Fraude electrónico

En la actualidad es muy sencillo comprar un nombre de dominio y diseñar una página web. Estas dos actividades suelen ser muy económicas, e incluso llegan a ser gratuitas en algunos casos. Otra cosa que suele ser muy fácil en internet es ser anónimo o crear identidades falsas. Los cibercriminales aprovechan estos factores para cometer fraudes electrónicos en la web. A continuación veamos algunos ejemplos (casos 100% reales):

 

Caso 1) Transacciones con dinero ajeno

Un ciberdelincuente tiene en su poder una gran cantidad de datos de tarjetas de crédito o débito que han sido clonadas (vía skimming o phishing). Entre la información con la que cuenta están los datos personales de los titulares de las tarjetas clonadas. Ello le permite hacer cargos por internet como si fuera la víctima.

Si compra productos físicos -que deban de ser enviados a una dirección postal-, se estaría arriesgando a ser descubierto, salvo que use un “PO Box” (buzón postal) o direcciones que no le pertenezcan para recibir los artículos comprados. En ambos casos, aunque el riesgo de ser ubicado disminuye, de todas maneras existe.

¿Cómo hacer dinero con tarjetas de crédito clonadas de manera 100% segura? Hay dos opciones principalmente:

  1. Vender esos datos en portales de hackers (carding forums) y dejar que otros encuentren maneras para hacer dinero con esa información, o
  2. Venderle a terceros productos comprados con esas tarjetas clonadas.

La primera opción, aunque viable y sencilla, les deja poco dinero a los delincuentes. Desde $0.50 centavos hasta $20 dólares por tarjeta. Donde está el dinero es en la segunda alternativa. El siguiente es un caso real de un cliente. Se trata de una empresa que ofrece servicios de transporte de pasajeros. Ha detectado que en Facebook, numerosas personas ofrecen sus boletos con un 40% y hasta 50% “de descuento”.

¿Cómo opera esta modalidad? Los cibercriminales abren perfiles falsos. Una vez hecho esto, ofrecen al público los “boletos con grandes descuentos” para viajar por X empresa de transporte. Incluso abren grupos en Facebook que llegan a tener cientos de usuarios. Siempre dejan saber a la audiencia el sentido de urgencia: “solo hoy, aprovecha…” o “este descuentazo es por tiempo limitado…” Al usuario le prometen enviarle su boleto por internet con su nombre una vez hecho el pago del mismo. Una vez que tienen los datos del viajero, van al portal web de la compañía de autobuses y le compran el boleto a su nombre con datos de tarjetas clonadas.

Todo se hace por internet, no hay riesgo de ser “capturado” en ningún momento. Los pagos (depósitos) suelen pedirse a través de medios irrastreables. En lugar de obtener $40 o $50 pesos por esa tarjeta en un “foro de tarjeteros” (sin posibilidad de volver a utilizarla), en una sola transacción el delincuente ganó $150 pesos vendiendo un solo boleto de autobús. El cibercriminal sigue haciendo transacciones hasta que la tarjeta deje de funcionar, una vez que el titular ha reportado (o el banco ha detectado) la clonación. Una vez que esto sucede, usa la siguiente tarjeta que tiene clonada y así sucesivamente. Al ser operaciones pequeñas, difícilmente llamarán la atención de los sistemas de alerta automatizados de los bancos.

La empresa de autobuses no pierde dinero. A ella le pagan el precio real del boleto, con una tarjeta clonada. El que compra el boleto para viajar tampoco pierde, salvo que la empresa de transporte actúe lo suficientemente rápido y cancele el boleto antes que el pasajero aborde la unidad. Quien siempre sale perdiendo es la persona cuya tarjeta fue clonada.

Si bien la empresa transportista recibe el dinero por la compraventa de sus boletos, si existen dos riesgos para ella: (a) contracargos cuando el dueño de la tarjeta desconozca la transacción, o (b) que el banco suspenda la cuenta de la empresa por estar recibiendo pagos con tarjetas clonadas.

Aunque aquí usamos como ejemplo una empresa de autobuses, la mecánica puede ser utilizada para comprar cualquier clase de boletos (conciertos, obras de teatro, avión, cine, etc.) o productos que no impliquen entrega física (descargas por internet).

