DEPARTAMENTO CIENCIAS DE LA COMPUTACIÓN

INGENIERÍA DE SISTEMAS E INFORMÁTICA

INFORMÁTICA FORENSE

TEMA: ROBO DE DATOS DE TARJETAS DE CRÉDITO Y DEBITO EN

ENTIDADES BANCARIAS.

AUTOR:

Pacha Maycol

TUTOR:
Ing. Geovanny Ninahualpa

NRC:
2896

Octubre 31, 2019

Sangolquí
 Página |1

CONTENIDO
1 DESCRIPCIÓN DEL CASO: ........................................................................................................................2
2 AFECTACIÓN: ......................................................................................................................................2
3 MARCOS LEGALES ................................................................................................................................3
4 BIBLIOGRAFÍA ......................................................................................................................................4
 Página |2

1 DESCRIPCIÓN DEL CASO:

Una de las obsesiones de los grupos de ciberdelincuentes es conseguir datos personales, datos
bancarios y, especialmente, tarjetas de crédito y débito. Para ello, son capaces de utilizar
cualquier artimaña, aunque la más comúnmente usada en la actualidad es el phishing, es decir,
replicar el aspecto de webs legítimas o correos electrónicos que luego son enviados a páginas
maliciosas que sólo quieren los datos bancarios de los clientes.
En la entidad financiera “BBVA Bancomer”, según explican las fuerzas y cuerpos de seguridad
del estado mexicano, los ciberdelincuentes estaban especializados en phishing y carding. Con
ello, obtenían datos bancarios y numeraciones de las tarjetas de crédito y débito para realizar
comprar fraudulentas. En cualquier momento los clientes recibían un correo electrónico de
dicha entidad, en donde se especificaba que, por razones de seguridad, mantenimiento, mejora
del servicio, confirmación de identidad, advertencia de fraude o cualquier otro motivo, se debía
actualizar los datos de la cuenta.
Por lo general, dichos correos imitan el diseño (logotipo, firma, etc.) que utiliza el banco para
comunicarse regularmente con los clientes. El mensaje contenía un enlace a una página web, la
copia era casi exacta del sitio web original, inclusive tenía todas las imágenes de fondo del
Banco. Donde el usuario no precavido, proporcionaba información personal y financiera que
posteriormente serviría a los delincuentes para realizar comprar a través de medios electrónicos,
en el periodo de aproximadamente dos meses se denunciaron el robo de información de 41
tarjetas de crédito y 10 de ellas representaron una pérdida de al menos $15.000 para los usuarios
afectados.

2 AFECTACIÓN:
Afectador:
Directamente el/los criminales quien haciendo mal uso de la tecnología informática
desarrollaron una página web suplantando la identidad de una institución financiera en este caso
“BBVA Bancomer “con el fin de robar datos personales y financieros de los usuarios.
Afectados:
Para el caso de estudio descrito considero que existen dos partes implicados en cuanto al rol de
afectados, por un lado, están los clientes quienes fueron víctimas del robo de sus datos y
posteriores perdidas económicas y también la entidad bancaria como tal ya que en un porcentaje
considerable tuvo que reconocer dichas perdidas económicas por los robos de información de
sus clientes quienes se vieron expuestos y esto género que muchas personas decidieran optar
por cambiar de entidad bancaria ya que la descrita no se anticipó a eventos que podrían llegar
a suscitarse lo que hizo que pierda credibilidad y confianza en sus clientes.
 Página |3

