Web Spoofing: Suplantación de páginas Web y uso indebido de datos personales

Entre las formas de cometer delitos, propias del desarrollo tecnológico, se encuentra la suplantación de sitios web (conocida como Web spoofing) para capturar datos personales. Esta práctica, demuestra los riesgos a los que se exponen los datos personales al ser tratados de forma indebida.

Por: Sofía Sanchez 

Los delitos informáticos en Colombia, se han convertido en centro de atención por parte de las autoridades, ya que en la medida que las tecnologías de la información avanzan, los delincuentes se aprovechan de estas herramientas para cometer ilícitos, lo cual implica un despliegue técnico por parte de la Policía Nacional (Centro Cibernético Policial) y la Fiscalía General de la Nación, con el objetivo de indagar las modalidades empleadas a diario por los criminales, a fin de prevenirlas y atacarlas.

Reflejo de estas nuevas modalidades delictivas, es la expedición de la Ley 1273 de 2009, por medio de la cual se modificó el Código Penal y se creó un nuevo bien jurídico tutelado denominado “de la protección de la información y de los datos”. Dentro de los tipos penales allí descritos, encontramos el artículo Artículo 269G, que hace referencia a la suplantación de sitios web para capturar datos personales; sobre este delito en particular, nos concentraremos para entender en que consiste la suplantación de páginas web, conocida como Web Spoofing.

El spoofing (falsificación, en español), se suele tratar como sinónimo de suplantación, siendo en estos términos, un delito de naturaleza informática, recogido en el Código Penal colombiano, siempre y cuando, su desarrollo se de en un entorno digital como lo es la web (Web Spoofing). Como una técnica de suplantación o engaño que es, es posible prever que no es el único instrumento para que se lleven a cabo escenarios de cibercriminalidad, que involucren falsedad, ya que, es posible encontrar otro tipo de estrategias tales como: ARP Spoofing, Mail Spoofing, DNS Spoofing, IP Spoofing, GPS Spoofing, entre otros.

Dentro de estos supuestos, uno de los más conocidos es el phishing, mediante el cual, con el envío de correos electrónicos, en los que aparentemente, el remitente es una persona natural o institución privada o pública reconocida, se busca robar datos personales de los destinatarios, aprovechando la confianza de los mismos, gracias al uso de direcciones de correo electrónico que por su nombre y logos aparentan total autenticidad. Esta práctica suele confundirse a menudo con el Web Spoofing, cuando estos correos fraudulentos contienen links que llevan a páginas web falsificadas, para realizar la extracción de información; en este supuesto, quienes realizan phishing se valen del Web Spoofing.

Entonces, se entiende por Web Spoofing, la suplantación de una página web real, mediante el enrutamiento de conexión de una víctima, a través de una página web falsa y hacia otras páginas web, con el objetivo de obtener información de dicho sujeto. La página web falsa actúa a modo de proxy, solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL, relativa a certificación mediante el uso de claves digitales. De esta manera, el atacante puede hacerse y modificar cualquier información desde y hacia cualquier servidor que la víctima visite.

El Web Spoofing es difícilmente detectable, quizá la mejor medida de protección, pueda ser el desarrollo de algún plugin del navegador, que, en palabras de ÁLVARO FONSECA “muestre en todo momento la IP del servidor visitado: si la IP nunca cambia al visitar diferentes páginas web, significará que probablemente estemos sufriendo este tipo de ataque” (Fonseca, 2016, p. 204).

Otra recomendación para evitar ser víctima de este delito, es no acceder a un sitio web por medio de un enlace enviado mediante un correo electrónico (en esta ocasión suele usarse también el Mail Spoofing) o similar, sino directamente digitando la página web en el buscador. También, se debe estar atentos a las alertas de seguridad que los mismos dispositivos envían.

Es claro que una de las principales problemáticas que representa el Web Spoofing, para los usuarios de la web, es la recolección de sus datos personales por parte de un destinatario diferente al esperado, quien, usando maniobras fraudulentas, suplanta a otro para obtener datos personales que no le corresponden. Teniendo en cuenta lo anterior, muchos usuarios de páginas web, aún no dimensionan la importancia que representan los datos personales actualmente: un dato personal, como lo señala el artículo 3 de la ley 1581 de 2012, es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables; por ende, cuando un delincuente logra capturar datos personales, podrá identificar a una persona plenamente y conocer a profundidad sus características, gustos, e incluso su información laboral, de contacto, financiera, entre otros; lo cual puede desencadenar en la comisión de otros delitos por parte de los criminales como secuestro, hurto, extorsión, etc. Incluso existe la posibilidad de apoderarse de datos sensibles, definidos por el artículo 3 del decreto 1377 de 2013, como aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, lo que representa un mayor riesgo para la vulneración de derechos fundamentales como el de la intimidad o privacidad.

Entre las páginas web más susceptibles de ser suplantadas o ser falsificadas en su apariencia, se encuentran las relacionadas con comercio electrónico o e-commerce, que incluyen las páginas de compra y venta, y las páginas de pago online, e incluso paginas estatales o del sector financiero, lo que conlleva la aplicación de circunstancias de agravación punitiva como las del artículo 269H del Codígo Penal. Es de suma importancia que todos los actores de internet, se involucren en la seguridad informática, pues es evidente que todos los tipos de tecnología de red pueden ser víctima de suplantación.

Suponiendo que se es víctima de este delito, se recomienda interponer la denuncia correspondiente, no solo cuando se ha sido objeto de un detrimento patrimonial, sino también en casos en los que el ataque informático no se ha llegado a consumar pero si a evidenciar, procurando con ello mitigar los riesgos asociados a tratamientos indebidos de datos personales y el robustecimiento de este derecho como bien jurídico protegido por la Ley 1273 de 2009.

Bibliografia

• Fonseca Vivas, A, (2016). Auditoria forense: aplicado al campo administrativo y financiero,
  medio ambiente, cultural, social, política y tecnología. P 204.
• Universidad Piloto de Colombia (2015). Proceso de Auditoría Interna y Ethical Hacking.
• Universidad internacional de la Rioja (2016). Cibercriminalidad: especial referencia al delito
  de usurpación y suplantación de identidad.
• Universidad de Málaga (2016). Ataques en redes de datos IPv4 e IPv6 .