15 Feb Delito de phishing en 2023: un riesgo para las empresas en España
¿Sabías que el 91 por ciento de las empresas corre riesgo de sufrir un ataque de phishing en 2023? Este delito consiste en robar información sensible y contraseñas o claves confidenciales haciéndose pasar por una persona o empresa de confianza. Es habitual que los ciberdelincuentes utilicen distintas herramientas informáticas (correo electrónico, SMS, etc.) suplantando la identidad de instituciones como Hacienda o la Seguridad Social, o bien fingiendo representar a una empresa con la que existe relación de algún tipo (normalmente un banco), con el fin de solicitar datos que luego se utilizarán para perjudicar al usuario. Te contamos qué es el delito de phishing y cómo actuar.
Delito de phishing en 2023: un 91 por ciento de las empresas están en peligro
El delito de phishing se ha convertido en la principal amenaza para las empresas en todo el mundo están 2023, y España no es una excepción. Además, teniendo en cuenta que nuestro tejido empresarial está compuesto principalmente por pymes, la amenaza es especialmente importante: el impacto económico de un ataque de este tipo en una empresa de pequeño tamaño puede resultar devastador para su tesorería y para su imagen.
Por eso es importante actuar de forma preventiva, así como contar con un asesoramiento legal preparado para responder con rapidez y eficacia ante este tipo de problema. Se trata de la mejor herramienta para neutralizar la situación cuanto antes y devolver la normalidad a la empresa. Además, siempre es posible demandar: en España existe el delito de phishing, que explicamos a continuación.
Su encaje legal lo encontramos en los artículos 248 y 249 del Código Penal, recientemente modificados, con efectos a partir del pasado 12 de enero de 2023. En el primero se recoge el tipo del delito de estafa, en el que se encuentra encuadrado el phishing que consiste, en realidad, en una modalidad de estafa cometida a través de elementos informáticos:
“Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.”
En cuanto al artículo 249, nos indica lo siguiente:
1. También se consideran reos de estafa y serán castigados con la pena de prisión de seis meses a tres años:
a) Los que, con ánimo de lucro, obstaculizando o interfiriendo indebidamente en el funcionamiento de un sistema de información o introduciendo, alterando, borrando, transmitiendo o suprimiendo indebidamente datos informáticos o valiéndose de cualquier otra manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.
(…)
2. Con la misma pena prevista en el apartado anterior serán castigados:
a) Los que fabricaren, importaren, obtuvieren, poseyeren, transportaren, comerciaren o de otro modo facilitaren a terceros dispositivos, instrumentos o datos o programas informáticos, o cualquier otro medio diseñado o adaptado específicamente para la comisión de las estafas previstas en este artículo.
(…)
Para que se produzca un delito de phishing es necesario que:
- Exista engaño bastante que induzca a error a la víctima.
- Causalidad entre el hecho ilícito y el daño producido.
- Concurrencia de dolo y ánimo de lucro.
Al tratarse de un delito, es posible denunciar el caso, si bien puede llegar a ser complicado dar con el o los autores, al tratarse de un tipo de delito cometido a través de medios informáticos. Es frecuente la existencia de colaboradores, organizaciones criminales o codelincuencia.
Otra opción, en caso de robo de dinero de tu cuenta bancaria, es pedir a la entidad el reembolso del dinero cuando ésta no haya tomado las medidas de seguridad necesarias para evitar el fraude informático. Si no hay dolo o negligencia grave por tu parte, es viable que la entidad bancaria responda por los daños producidos, a través de la vía civil.
En el caso de las empresas, prevenir el phishing pasa por invertir en ciberseguridad y en compliance digital para que estas herramientas actúen como escudo frente a posibles ataques. También es necesario formar a los empleados al respecto para evitar fugas que puedan comprometer la información y medios de sus propios clientes. Es la única forma de evitar posibles responsabilidades con respecto a terceros, así como de proteger a la propia empresa y sus finanzas.
Cómo evitar ser víctima de un delito de phishing
Ten en cuenta que el ataque de phishing suele llegar a través de un mensaje o correo electrónico. En el momento en que recibas un mensaje de este tipo fuera de lo habitual, es recomendable permanecer alerta y seguir los siguientes pasos:
- Comprueba que el nombre del remitente es conocido y que la dirección de correo electrónico es legítima. Para ello comprueba que el dominio (texto que se encuentra a la derecha de la arroba “@”) se corresponde con la empresa de la que dice provenir.
- Desconfía cuando se use un lenguaje con errores de ortografía, concordancia o redacción, o cuando el logo o imágenes no se correspondan fielmente a los de la marca suplantada. Los ciberdelincuentes suelen usar traductores automáticos y, por tanto, el resultado no suele ser demasiado sofisticado, algo que juega en tu favor.
- Pasa el ratón por encima de cualquier enlace o link que contenga el email. Normalmente aparecerá en una pequeña ventanita la dirección URL “real” a la que dirige ese link. Si no coincide con la que aparece en el email o crees que no se corresponde con la del sitio que representa, probablemente se trate de phishing.
- Si el contenido del mensaje te parece sospechoso, probablemente lo sea. Por ejemplo, supuestos premios, ofertas de trabajo, multas que debes pagar inmediatamente, avisos de empresas con las que no trabajas… Los correos amenazantes son frecuentes, ya que hacen que bajemos la guardia.
Si ya has cometido el error de entrar en el enlace adjunto y sospechas, comprueba la URL: normalmente se tratará de una dirección web que no tiene nada que ver con la empresa a la que dice corresponder, o bien puede contener datos iguales pero no tratarse de la web original (por ejemplo, añade letras o símbolos, o se parece mucho al nombre original pero no es idéntico). También debes asegurarte de que la web use un protocolo seguro, es decir, que la URL comience por https://.
En estos casos, no introduzcas ningún dato. Ante la duda, llama a la empresa o persona a la que están suplantando para comprobar si se trata de una comunicación cierta o no.
Si necesitas ayuda par proteger tu empresa o si quieres denunciar un caso de estafa informática o phishing, contacta con nuestro equipo de abogados.