Archivo por meses: julio 2006

Trámites administrativos más sencillos

Deja un comentario

En la sección Noticias de la web de la Autoridad de Certificación de la Comunidad Valenciana  (ACCV) se incluye un interesante artículo que reproduzco aquí.

REDUCCIÓN DE LA DOCUMENTACIÓN EN LOS TRÁMITES ADMINISTRATIVOS

El pasado mes de mayo el Ministerio de Presidencia publicó en el Boletín Oficial del Estado dos Reales Decretos que eliminan la obligación de aportar fotocopias del DNI y de los certificados de empadronamiento en los trámites de la Administración General del Estado en los que hasta ahora se exigían, con el objeto de dejar constancia de los datos personales y de residencia y evitar así posibles errores o fraudes.

En la nueva normativa se establece que la comprobación de los datos es responsabilidad del Órgano que instruye el procedimiento, mediante datos de identificación que ya obren en sus archivos, bases de datos u otros fondos documentales. En aquellos procedimientos cuya identificación de modo fehaciente sea imprescindible para su tramitación, se solicitará el consentimiento del interesado para que el órgano instructor consulte los datos en la fuente mediante un Sistema de Verificación de Datos de Identidad y/o de Residencia, respectivamente.

Con este cambio en el procedimiento, los datos de los ciudadanos que se obtienen son los mismos y se utilizan para la misma función administrativa que en el procedimiento tradicional. Sin embargo se reduce la documentación a aportar en papel y ésta se obtiene de forma más ágil y fiable ya que los datos se obtienen directamente de la fuente que los produce, simplificándose notablemente los trámites de los ciudadanos con la Administración Pública.

Para que la entrada en vigor de los decretos mencionados sea efectiva, el Ministerio de Administraciones Pública (MAP) está desarrollando el Sistema de Verificación de Datos de Identidad y/o de Residencia al que se hace referencia en los mismos. Se trata de una aplicación capaz de realizar la validación de los datos de residencia de un ciudadano sin necesidad de presentar su certificado de empadronamiento o bien validar los datos asociados a un determinado número de DNI.

El sistema en desarrollo pretende dar cobertura a todos los organismos gestores de la Administración susceptibles de proporcionar algún tipo de trámite administrativo a los ciudadanos y al mismo tiempo, ser lo suficientemente flexible como para ser utilizado en el ámbito de cada Ministerio, Organismo, Comunidad Autónoma y Ente Local.

El objetivo es que el sistema permita verificar los datos por los funcionarios de las unidades gestoras de cualquier Administración Pública autorizados a tal efecto o de forma automatizada por las aplicaciones que sean adaptadas para incluir dicha consulta. Para ello se ha estructurado en dos módulos de verificación de los datos de identidad y de verificación de los datos de residencia respectivamente y se han planteado dos alternativas para realizar la comprobación.

La primera opción es la verificación web de los datos. En este caso el MAP facilitará un interfaz WEB accesible a través de un navegador, donde a partir de un conjunto de datos de entrada de un determinado ciudadano, un funcionario autorizado podrá obtener la verificación de los datos.

El funcionario deberá disponer de un certificado digital de usuario reconocido para identificarse ante el sistema de forma segura y para firmar la solicitud de verificación. El sistema deberá verificar que el certificado del usuario no ha sido revocado y comprobar que el usuario tiene autorización para realizar la consulta de la información.

En primer lugar el sistema comprobará la validez del certificado a través de la Plataforma de Validación del MAP. Una vez verificada la identidad del funcionario y su autorización, se procederá a verificar los datos de identidad del ciudadano objeto de la consulta, a través de una petición firmada electrónicamente.

En función del dato a validar el sistema creado se conectará:

a la Dirección General de Policía y de la Guardia Civil, competente en la consolidación de los datos de identidad.al Instituto Nacional de Estadística competente en la consolidación de los datos de residencia en todo el territorio nacional.

Una vez recibida la respuesta con los datos de verificación del ciudadano, ésta será transmitida vía telemática para ser visualizada por el funcionario en su  interfaz web.

La segunda opción posible es realizar una Consulta Automatizada de datos del ciudadano a través de un WebService que proporcionará el sistema, y al que se invocará desde la correspondiente aplicación de la unidad gestora mediante una petición firmada por el certificado de la aplicación. La petición contendrá la identificación del ciudadano objeto de la consulta, y será enviada a través de una transmisión telemática de datos entre los correspondientes sistemas.