3 MARCOS LEGALES
Código Orgánico Integral Penal (COIP):
Para dar a conocer la relevancia de los delitos informáticos o ciberdelitos que hoy en día nos
concierne y la serie de riegos que conlleva navegar en la web mediante la utilización de las
Tecnologías de la Información y Comunicación, el COIP incorpora una serie de infracciones
delictivas, que se encuentran tipificadas y sancionan de acuerdo a cada tipo penal, entre ellos
con respecto al caso de uso planteado tenemos:
 C.O.I.P. Art. 186.- Estafa. – 5 a 7 años.
 C.O.I.P. Art. 190.- Apropiación fraudulenta por medios electrónicos. - 1 a 3 años.
 C.O.I.P. Art. 191.- Reprogramación o modificación de información de equipos
terminales móviles. - 1 a 3 años
 C.O.I.P. Art. 195.- Infraestructura ilícita. - 1 a 3 años
 C.O.I.P. Art. 229.- Revelación ilegal de base de datos. - 1 a 3 años.
 C.O.I.P. Art. 230.- Interceptación ilegal de datos. - 3 a 5 años.
 C.O.I.P. Art. 231.- Transferencia electrónica de activo patrimonial. - 3 a 5 años.
 C.O.I.P. Art. 232.- Ataque a la integridad de sistemas informáticos. - 3 a 5 años.
 C.O.I.P. Art. 233.- Delitos contra la información pública reservada legalmente. - 5 a 7
años.
 C.O.I.P. Art. 234.- Acceso no consentido a un sistema informático, telemático o de
telecomunicaciones. - 3 a 5 años.
Ley de Contratación Pública y Privada:
En la ley de contratación pública se señala en los artículos 6, 28, 108, en las disposiciones
generales y transitorias varios lineamientos en cuanto a su relación con las TICs y con respecto
al caso de estudio podemos citar las siguientes.
Art. 28: Uso de Herramientas Informáticas. - Los procedimientos establecidos en esta Ley,
se tramitarán preferentemente utilizando herramientas informáticas, de acuerdo a lo señalado
en el Reglamento de esta Ley.
El Portal COMPRASPUBLICAS deberá contar con seguridades informáticas que garanticen
su correcto funcionamiento, con las pistas de auditoría correspondientes.
Art. 108: Disposiciones Generales
QUINTA. - SEGURIDADES INFORMÁTICAS. -
Para la realización de los procedimientos electrónicos previsto en esta Ley, se emplearán
métodos actualizados y confiables para garantizar el correcto funcionamiento del Portal
COMPRASPUBLICAS y el uso eficiente y seguro de las herramientas informáticas.
Estos son algunos de los numerales que castigan estos tipos de delitos de acuerdo a los marcos
legales establecidos en el Ecuador.
 Página |4

Principios que regulan la Ley de Comercio Electrónico, Firmas Digitales y Mensajes de

Datos:
7. Protección de datos.- implica garantizar otros principios como el de privacidad, intimidad y
confidencialidad; nuestra sistema jurídico no cuenta con un ley de protección de datos
personales, y se recurre a la Ley de Comercio Electrónico, y a las leyes de Propiedad Intelectual,
en donde se garantiza la protección a la información de carácter personal, lo cual va muy ligado
a los principios mencionados como la privacidad, intimidad y confidencialidad, que se pueden
producir dentro de un mensaje de datos.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES:
Artículo 14. Consentimiento: Se podrá tratar y comunicar datos personales cuando se cuente
con la manifestación de la voluntad del titular de hacerlo.
Artículo 15. Confidenciales: El tratamiento de datos personales debe concebirse sobre la base
del debido sigilo y secreto, es decir, no deben tratarse o caminarse para un fin distinto para el
cual fueron recogidos, sin que se cuente con el consentimiento del titular o concurra una de las
causales que habiliten el tratamiento conforme al principio de legitimidad. El nivel de
confidencialidad dependerá de la naturaleza del dato personal.
Artículo 18. Seguridad de datos personales: Los responsables y encargados de tratamiento
de los datos personales deberán implementar todas las medidas de seguridad adecuadas y
necesarias, sean técnicas organizativas o de cualquier índole, para proteger los datos personales
frente a cualquier riesgo.

4 BIBLIOGRAFÍA
[1] Riofrío Tacuri, J. F. (2012). Los Delitos Informáticos y su Tipificación en la Legislación
Ecuatoriana (Master's thesis).
[2] García García, D. E. (2018). El Phishing como delito de estafa informática BBVA Bancomer.
Comentario a la SAP de Valencia 37/2017 de 25 de enero (rec. 1402/2016). Iuris Tantum Revista
Mexicana de Derecho, (25), 650-661.
[3] Amate Cañas, M. (2016). TRANSFORMACIÓN DIGITAL DE LA BANCA Y EL FRAUDE
ELECTRÓNICO (PHISHING).