las transferencias internacionales de datos.

En primer lugar, repasemos unos cuantos conceptos clave que nos serán de ayuda durante todo el viaje:

1.- Ámbito de aplicación RGPD

Como ya sabemos, el  famoso RGPD se aplica al tratamiento de datos personales y afecta en principio a responsables y encargados de los países miembros del Espacio Económico Europeo, independientemente de que el tratamiento de los datos tenga lugar en la Unión o no.  

Sin embargo, el Reglamento también se aplica a responsables o encargados no establecidos en la Unión cuando las actividades de tratamiento estén relacionadas con:

A) La oferta de bienes o servicios a dichos interesados en la Unión.

B) El control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Sin olvidar aquellos casos en los que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Con lo cual, el territorio sobre el que se aplicará el RGPD es bastante más amplio – y difuso – de lo que podemos pensar inicialmente.

2.- ¿Qué es una transferencia internacional de datos?

Las transferencias internacionales de datos suponen un flujo de datos personales a terceros países fuera del Espacio Económico Europeo. Es decir, allí donde no se aplica el RGPD.

Continuar leyendo “La vuelta al mundo en una transferencia internacional de datos”

Cómo redactar un contrato de pentesting

Síguenos en |     

Érase una vez un ciudadano particular que se acababa de comprar una casa y al que le preocupaba mucho la seguridad.

Le habían dicho que la barriada en la que había comprado la casa era muy tranquila, pero aún así quería saber lo segura que resultaba. Sin embargo, no tenía claro cómo hacerlo. Entonces pensó en algo: le daría las llaves a uno de sus mejores amigos (que era vigilante de seguridad) y le pediría que examinara por dentro y por fuera la casa, para descubrir cómo alguien podría llegar a entrar.

De esa manera, su amigo debía probar las ventanas, las cerraduras o cómo de resistente era la valla. El objetivo era descubrir cualquier posible vía de entrada en la casa para por ejemplo, robar algo. Hecha la prueba, el amigo le dijo que había encontrado una ventana que cerraba mal y una cerradura mal instalada.

Lo que el amigo de nuestra pequeña historia había hecho era lo que en el mundo de la ciberseguridad se llama un escáner de vulnerabilidades. Es decir, el primer paso para conocer las fortalezas, debilidades y necesidades de tu negocio desde el punto de vista de la ciberseguridad.

¿Pero era eso un pen test? No, era solo el primer paso para llegar a uno. Es decir, y siguiendo con la analogía de la casa, ahora que nuestro ciudadano particular ya sabía que la casa tenía algunas vulnerabilidades, lo siguiente que iba a hacer era contratar a un “ladrón”. El objetivo ahora era que esa persona entrara en la casa y se hiciera con todo lo posible, para lo que debía aprovecharse de las vulnerabilidades conocidas (o nuevas que encontrara). Por ejemplo, quizá el ladrón pudiera acceder a la casa gracias a la ventana que cerraba mal. Ahora bien, la alarma se disparaba correctamente y eso hacía que lo pudieran acabar deteniendo.

Eso sí sería un pentesting, pen test, penetration test o examen de penetración, o lo que es lo mismo, un ataque a un sistema informático con la intención de encontrar las debilidades de seguridad y todo lo que podría tener acceso a ella, su funcionalidad y datos. De esa forma, una prueba de penetración puede ayudar a determinar si un sistema es vulnerable a los ataques, si las defensas (si las hay) son suficientes y no fueron vencidas.

password-2781614_1920.jpg

Continuar leyendo “Cómo redactar un contrato de pentesting”