De forma análoga al módulo anterior, el sistema autorizará la consulta en caso de que el certificado de la aplicación que ha firmado la petición tenga el permiso correspondiente,  y a continuación, el sistema solicitará la información de verificación de datos de identidad y/o residencia del ciudadano objeto de la consulta, a través de una petición firmada electrónicamente al servicio proporcionado por la Dirección General de la Policía y de la Guardia Civil o al Instituto Nacional de Estadística.

Una vez recibida la respuesta con los datos de verificación, ésta será transmitida vía telemática a la aplicación a través de una transmisión de datos entre sistemas.
Sistema de Validación
Tanto si la verificación es a través del interfaz web como si se trata de una consulta automatizada de datos, la información transmitida tiene su integridad y confidencialidad garantizada jurídicamente ya que, en ambos casos se realiza el registro de todas las operaciones, con firma electrónica y sellado de tiempo, a través del Módulo de Trazabilidad de Información y Auditoría del sistema.

La ACCV está colaborando con el Ministerio de Administraciones Públicas en la prestación de distintos servicios, tanto en las iniciativas de validación de certificados reconocidos a través de la Plataforma de Validación de Certificados como en el Sistema de Validación de Datos. En concreto, la ACCV ha desarrollado un frontal web que actuará como interfaz en la Comunitat Valenciana para la validación de los datos de identidad y de padrón y ofrecerá los servicios de verificación de datos que facilita el MAP a las Administraciones Públicas valencianas. Estos servicios, cuyo soporte informático y de comunicaciones ya está desarrollado, estarán disponibles para las Administraciones valencianas a través de la ACCV, tan pronto se autorice por parte de los organismos correspondientes de la Administración General del Estado.

Desde la ACCV se considera que los nuevos servicios, en colaboración con el MAP, son de gran interés para los Ciudadanos, Administraciones Públicas, Universidades, Empresas y Colegios Profesionales. Por una parte ofrece la posibilidad de validar a través de sus sistemas cualquier certificado reconocido por el MAP (más información en http://www.dnielectronico.es/seccion_aapp/platform.html) y por otra, la comprobación de los datos del padrón y de D.N.I en las fuentes de las entidades competentes. Todas estas iniciativas fomentan la universalización en el uso de los certificados digitales, la interoperabilidad entre administraciones públicas y trámites administrativos más eficientes.

Decretos publicados:

Esquema de Certificación de Prestadores de Servicios de Certificación (PSC)

7 respuestas

Anteayer tuve la satisfacción de presidir la reunión plenaria del Esquema de Certificación de PSC desarrollado por ASIMELEC.

Este esquema (Proyecto Bitácora) ha merecido el apoyo del Ministerio de Industria, Turismo y Comercio, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2004-2007.

Supone el sistema más elaborado existente en España para el cumplimiento de lo previsto en el artículo 11 de la Directiva 1999/93/CE de Firma Electrónica:

Artículo 11 . Notificación

1. Los Estados miembros interesados notificarán a la Comisión y a los demás Estados miembros lo siguiente:

a) información sobre los sistemas voluntarios de acreditación de ámbito nacional, incluidos cualesquiera requisitos adicionales con arreglo al apartado 7 del artículo 3;

b) el nombre y dirección de los organismos nacionales competentes en materia de acreditación y supervisión, así como de los organismos a que se refiere el apartado 4 del artículo 3; y

c) el nombre y dirección de todos los proveedores nacionales de servicios de certificación acreditados.

2. Toda la información facilitada en virtud del apartado 1 y cualquier modificación de su contenido serán notificadas por los Estados miembros a la mayor brevedad.

El servicio de información del artículo 11 ya se ha actualizado desde la última vez que hablé de este tema. Esta es la información que (¡por fin!) figura sobre España:

SPAIN

a) information on national voluntary accreditation schemes, including any additional requirements pursuant to Article 3(7):

Spain has no national governmental voluntary accreditation schemes.

