Al final de la primera temporada de la serie «Woo, una abogada extraordinaria» (이상한 변호사 우영우, 7.4 según FilmAffinity) llega al bufete de abogados de la protagonista un caso de «spear phishing». En este caso se ve afectada una plataforma de comercio en línea usada por alrededor del 80% de la población nacional. La situación se agrava al correr un riesgo real de exfiltración de los datos personales de sus usuarios.
Spear phishing en «Woo, una abogada extraordinaria».
En primer lugar, el equipo legal tiene que defender a la empresa de una demanda por parte de la administración pública. Y tras esto, deben enfrentarse a una demanda colectiva por parte de los millones de usuarios afectados.
Este tipo de ataques es bastante común, aunque la mayoría de las veces no tiene una gran cobertura mediática. Por ejemplo, como comentábamos en abril del año pasado, incluso la propia Administración sufre ocasionalmente este tipo de ataques para robar información confidencial de altos cargos. Y aunque constantemente se advierte de la necesidad de estar pendientes de este tipo de ataques, incluso desde hace muchos años, todavía sigue siendo una estrategia muy usada por los ciberdelincuentes dada su gran eficacia.
¿Qué es el phishing y el spear phishing?
Según el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, se consideran como «phishing» en España las estafas que usan medios telemáticos para conseguir información confidencial empleando métodos de ingeniería social.
Además, concreta que si estas estafas se focalizan en un objetivo concreto, se denominan «spear phishing». Este tipo de fraudes tiene su propio apartado en la taxonomía de ciberincidentes detallada en dicha norma. A este tipo de incidentes se les asigna un nivel de peligrosidad alto. Es decir, al mismo nivel que otros ciberincidentes tales como denegaciones de servicio (DoS), compromiso de información o contenido abusivo.
Por lo tanto, en España, no se consideran como phishing exclusivamente los casos de spear phishing bancario. Cualquier estafa en la que el atacante obtenga información confidencial de forma fraudulenta mediante ingeniería social será considerada como tal. Además, aunque el medio más común para este tipo de ataques es el correo electrónico, según la norma, también se reconocen otros medios telemáticos. Algunos ejemplos de ello serían los SMS o la mensajería instantánea (tales como WhatsApp o Telegram). Incluso si se usa otro tipo de tecnologías como los Air Tags de Apple, que comentamos por aquí hace casi un año.
¿Qué no sería phishing?
También hay que tener en cuenta que la norma especifica que el método de robo de datos debe ser mediante ingeniería social. Es decir, engañando a la víctima para que esta le facilite la información al atacante. De modo que quedarían excluídos aquellos ataques en los que fuese necesario infectar el equipo de la víctima para obtener los datos. En estos casos, aunque el vector de ataque se iniciase con un correo (o comunicación) fraudulento, dado que la información sería robada gracias a algún ardid tecnológico, se clasificaría como otro tipo de fraude distinto al phishing.
¿Quién sería el responsable?
Teniendo en cuenta que la identificación de los ciberdelincuentes suele resultar muy complicada, el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera abre la posibilidad de reclamar a la entidad bancaria el importe de las operaciones no autorizadas (art. 45). Por lo tanto, aunque no se considera directamente responsable a la entidad bancaria, sí que se establece la obligación de esta de devolver el dinero defraudado por el atacante.
No obstante, el banco no tendrá la obligación de devolver el importe en determinados casos. Concretamente, si sospecha de fraude o si se trata de una grave negligencia por parte del usuario. Tampoco tendría obligación de devolver el importe si se considera que el usuario no ha informado diligentemente. Según la jurisprudencia española, se considera como un plazo aceptable un máximo de tres meses.
De modo que una víctima de phishing, o de spear phishing, podrá reclamar al estafador por la vía penal y a la entidad bancaria por la vía civil. De este modo, reclamaría la devolución por parte del banco del importe estafado por el atacante.
Spear Phishing: realidad y ficción
De modo que en España este tipo de casos se habría tratado de forma ligeramente diferente siguiendo la normativa vista anteriormente.
Para comenzar, en la serie se plantea que el trabajador cree que el correo recibido es legítimo (ingeniería social). A continuación, trata de abrir un documento de texto que resulta ser fraudulento (posiblemente una macro maliciosa). Por lo tanto, al entrar en juego el malware, ya no se trataría de spear phishing, sino de una infección del sistema informático.
También se comenta que el robo de datos habría sido posible porque no se había definido un tiempo de sesión prudencial. Esto hace pensar que se trataría de un robo de token de autentificación (compromiso de cuenta con privilegios). Este factor juega un papel notorio, resultando además, que la macro maliciosa en realidad instalaba un keylogger. Este tipo de malware permite al atacante grabar la secuencia de teclas pulsada por la víctima, por lo que así podría obtener las credenciales.
Según el Código Penal
En cualquier caso se trataría de un ciberincidente de nivel de peligrosidad alto, ya se considerase como spear phishing, como una infección del sistema o como una cuenta con privilegios comprometida. Además, según el mismo real decreto, se podría considerar que su nivel de impacto es muy alto ya que:
Los daños reputacionales para la empresa fueron elevados. Y además, con cobertura continua en los medios de comunicación nacionales, pudiendo incluso afectar a la imagen del país.Al tratarse de una gran empresa de comercio electrónico con una facturación de 30 trillones de wones según la serie, seguramente el impacto económico fuese superior al 0,07% del PIB coreano (26 trillones de wones según estimación de 2022 del FMI).Además, afectó a alrededor del 80% de la población. Así que podría considerarse un caso de seguridad ciudadana y con una extensión geográfica muy significativa a nivel nacional.
Una vez catalogado el incidente de seguridad informática, el siguiente paso sería ver qué responsabilidad ha tenido en el evento la empresa acusada. Según la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, se podría plantear un caso relacionado con el descubrimiento y revelación de secretos (art. 197). Sin embargo, el que habría perpretado el crimen es el atacante y no la empresa, por lo que no podría ser demandada por esta vía.
Según la adaptación del GDPR
No obstante, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales sí que establece en su artículo 73 como infracción grave tanto la falta de adopción de las medidas apropiadas para proteger los datos como no notificar cualquier incidente de seguridad relacionado con los mismos. De modo que en España la empresa también se enfrentaría a una demanda, y el máximo importe de la misma sería de 20 millones de euros o el equivalente al 4% del volumen de negocio total anual.
Más información:
Estafas digitales: Responsabilidad del banco por phishing
La entrada Spear Phishing en Woo: realidad contra ficción se publicó primero en Una al Día.
