Archivo de la categoría: Delitos telemáticos

Lucha contra el Blanqueo desde los Registros

1 respuesta

Por su interés, extraigo de una nota de JOSÉ MIGUEL Masa Burgos (Registrador mercantil central) las acciones que se llevan a cabo desde los registros mercantiles y de la propiedad en la lucha contra el blanqueo de capitales.

Los registradores son activos agentes en la lucha contra las lacras del blanqueo de dinero y de la corrupción urbanística. Los registros de la propiedad y mercantiles, desde 1993, envían al Servicio Ejecutivo para la Prevención del Blanqueo (Sepblac) informes derivados de los negocios jurídicos sospechosos de blanqueo de capitales. En el 2006 se remitieron de oficio 14.000 comunicaciones. Durante el mismo periodo, a petición expresa de órganos de la Administración, singularmente el Banco de España, Sepblac, Dirección General de la Policía, etcétera, se han remitido más de 50.000 informaciones societarias y un número aún superior de informaciones inmobiliarias.

Pero esto no es suficiente. Y así lo han puesto de manifiesto en reiteradas ocasiones. La Administración, consciente de que la mejor y más completa información inmobiliaria y societaria disponible proviene de los registros, ha impulsado un proyecto que supondrá un incremento cualitativo de la colaboración que hasta
ahora se ha venido prestando.

Este proyecto, aceptado y financiado íntegramente por el Colegio de Registradores, se traduce en la creación del Centro Registral Antiblanqueo (Crab), al que los diferentes registros de la propiedad y mercantiles remitirán los supuestos indiciarios que detecten en su labor diaria. El Crab analizará y complementará las informaciones recibidas con demandas de nuevos datos y, después de una completa evaluación de cada caso, lo remitirá al Sepblac quien, al recibir expedientes completados con informaciones relevantes, podrá perseguir el blanqueo de una manera más eficiente y rápida, evitando así la consolidación de inversiones de difícil desmontaje.

El incremento cualitativo de la colaboración que el Crab va a representar para la Administración española, que estará operativo a finales de este año, tiene una dimensión internacional a través del proyecto BRITE (Business Register Interoperability Throughout Europe). Este proyecto, auspiciado por la Comisión Europea, tiene cuatro ámbitos de desarrollo, uno de los cuales se ha encomendado a España y, más concretamente, al Colegio de Registradores como responsable directo, y tiene como objetivo la interconexión informática de los registros mercantiles europeos con la exclusiva finalidad de intercambiar información on line de cara a la prevención del blanqueo de capitales.

El instrumento de intercambio de información mercantil será una herramienta eficacísima que la Administración española podrá utilizar en la prevención y persecución del blanqueo por cuanto posibilitará, de una manera ágil y rápida, conocer los complejos entramados de sociedades intracomunitarias que son las estructuras habituales utilizadas por las organizaciones criminales.

Los registros españoles han sido y siguen siendo uno de los pilares básicos de la seguridad jurídica preventiva al servicio de los ciudadanos por lo que, dentro de esa vocación de servicio que arranca en la segunda mitad del siglo XIX, han asumido estos nuevos requerimientos del Estado moderno con el mismo espíritu y entusiasmo que los demás cambios, algunos de ellos muy complejos, que la sociedad actual ha ido demandando.

Si el sentido de  servicio es uno de los pilares en los que se basan los desarrollos de estos nuevos proyectos, no es de menos calado el otro pilar en el que se ha apoyado siempre la actuación registral: el cumplimiento riguroso de la legalidad vigente no solo en la labor diaria de calificación, sino en todos los ámbitos del ordenamiento jurídico, como lo acredita el que, mientras que el blanqueo de capitales salpica a otros operadores jurídicos, no existe ningún registrador sancionado por incumplimiento de su deber de colaboración con el Sepblac ni hay uno solo imputado penalmente por colaboración en esta figura delictiva.

HomSec 2008

Deja un comentario

Desde el 1 al 4 de diciembre de 2008 se celebra en el Recinto de Feria de Madrid del Campo de las naciones HomSec (Salón Internacional «Homeland Security»), evento de carácter bienal, que constituye una cita mundial de referencia para el mercado de la Seguridad Interior del Estado y la Defensa.

Las principales amenazas para la seguridad de la sociedad son hoy el terrorismo y el crimen organizado y las grandes catástrofes naturales o humanas. Para hacerles frente, las Fuerzas de Seguridad y de Protección Civil, así como las Fuerzas Armadas, han de contar con medios adecuados de última generación para detectar, prevenir, neutralizar o reparar los daños causados en el menor plazo posible.

Homsec es un lugar de encuentro adecuado para que las Fuerzas de Seguridad y las de Protección Civil conozcan directamente los últimos desarrollos ofrecidos por las empresas y éstas tengan la oportunidad de saber, de primera mano, sus necesidades.

La primera edición, HomSec 2007, tuvo lugar entre los días 9 y 12 de enero de 2007 en el Pabellón de Cristal de la Casa de Campo de Madrid. Esta primera cita contó con la visita de más 3000 profesionales y cerca de un centenar de empresas expositoras. Para más información, puede consultar la sección HomSec 2007 en esta misma web.

El Salón contó con el patrocinio de las empressas Amper, Indra, EADS, HP, IBM y Atos Origin, y fue incluido dentro del programa PROFIT del Ministerio de Industria

Temas Avanzados en Seguridad y Sociedad de la Información

2 respuestas

En el marco de la Universidad Politécnica de Madrid (EUI-Escuela Univesitaria de Informática), Jorge Ramió organiza el IV Ciclo de Conferencias sobre Seguridad y Sociedad de la Información, al que muy amablemente me ha invitado.

Las conferencias son de libre acceso, y no requieren inscripción previa, por lo que están abiertas a los alumnos de la asignatura y al público en general.

Los objetivos perseguidos son:

  • Dar a conocer los últimos avances en materia de seguridad informática y protección de la información desde diversos puntos de vista: redes, datos, gestión, legislación, estándares.
  • Dar a conocer los nuevos avances en tecnologías de la información.
  • Fomentar el conocimiento crítico de la sociedad de la información con sus aspectos positivos de desarrollo así como sus amenazas.
  • Analizar el impacto social, ambiental y ético del uso de las tecnologías de la información, los entornos de libertad y privacidad del ser humano
  • Conocer la realidad empresarial, industrial y de organismos del estado relacionada con la seguridad y la sociedad de la información.

Las fechas y temas a tratar son las siguientes:

Martes 26 de febrero 2008 Seguridad: un aspecto esencial para la tutela de la protección de datos
  Dña. Celia Fernández – UPM
Martes 11 de marzo 2008 Inseguridad en redes inalámbricas: WiFi, Bluetooth y RFID
  D. Sergio González y D. Félix Ortega – WiFiSlax
Martes 1 de abril 2008 Introducción a la criptografía cuántica: alternativas y retos actuales
  D. Fernando Acero – Hispalinux
Martes 14 de abril 2008 Malware
  D. Sergio de los Santos – Hispasec
Martes 29 de abril 2008 Documentos electrónicos que conviven con los de papel
  D. Julián Inza – Albalia
Martes 13 de mayo 2008 Auditoría de la seguridad. Certificaciones en seguridad
  Dña. Gemma Deler – Applus+

Las conferencias se celebrarán de 10:00 a 12:00 en la Sala de Grados 3004 de la EUITT ,

Escuela Universitaria de Ingeniería Técnica de Telecomunicación
Carretera de Valencia Km. 7 – 28031 MADRID

Ver mapa de acceso a la E.U.I.T. de Telecomunicación

Más información.

Ver folleto PDF del evento: TASSI 2008

Como evitar ser víctima de un fraude

4 respuestas

Ayer comentaba el nombramiento de un amigo en SEPFRA.

Hoy voy a hacer un extracto de algunas recomendaciones de SEPFRA para protegerse, detectar y reaccionar contra el fraude on-line y «off-line».

Este es el enlace para acceder a todas las recomendaciones. VISA también tiene recomendaciones.