Nonetheless, there is a private initiative of a voluntary accreditation scheme managed by the «Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones» (ASIMELEC – www.asimelec.es)

The Spanish Law on electronic signatures implements article 3(7) of the Directive. Therefore, Public Administrations may impose additional requirements accordingly.

b) the names and addresses of the national bodies responsible for accreditation and supervision as well as of the bodies referred to in Article 3(4):

– Body responsible for supervision:

Ministry of Industry, Tourism and Commerce. http://www.mityc.es (Spanish/English)

– Accreditation body:

NA

– Certification bodies: In process of being designated: National Cryptology Centre – National Intelligence Centre. http://www.oc.ccn.cni.es/index_en.html

c) the names and addresses of all accredited national certification service providers:

The certification service providers which have notified (not accredited) their activities in Spain at the present moment are listed in the following URL:

http://www11.mityc.es/prestadores/busquedaPrestadores.jsp (Spanish)

Creo que este es un gran espaldarazo para el esquema y pronto se conocerán otros de igual o de mayor calado.

Entre las decisiones adoptadas en la reunión a la que me refiero, cabe señalar la aprobación de las tarifas de obtención del sello de calidad de ASIMELEC para PSC, para lo que queda de 2006 y para el 2007, que hacen que la propuesta sea muy atractiva para los prestadores de servicios de certificación que hasta la fecha se hubieran auditado bajo las especificaciones de Webtrust for CAs.

Avanzo los principales valores:

  • Primera certificación (válida por 2 años):
    • Certificado normalizado: 6.000 euros
    • Certificado reconocido: 12.000 euros
  • Certificaciones sucesivas (por renovación o cambio de alcance, validez 2 años):
    • Certificado normalizado: 3.000 euros
    • Certificado reconocido: 6.000 euros

El pago puede fraccionarse en los 2 años de vigencia del sello de calidad, aunque debe tenerse en cuenta que el mantenimiento del sello tiene un coste, el segundo año, del 20% del coste de la certificación sucesiva (lo que en el certificado normalizado equivale a un coste anual de 1.800 euros).

Además de acreditar las buenas prácticas adoptadas por el PSC, el sello aporta otras ventajas:

  • Facilita la inclusión de las Autoridades de Certificación (CAs) raiz del PSC en los productos de Microsoft.
  • Reduce el coste del Seguro Obligatorio de PSC
  • Facilita la aceptación del PSC ante las Administraciones Públicas.

ASIMELEC tiene previsto un mecanismo de apoyo para la adopción del sello que lo hace aún más interesante.

Ley de Benford – Newcomb

5 respuestas

La ley de Benford, también conocida como la ley del primer dígito, asegura que, en toda colección de números que se refiere de forma homogénea a alguna propiedad natural o hecho estadístico de la vida real, aquellos números que empiezan por el dígito 1 ocurren con mucha más frecuencia que el resto de números, los que empiezan por el 2, ocurren con más frecuencia que el resto, salvo el 1 y según crece el valor de primer dígito, más improbable es que este forme parte de un número. Este hecho, que se admite como Ley, se puede aplicar a datos relacionados con el mundo natural o con elementos sociales.

En la página de Manuel Perera Domínguez puede encontrarse un buen artículo sobre la Ley de Bendford, que Manuel elaboró junto con Juan David Ayllón Burguillo.

Esta introducción viene al caso porque esta Ley, no suficientemente ponderada, salió en una conversación que tuve el otro día con Jesús González Fuentes. Estábamos hablando de técnicas de investigación y auditoría, y Jesús, como buen auditor, recordó que en la investigación contable (y por extensión en la de todo tipo de fraudes) esta Ley se ha revelado como un excelente indicador de actividades irregulares.

De modo que la incluyo en la Caja de Herramientas del Investigador Forense Informático como un primer estimador (o disparador de alarma) respecto a los casos a revisar cuando tenemos una amplia colección de casos a estudiar y debemos elegir un procedimiento para priorizar y seleccionar a los más prometedores para profundizar en la investigación.

Para concluir la parte didáctica de esta ley, conviene comentar que el hayazgo se remonta a 1881, cuando el astrónomo y matemático Simon Newcomb observó que las primeras páginas de las tablas de logaritmos de su facultad estaban manifiestamente más usadas que las finales de lo que dedujo que aparentemente los dígitos iniciales de los números (al menos los utilizados en su trabajo por quienes habían consultado las tablas) no son equiprobables. Para cotejar su descubrimiento marchó a otras facultades: ingeniería, física, otras de matemáticas, etcétera. El resultado era el mismo.

