Digital, Publicaciones | blog

¿Qué es el Email Spoofing o correo de suplantación de identidad? ¿Cómo protegerse?

Posted on by Nerea Poza
19
Jul

¿Qué es el Email Spoofing?

El Email Spoofing o correo de suplantación de identidad, es una estafa basada en la ingeniería social dirigida habitualmente a empresas. Se trata de una técnica de phishing o estafa informática, en la que el ciberdelincuente, haciéndose pasar por una persona o empresa de confianza, a través de un correo electrónico, consigue que la víctima realice un acto de disposición patrimonial a su favor.

Con carácter previo al envío del correo electrónico, el ciberdelincuente suele tener acceso al correo electrónico del emisor y, conociendo la relación entre esa persona o empresa y la víctima, llega a suplantar la identidad del proveedor para desviar el cobro de una factura.

¿Qué método utilizan los ciberdelincuentes?

El método utilizado para que la víctima crea que la fuente es fiable es el spoofing, y se realiza de alguna de las siguientes formas:

  • Suplantación del nombre del emisor del correo electrónico: se crea un nuevo correo electrónico, pero con el nombre del emisor.
  • Suplantación del dominio, mediante un correo electrónico de servidor SMTP comprometido: se cambia el nombre del correo electrónico, pero el dominio es el mismo del proveedor.
  • Creación de un dominio similar o muy parecido al suplantado: se añade una letra, un número, o cualquier carácter al dominio del emisor, que a simple vista no se distinga.

¿Cómo se materializada la estafa?

El ciberdelincuente, a través de un correo electrónico suplantado o con una dirección parecida a la legítima, solicita el pago de una factura pendiente, también falsificada, indicando un número de cuenta que, en realidad, es la del estafador.

De esta forma, se logra por el ciberdelincuente la obtención de datos que permiten la suplantación de personalidad del titular en el uso de un servicio de naturaleza económica, para conseguir que la víctima, en la apariencia de estar pagando una factura de su proveedor, transfiera la cantidad de dinero a la cuenta del estafador.

¿Cuál es el tipo de delito cometido mediante Email Spoofing?

La suplantación de identidad mediante recursos electrónicos no es un delito autónomo en España, por lo que debemos integrar esta suplantación en el delito de estafa regulado en el artículo 249.1.a) del Código Penal: “también se consideran reos de estafa y serán castigados con la pena de prisión de seis meses a tres años: a) Los que, con ánimo de lucro, obstaculizando o interfiriendo indebidamente en el funcionamiento de un sistema de información o introduciendo, alterando, borrando, transmitiendo o suprimiendo indebidamente datos informáticos o valiéndose de cualquier otra manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro”.

Las Sentencias del Tribunal Supremo de 26/10/2018 y de 23/7/2019 y otras anteriores y posteriores consideran que la redacción del artículo 248.2 del Código Penal (actual 249.1 del Código Penal, modificado por el artículo 1.3 de la Ley Orgánica 14/2022, de 22 de diciembre) permite incluir en la tipicidad de esta forma de estafa, amparada en la expresión “manipulación informática o artificio semejante”, determinando un acto de disposición económica en perjuicio de tercero, concretado en una transferencia no consentida. El engaño, propio de la relación personal, es sustituido como medio comisivo defraudatorio por la manipulación informática y el artificio semejante. Recordemos que una de las acepciones del término artificio implica “artimaña, doblez, enredo o truco”.

La actual redacción del artículo 249.1 del Código Penal permite incluir en la tipicidad de la estafa aquellos casos que mediante una manipulación informática o artificio semejante se efectúa una transferencia no consentida de activos en perjuicio de un tercero admitiendo diversas modalidades, bien mediante la creación de órdenes de pago o de transferencias, bien a través de manipulaciones de entrada o salida de datos, etc.

Como en la estafa debe existir un ánimo de lucro y, un acto de disposición económica en perjuicio de tercero que se concreta en una transferencia no consentida. Además, como modalidad especifica, debe existir manipulación informática o artificio semejante mediante la que torticeramente se engaña a la víctima.

En definitiva, cuando la conducta que desapodera a otro de forma no consentida de su patrimonio se realiza mediante manipulaciones del sistema informático, bien del equipo, bien del programa, bien del correo electrónico, se incurre en la tipicidad del art. 249.1 del Código penal.