Las destinadas a internautas:

  • Sospeche cuando reciba e-mails de remitentes desconocidos. Ante la duda, bórrelos. No abra ningún enlace o documento adjunto, ya que puede ser la puerta de entrada de un programa maligno, como espías y caballos de Troya.
  • No responda nunca a e-mails relativos a supuestos premios ganados en la lotería, ofertas de trabajo sospechosas, propuestas de realización de transferencias bancarias desde otros países a su cuenta, peticiones de auxilio de personas que no pueden disponer de su dinero ?. Son todos ellos trucos para acceder a sus datos personales o estafarle.
  • No participe en «cadenas» (e-mails con noticias curiosas o advertencias, como virus inexistentes, que se le solicita que reenvíe a sus amigos o conocidos), el objetivo de muchas de ellas es recopilar direcciones de e-mail para su posterior utilización en campañas de spam (correo basura masivo) o phishing.
  • Mantenga actualizados los sistemas de seguridad de su equipo (antivirus, firewall y antispyware) así como la última versión del navegador.
  • No proporcione nunca datos o claves bancarias en páginas web a las que se acceda pinchando enlaces desde mensajes de correo electrónico. Incluso aunque no parezcan peticiones de datos. Incluso cuando no sean páginas de entidades financieras sino de servicios que pueda tener lógica que tengan sus datos bancarios como la AEAT y otros organismos públicos. Acceda a su entidad bancaria y a los servicios seguros tecleando usted mismo la dirección web en la linea de direcciones URL del navegador y comprobando el certificado electrónico SSL.
  • Evite acceder a servicios de banca electrónica desde ordenadores públicos (universidad, cibercafés, CDTs, ferias, ayuntamientos, …) ya pueden no cumplir los requisitos mínimos de seguridad. Existe además el riesgo añadido de que alguien pueda verle introducir sus claves (y copiarlas o memorizarlas). Y casi siempre tienen troyanos que roban claves.
  • Cuando se conecte a servicios de banca electrónica, fíjese en la pantalla de su ordenador: la dirección debe comenzar por https:// y en la parte inferior deberá aparecer el símbolo de un candado cerrado, ambos indicativos de que ha entrado en un entorno seguro. El símbolo del candado le permite acceder al certificado de seguridad de la página, que deberá estar emitido a nombre de la entidad con la que está conectado. Si estas señales no aparecen, o el certificado no es válido, cancele la conexión y no introduzca sus claves: probablemente esté en un site fraudulento.

Las generales (todos podemos ser víctimas de suplantaciones):

Nuestros datos personales (número de DNI, de NIE o de Pasaporte, número de la Seguridad Social, número de cuenta bancaria, claves de acceso, datos identificativos como teléfonos, fechas de nacimiento,…) son muy golosos para los delincuentes y debemos asumir nuestra responsabilidad de protegerlos de accesos indiscriminados.

Nuestros datos podrían ser robados de muchas formas

  • A través del robo de documentación:
    • Denuncie cualquier robo o pérdida de documentación a la mayor brevedad posible.
  • Mediante el robo de correo postal:
    • Asegúrese que su buzón está siempre correctamente cerrado con llave.
    • Recoja el correo habitualmente. Si va a estar fuera durante unos días, asegúrese que alguien de confianza se ocupe de ello.
    • Ponga especial cuidado cuando cambie de domicilio, asegurándose que el correo llega a su nueva dirección y no a la anterior:
    • Comunique cambios de domicilio a entidades bancarias, organismos públicos, proveedores de servicios y el resto de compañías con las que tenga relación.
    • Contrate durante un tiempo el servicio de reenvío de correos. Es muy económico y merece la pena.
  • Recuperando los datos de la basuraa la que en muchas ocasiones tiramos datos muy valiosos: extractos bancarios, tarjetas caducadas, copias de certificados que ya no necesitamos. La basura no es un lugar seguro para sus datos:
    • Destruya cualquier documentación que contenga datos personales antes de tirarla. Rómpala en trocitos lo suficientemente pequeños como para que no pueda reconstruirse.
  • Escuchando sus conversaciones:
    • Asegúrese de no revelar información personal en lugares públicos o donde otras personas puedan escucharle.
  • Mediante estafas telefónicas:
    • No dé nunca sus datos personales por teléfono, a menos que haya comenzado usted la comunicación y esté seguro de la identidad de su interlocutor.
    • Su banco nunca le llamaría por teléfono para solicitarle su número de cuenta o sus claves de acceso. Si recibe una llamada en este sentido, solicite el teléfono indicando que llama usted (como prueba), cuelgue y llame a su banco mediante el teléfono y persona de contacto que utiliza habitualmente (aporte el número que ha conseguido). De esta forma no sólo se protege usted, además pone en alerta a su entidad financiera.

Otras medidas preventivas

  • Controle sus operaciones bancarias:Realice frecuentemente una comprobación entre su extracto bancario y los recibos de compras, para poder detectar con rapidez cualquier posible irregularidad: Si hay algún cargo que no reconozca, póngase en contacto con la tienda/proveedor que lo haya realizado así como con su entidad bancaria a la mayor brevedad.
  • Si cambia de banco, cierre la cuenta que ya no utilizará, no la deje «dormida» con un saldo mínimo. Un tercero puede reactivarla para uso delictivo e implicarle a usted.
  • Tenga en un lugar seguro y único y fácil de recordar para usted los datos de sus cuentas y tarjetas bancarias, junto con los números de teléfono de las entidades o emisores, de forma que pueda bloquearlas todas con rapidez en caso de robo o sospecha de fraude. Hay servicios como CCP para facilitar el bloqueo simultáneo de sus tarjetas.
  • Si una entidad financiera le deniega un crédito por una deuda que desconoce, contacte con las entidades que gestionan ficheros de insolvencia, como ASNEF o el Banco de España (CIRBE)  y solicite la información que pudieran tener sobre usted para confirmar que no se trate de una deuda que otro haya contraído una persona que le suplante y que haya puesto a su nombre. Si es así, contacte inmediatamente con la entidad acreedora (con la que aparentemente tiene la deuda) y con su banco habitual y denúncielo a las autoridades, policía y guardia civil.
  • Si teme que sus datos hayan podido ser robados, o simplemente si desea tener un mayor nivel de seguridad, valore la posibilidad de adherirse al fichero DER para poner su identidad en vigilancia durante el tiempo que usted mismo determine.

Cómo protegerse de fraude a través del teléfono

  • No proporcione nunca datos personales o bancarios por teléfono a menos que haya comenzado usted la llamada, o tenga plena seguridad de la identidad de su interlocutor.
  • Si recibe por e-mail comunicaciones de su entidad financiera, solicitándole que se ponga en contacto con ellos en un determinado teléfono, no lo haga, puede que sea falso. Utilice el número de teléfono y el contacto habitual que tenga en la entidad y pregunte si son ellos los que han enviado el e-mail.
  • Si recibe llamadas relativas a ofertas de productos o servicios que ?debe adquirir/contratar ya, porque se termina la oferta?, desconfíe y no se deje presionar. Una compañía seria entenderá que quiera decidir con calma la compra o contratación.
  • Resulta más sencillo descartar un e-mail que decir NO a una persona por teléfono. Sin embargo, si las ofertas o promociones le parecen sospechosas, no se sienta coartado, rechácelas educadamente y termine la comunicación. 

