Seguridad Web

Fraude Electrónico Y Robo De Información

1. Delitos Informáticos

I. Concepto

Se puede afirmar que el delito informático es “el fenómeno de mayor magnitud y transcendencia en el ámbito de la criminalidad mediante computadoras y núcleo central del delito informático desde el punto de vista criminológico es por esta razón que existe una dimensión de delincuencia informática a la que la doctrina presta una especial atención, por considerarla el terreno hasta ahora más inexplorado y el que mayores dificultades presenta para su prevención y detención”

Es decir que para poder profundizar un poco más en el tema se convierte necesario manejar otros conceptos, que por lo general son usados como sinónimos en este tema pero que a la vez generan confusión. Tal es el caso del fraude que por sí solo hace referencia un modus operandi que se caracteriza de un montaje o artimaña que desencadena determinada acción engañosa. Por otro lado esta las defraudaciones las cuales generan perjuicio económico ocasionado mediante el fraude. Cuando se habla de fraude informático se hace referencia, en forma específica, no a cualquier tipo de acción fraudulenta que surge con la utilización de medios informáticos, sino, únicamente, cuando lo dirigimos por la definición de contenido brindada a las defraudaciones.

Hoy en día no solo se realizan fraudes en la red, un computador ofrece casi todas oportunidades para aquellas personas que comenten los delitos, ilícitos patrimoniales, estafas, cometidos con gran frecuencia y efectos, así como actos de terrorismo, sabotaje, daños, espionaje, falsedades, robo u alteración de información, etc.

II. Terminología:

Para logra penetrar un poco más en el tema de los delitos informáticos necesitamos conocer un poco sobre algunos términos muy comunes en esta materia. Algunos de estos términos suelen ser:

a) Phishing

Técnica en auge que consiste en atraer mediante engaños a un usuario hacia un sitio web fraudulento donde se le insta a introducir datos privados, generalmente números de tarjetas de crédito, nombres y password de las cuentas, números de seguridad social, etc... Uno de los métodos más comunes para hacer llegar a la "víctima" a la página falsa es a través de un e-mail que aparenta provenir de un emisor de confianza (banco, entidad financiera u otro) en el que se introduce un enlace a una web en la que el "phiser" ha reemplazado en la barra de dirección del navegador la verdadera URL para que parezca una legal.

Una de las consecuencias más peligrosas de este fraude es que la barra "falsa" queda en memoria aún después de salir de la misma pudiendo hacer un seguimiento de todos los sitios que visitamos posteriormente y también el atacante puede observar todo lo que se envía y recibe a través del navegador hasta que éste sea cerrado.

Una manera para el usuario de descubrir el engaño es que no se muestra la imagen del candado en la parte inferior del navegador que indica que la navegación es segura.

b) Vhishing

Fraude que persigue el mismo fin que el Phishing, la obtención de datos confidenciales de usuarios, pero a través de un medio distinto: la telefonía IP.

Los ataques de Vhishing se suelen producir siguiendo dos esquemas:

• Envío de correos electrónicos, en los que se alerta a los usuarios sobre algún tema relacionado con sus cuentas bancarias, con el fin de que éstos llamen al número de teléfono gratuito que se les facilita.

• Utilización de un programa que realice llamadas automáticas a números de teléfono de una zona determinada.

En ambos casos, cuando se logra contactar telefónicamente con el usuario, un mensaje automático le solicita el número de cuenta, contraseña, código de seguridad, etc.

c) SMiShing:

Es una variante del phishing, que utiliza los mensajes a teléfonos móviles, en lugar de los correos electrónicos, para realizar el ataque. El resto del procedimiento es igual al del phishing: el estafador suplanta la identidad de una entidad de confianza para solicitar al usuario que facilite sus datos, a través de otro SMS o accediendo a una página web falseada, idéntica a la de la entidad en cuestión.

d) Skimming y cajeros ATM

Esta modalidad de fraude consiste en la clonación de tarjetas de crédito y débito con el empleo de dos dispositivos; uno sobrepuesto en los cajeros automáticos que captura la información de la banda magnética de la tarjeta de crédito o débito y otro dispositivo falso de porta folleto que contiene una micro cámara que captura la clave secreta de la tarjeta y mediante una antena trasmite la información a un receptor ubicado hasta una distancia de 200 metros.

e) Pharming

Manipulación de la resolución de nombres de dominio producido por un código malicioso, normalmente en forma de troyano, que se nos ha introducido en el ordenador mientras realizábamos una descarga, y que permite que el usuario cuando introduce la dirección de una página web, se le conduzca en realidad a otra falsa, que simula ser la deseada. Con esta técnica se intenta obtener información confidencial de los usuarios, desde números de tarjetas de crédito hasta contraseñas. De manera que si el usuario accede a la web de su banco para realizar operaciones bancarias, en realidad accede a una web que simula ser la del banco, casi a la perfección, logrando los delincuentes, obtener los códigos secretos del usuario, pudiendo materializar el fraude con los mismos.

f) Ingeniería Social

En sí misma, la ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Con esta técnica, el ingeniero social se aprovecha de la tendencia natural del hombre a confiar en la gente, engañarles para romper los procedimientos normales de seguridad y manipularles para realizar acciones o divulgar información sensible. Otras técnicas usadas por el ingeniero social son las de apelar a la vanidad, la autoridad y la curiosidad de la gente. En general, se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad y se convierte en el principio por el que se rige la ingeniería social.

g) Spyware

El Spyware, programa espía, es un término usado para describir un programa que de manera silenciosa se instala en un ordenador para recoger cualquier información personal

...