Frank Benford, un físico de General Electric reformuló esta ley en 1938, sorprendido por el mismo efecto de páginas gastadas en los libros de logaritmos. El estudió colecciones de datos de todo tipo y generalizó el hallazgo que superaba el marco de las tablas de logaritmos.
Ambos llegaron a establecer la probabilidad de aparición de cada dígito como primer guarismo de un número, por lo que cualquier situación que se diferencia claramente de esta distribución de probabilidades es sospechosa. Esta es la frecuencia (probabilidad) de las diferentes cifras:

1 : 30,1 %; 2 : 17,6 %; 3 : 12,5 %; 4 : 9,7 %; 5 : 7,9 %,;6 : 6,7 %;  7 : 5,8 %; 8 : 5,1 %; 9 : 4,6 %

PDF-417. Malas prácticas en Factura Electrónica (o Digital, o Telemática)

8 respuestas

La normativa de facturación contempla la posibilidad de hacerla en formato digital.

Aunque los primeros pasos en la normativa de factura digital consideraban una modalidad para conservar facturas digitales «en papel», ciertamente esa modalidad está obsoleta y está superada por las circunstancias.

El formato PDF-417, que algunas empresas esgrimen como argumento de sus «soluciones» de facturación electrónica, es un resto arqueológico poco coherente con los últimos desarrollos en facturación.

Afortunadamente algunas empresas proveedoras actuan con honestidad y ya no intentan «colar» su solución con códigos de barras que son una rémora de la verdadera facturación digital.

No deje que le engañen. Los códigos PDF-417 no son un requisito en la emisión de facturas. Al contrario, suponen una carga para el receptor de la factura si decide imprimirla, porque está obligado a contar con un sistema que permita volver a obtener la factura en el formato electrónico original, es decir, un lector especial de código de barras, cuyo coste no baja de 300 euros, y el software adecuado.

Para eso, es más sencillo enviar una factura en cualquier formato, firmándola electrónicamente, de forma que el receptor pueda abrirla e imprimirla si lo desea. La factura firmada es lo único que se debe conservar para la Inspección Tributaria.

Existe software gratuito de Firma Electrónica que se puede utilizar con sencillez, para firmar y para verificar la firma. Pronto pondré enlaces a ese tipo de software.

Entretanto, que no os cuenten «milongas»: el PDF-417 no hace falta para nada.

La VII Conferencia Internacional “Common Criteria”: 19, 20 y 21 de septiembre en Lanzarote

2 respuestas

7 conferencia Common CriteriaLa conferencia anual “Common Criteria” (ICCC, International Common Criteria Conference), que va por su séptima edición, es el punto de encuentro de los reguladores, laboratorios e industria interesados en la certificación de seguridad “Common Criteria” y se ha convertido en el vehículo fundamental de promoción internacional de los avances en la certificación de las tecnologías de la información.

Por primera vez, este evento se desarrolla en España, los días 19, 20 y 21 de septiembre, en el Hotel Princesa Yaiza, en el marco incomparable de Lanzarote.

En la ICCC se anuncian y publicitan los hitos del Arreglo Mutuo de Reconocimiento de Certificados (CCRA, Common Criteria Recognition Arrangement), tales como la incorporación de nuevos miembros consumidores de certificados, la aceptación de nuevos esquemas productores de certificados, la entrega y notificación de los certificados emitidos a lo largo del año, así como los avances técnicos en la norma, y la discusión y puesta en común de problemas y nuevas áreas tecnológicas.

logo Organismo de Certificación del CCNCon la celebración de la Conferencia en España se pretende, por un lado, dar a conocer a la industria y administración española e internacional la existencia del esquema español de evaluación y certificación de las tecnologías de la información, con plena capacidad operativa y reconocimiento internacional.

Por otro lado, también se busca fomentar la proyección internacional de la industria nacional de productos de seguridad de las tecnologías de la información, dándose a conocer al selecto grupo de asistentes a la conferencia, y estimulando su penetración en el mercado exterior a través de la certificación.

Este evento lo Impulsa el Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI), institución que se articula en el ámbito de actuación del Centro Criptológico Nacional (CCN).

logo Centro Criptológico Nacional (CCN)El Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI) es el Organismo responsable de coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las tecnologías de la información en ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo.