Cómo operar correctamente con tarjetas

  • Para evitar el «skimming», cuando realice compras con tarjeta, no la pierda de vista, esté pendiente mientras el empleado del establecimiento la pasa por el TPV (Terminal Punto de Venta). Existen pequeños dispositivos capaces de grabar los datos contenidos en la banda magnética con solo pasarla por ellos.
  • Guarde los extractos de sus operaciones con tarjeta y copias impresas de sus pagos online y compruébelas con frecuencia conciliando con sus movimientos de cuenta y los extractos de la tarjeta para detectar lo antes posible cualquier cargo que no reconozca.
  • Si dispone de varias tarjetas, no las lleve todas consigo. En caso de robo, el daño será menor.
  • En caso de pérdida o sustracción de tarjetas, notifíquelo a su entidad financiera o emisora inmediatamente para que sea anulada. A 4b ( 913.626.200 y 902.114.400  ) SERMEPA (902.192.100) Euro 6000 (902.206.000) Extranjeros en España VISA (900.971.231) Visa Europa :900.991.124 En USA:  (800) 847-2911 Llamando a USA desde el extranjero: 1-800-VISA-911 (llamda a USA a cobreo revertido: 1-636-722-7111) Otros Paises: VISA
  • Memorice las contraseñas, no las lleve apuntadas ni en la propia tarjeta, ni en ninguna agenda, cartera o similar que lleve habitualmente junto con ella.
  • Tenga siempre su tarjeta y los recibos de sus operaciones bien guardados, no los deje a la vista de cualquiera, copiar los datos no le llevaría ni un minuto.
  • Cuando opere en Cajeros Automáticos:
    • Si observa algo extraño o distinto de lo habitual (por ejemplo, en la ranura para la introducción de la tarjeta, o el teclado), no realice ninguna operación en el porque pueden estar captando sus datos.
    • Si la tarjeta se queda retenida, llame inmediatamente a su entidad, si es posible antes de alejarse del cajero, desde el móvil o desde el teléfono o interfono del que disponen algunos cajeros. Si alguien se acerca a ayudarle o le sugiere trucos para recuperarla, desconfíe, ya que son técnicas para sonsacarle su clave. No se aleje del cajero mientras no recupere la tarjeta, ya que los delincuentes esperan ese momento para captarla ellos.
    • Al introducir su contraseña, tape el teclado con la mano o con algún objeto, para que nadie pueda verle y para impedir que cámaras disimuladas puedan grabarle mientras lo hace.
  • Cuando realice compras o pagos por Internet:
    • Hágalo en sitios y tiendas-online de confianza (que ya conozca o de las que tenga referencias).
    • Llegado el momento de introducir los datos de pago, compruebe la dirección URL comienza por https:// y que en la parte inferior aparece el símbolo de un candado cerrado, ambos indicativos de que ha entrado en un entorno cifrado. El símbolo del candado le permite acceder al certificado de seguridad de la página, que deberá estar emitido a nombre de la entidad con la que está conectado. Si estas señales no aparecen, o el certificado no es válido, no realice la compra.
    • Tenga cuidado con sitios web de recargas telefónicas a muy bajo precio, ya que muchos de ellos tienen como único fin conseguir datos de tarjeta.
    • No envíe nunca los datos de sus tarjetas por e-mail, ni siquiera a personas de confianza, ya que el correo electrónico también se puede interceptar.
    • Imprima y guarde una copia del justificante de pago que aparecerá una vez finalizada la transacción, para poder realizar la comprobación frente a su extracto bancario.
  • Cuando realice compras por teléfono:
    • Asegúrese que se trata de una compañía de confianza.
    • Solicite el nombre y apellidos de la persona que le está atendiendo, y cualquier otro dato identificativo, como su número de empleado, si lo tiene. Esto hará más sencilla una posible reclamación.
    • Para realizar una compra telefónica no es necesario dar el número secreto de su tarjeta. Si se lo solicitan, valore seriamente no continuar el proceso de compra.

Si ha sido víctima de un fraude de suplantación de personalidad («impersonación» o simulación de identidad )

Estos son los primeros pasos que debería dar si descubre que ha sido víctima de un fraude de identidad.

  • Denúncielo a la policía: Si tiene alguna documentación relativa al posible fraude, deberá aportarla. De no se así, bastará con su declaración.
  • Comuníquelo a su entidad o entidades financieras, aportando su DNI y el documento de denuncia a la Policía.
  • En caso de que hubiera alguna otra entidad implicada (una entidad con la que usted no tenga relación, pero que le reclame una deuda, un comercio donde supuestamente haya realizado alguna compra) póngase en contacto con ellos para informarles de la situación. Aporte una copia de su denuncia a la Policía.
  • Si desea saber si puede haber otras deudas asociadas a su nombre, contacte con los principales ficheros de solvencia y solicite la información disponible sobre usted, si existen otras deudas ya vencidas y reclamadas, aparecerán en sus registros. Estos ficheros deben notificarle por escrito la inclusión de sus datos, sin embargo, si dentro del esquema de fraude del que ha sido víctima se ha falsificado su dirección de contacto (práctica muy habitual, precisamente para evitar que la víctima se dé cuenta de la utilización de su identidad), la notificación habrá llegado a esta dirección falsa y no a usted. Según la normativa vigente, los derechos de acceso y cancelación de la información contenida en estos ficheros sólo podrán ser ejercidos por el afectado frente al responsable del fichero, para lo que es necesario que acredite su identidad frente a éste. Podrá, no obstante, actuar el representante legal del afectado cuando éste se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los mismos, en cuyo caso será necesario que el representante legal acredite tal condición.
  • Puede dirigirse también a la Central De Riesgos de Banco de España (CIRBE), a la que las entidades han de declarar mensualmente la totalidad (con algunas excepciones) de los riesgos que tienen asumidos y los titulares a quienes corresponden. La CIRBE podrá informarle sobre posibles créditos aún no reclamados, asociados a su nombre.
  • Valore así mismo la posibilidad de incluir sus datos en el fichero DER

 

Principales amenazas online de 2008 según CA

1 respuesta

Usuarios de juegos online, redes sociales y las elecciones presidenciales de Estados Unidos, objetivo de las amenazas de Internet; las botnets cambian de táctica y el código malicioso se hace más inteligente

Comunicado de Prensa de CA 

Barcelona, 16 de enero de 2008.- El último informe de seguridad en Internet publicado por CA advierte que los usuarios de juegos online y de redes sociales y los eventos como las elecciones presidenciales de Estados Unidos o los Juegos Olímpicos de Pekín están entre los principales objetivos potenciales de los ataques online en 2008. El estudio, que se basa en los datos recogidos por el grupo de investigadores internacionales del CA Global Security Advisor, presenta las predicciones de seguridad en Internet para 2008 y las tendencias observadas en 2007.

“Los ciberdelincuentes van allá donde hay oportunidades y aprovechan todas y cada una de las vulnerabilidades,” dice Brian Grayek, vicepresidente de gestión de productos de la unidad de negocio de seguridad en Internet de CA. “Aunque la protección de seguridad está mejorando en la detección de código malicioso, los ladrones online son más sigilosos en la forma en que atacan nuestros ordenadores.”

Las predicciones de CA acerca de la seguridad online para 2008 son:

1.  Las botnets dominarán en 2008: el número de ordenadores infectados por botnets aumentará enormemente en 2008. En un esfuerzo por ser más difíciles de detectar, los individuos que controlan las botnets están cambiando su táctica y descentralizando vía arquitecturas peer to peer. Cada vez más están utilizando mensajería instantánea como su principal vehículo de distribución de botnets.  

2.  Código malicioso más inteligente: hay nuevos modelos de sofisticación en el código malicioso (malware), que apuntará a ordenadores virtualizados y cada vez más utilizará técnicas de ofuscación para ocultarse a la vista, incluyendo esteganografía y encriptaciones, que ayudarán a los delincuentes a encubrir sus actividades.

3.  Los usuarios de juegos online están en la línea de fuego: ya eran un objetivo codiciado y robar las credenciales de su cuenta continuará siendo uno de los principales objetivos de los delincuentes online. Los usuarios de juegos online suelen estar más preocupados por optimizar sus ordenadores para obtener un mayor rendimiento que por una buena seguridad. En 2008, los activos virtuales equivaldrán al dinero del mundo real para los delincuentes de Internet.  

4.  Las redes sociales están en el punto de mira: los sitios web de redes sociales cada vez son más populares, y como resultado de ello, más vulnerables. El gran número de víctimas potenciales y su relativamente poca preocupación por la seguridad informática hace que estos sitios web sean una oportunidad de ganancias para los ladrones cibernéticos. 

5.  Oportunidades en fechas clave: las elecciones presidenciales de Estados Unidos y los Juegos Olímpicos 2008 de Pekín ofrecen oportunidades para ataques destructivos y corrupción o robo de información. 

6.   Los sitios y servicios de web 2.0 serán blanco de ataques dirigidos: aunque es relativamente sencillo implementar servicios de web 2.0, puede ser todo un reto configurarlos para que sean completamente seguros. Por lo tanto, muchos sitios de Internet que utilicen estos servicios son blancos fáciles con pocas indicaciones externas que hagan sospechar que la seguridad del sitio se ha visto comprometida.

