Ciberseguridad institucional: “phishing” del dominio de la CNMV

 

 Contexto: la ciberdelincuencia y la jurisprudencia civil y penal

 

En este blog nos hemos referido con frecuencia a la ciberseguridad como uno de los extremos esenciales de la regulación y la supervisión pública y privada de la tecnofinanzas (fintech). En particular, hemos dado cuenta de la jurisprudencia civil y penal sobre la ciberdelincuencia y sobre los fraudes informáticos en el mercado bancario:

a) En la jurisprudencia civil, hemos destacado, entre otras, la Sentencia de 20 de junio de 2012 de la Sección 2ª de la Audiencia Provincial de Bilbao (PROV 2013\132086), la Sentencia núm.91/2013, de 7 de febrero de 2013 de la Sección 2ª de la Audiencia Provincial de Badajoz (Recurso de apelación 3/2013, PROV 2013\91133), La Sentencia núm.151/2013, de 7 de marzo de 2013 de la Sección 14ª de la Audiencia Provincial de Barcelona (Recurso de apelación 150/2012, PROV 2013\171665), la Sentencia núm.1027/2013, de 14 de mayo de 2013 de la Sección 4ª de la Audiencia Provincial de Zaragoza (Recurso de apelación 116/2013, PROV 2013\197766), la Sentencia núm.178/2015, de 4 de mayo de 2015 de la Sección 9ª de la Audiencia Provincial de Madrid (Recurso de apelación 661/2013, PROV 2015\151311) y la Sentencia núm.429/2016, de 10 de noviembre de 2016, de la Sección 3ª de la Audiencia Provincial de Vizcaya (Recurso de apelación 386/2016, AC 2016\2241)

Estas Sentencias se han referido a diferentes modalidades de fraudes informáticos en los mercados financieros tales como la clonación de tarjeta en comercio o en un banco “pisica” (gato en lengua rumana); al lazo libanés o falsa boca en cajero en que se introduce la tarjeta, skimming o carcasa superpuesta que tiene diferentes variantes; y al phising o el pharming, que consiste en introducirse en un servidor ya sea local o ISP, a través de hackers o a través de virus o spyware en los ordenadores, o keyloogers que registra todas las teclas que el usuario oprime en el teclado para capturar claves, contraseñas; o el hacking o variantes del hijacking o secuestro o modificación de IP, o page, o módem, o browser, etc..

a) En la jurisprudencia penal, hemos dado cuenta de la Sentencia núm.92/2017, de 16 de febrero de 2017, de la Sección 1ª de la Sala Segunda de lo Penal del Tribunal Supremo (Ponente: Excmo. Sr. Cándido Conde-Pumpido Touron, Recurso de casación 1245/2016, RJ 2017\647, LA LEY 4627/2017) que resolvió un caso de manipulación de un dominio de internet de una empresa pública española para estafar a varias empresas extranjeras. En efecto, a partir del mes de agosto de 2010, un conjunto de personas, actuando desde varios países (fundamentalmente Nigeria y España) decidieron aprovecharse del prestigio internacional de MAYASA, MINAS DE ALMADÉN Y ARRAYANES SA, empresa española dedicada a la explotación y comercialización de recursos naturales (en especial mercurio), para obtener un beneficio económico injustificado. Para ello, crearon el dominio www.mayasaespana.com, alojado en el Reino Unido y desarrollaron una página web a la que se accedía a través de dicho dominio, imitando el estilo, diseño y contenido de la auténtica página web www.mayasa.es, perteneciente a la empresa española, eliminando los datos de contacto auténticos y sustituyéndolos por otros. De esta manera, cuando los clientes de MAYASA accedían por error a la página web alojada en el dominio www.mayasaespana.com, se les facilitaban teléfonos de contacto y direcciones de correo electrónico que correspondían a personas que actuaban en concierto con los que habían creado la falsa página web. Así, los clientes de MAYASA, creyendo estar en contacto con empleados o agentes comerciales de dicha entidad, contactaron con personas que nada tenían que ver con la empresa, quienes, actuando en colaboración con los que habían creado la falsa página web, ofrecían partidas de mercurio a precios ventajosos, exigiendo que se remitiera a las cuentas por ellos designadas cantidades en efectivo por adelantado, en concepto de señal o como confirmación de los pedidos. En concreto, los tres acusados, en ejecución del plan preconcebido, lograron que 4 empresas extranjeras les adelantaran cantidades de dinero ocasionándoles los siguientes daños: a una empresa radicada en la India, 17.283,44 euros; a una empresa radicada en Arabia Saudí, 23.154 euros; a ua empresa radicada en Singapur, 99.799,95 euros; y a una empresa radicada en Turquía, 14.000 euros.

El lector interesado puede ver la entrada del pasado 17 de abril de 2017 sobre “FINTECH, ciberseguridad, manipulaciones de dominios de internet, “pishing” y responsabilidad bancaria: Jurisprudencia civil y penal reciente”.

 

El comunicado de la CNMV de 6 de septiembre de 2018 sobre el phishing de su dominio

 

A la vista del contexto que acabamos de describir, nos parece particularmente oportuno hacernos eco, en este blog, del reciente comunicado publicado por la CNMV el pasado día 6 de septiembre de 2018 sobre el envío de comunicaciones por correo electrónico en las que se utiliza el dominio cnmv.es, se suplanta la identidad e imagen de la CNMV y se incluye un enlace fraudulento en el que se pide al destinatario datos personales.

Entre las actuaciones necesarias para mitigar los efectos potencialmente dañosos del envío de estos correos falsos (phishing) se encuentra la de informar de ello a los ciudadanos para prevenir que algún usuario pueda ser víctima de fraudes o actividades engañosas. Es por ello por lo que la CNMV, en su comunicado, aconseja desconfiar de cualquier comunicación que incluya la petición de información confidencial, económica o personal o incluya cualquier enlace de apariencia sospechosa; borrar este tipo de correos y no contestar ni abrir los enlaces o archivos adjuntos que puedan contener. Agradece igualmente la colaboración ciudadana para informar de este tipo de fraudes y considera útil que quien tenga conocimiento de un caso de este tipo remita a la Comisión el correo original para que sea posible el análisis correspondiente.

En conclusión, nos parece que el comunicado de la CNMV es pertinente y especialmente oportuno a la vista tanto de las funciones decisivas que esta entidad desempeña en nuestro mercado de valores, entre las que destaca la protección de los inversores (art.17.2 TRLMV) como de la extraordinaria importancia práctica que tiene su página web para servir de cauce para la publicidad oficial de los folletos informativos, los informes financieros de las sociedades cotizadas, los hechos relevantes, los intermediarios habilitados, los fondos de inversión y de titulización y las demás circunstancias recogidas en el art.238 del TRLMV sobre los registros públicos relacionados con los mercados de valores que gestiona la CNMV. En definitiva, el comunicado es una aportación significativa de nuestra CNMV a la ciberseguridad institucional.