La certificación en seguridad informática Common Criteria se otorga a un equipo o producto (no a una empresa). De los 23 países que reconocen esta certificación, sólo 12 están capacitados para emitirla, entre ellos España, donde el organismo emisor es el Centro Criptográfico Nacional (CCN). Existe un laboratorio certificador operativo del Instituto Nacional de Técnica Aerospacial (INTA), y otro en camino (APPLUS).

  • En el INTA se adscribe el Centro de Evaluación de la Seguridad de las Tecnologías de la Información (CESTI) , que evalúa la seguridad de las tecnologías de la información (TICs) de acuerdo a estándares internacionales reconocidos (ISO 15.408/Common Criteria, ITSEC y la ley española de firma electrónica) operando dentro del Esquema Nacional de Evaluación y Certificación de la Seguridad de las TICs y del Centro Criptológico Nacional.
  • Applus es la marca comercial del LGAI Technological Center, el Laboratorio General de Ensayos e Investigaciones (en catalán Laboratori General d’Assaigs i Investigacions).Cuenta con 15 centros donde desarrolla tecnología punta en campos tan diversos como polímeros, química, medio ambiente, electromagnetismo, acústica, mecánica, telecomunicaciones, fuego, metrología o Laser y en los que sus técnicos cualificados pueden realizar ensayos, calibraciones, certificaciones, formación técnica e I+D, tanto a nivel nacional como internacional.

Siete compañías españolas, además de las dos que ya lo tienen, están en proceso de obtener esta certificación para alguno de sus productos y el DNI electrónico también contará con esta supervisión.

Entre las companías que cuentan con productos certificados están Safelayer y Microelectrónica Española.

Es importante que, con iniciativas como esta, España empiece a referenciarse en la Industria de la Seguridad, ya que, en mi opinión, es una potencia mundial en este mercado, por sus empresas y por la adopción de tecnologías de seguridad en el sector público y privado.

i-Button como Medio de Pago

Deja un comentario

Anillo Java con i-ButtonLa verdad es que poder contar con algo tan sencillo de llevar como un anillo parece la única opción capaz de mejorar la facilidad de uso de las tarjetas de crédito.

Un anillo, de hecho, es más resistente al robo que una tarjeta, ya que es más fácil de detectar si están intentando quitártelo.

Respecto a las tarjetas convencionales, tiene una ventaja clara: la capacidad de procesamiento inteligente embebida en el dispositivo, lo que permite utilizar avanzados algoritmos criptográficos. Esa misma capacidad permite almacenar claves de todo tipo y censar todas las operaciones en las que interviene, lo que permite crear un log de transacciones individualizado, como elemento complementario de seguridad.

Contenido del i-ButtonEl coste del i-Button, de 1,4 dólares por unidad (en pequeñas cantidades) podría ser un elemento en contra, pero teniendo en cuenta que ya se considera al i-Button una alternativa al RFID, incluso en coste, parece que por ese lado también aparecen ventajas.

Además, la robustez de la tecnología y la duración de la alimentación hasta 10 años extiende la vida de las actuales tarjetas de crédito (de plástico), que vienen a durar 3 años como máximo, si se quieren mantener unas condiciones dignas de presentación y operatividad.

Por tanto, disminuyen los costes asociados a la expedición de dispositivos, y al control de entrega a su destinatario.

Si no es necesaria la personalización, como lo es en el caso de las tarjetas de plástico, aún se disminuyen más los costes, ya que el anillo se puede entregar en la sucursal en el mismo momento de la contratación, y en ese mismo momento. también, se asocia a su titular.

Un riesgo de este sistema es la pérdida de control de elementos de marca, dado lo reducido del espacio grabado para incluir diseños. Así y todo, cabe pensar en un diseño elegante y compacto que transmita la imagen de la entidad financiera, así como la marca de maedios de pago tal como VISA o MasterCard. En el caso que se muestra, la imagen Java queda muy elegantemente destacada.