7.  Windows Vista corre peligro: a medida que las empresas y particulares compren nuevos ordenadores, la cuota de mercado de Vista crecerá. Aunque está diseñado como el sistema operativo más seguro de Microsoft, en 2007 se publicaron 20 vulnerabilidades, según el National Institute of Standards and Technology. Cuanta más gente utilice este sistema operativo, más atacantes apuntarán a él. 

8.  Los dispositivos móviles aún serán seguros: los dispositivos móviles aún están a salvo a pesar de los rumores sobre código malicioso móvil. Los smartphones y otros dispositivos móviles del estilo no significarán una verdadera oportunidad para los delincuentes en 2008. Las pruebas hechas con código malicioso para los dispositivos móviles aún no se han traducido en ataques importantes. La única vulnerabilidad importante publicada en 2007 fue la del iPhone de Apple.

“El rastro digital que se recopila y almacena cada vez que utilizamos Internet es increíblemente valioso para los profesionales de marketing, pero también para los delincuentes online,” continua  Grayek. “Hemos visto como el código malicioso ha evolucionado para convertirse en un verdadero negocio del fraude. Sorprendentemente, ahora está operando con prácticas de negocio similares a las organizaciones legítimas de software. Nuestra actitud respecto a la protección de nuestra privacidad en Internet y las acciones que tomemos, sea en el trabajo o en casa, pueden cambiar significativamente la seguridad en Internet.”

Los investigadores de CA constataron las siguientes tendencias en 2007:

  • De enero a octubre de 2007 el volumen de código malicioso (malware) se multiplicó por 16.
  • Por primera vez, el software espía sobrepasó a los troyanos como forma predominante de código malicioso prevaleciente. En 2007, el 56 por ciento del total de código malicioso detectado era software espía; el 32 por ciento, troyanos; 9 por ciento, gusanos, y 2 por ciento, virus.
  • Los tipos de software espía más comunes fueron publicidad no deseada, troyanos y programas de descarga maliciosos (downloaders). 
  • Los gusanos de redes simples o dispositivos  extraíbles fueron los más extendidos este año. Algunos gusanos inutilizan los ordenadores cuando finalizan su actividad. Otros dejan una carga de código malicioso adicional o abren los ordenadores comprometidos para que un atacante malicioso tome control de la máquina.
  • El software de seguridad no autorizado o falso ha sido un problema continuo, lo que indica que aumenta la marea de aplicaciones engañosas que conducen a error. El software de seguridad falso supuso un 6 por ciento del total del volumen de software espía en 2007. Normalmente se distribuye a través de anuncios online que ofrecen software antiespía gratuito.
  • Los métodos de ataque convergen y las amenazas combinadas con múltiples componentes se convirtieron en la norma.
  • Más del 90 por ciento del correo electrónico fue no solicitado y más del 80 por ciento contenía enlaces a sitios maliciosos o a código malicioso (malware).
  • La calidad del correo no deseado ha mejorado y ya no se emplean trucos con fallos de escritura. También suele ir cargado de ficheros adjuntos, imágenes, PDFs, documentos, hojas de cálculo o vídeos que tienen código malicioso o enlaces a sitios maliciosos.
  • El código malicioso es un tema internacional. Gran parte de la actividad delictiva se origina en la Europa del Este y en Asia y su objetivo son las naciones con las mayores poblaciones de usuarios de Internet. Cerca del 40 por ciento del correo no deseado va dirigido a Estados Unidos. Alemania, Australia, España, Francia y Reino Unido también aparecen entre los objetivos más comunes, mientras que en Latinoamérica, Corea del Sur y China, el código malicioso es un problema emergente.

El objetivo del informe CA 2008 Internet Security Outlook es informar a empresas y particulares de las amenazas de Internet más nuevas y peligrosas, y de las tendencias que se prevén, además de ofrecer consejo práctico para la protección.  El análisis realizado se basa en la información sobre los incidentes recogidos por el equipo de investigadores del CA Global Security Advisor, enviados por los clientes de CA desde enero a octubre de 2007. Para obtener el informe de seguridad completo de CA 2008 Internet Security Outlook, visite www.ca.com/securityadvisor.

El equipo de CA Global Security Advisor,  formado por expertos en seguridad, investigadores y personal de soporte especializado que trabajan en diversos países, lleva más de 16 años ofreciendo consejos sobre seguridad. CA Security Advisor está disponible en http://www.ca.com/securityadvisor y ofrece gratuitamente alertas de seguridad, RSS feeds, exploraciones de PC y un blog de seguridad que actualizan regularmente los investigadores de CA. El equipo de investigación también ayuda a mantener actualizados toda la gama de productos de gestión de amenazas de CA, tanto para usuarios particulares, como pymes y grandes empresas.

Comentarios sobre FreeLotto y otros fraudes

233 respuestas

Este humilde blog se ha convertido, según parece, en un centro de peregrinación de quienes reciben mensajes de Free Lotto y de otros spammers que utilizan marcas conocidas para desarrollar sus fraudes y estafas.

Durante algún tiempo, he dado mensajes de aviso sobre las técnicas de «scam» o fraude más generalizadas advirtiendo sobre los fraudes del tipo «cartas nigerianas» y otros e insistiendo que no se deben albergar esperanzas de recibir premios por persuasivos que parezcan los mensajes.

Cuando ya se han comprometido los datos personales, direcciones de e-mail y números de cuenta o de tarjeta de crédito, lo mejor es denunciar los fraudes a la policía y conservar la denuncia por si los delincuentes utilizan nuestros datos en otros fraudes. E intentar minimizar el impacto de los mensajes. Cancelar las cuentas de correo o activar filtros antispam, cancelar tarjetas, revisar permisos en caso de domiciliación de recibos, avisando al banco de que no acepten adeudos, son algunas de las medidas.

Aunque en general he permitido poner comentarios en mis posts, finalmente he tenido que ir cerrando esa opción en los artículos dedicados al fraude ya que los mensajes eran repetitivos, en ocasiones irrespetuosos, y frecuentemente llenos de faltas de ortografía. Al hacerlo, me he dado cuenta de que la gente necesita desahogarse y acaba poniendo los comentarios en los sitios más inapropiados del blog, donde tengo que borrar comentarios que podrían ser interesantes en otros lugares, pero que son «off-topic» clamoroso donde están.

Así que abro este post concreto con la idea de que haya un punto en el que comentar experiencias de fraude. Sepan, no obstante, que nadie adoptará ninguna medida de investigación o punitiva por sus comentarios, si no son ustedes mismos. Este blog no canaliza denuncias a la policía.

Pueden ampliar información en posts anteriores:

LEY 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Deja un comentario

El pasado 19 de octubre se publicaba en el BOE la LEY 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Ya había comentado anteriormente el Proyecto de Ley

La transcribo por su interés:

JUAN CARLOS I

REY DE ESPAÑA

A todos los que la presente vieren y entendieren.

Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente ley.

PREÁMBULO

I

La aplicación de las nuevas tecnologías desarrolladas en el marco de la sociedad de la información ha supuesto la superación de las formas tradicionales de comunicación, mediante una expansión de los contenidos transmitidos, que abarcan no sólo la voz, sino también datos en soportes y formatos diversos. A su vez, esta extraordinaria expansión en cantidad y calidad ha venido acompañada de un descenso en los costes, haciendo que este tipo de comunicaciones se encuentre al alcance de cualquier persona y en cualquier rincón del mundo.

La naturaleza neutra de los avances tecnológicos en telefonía y comunicaciones electrónicas no impide que su uso pueda derivarse hacia la consecución de fines indeseados, cuando no delictivos.

Precisamente en el marco de este último objetivo se encuadra la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, y por la que se modifica la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio, cuya transposición a nuestro ordenamiento jurídico es el objetivo principal de esta Ley.

El objeto de esta Directiva es establecer la obligación de los operadores de telecomunicaciones de retener determinados datos generados o tratados por los mismos, con el fin de posibilitar que dispongan de ellos los agentes facultados. Se entienden por agentes facultados los miembros de los Cuerpos Policiales autorizados para ello en el marco de una investigación criminal por la comisión de un delito, el personal del Centro Nacional de Inteligencia para llevar a cabo una investigación de seguridad amparada en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal. Se trata, pues, de que todos éstos puedan obtener los datos relativos a las comunicaciones que, relacionadas con una investigación, se hayan podido efectuar por medio de la telefonía fija o móvil, así como por Internet. El establecimiento de esas obligaciones, justificado en aras de proteger la seguridad pública, se ha efectuado buscando el imprescindible equilibrio con el respeto de los derechos individuales que puedan verse afectados, como son los relativos a la privacidad y la intimidad de las comunicaciones.