 

Caso 2) Falsos vendedores, falsas ventas

Como lo comentamos al inicio de esta nota, en internet es muy fácil ser anónimo o crear una identidad falsa. Los cibercriminales se aprovechan de portales de avisos clasificados, sitios web apócrifos (creados por ellos mismos), redes sociales o mercados de compradores (como Mercadolibre) para publicar anuncios de venta de productos muy atractivos por su precio. Veamos algunos casos reales a continuación.

Un grupo de ciberdelincuentes conocen el valor que llega a tener un autobús en el mercado. De una simple consulta en Mercadolibre se han dado cuenta que un autobús usado o seminuevo puede venderse entre $1,200,000 hasta $4,500,000 de pesos. Han hecho una búsqueda en internet y han recolectado fotografías de autobuses de cierta marca popular en México. Incluso pudieron haber tomado las fotos ellos mismos al comprar un boleto y estar en el patio de una central de autobuses.

A través de una empresa europea -y con datos falsos-, registraron un nombre de dominio mexicano con un nombre que tiene relación con el mercado www.___bus.com.mx. Diseñaron un sitio web de mediana calidad en donde se aprecian numerosas fotografías de autobuses de una marca reconocida en México, con un listado de sus características. El sitio parece legítimo, tiene una “política de privacidad” genérica y han colocado como dirección las instalaciones del Aeropuerto (de donde sale transportación terrestre a diversos destinos).

Los autobuses están a la “venta” por precios de entre $600,000 y $800,000 pesos. Cuando llegan los interesados les piden hagan un depósito por la totalidad (o un anticipo del 50%) de la operación a una cuenta de Banco Azteca, que está aperturada a nombre de una sociedad mercantil que casualmente lleva en el nombre la marca de autobuses. Una vez hecho el pago los “compradores” no vuelven a saber del “vendedor”. Desesperados se presentan directamente en las oficinas de la empresa X en la central de autobuses esperando recibir su autobús en ese momento.

 

Caso 3) El 4×4 que siempre quisiste

Estás buscando el auto de tus sueños, un Jeep Wrangler. Llegaste a una página de anuncios clasificados y ves fotos de un todoterreno impecable, luce en excelentes condiciones. El precio es muy atractivo, sin duda por debajo del promedio de mercado. La persona que lo vende en su anuncio dice más o menos lo siguiente: “Me urge vender mi jeep por cambio de residencia”.

Cuando te pones en contacto con la persona te dice que lo acaban de mandar a trabajar a California y se tuvo que llevar su Jeep con él para no dejarlo abandonado en la Ciudad de México. De entrada la posibilidad de ver físicamente el vehículo ha desaparecido. Para darte confianza, el mismo vendedor te sugiere hacer una “transacción segura” a través de una empresa “escrow”. Dicha figura jurídica es muy común en Estados Unidos y Europa, sin embargo poco conocida en México.

Se trata de empresas “intermediarias” en una transacción comercial, que reciben el dinero que paga el comprador y lo retienen hasta en tanto no haya recibido el producto. Solo hasta que el comprador haya confirmado que recibió el producto, entonces se libera el pago y se hace llegar al vendedor el dinero.

Después de explicarte cómo funciona esta “transacción segura” te mandan a la página web de la “empresa escrow”, que al igual que el ejemplo anterior, se trata de un sitio diseñado por los propios ciberdelincuentes para hacer pensar a sus víctimas que si hacen transacciones comerciales a través de ellos, no tienen nada de qué preocuparse. “Su operación está segura con nosotros, si no recibe el producto le regresamos su dinero.”

Te prometen hacerte llegar el vehículo a través de una madrina, tan pronto como reciban notificación de la “empresa escrow” sobre el depósito que realizaste. El vendedor te asegura: “yo no recibiré el dinero sino hasta que tú hayas recibido el Jeep en la puerta de tu casa.” Como la empresa intermediaria está ubicada en Estados Unidos, tendrás que hacer la transferencia a través de Western Union o servicios similares. Una vez que pagas, no volverás a saber ni del “vendedor” ni del “agente escrow”.