Entre los inconvenientes, cabe citar la necesidad de desplegar una infraestructura de recogida de operaciones: Terminales Punto de Venta (POS: Point of Sale) y Cajeros Automáticos (ATM: Automatic Teller Machine). Sin embargo, dada la actual presión por desplegar infraestructura de recogida de operaciones para tarjetas chip bajo la especificación EMV (especialmente desde la resolución adoptada en el área SEPA, Single Euro Paymen Area, de generalizar la adopción de EMV antes de fin del 2010) , cabría pensar en que por el mismo coste se puede disponer de una infraestrucrura que sirva tanto para EMV como para i-Button.

Además, pese a lo innovador de la propuesta, la tecnología i-Button es una tecnología madura, con muchos años en el mercado, y que ha llevado al fabricante, incluso, a definir modelos de almacenamiento de valor como el escasamente exitoso «monedero electrónico» que en la especificación CEPS («Common Electronic Purse Specification») ha sido poco respaldado por las entidades financieras.

Efectivamente, Dallas/Maxim ha publicado la especificacion de monedero: Digital Monetary Certificates, como nota de aplicación en la que se estudia de forma detallada la gestión de información asociada.

Estoy deseando poder definir el proyecto piloto de este medio de pago con una entidad financiera que se considere avanzada. A ver si alguna se anima…

i-Button y RFID

3 respuestas

Hace poco se ha publicado alguna vulnerabilidad de ciertos dispositivos RFID.

Sin minimizar el efecto que la mayor o menor seguridad de estos dispositivos pueda suponer en las aplicaciones prácticas, o la alarma social que signifique el riesgo de suplantación de los futuros Pasaportes que incluirán esta tecnología, cabe recordar que existen muchos tipos de dispositivos RFID y con diferentes medidas de seguridad.

Los RFID sofisticados funcionan a través de un mecanismo de «challenge»-«response» y con tecnología de clave pública: El sensor (adosado a un equipo que aloja los certificados o las claves públicas de las personas autorizadas) genera una clave aleatoria (el reto) que envía al dispositivo RFID. Este «despierta», y cifra el reto con su clave privada, convirtiéndolo en la respuesta. Lo envía al sensor que es capaz de descifrar el reto con ayuda de uno (y solo uno, se supone) de los certificado alojados. Este sistema es «skimming-resistant» y suficientemente robusto para el uso cotidiano.

1-wire 1-hilo i-Button de Maxim Dallas

El anillo Java de Scott McNeallyUna interesante alternativa al RFID son los dispositivos de «1-hilo» o «1-wire». Es decir, dispositivos que funcionan por contacto pero uno solo, sin requerir alimentación ni hilo de masa. Estos dispositivos también disponen de diferentes variantes y pueden ser criptográficos o incluir una máquina virtual Java.

Echad un vistazo al i-button, que usa esta tecnología y que permite poner una máquina virtual Java en un anillo como los de Scott McNeally (lo que a él le encanta: ha llegado a bromear que espera ver a Bill Gates con otro anillo Java).

Documentos Extraviados y Robados (DER Servicio SADP en el CCI), alternativa a PERSUS

72 respuestas

Hace unos días mencionaba un iniciativa para reducir los problemas que se producen cuando perdemos o nos roban la documentación, y de forma destacada, el DNI. Se trata del fihero PerSus gestionado por ASNEF-Equifax.

Rafael Marín, del Centro de Cooperación Interbancaria (CCI), me comenta otra iniciativa que se ha acometido desde esta institución con el mismo objetivo, enmarcada en su política de Prevención del Fraude.

Se trata del Fichero de Documentos Extraviados y Robados (accesible a través del Servicio de Actualización de Datos Personales SADP) que permite que las entidades financieras puedan comprobar ciertos datos en el momento en el que una persona acude a abrir una cuenta en una oficina, aportando documentación que pudiera o no ser robada.

Es importante este tipo de inicativas para paliar los efectos adversos de perder el DNI o de que te lo roben, como se documenta en estos casos:

Sobre este asunto reproduje un artículo originalmente publicado por El Mundo.

Condenado por un caso de phishing, pharming, troyano

2 respuestas

Por Alvaro del Hoyo, me he enterado de esta noticia publicada en El Correo Digital y que documenta el caso de una sentencia a «una mula» que interviene en un caso de phishing y similares. La «mula» es la persona que interviene en el paso de enviar y recibir dinero, muchas veces sin enterarse, o sin querer enterarse, de la procedencia del dinero.

Condenado por estafar 30.000 euros a un colegio de Getxo a través de Internet.