En este sentido, la Ley es respetuosa con los pronunciamientos que, en relación con el derecho al secreto de las comunicaciones, ha venido emitiendo el Tribunal Constitucional, respeto que, especialmente, se articula a través de dos garantías: en primer lugar, que los datos sobre los que se establece la obligación de conservación son datos exclusivamente vinculados a la comunicación, ya sea telefónica o efectuada a través de Internet, pero en ningún caso reveladores del contenido de ésta; y, en segundo lugar, que la cesión de tales datos que afecten a una comunicación o comunicaciones concretas, exigirá, siempre, la autorización judicial previa.

En relación con esta última precisión, cabe señalar que la Directiva se refiere, expresamente, a que los datos conservados deberán estar disponibles a los fines de detección o investigación por delitos graves, definidos éstos de acuerdo con la legislación interna de cada Estado miembro.

II

La Ley cuenta con diez artículos que se agrupan en tres capítulos.

El Capítulo I («Disposiciones Generales») se inicia describiendo su objeto, que básicamente se circunscribe a la determinación de la obligación de conservar los datos enumerados en el artículo 3, que se hayan generado o tratado en el marco de una comunicación de telefonía fija o móvil, o realizada a través de una comunicación electrónica de acceso público o mediante una red pública de comunicaciones. Igualmente, se precisan los fines que, exclusivamente, justifican la obligación de conservación, y que se limitan a la detección, investigación y enjuiciamiento de un delito contemplado en el Código Penal o las leyes penales especiales, con los requisitos y cautelas que la propia Ley establece.

En este capítulo también se precisan las limitaciones sobre el tipo de datos a retener, que son los necesarios para identificar el origen y destino de la comunicación, así como la identidad de los usuarios o abonados de ambos, pero nunca datos que revelen el contenido de la comunicación. Igualmente, la Ley impone la obligación de conservación de datos que permitan determinar el momento y duración de una determinada comunicación, su tipo, así como datos necesarios para identificar el equipo de comunicación empleado y, en el caso de utilización de un equipo móvil, los datos necesarios para su localización.

En relación con los sujetos que quedan obligados a conservar los datos, éstos serán los operadores que presten servicios de comunicaciones electrónicas disponibles al público, o que exploten una red pública de comunicaciones electrónicas en España.

La Ley enumera en su artículo 3, de manera precisa y detallada, el listado de datos que quedan sujetos a la obligación de conservación en el marco de las comunicaciones por telefonía fija, móvil o Internet. Estos datos, que, se repite, en ningún caso revelarán el contenido de la comunicación, son los necesarios para identificar el origen y destino de la comunicación, su hora, fecha y duración, el tipo de servicio utilizado y el equipo de comunicación de los usuarios utilizado. En aplicación de las previsiones contenidas en la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, quedan incluidas también en el ámbito de aplicación de la Ley las denominadas llamadas telefónicas infructuosas. Igualmente se incluye la obligación de conservar los elementos que sean suficientes para identificar el momento de activación de los teléfonos que funcionen bajo la modalidad de prepago.

En el Capítulo II («Conservación y cesión de datos») se establecen los límites para efectuar la cesión de datos, el plazo de conservación de los mismos, que será, con carácter general, de doce meses desde que la comunicación se hubiera establecido (si bien reglamentariamente se podrá reducir a seis meses o ampliar a dos años, como permite la Directiva 2006/24/CE), y los instrumentos para garantizar el uso legítimo de los datos conservados, cuya cesión y entrega exclusivamente se podrá efectuar al agente facultado y para los fines establecidos en la Ley, estando cualquier uso indebido sometido a los mecanismos de control de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo. Además, se establecen previsiones específicas respecto al régimen general regulador de los derechos de acceso, rectificación y cancelación de datos contenido en la referida Ley Orgánica 15/1999.

El Capítulo III, al referirse al régimen sancionador, remite, en cuanto a los incumplimientos de las obligaciones de conservación y protección y seguridad de los datos de carácter personal, a la regulación contenida en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Por otro lado, los incumplimientos de la obligación de puesta a disposición de los agentes facultados, en la medida en que las solicitudes estarán siempre amparadas por orden judicial, constituirían la correspondiente infracción penal.

En las disposiciones contenidas en la parte final se incluyen contenidos diversos. Por un lado, y a los efectos de poder establecer instrumentos para controlar el empleo para fines delictivos de los equipos de telefonía móvil adquiridos mediante la modalidad de prepago, se establece, como obligación de los operadores que comercialicen dicho servicio, la llevanza de un registro con la identidad de los compradores.

Por último, la Ley incorpora en las disposiciones finales una modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, para adaptarla al contenido de esta Ley, una referencia a su amparo competencial, una habilitación general al Gobierno para su desarrollo y un período de seis meses para que las operadoras puedan adaptarse a su contenido.

CAPÍTULO I

Disposiciones generales

Artículo 1. Objeto de la Ley.

1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

2. Esta Ley se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado.

3. Se excluye del ámbito de aplicación de esta Ley el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas.

Artículo 2. Sujetos obligados.

Son destinatarios de las obligaciones relativas a la conservación de datos impuestas en esta Ley los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

Artículo 3. Datos objeto de conservación.

1. Los datos que deben conservarse por los operadores especificados en el artículo 2 de esta Ley, son los siguientes:

a) Datos necesarios para rastrear e identificar el origen de una comunicación:

1.° Con respecto a la telefonía de red fija y a la telefonía móvil:

i) Número de teléfono de llamada.

ii) Nombre y dirección del abonado o usuario registrado.

2.° Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

i) La identificación de usuario asignada.

ii) La identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonía.

iii) El nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono.

b) Datos necesarios para identificar el destino de una comunicación:

1.º Con respecto a la telefonía de red fija y a la telefonía móvil:

i) El número o números marcados (el número o números de teléfono de destino) y, en aquellos casos en que intervengan otros servicios, como el desvío o la transferencia de llamadas, el número o números hacia los que se transfieren las llamadas.

ii) Los nombres y las direcciones de los abonados o usuarios registrados.

2.º Con respecto al correo electrónico por Internet y la telefonía por Internet:

i) La identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica por Internet.

ii) Los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario de la comunicación.

c) Datos necesarios para determinar la fecha, hora y duración de una comunicación:

1.° Con respecto a la telefonía de red fija y a la telefonía móvil: la fecha y hora del comienzo y fin de la llamada o, en su caso, del servicio de mensajería o del servicio multimedia.

2.° Con respecto al acceso a Internet, al correo electrónico por Internet y a la telefonía por Internet:

i) La fecha y hora de la conexión y desconexión del servicio de acceso a Internet registradas, basadas en un determinado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, y la identificación de usuario o del abonado o del usuario registrado.

ii) La fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonía por Internet, basadas en un determinado huso horario.

d) Datos necesarios para identificar el tipo de comunicación.

1.° Con respecto a la telefonía de red fija y a la telefonía móvil: el servicio telefónico utilizado: tipo de llamada (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluido el reenvío o transferencia de llamadas) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia avanzados y servicios multimedia).

2.° Con respecto al correo electrónico por Internet y a la telefonía por Internet: el servicio de Internet utilizado.

e) Datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:

1.º Con respecto a la telefonía de red fija: los números de teléfono de origen y de destino.

2.° Con respecto a la telefonía móvil:

i) Los números de teléfono de origen y destino.

ii) La identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada.

iii) La identidad internacional del equipo móvil (IMEI) de la parte que efectúa la llamada.

iv) La IMSI de la parte que recibe la llamada.

v) La IMEI de la parte que recibe la llamada.

vi) En el caso de los servicios anónimos de pago por adelantado, tales como los servicios con tarjetas prepago, fecha y hora de la primera activación del servicio y la etiqueta de localización (el identificador de celda) desde la que se haya activado el servicio.