 

Caso 4) Las vacaciones de tus sueños

Te fuiste de vacaciones a Cancún. Caíste en el gancho no de uno, sino de varios vendedores de tiempos compartidos. Te invitaron a desayunar, te ofrecieron un tour gratis u otras pequeñas recompensas a cambio de que aceptaras una presentación para venderte los famosos tiempos compartidos. Compres o no compres, lo menos que obtuvieron de ti son tus datos personales e información sobre tu estilo de vida (dónde sueles vacacionar, con quién viajas, cada cuándo sales de vacaciones, etcétera).

Regresas a la realidad, y no ha pasado ni una semana de que terminaron tus vacaciones, cuando recibes una llamada telefónica de una persona muy atenta que te saluda con mucha familiaridad: “¡Buenas tardes Señor Hernández! ¿Cómo está? ¿Ya se le pasó ese tremendo bronceado que agarró en Cancún? Soy Pedro López… ¿me recuerda? Nos conocimos en el Hotel X / el Tour Y / el malecón Z… Sabiendo que se pasó unas vacaciones increíbles, quiero aprovechar la oportunidad para ofrecerle la renta de su tiempo compartido que tiene en el Resort Dreams. Tengo unos clientes magníficos que están interesados en rentar unas semanas de tiempo compartido en Cancún y están ofreciendo hasta $100,000 pesos por rentar dos semanas en Resort Dreams. Sabemos que usted tiene en su paquete una suite, ¿le interesaría rentarla?

Después del lavado de cerebro viene el engaño. “Pedro López” simula que tiene a los clientes interesados en otra línea: “Señor Hernández, me dice mi cliente que quiere cerrar ya el trato porque le prometió a su esposa que irían a ese hotel en semana santa. ¿Está usted listo para cerrar la operación? Lo único que tiene usted que hacer es pagar la cuota de mantenimiento y los impuestos, cantidad que asciende a $20,000 pesos aproximadamente. ¿Podría hacer el depósito ahorita?“.

$80,000 pesos de ganancia en una llamada telefónica de 10 minutos… ¿no suena nada mal verdad? En ocasiones el engaño va más allá, y en lugar de ofrecer la renta del tiempo compartido ofrecen comprarlo (la transferencia de los derechos del contrato). “¿Cuánto vale su contrato Señor Hernández? -$850,000 pesos-… Permítame un momento, déjeme lo consulto con mi cliente… ¡Me dice que le ofrece un millón doscientos mil pesos si cierran ahorita el trato! ¿Qué le parece? ¡Es un gran negocio Señor Hernández! Usted solo tendría que pagar los impuestos y las cuotas de mantenimiento, suma que aproximadamente es de $200,000 pesos“.

Como se han de imaginar, después de depositar esos $20, $50, $100 o $200 mil pesos, el Señor Hernández jamás volvió a saber nada del supuesto “comprador” / “sub-arrendatario”, y menos aún, del “Señor López”.

¿Y dónde está la parte electrónica o cibernética del engaño? En la mayoría de las ocasiones, estos delincuentes se aprovechan de las maravillas de internet para construir páginas apócrifas que lucen casi como las originales de prestigiados hoteles o resorts. Al tener un nombre de dominio para construir la página web, también pueden utilizarlo para crear cuentas de correo electrónico muy convincentes (@dreamsresortcancun.com cuando la original podría terminar solamente en @dreamsresort.com, por poner un ejemplo). Equipados con páginas web y correos electrónicos piratas, los engaños se vuelven más sofisticados. En ocasiones los delincuentes envían por correo electrónico simulaciones de contratos firmados, con datos del supuesto comprador, para darle mayor “certeza” al engaño.

 

¿Estas conductas están contempladas como delito en México?

Ninguna de las conductas antes descritas como ejemplos de “fraude electrónico” están específicamente contempladas como delito(s) en nuestro Código Penal Federal. Sin embargo, estas conductas podrían tipificarse como fraude genérico.

  • Artículo 386 del Código Penal Federal.- Comete el delito de fraude el que engañando a uno o aprovechándose del error en que éste se halla se hace ilícitamente de alguna cosa o alcanza un lucro indebido.

Sin embargo, dada la modalidad y características de los fraudes electrónicos anteriormente descritos, es muy difícil localizar a los ciberdelincuentes para poder procesarlos.