¿Cómo nos protegemos de este tipo de estafa?

Sin perjuicio de los mecanismos informáticos que existan, desde un punto de vista más práctico, cuando la victima detecte que existe un cambio en el número de cuenta de su proveedor, lo más eficaz es que lo confirme personalmente con esa persona o empresa.

Como hemos explicado, el ciberdelincuente aprovecha una comunicación previa entre el emisor y la víctima para suplantar la identidad del proveedor y enviar una segunda factura haciéndose pasar por él. Por este motivo, si detectamos que en esa segunda factura (u otras) existe un cambio en el número de cuenta, lo más aconsejable es confirmarlo personalmente con el emisor. De esta forma, estaremos advirtiendo que, además del intento de spoofing, el ciberdelincuente ha podido atacar nuestro correo electrónico y se podrán tomar las medidas de protección correspondientes.

La utilización de las nuevas tecnologías de la información y comunicación ha supuesto grandes avances y automatización de procesos, pero no siempre se utilizan con un fin lícito. Debido, en ocasiones, a la confianza de los usuarios, y otras a la inseguridad informática, actualmente nos encontramos con estos casos en los que se cometen infracciones relacionadas con la obtención de datos confidenciales y, a veces, lo más útil, es retomar soluciones menos actuales, como una simple llamada de teléfono, para confirmar que no estamos siendo víctimas de una estafa informática.

Actualmente, existen investigaciones policiales que están persiguiendo estos delitos, por lo que, si se ha cometido el error y ha sido víctima de estos ciberdelincuentes, lo ideal es interponer una denuncia o querella de inmediato ante el juzgado, que nos permitirá solicitar diligencias de investigación para conseguir averiguar la identidad de los delincuentes y conseguir recuperar nuestro dinero.

Resumen
¿Qué es el Email Spoofing o correo de suplantación de identidad? ¿Cómo protegerse?
Título del post
¿Qué es el Email Spoofing o correo de suplantación de identidad? ¿Cómo protegerse?
Descripción
El Email Spoofing es una estafa donde los ciberdelincuentes se hacen pasar por personas de confianza para obtener beneficios económicos a través de correos electrónicos falsos. Se utilizan métodos como la suplantación de nombres o dominios para engañar a las víctimas y solicitar pagos falsos. Esta práctica se considera un delito de estafa en España. Para protegerse, se recomienda confirmar los cambios de cuenta con el proveedor y, en caso de ser víctima, denunciar el delito para buscar recuperar el dinero perdido.
Autor
Editor
Ruiz Ballesteros
Logo editor
Foto del avatar
Nerea Poza

Nerea es Abogada, Licenciada en Derecho por la Universidad de Málaga. Máster en Derecho Privado, especializada en Derecho Mercantil por la Universidad Complutense de Madrid, y Experto en Derecho Societario, por la Universidad Internacional de Andalucía. Empezó su andadura profesional en la oficina de Málaga del Despacho de Abogados Garrigues, donde compatibilizó sus estudios hasta su finalización, e inició su etapa profesional adscrita al Departamento de Procesal. Ha desarrollado la mayor parte de su carrera profesional dirigiendo el Departamento Procesal y Mercantil de una asesoría jurídica de referencia en Málaga capital y la Costa del Sol, donde se especializó en Derecho Societario y Concursal, asimismo ha ejercido la dirección técnica de procedimientos judiciales Mercantiles, Civiles, Penales y de Derecho de Familia. Se ha ocupado de la gestión de empresas hoteleras, logísticas y establecimientos abiertos al público. Se inició como administradora concursal en el año 2019, habiendo llevado concursos de acreedores como abogada y administradora, con pleno éxito para sus clientes. En el ámbito académico, Nerea ha realizado sendos trabajos de investigación y comunicaciones en Congresos de gran envergadura a nivel nacional. Es Autora del trabajo la “Coordinación entre la responsabilidad societaria y concursal de los administradores sociales” y de la comunicación en el V Congreso Nacional de Derecho de Sociedades denominado “La tutela cautelar de los acuerdos sociales impugnados”. Habla inglés y se incorporó a Ruiz Ballesteros en junio de 2022 reforzando el departamento mercantil-societario.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.