3.° Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

i) El número de teléfono de origen en caso de acceso mediante marcado de números.

ii) La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación.

f) Datos necesarios para identificar la localización del equipo de comunicación móvil:

1.° La etiqueta de localización (identificador de celda) al inicio de la comunicación.

2.° Los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta de localización, durante el período en el que se conservan los datos de las comunicaciones.

2. Ningún dato que revele el contenido de la comunicación podrá conservarse en virtud de esta Ley.

CAPÍTULO II

Conservación y cesión de datos

Artículo 4. Obligación de conservar datos.

1. Los sujetos obligados adoptarán las medidas necesarias para garantizar que los datos especificados en el artículo 3 de esta Ley se conserven de conformidad con lo dispuesto en ella, en la medida en que sean generados o tratados por aquéllos en el marco de la prestación de los servicios de comunicaciones de que se trate.

En ningún caso, los sujetos obligados podrán aprovechar o utilizar los registros generados, fuera de los supuestos de autorización fijados en el artículo 38 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

2. La citada obligación de conservación se extiende a los datos relativos a las llamadas infructuosas, en la medida que los datos son generados o tratados y conservados o registrados por los sujetos obligados. Se entenderá por llamada infructuosa aquella comunicación en el transcurso de la cual se ha realizado con éxito una llamada telefónica pero sin contestación, o en la que ha habido una intervención por parte del operador u operadores involucrados en la llamada.

3. Los datos relativos a las llamadas no conectadas están excluidos de las obligaciones de conservación contenidas en esta Ley. Se entenderá por llamada no conectada aquella comunicación en el transcurso de la cual se ha realizado sin éxito una llamada telefónica, sin que haya habido intervención del operador u operadores involucrados.

Artículo 5. Período de conservación de los datos.

1. La obligación de conservación de datos impuesta cesa a los doce meses computados desde la fecha en que se haya producido la comunicación. Reglamentariamente, previa consulta a los operadores, se podrá ampliar o reducir el plazo de conservación para determinados datos o una categoría de datos hasta un máximo de dos años o un mínimo de seis meses, tomando en consideración el coste del almacenamiento y conservación de los datos, así como el interés de los mismos para los fines de investigación, detección y enjuiciamiento de un delito grave, previa consulta a los operadores.

2. Lo dispuesto en el apartado anterior se entiende sin perjuicio de lo previsto en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sobre la obligación de conservar datos bloqueados en los supuestos legales de cancelación.

Artículo 6. Normas generales sobre cesión de datos.

1. Los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial.

2. La cesión de la información se efectuará únicamente a los agentes facultados.

A estos efectos, tendrán la consideración de agentes facultados:

a) Los miembros de las Fuerzas y Cuerpos de Seguridad, cuando desempeñen funciones de policía judicial, de acuerdo con lo previsto en el artículo 547 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.

b) Los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal.

c) El personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con lo previsto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia.

Artículo 7. Procedimiento de cesión de datos.

1. Los operadores estarán obligados a ceder al agente facultado los datos conservados a los que se refiere el artículo 3 de esta Ley concernientes a comunicaciones que identifiquen a personas, sin perjuicio de la resolución judicial prevista en el apartado siguiente.

2. La resolución judicial determinará, conforme a lo previsto en la Ley de Enjuiciamiento Criminal y de acuerdo con los principios de necesidad y proporcionalidad, los datos conservados que han de ser cedidos a los agentes facultados.

3. El plazo de ejecución de la orden de cesión será el fijado por la resolución judicial, atendiendo a la urgencia de la cesión y a los efectos de la investigación de que se trate, así como a la naturaleza y complejidad técnica de la operación.

Si no se establece otro plazo distinto, la cesión deberá efectuarse dentro de las setenta y dos horas contadas a partir de las 8:00 horas del día laborable siguiente a aquél en que el sujeto obligado reciba la orden.

Artículo 8. Protección y seguridad de los datos.

1. Los sujetos obligados deberán identificar al personal especialmente autorizado para acceder a los datos objeto de esta Ley, adoptar las medidas técnicas y organizativas que impidan su manipulación o uso para fines distintos de los comprendidos en la misma, su destrucción accidental o ilícita y su pérdida accidental, así como su almacenamiento, tratamiento, divulgación o acceso no autorizados, con sujeción a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y en su normativa de desarrollo.

2. Las obligaciones relativas a las medidas para garantizar la calidad de los datos y la confidencialidad y seguridad en el tratamiento de los mismos serán las establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y su normativa de desarrollo.

3. El nivel de protección de los datos almacenados se determinará de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, y en su normativa de desarrollo.

4. La Agencia Española de Protección de Datos es la autoridad pública responsable de velar por el cumplimiento de las previsiones de la Ley Orgánica 15/1999, de 13 de diciembre, y de la normativa de desarrollo aplicables a los datos contemplados en la presente Ley.

Artículo 9. Excepciones a los derechos de acceso y cancelación.

1. El responsable del tratamiento de los datos no comunicará la cesión de datos efectuada de conformidad con esta Ley.

2. El responsable del tratamiento de los datos denegará el ejercicio del derecho de cancelación en los términos y condiciones previstos en la Ley Orgánica 15/1999, de 13 de diciembre.

CAPÍTULO III

Infracciones y sanciones

Artículo 10. Régimen aplicable al incumplimiento de obligaciones contempladas en esta Ley.

El incumplimiento de las obligaciones previstas en esta Ley se sancionará de acuerdo con lo dispuesto en la Ley 32/2003, de 3 de noviembre, sin perjuicio de las responsabilidades penales que pudieran derivar del incumplimiento de la obligación de cesión de datos a los agentes facultados.

Disposición adicional única. Servicios de telefonía mediante tarjetas de prepago.

1. Los operadores de servicios de telefonía móvil que comercialicen servicios con sistema de activación mediante la modalidad de tarjetas de prepago, deberán llevar un libro-registro en el que conste la identidad de los clientes que adquieran una tarjeta inteligente con dicha modalidad de pago.

Los operadores informarán a los clientes, con carácter previo a la venta, de la existencia y contenido del registro, de su disponibilidad en los términos expresados en el número siguiente y de los derechos recogidos en el artículo 38.6 de la Ley 32/2003.

La identificación se efectuará mediante documento acreditativo de la personalidad, haciéndose constar en el libro-registro el nombre, apellidos y nacionalidad del comprador, así como el número correspondiente al documento identificativo utilizado y la naturaleza o denominación de dicho documento. En el supuesto de personas jurídicas, la identificación se realizará aportando la tarjeta de identificación fiscal, y se hará constar en el libro-registro la denominación social y el código de identificación fiscal.

2. Desde la activación de la tarjeta de prepago y hasta que cese la obligación de conservación a que se refiere el artículo 5 de esta Ley, los operadores cederán los datos identificativos previstos en el apartado anterior, cuando para el cumplimiento de sus fines les sean requeridos por los agentes facultados, los miembros de las Fuerzas y Cuerpos de Seguridad del Estado y de los Cuerpos Policiales de las Comunidades Autónomas con competencia para la protección de las personas y bienes y para el mantenimiento de la seguridad pública, el personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera.

3. Los datos identificativos estarán sometidos a las disposiciones de esta Ley, respecto a los sistemas que garanticen su conservación, no manipulación o acceso ilícito, destrucción, cancelación e identificación de la persona autorizada.

4. Los operadores deberán ceder los datos identificativos previstos en el apartado 1 de esta disposición a los agentes facultados, a los miembros de las Fuerzas y Cuerpos de Seguridad del Estado y de los Cuerpos Policiales de las Comunidades Autónomas con competencia para la protección de las personas y bienes y para el mantenimiento de la seguridad pública, o al personal del Centro Nacional de Inteligencia, así como a los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, cuando les sean requeridos por éstos con fines de investigación, detección y enjuiciamiento de un delito contemplado en el Código Penal o en las leyes penales especiales.

5. Sin perjuicio del régimen sancionador establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, constituyen infracciones a lo previsto en la presente disposición las siguientes:

a) Son infracciones muy graves tanto el incumplimiento de la llevanza del libro-registro referido, como la negativa a la cesión y entrega de los datos a las personas y en los casos previstos en esta disposición.

b) Son infracciones graves la llevanza incompleta de dicho libro-registro, así como la demora injustificada, en más de setenta y dos horas, en la cesión y entrega de los datos a las personas y en los casos previstos en esta disposición.

