AAP Barcelona 587/2009, 23 de Octubre de 2009

Ponente:AUGUSTO MORALES LIMIA
Número de Recurso:642/2008
Procedimiento:OTROS RECURSOS
Número de Resolución:587/2009
Fecha de Resolución:23 de Octubre de 2009
Emisor:Audiencia Provincial - Barcelona, Sección 5ª
RESUMEN

SOBRESEIMIENTO. La complejidad del delito investigado, la necesidad de no entorpecer la investigación policial en marcha, la necesidad de contar con profesionales cualificados técnicamente que puedan analizar la documentación correspondiente, el necesario orden de la investigación criminal, la prudencia en esa misma investigación para evitar levantar alertas innecesarias y precipitadas, la falta... (ver resumen completo)

 
ÍNDICE
EXTRACTO GRATUITO

AUDIENCIA PROVINCIAL de BARCELONA

SECCION QUINTA

Rollo de Apelación nº 642/2008 - CH¡Error! Marcador no definido.

Juzgado de Instrucción de Barcelona, nº 21

Diligencias Previas nº 706/2007

A U T O

Iltmos. Sres.:

Dª Elena Guindulain Oliveras

  1. Augusto Morales Limia

  2. José María Assalit Vives

En la ciudad de Barcelona, a veintitrés de octubre del dos mil nueve.

Visto ante esta Sección Quinta de la Audiencia Provincial de Barcelona el recurso de apelación interpuesto por la representación procesal de don Nicanor contra el auto del citado Juzgado, de fecha 10 de julio de 2008 que desestimó la reforma contra el auto de sobreseimiento provisional de 13 de febrero de 2007 por falta de autor conocido.

Ha sido ponente el Iltmo. don Augusto Morales Limia, que expresa el parecer de la sala.

ANTECEDENTES DE HECHO

Único.- Recibidas las actuaciones en esta Sección 5ª de la Audiencia Provincial de Barcelona, se registraron, formando el correspondiente rollo, señalándose día para deliberación y votación del recurso de apelación que ahora se resuelve.

RAZONAMIENTOS JURIDICOS
PRIMERO

Dictado por el juzgado instructor auto de sobreseimiento provisional por falta de autor conocido y desestimada la reforma que se interpuso contra dicha resolución, se interpone recurso de apelación poniendo de manifiesto la relevancia de los hechos objeto de la presente causa y pidiendo que se practiquen determinadas diligencias instructoras. Pero el auto desestimatorio de la reforma, el que se apela, deja bien claro que se trata de un archivo provisional pendiente de que se reabran las diligencias cuando la Policía (UDEF, Investigaciones Tecnológicas) remita las correspondientes diligencias ampliatorias, por tanto, a la espera de que se complete la investigación policial de unos hechos ciertamente muy complejos.

SEGUNDO

En este sentido, para comprender lo razonable de la decisión de sobreseimiento provisional, no sólo porque de momento no hay autores identificados sino por la especial y poco conocida mecánica comisiva del delito o delitos de que se trata - estafa informática mediante la extracción de claves y códigos de seguridad bancarios -, procede reseñar la mecánica delictiva a la que se refieren las presentes diligencias y que se extrae del atestado policial:

"Fase primera:

Descubrimiento de claves y contraseñas on-line.-El proceso se inicia con la utilización de aplicaciones o programas informáticos para infectar ordenadores o espiar la línea de acceso a Internet de los perjudicados, que es la que transporta los datos durante la comunicación del ordenador con el ciberespacio o redes en Internet.

El fin es la captación ilegal de los datos confidenciales de las víctimas para el control de las cuentas on-line (clave y contraseña de acceso), utilizando técnicas de Ingeniería social como el PHISHING (derivación del inglés fishing - ir de pesca -), la cual puede partirde un SCAM consistente en un envío masivo e indiscriminado (SPAM), de correos electrónicos (EMAIL) con un engaño para llamar la atención de la víctima (HOAX).

El método más extendido consiste en recibir un e-mail que aparenta proceder de un banco, entidad financiera o tienda de Internet en el que se le explica que por motivos de seguridad, mantenimiento, mejora en el servicio, confirmación de identidad o cualquier otro, debe actualizar los datos de su cuenta. El mensaje imita exactamente el diseño (logotipo, firma, etc.) utilizado por la entidad para comunicarse con sus clientes.

Si se da el caso de que el Internauta es cliente de esa entidad bancaria o sociedad y además dispone de acceso on-line es fácil que caiga en el engaño (Ingeniería social), enlazándole con una página web.

Esta página es exactamente igual que la legítima de la entidad - algo sencillo copiando el código fuente (HTML) - y su dirección (URL) es parecida e incluso puede ser idéntica gracias a un fallo de algunos navegadores o realizando otras técnicas cibernéticas como Holografh attack (utilización de caracteres de otro idioma), IDN Spoofing (cambio de servidor de dominios), etc.

También la captura de claves puede realizarse a través de envíos por distintos medios de programas maliciosos que interceptan la información en el momento en que se introducen en la banca on-line, técnicas denominadas "Man in the middle" como el uso de Keyloggers (programas que capturan las pulsaciones del teclado) u otros sistemas de captación de la información.

En los ataques de Spoofing, el atacante crea un contexto para engañar a la víctima de forma que tome una decisión que facilite a la organización delictiva la información confidencial con el engaño de creer que esa información la está facilitando a su entidad bancaria. Este engaño, con técnicas informáticas como la creación de una página Web, es el paso previo de la utilización del fruto de la información captada para traspasar el capital de la víctima a manos de la organización. El ataque de spoofing es como una estafa: el atacante monta un mundo falso pero convincente alrededor de la víctima, actuando ésta de forma que pasa inadvertida su situación de peligro. Los ataques de spoofing son posibles tanto en el mundo físico como a través del ciberespacio. Por ejemplo, ha habido varios incidentes en los que los criminales ponen máquinas expendedoras falsas, normalmente en áreas públicas de grandes almacenes, éstas aceptan el dinero plástico y piden a la persona que meta sus códigos secretos. Una vez que la máquina tiene los códigos de la víctima, puede o bien tragarse la tarjeta o dar un error y devolver la tarjeta. En cualquiera de los casos, los autores tienen la suficiente información para copiar la tarjeta de la víctima y realizar un duplicado operativo con las contraseñas captadas. En estos ataques, la gente era engañada por el contexto que veían: la localización de las máquinas, su tamaño y su peso, la forma en que estaban decoradas, y la apariencia de sus pantallas electrónicas.

La gente que usa sistemas informáticos a menudo toma decisiones relacionadas con la seguridad, basado en indicaciones contextuales que ven. Por ejemplo, puedes decidir teclear tu número de cuenta bancario porque crees que estás visitando la página de tu banco. Esta creencia puede surgir porque la página tiene un aspecto familiar, porque el URL del banco aparece en la línea de localización del navegador, o por otras razones.

Los ataques mediante troyanos últimos detectados y que guardan relación directa con las entidades bancarias, se difunde a través de códigos como JavaScript o VisualScript, Actives, HTML, PHP entre...

Para continuar leyendo

SOLICITA TU PRUEBA