El pasado miércoles, de acuerdo al sitio online del Washington Post, el FBI (Federal Bureau of Investigation de los Estados Unidos) anunció el arresto de 33 personas en los estados de California, Nevada y Carolina del Norte, como parte de la operación "Phish Phry" (algo asi como "fritar" a los phisers, evidente juego de palabras) destinada a desarticular a una banda internacional de phishers; la cual contaba con al menos otras 47 personas mas en Egipto, las cuales fueron acusadas por las autoridades de ese país. Según el buró, es el grupo mas grande de personas en enfrentar cargos por cibercrimenes.
De acuerdo a los cargos presentados, los acusados egipcios utilizaban correos electrónicos para atraer a clientes de los bancos estadounidenses Wells Fargo y Bank of America hacia sitios web falsos con el objetivo de obtener ilegalmente sus nombres de usuarios y passwords, para luego transferir dinero desde esas cuentas hacia otras abiertas por los acusados estadounidenses en las mismas instituciones (una explicación mas amplia del sistema de phishing se puede ver en el artículo publicado en este mismo blog en el mes de enero). Aunque la nota no lo mencione, este tipo de maniobras se completa cuando se retira el dinero por ventanilla de las cuentas receptoras y es enviado al país origen del delito (en este caso Egipto) mediante un giro monetario por agencias internacionales (para evitar asi los monitoreos sobre transferencias entre cuentas bancarias entre los paises centrales y ciertos paises "sospechosos" de albergar delincuentes informáticos). El grupo está acusado de haber sustraído aproximadamente un millón y medio de dólares estadounidenses, pero las autoridades indicaron que parte de ese dinero no pudo ser retirado ya que los mismos bancos identificaron esas cuentas como sospechosas. Los acusados norteamericanos enfrentan la posibilidad de ser condenados hasta con un máximo de 20 años de prisión.
Como dato de color, al día siguiente el mismo períodico online publicó un artículo refiriendo que el director del FBI Robert Mueller confesó que por haber sido víctima de un intento de phishing su familia dejó de hacer uso de los servicios bancarios online. De hecho fue su esposa quien le ordenó dejar de utilizarlos, a pesar de los intentos de Mueller por instruirla en técnicas para evitar caer en ese tipo de engaños. Por otra parte, el ex director de la división cibernética del buró, James Finch había expresado en su oportunidad que no iba a ceder frente a las amenazas cibernéticas dejando que el miedo le privara de las enormes ventajas que brinda Internet.
En relación con la experiencia de ser estafado mediante esta modalidad, en los Estados Unidos existe la ley federal llamada Electronic Funds Transfer Act ("Regulation E"). La misma establece los derechos de los consumidores asi como las responsabilidades de todos los participantes en actividades de transferencia electrónica de fondos. De acuerdo a la norma, si un consumidor (titular de una cuenta bancaria) denuncia dentro de los dos dias hábiles de haber sucedido una transferencia no autorizada de su cuenta, su pérdida se limita a U$S 50 o a la totalidad de la misma si fuera menor. Si la denuncia fuera posterior su pérdida podría llegar a los U$S 500 y finalmente, si el cliente no denunciara la operación fraudulenta dentro de los sesenta días hábiles, toda operación posterior no podrá ser opuesta al banco por lo que sus pérdidas pueden ser ilimitadas. En nuestro país, no hay legislación específica respecto de los derechos de los clientes bancarios en caso de estafas de este tipo. Las instituciones bancarias obligan a los clientes a aceptar los términos y condiciones de uso de banca electrónica, las cuales limitan fuertemente la responsabilidad de las mismas en caso de compromiso de usuario y password de acceso. De todas maneras, entendemos es de aplicación la Ley de Defensa del Consumidor 24.240 en cuanto a si las cláusulas de dichos Ts&Cs se ajustan a la misma.
Para finalizar, la nota indica la creciente gravedad del problema del phishing. En el pasado mes de junio, fueron creados mas de cuarenta y ocho mil sitios web dedicados exclusivamente a esta modalidad de estafa, de acuerdo con los datos del consorcio de la industria Anti-Phishing Working Group.
De acuerdo a los cargos presentados, los acusados egipcios utilizaban correos electrónicos para atraer a clientes de los bancos estadounidenses Wells Fargo y Bank of America hacia sitios web falsos con el objetivo de obtener ilegalmente sus nombres de usuarios y passwords, para luego transferir dinero desde esas cuentas hacia otras abiertas por los acusados estadounidenses en las mismas instituciones (una explicación mas amplia del sistema de phishing se puede ver en el artículo publicado en este mismo blog en el mes de enero). Aunque la nota no lo mencione, este tipo de maniobras se completa cuando se retira el dinero por ventanilla de las cuentas receptoras y es enviado al país origen del delito (en este caso Egipto) mediante un giro monetario por agencias internacionales (para evitar asi los monitoreos sobre transferencias entre cuentas bancarias entre los paises centrales y ciertos paises "sospechosos" de albergar delincuentes informáticos). El grupo está acusado de haber sustraído aproximadamente un millón y medio de dólares estadounidenses, pero las autoridades indicaron que parte de ese dinero no pudo ser retirado ya que los mismos bancos identificaron esas cuentas como sospechosas. Los acusados norteamericanos enfrentan la posibilidad de ser condenados hasta con un máximo de 20 años de prisión.
Como dato de color, al día siguiente el mismo períodico online publicó un artículo refiriendo que el director del FBI Robert Mueller confesó que por haber sido víctima de un intento de phishing su familia dejó de hacer uso de los servicios bancarios online. De hecho fue su esposa quien le ordenó dejar de utilizarlos, a pesar de los intentos de Mueller por instruirla en técnicas para evitar caer en ese tipo de engaños. Por otra parte, el ex director de la división cibernética del buró, James Finch había expresado en su oportunidad que no iba a ceder frente a las amenazas cibernéticas dejando que el miedo le privara de las enormes ventajas que brinda Internet.
En relación con la experiencia de ser estafado mediante esta modalidad, en los Estados Unidos existe la ley federal llamada Electronic Funds Transfer Act ("Regulation E"). La misma establece los derechos de los consumidores asi como las responsabilidades de todos los participantes en actividades de transferencia electrónica de fondos. De acuerdo a la norma, si un consumidor (titular de una cuenta bancaria) denuncia dentro de los dos dias hábiles de haber sucedido una transferencia no autorizada de su cuenta, su pérdida se limita a U$S 50 o a la totalidad de la misma si fuera menor. Si la denuncia fuera posterior su pérdida podría llegar a los U$S 500 y finalmente, si el cliente no denunciara la operación fraudulenta dentro de los sesenta días hábiles, toda operación posterior no podrá ser opuesta al banco por lo que sus pérdidas pueden ser ilimitadas. En nuestro país, no hay legislación específica respecto de los derechos de los clientes bancarios en caso de estafas de este tipo. Las instituciones bancarias obligan a los clientes a aceptar los términos y condiciones de uso de banca electrónica, las cuales limitan fuertemente la responsabilidad de las mismas en caso de compromiso de usuario y password de acceso. De todas maneras, entendemos es de aplicación la Ley de Defensa del Consumidor 24.240 en cuanto a si las cláusulas de dichos Ts&Cs se ajustan a la misma.
Para finalizar, la nota indica la creciente gravedad del problema del phishing. En el pasado mes de junio, fueron creados mas de cuarenta y ocho mil sitios web dedicados exclusivamente a esta modalidad de estafa, de acuerdo con los datos del consorcio de la industria Anti-Phishing Working Group.