6. A las infracciones previstas en el apartado anterior les será de aplicación el régimen sancionador establecido en la Ley 32/2003, de 3 de noviembre, correspondiendo la competencia sancionadora al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información.

El procedimiento para sancionar las citadas infracciones se iniciará por acuerdo del Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, pudiendo el Ministerio del Interior instar dicho inicio.

En todo caso, se deberá recabar del Ministerio del Interior informe preceptivo y determinante para la resolución del procedimiento sancionador.

7. La obligación de inscripción en el libro-registro de los datos identificativos de los compradores que adquieran tarjetas inteligentes, así como el resto de obligaciones contenidas en la presente disposición adicional, comenzarán a ser exigibles a partir de la entrada en vigor de esta Ley.

8. No obstante, por lo que se refiere a las tarjetas adquiridas con anterioridad a la entrada en vigor de esta Ley, los operadores de telefonía móvil que comercialicen estos servicios dispondrán de un plazo de dos años, a contar desde dicha entrada en vigor, para cumplir con las obligaciones de inscripción a que se refiere el apartado 1 de la presente disposición adicional.

Transcurrido el aludido plazo de dos años, los operadores vendrán obligados a anular o a desactivar aquellas tarjetas de prepago respecto de las que no se haya podido cumplir con las obligaciones de inscripción del referido apartado 1 de esta disposición adicional, sin perjuicio de la compensación que, en su caso, corresponda al titular de las mismas por el saldo pendiente de consumo.

Disposición transitoria única. Vigencia del régimen de interceptación de telecomunicaciones.

Las normas dictadas en desarrollo del Capítulo III del Título III de la Ley 32/2003, de 3 de noviembre, continuarán en vigor en tanto no se opongan a lo dispuesto en esta Ley.

Disposición derogatoria única. Derogación normativa.

1. Quedan derogados los artículos 12, 38.2 c) y d) y 38.3 a) de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

2. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta Ley.

Disposición final primera. Modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

La Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, se modifica en los siguientes términos:

Uno. El artículo 33 queda redactado de la siguiente forma:

«Artículo 33. Secreto de las comunicaciones.

1. Los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar el secreto de las comunicaciones de conformidad con los artículos 18.3 y 55.2 de la Constitución, debiendo adoptar las medidas técnicas necesarias.

2. Los operadores están obligados a realizar las interceptaciones que se autoricen de acuerdo con lo establecido en el artículo 579 de la Ley de Enjuiciamiento Criminal, en la Ley Orgánica 2/2002, de 6 de mayo, Reguladora del Control Judicial Previo del Centro Nacional de Inteligencia y en otras normas con rango de ley orgánica. Asimismo, deberán adoptar a su costa las medidas que se establecen en este artículo y en los reglamentos correspondientes.

3. La interceptación a que se refiere el apartado anterior deberá facilitarse para cualquier comunicación que tenga como origen o destino el punto de terminación de red o el terminal específico que se determine a partir de la orden de interceptación legal, incluso aunque esté destinada a dispositivo de almacenamiento o procesamiento de la información; asimismo, la interceptación podrá realizarse sobre un terminal conocido y con unos datos de ubicación temporal para comunicaciones desde locales públicos. Cuando no exista una vinculación fija entre el sujeto de la interceptación y el terminal utilizado, este podrá ser determinado dinámicamente cuando el sujeto de la interceptación lo active para la comunicación mediante un código de identificación personal.

4. El acceso se facilitará para todo tipo de comunicaciones electrónicas, en particular, por su penetración y cobertura, para las que se realicen mediante cualquier modalidad de los servicios de telefonía y de transmisión de datos, se trate de comunicaciones de vídeo, audio, intercambio de mensajes, ficheros o de la transmisión de facsímiles.

El acceso facilitado servirá tanto para la supervisión como para la transmisión a los centros de recepción de las interceptaciones de la comunicación electrónica interceptada y la información relativa a la interceptación, y permitirá obtener la señal con la que se realiza la comunicación.

5. Los sujetos obligados deberán facilitar al agente facultado, salvo que por las características del servicio no estén a su disposición y sin perjuicio de otros datos que puedan ser establecidos mediante real decreto, los datos indicados en la orden de interceptación legal, de entre los que se relacionan a continuación:

a) Identidad o identidades del sujeto objeto de la medida de la interceptación.

Se entiende por identidad: etiqueta técnica que puede representar el origen o el destino de cualquier tráfico de comunicaciones electrónicas, en general identificada mediante un número de identidad de comunicaciones electrónicas físico (tal como un número de teléfono) o un código de identidad de comunicaciones electrónicas lógico o virtual (tal como un número personal) que el abonado puede asignar a un acceso físico caso a caso.

b) Identidad o identidades de las otras partes involucradas en la comunicación electrónica.

c) Servicios básicos utilizados.

d) Servicios suplementarios utilizados.

e) Dirección de la comunicación.

f) Indicación de respuesta.

g) Causa de finalización.

h) Marcas temporales.

i) Información de localización.

j) Información intercambiada a través del canal de control o señalización.

6. Además de la información relativa a la interceptación prevista en el apartado anterior, los sujetos obligados deberán facilitar al agente facultado, salvo que por las características del servicio no estén a su disposición y sin perjuicio de otros datos que puedan ser establecidos mediante real decreto, de cualquiera de las partes que intervengan en la comunicación que sean clientes del sujeto obligado, los siguientes datos:

a) Identificación de la persona física o jurídica.

b) Domicilio en el que el proveedor realiza las notificaciones.

Y, aunque no sea abonado, si el servicio de que se trata permite disponer de alguno de los siguientes:

c) Número de titular de servicio (tanto el número de directorio como todas las identificaciones de comunicaciones electrónicas del abonado).

d) Número de identificación del terminal.

e) Número de cuenta asignada por el proveedor de servicios Internet.

f) Dirección de correo electrónico.

7. Junto con los datos previstos en los apartados anteriores, los sujetos obligados deberán facilitar, salvo que por las características del servicio no esté a su disposición, información de la situación geográfica del terminal o punto de terminación de red origen de la llamada, y de la del destino de la llamada. En caso de servicios móviles, se proporcionará una posición lo más exacta posible del punto de comunicación y, en todo caso, la identificación, localización y tipo de la estación base afectada.

8. Con carácter previo a la ejecución de la orden de interceptación legal, los sujetos obligados deberán facilitar al agente facultado información sobre los servicios y características del sistema de telecomunicación que utilizan los sujetos objeto de la medida de la interceptación y, si obran en su poder, los correspondientes nombres de los abonados con sus números de documento nacional de identidad, tarjeta de residencia o pasaporte, en el caso de personas físicas, o denominación y código de identificación fiscal en el caso de personas jurídicas.

9. Los sujetos obligados deberán tener en todo momento preparadas una o más interfaces a través de las cuales las comunicaciones electrónicas interceptadas y la información relativa a la interceptación se transmitirán a los centros de recepción de las interceptaciones. Las características de estas interfaces y el formato para la transmisión de las comunicaciones interceptadas a estos centros estarán sujetas a las especificaciones técnicas que reglamentariamente se establezcan por el Ministerio de Industria, Turismo y Comercio.

10. En el caso de que los sujetos obligados apliquen a las comunicaciones objeto de interceptación legal algún procedimiento de compresión, cifrado, digitalización o cualquier otro tipo de codificación, deberán entregar aquellas desprovistas de los efectos de tales procedimientos, siempre que sean reversibles.

Las comunicaciones interceptadas deben proveerse al centro de recepción de las interceptaciones con una calidad no inferior a la que obtiene el destinatario de la comunicación.»

Dos. El último párrafo del apartado 5 del artículo 38 pasa a tener la siguiente redacción:

«Lo establecido en las letras a) y d) del apartado 3 de este artículo se entiende sin perjuicio de las obligaciones establecidas en la Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.»

Tres. En el artículo 53, se modifican los párrafos o) y z), que quedan redactados de la siguiente forma:

«o) El incumplimiento deliberado, por parte de los operadores, de las obligaciones en materia de interceptación legal de comunicaciones impuestas en desarrollo del artículo 33 de esta Ley y el incumplimiento deliberado de las obligaciones de conservación de los datos establecidas en la Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.»