La noticia está firmada por O. B. OTÁLORA y A. DE LAS HERAS y sus e-mails pueden verse en la noticia publicada en la página web del Correo Digital.

Transcribo la noticia por si dejara de estar disponible en el medio original.

La Audiencia provincial vizcaína ha ratificado la condena impuesta por el Juzgado de lo Penal número 5 de Bilbao a Oleksiy L., ciudadano ucraniano de 30 años, a dos años y medio de prisión por una estafa continuada de casi 30.000 euros vía Internet a un colegio de Getxo. Según ambas sentencias, a las que ha tenido acceso este periódico, el acusado abrió cuatro cuentas corrientes en distintas sucursales bancarias de Sevilla, que recibieron nueve transferencias no autorizadas oficialmente de importantes cantidades de dinero, de entre 3.000 y 6.000 euros, los días 1, 4 y 6 de diciembre de 2004.

Según la última resolución de la Sección Segunda de la Audiencia, el caso responde a una trama urdida por varias personas cuyas identidades se desconocen, entre ellas un ‘hacker’ que introdujo un virus ‘troyano‘ -programa que suele estar oculto bajo la apariencia de una fotografía o publicidad remitida por correo electrónico- en uno de los ordenadores del centro escolar. De esta forma, lograron violar las claves secretas de acceso y ordenar traspasos de dinero a los números de cuenta cuyo titular era Oleksiy L., anteriormente citadas.

Lo más sorprende de la estafa radica en que el ‘troyano‘ estaba alojado en la página de una empresa de Japón (sin que ellos lo supieran), de donde se descargó al sistema operativo del colegio vizcaíno. Las claves fueron enviadas a Estonia y las transferencias, realizadas desde Estados Unidos y Ucrania. Una perfecta red en la que el verdadero cerebro resulta difícil de desenmascarar.

La alarma saltó gracias al responsable de un banco que sospechó de la legalidad de una de las operaciones y realizó una llamada telefónica de confirmación. La directora del colegio negó haber ordenado ninguna traspaso de dinero en las fechas señaladas, y no le cabía ninguna duda ya que se trataba de días festivos. La responsable del centro educativo presentó una denuncia ante la Ertzaintza y expertos informáticos del cuerpo iniciaron entonces una investigación que concluyó con la detención en Sevilla de Oleksiy L.

Indemnización a la BBK

Durante el juicio, el único acusado, último escalón del entramado, alegó que abrió las cuentas como «favor» a varios compatriotas ilegales que trabajaban de temporeros en el campo y querían ingresar sus salarios. El inmigrante negó que conociera el origen ilícito del dinero, aunque admitió que días después escuchó que podía proceder de un robo. Esta versión no ofreció «credibilidad» al magistrado ni al tribunal que revisó la primera sentencia.

La sala ratifica la prisión provisional en que se encontraba el condenado por el riesgo de fuga y le condena a indemnizar con 20.868 euros a la BBK, entidad perjudicada que reclamaba como acusación particular más de 50.000 euros. La BBK devolvió en su día a la escuela parte del dinero transferido. Otro intento de estafa no llegó a materializarse y el dinero quedó retenido.

El Ministerio fiscal reclamaba la misma pena a la que finalmente ha sido condenado el inculpado; la acusación privada pedía tres años de cárcel, y la defensa solicitaba la libre absolución por considerar que no había delito.

Es muy importante que se produzcan noticias como esta para acabar con la sensación de impunidad y de bajo riesgo que se produce en caso de phishing, pharming, troyanos y similares.

Sorprende que teniendo estos tipos de fraude la incidencia que tienen y la alarma social que generan, no se hayan producido acciones más enérgicas de las entidades financieras que habitualmente siguen esquemas defensivos que aspiran únicamente a actuar de paliativo.

Es preciso dar algunos pasos que permitan localizar, perseguir, detener, juzgar y encarcelar a todos los participantes en las tramas de engaño, estafa y fraude que sustraen fondos por internet a los usuarios de la Banca Electrónica, causande un grave perjuicio en la imagen e incluso en los resultados de las entidades financieras. Y estas acciones deben llevarse a cabo en el marco de la legalidad y considerando todos los condicionantes de las operaciones transfronterizas.

Espero poder contaros en breve qué acciones se van desarrollando para combatir la impunidad.