«z) La vulneración grave o reiterada de los derechos previstos en el artículo 38.3, salvo el previsto por el párrafo h), cuya infracción se regirá por el régimen sancionador previsto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, y el incumplimiento grave o reiterado de las obligaciones de protección y seguridad de los datos almacenados establecidas en el artículo 8 de la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.»

Cuatro. En el artículo 54 se modifican los párrafos ñ) y r), que quedan redactados de la siguiente forma:

«ñ) El incumplimiento, por parte de los operadores, de las obligaciones en materia de interceptación legal de comunicaciones impuestas en desarrollo del artículo 33 de la presente Ley y el incumplimiento de las obligaciones de conservación de los datos establecidas en la Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones, salvo que deban considerarse como infracción muy grave, conforme a lo dispuesto en el artículo anterior.»

«r) La vulneración de los derechos previstos en el artículo 38.3, salvo el previsto por el párrafo h), cuya infracción se regirá por el régimen sancionador previsto en la Ley 34/2002, de 11 de julio, y el incumplimiento de las obligaciones de protección y seguridad de los datos establecidas en el artículo 8 de la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, salvo que deban considerarse como infracción muy grave.»

Disposición final segunda. Competencia estatal.

Esta Ley se dicta al amparo de lo dispuesto en el artículo 149.1.29.ª de la Constitución, que atribuye al Estado la competencia exclusiva en materia de seguridad pública, y del artículo 149.1.21.ª, que confiere al Estado competencia exclusiva en materia de telecomunicaciones.

Disposición final tercera. Desarrollo reglamentario.

Se habilita al Gobierno a dictar cuantas disposiciones sean necesarias para el desarrollo y ejecución de lo previsto en esta Ley.

Disposición final cuarta. Formato de entrega de los datos.

1. La cesión a los agentes facultados de los datos cuya conservación sea obligatoria, se efectuará en formato electrónico, en la forma que se determine por Orden conjunta de los Ministros de Interior, de Defensa y de Economía y Hacienda, que se aprobará en el plazo de tres meses desde la entrada en vigor de esta Ley.

2. Los sujetos obligados a los que se refiere el artículo 2 de esta Ley, tendrán un plazo de seis meses desde la entrada en vigor de la misma para configurar, a su costa, sus equipos y estar técnicamente en disposición de cumplir con las obligaciones de conservación y cesión de datos.

Disposición final quinta. Entrada en vigor.

Esta Ley entrará en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado».

Por tanto,

Mando a todos los españoles, particulares y autoridades que guarden y hagan guardar esta ley.

Madrid, 18 de octubre de 2007.

JUAN CARLOS R.

El Presidente del Gobierno,

JOSÉ LUIS RODRÍGUEZ ZAPATERO

Esta norma

  • DEROGA los arts. 12, 13.2 c) y d) y 38.3 a) de la LEY 34/2002, de 11 de julio (Ref. 2002/13758)
  • MODIFICA los arts. 33, 38.5, 53 y 54 de la LEY 32/2003, de 3 de noviembre (Ref. 2003/20253)
  • TRASPONE la DIRECTIVA 2006/24/CE, de 15 de marzo (Ref. 2006/80647)
  • CITA LEY ORGÁNICA 15/1999, de 13 de diciembre (Ref. 1999/23750)

Es posible acceder a la LEY 25/2007, de 18 de octubre en PDF.

SPF: lucha contra el phishing y contra el SPAM

5 respuestas

Desde la Subdirección General de Servicios de la Sociedad de la Información se están impulsando importantes iniciativas para mejorar la situación española en el ámbito de la seguridad de las redes.

Una de ellas es la difusión y generalización de medidas de lucha contra el SPAM, contra el phishing  y contra la captación de ordenadores «zombi» en redes esclavizadas (botnets) .

Como primera medida, la mera adopción de técnicas de configuración de dominios  SPF (Sender Policy Framework) en ISP (proveedores de servicios Internet) y grandes empresas reduciría en buena medida el envío de correos con información de remitente falsificada y con ello muchos de los mensajes de correo no deseados entre los que se incluyen los que simulan proceder de entidades financieras (phishing).

La adopción de esta técnica consiste en incluir algunos registros especiales en la configuración de los DNS (los servidores de nombres de dominio) en los que cada entidad asocia direcciones IP a los servidores vinculados con los diferentes nombres de subdominio.

Así como en los DNS se indican los servidores de correo que reciben los mensajes dirigidos a los diferentes dominios (lo cual es imprescindible para identificar a los destinatarios) el uso de SPF implica identificar los servidores (sus direcciones IP) desde los que pueden proceder los mensajes en los que se identifican remitentes asociados a un dominio.

Si los servidores de correo que reciben mensajes chequean que las direcciones IP desde las que proceden son las adecuadas según el remitente, identifican el correo como legítimo y simplifican las reglas de catalogación de SPAM.

Sorprende que muchas entidades financieras no hagan uso de esta configuración en sus DNS, por lo que no facilitan el bloqueo de mensajes de correo de suplantación y se arriesgan a que sus clientes puedan ser víctimas de «phishing»

Circular 1293 (2005) de la AEB

3 respuestas

La Circular 1293 de la AEB correspondiente a la Comisión de Operaciones y Procedimientos (COP) 29/2005 «Procedimiento para la reclamación de transferencias de fondos efectuadas fraudulentamente por internet» de 12-07-05 es una herramienta esencial a la hora de perseguir delitos como el phishing.

Se corresponde con la de título homónimo » PROCEDIMIENTO PARA LA RECLAMACIÓN DE TRANSFERENCIAS DE FONDOS EFECTUADAS FRAUDULENTAMENTE POR INTERNET» de UNACC identificada con el número 8 y la fecha 13.07.05 . UNACC identifica la número 7 la circular de 08.07.05 con un título más genérico: PROCEDIMIENTOS PARA LA RECLAMACIÓN DE TRANSFERENCIAS DE FONDOS EFECTUADAS FRAUDULENTAMENTE, que coincide en denominación con la Circular de COAS 24/267 de 13 de julio de 2005.

En virtud de esta norma, la entidad que detecta una actuación fraudulenta que dio lugar a una transferencia desde la cuenta de su cliente a otra cuenta en otra entidad, puede solicitar a esta el bloqueo de la cantidad transferida.

Esta posibilidad es muy importante, porque hasta muy recientemente, una vez que se llevaba a cabo la liquidación entre entidades, el ordenante de una transferencia no podía anularla.

Lo que sí es importante, es actuar con celeridad para evitar que los delincuentes accedan a los fondos que se pretenden bloquear, lo que impediría que la entidad del beneficiario pudiera llevar a cabo la acción solicitada.

Phishing contra clientes de Amazon

Deja un comentario

El mail lo recibí en marzo, o sea que espero que ya nadie caiga en la trampa y que el link no funcione.

Lo traigo aquí como muestra (tengo un muestrario de phishing bastante completo) de que los delincuentes pueden captar datos críticos de fuentes diversas y no solo de páginas que simulan ser entidades financieras.

Para un cliente de Amazon, el texto parece razonable, pero para los que trabajamos luchando contra el phishing, detctamos el patrón típico.

Dear Amazon® member,

We are contacting you to inform you that our Account Review Team identified some unusual activity in your account. In accordance with Amazon’s User Agreement and to ensure that your account has not been compromised, access to your account was limited. Your account access will remain limited until this issue has been resolved. To secure your account and quickly restore full access, we may require some additional information from you for the following reason: We have been notified that a card associated with your account has been reported as lost or stolen, or that there were additional problems with your card.
This process is mandatory, and if not completed within the nearest time your account or credit card may be subject for temporary suspension.
To securely confirm your Amazon information please click on the links bellow:

http://connect-to-amazon.biz.tc

We encourage you to log in and perform the steps necessary to restore your account access as soon as possible. Allowing your account access to remain limited for an extended period of time may result in further limitations on the use of your account and possible account closure.

For more information about how to protect your account please visit Amazon Security Center. We apologize for any incovenience this may cause, and we apriciate your assistance in helping us to maintain the integrity of the entire Amazon system.

Thank you for using Amazon!
The Amazon Team

Privacy Notice © 1995-2007, Amazon.com, Inc. or its affiliates.