Embed Size (px)
Citation preview
EL PHISHING
1. INTRODUCCION
La época informática actual en la que vivimos se ha denominado como la época o era de la “revolución digital” y cuya caracterizada principal es la presencia y/o manifestación de la tecnología (hardware y software) en todas sus formas y es por esta razón que no es extraño encontrarnos ante cableados, redes, fibra óptica, conexiones punto a punto y otros que son impulsos eléctricos que constituyen la infraestructura del Internet, la red mundial o el ciberespacio en la cual todas las personas (naturales o jurídicas) van interactuando entre si y de esta manera desarrollando sus actividades y fines en general.
Esta tecnología informática tiene un gran significado y una gran utilidad para la humanidad actual, la informática es el apoyo fundamental para el desarrollo de todos los tipos de trabajo innovadores que la humanidad pueda imaginarse desarrollar, es en este sentido que la informática tiene un impacto positivo en todas las relaciones de trabajo y en el desarrollo económico global de la sociedad. Asimismo al intentar enumerar todas las ventajas que la informática posee en beneficio del hombre, es inevitable nombrar que la misma conlleva también consecuencias negativas cuando es utilizada con fines delictuosos u otros. (Cfr.)
Dentro de los delitos “nuevos”, también llamados “delitos informáticos”, que aparecen con esta “revolución digital” aparece el phishing el cual es: “… un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea] o incluso utilizando también llamadas telefónicas.1
Actualmente cualquier persona puede ser vulnerable de ser víctima de los delitos informáticos y ante la falta de tipificación de estos delitos e inclusión en la legislación 1 <http://es.wikipedia.org/wiki/Phishing#cite_note-0>. Acceso el 31 de Octubre de 2011.
1
boliviana es muy probable que estas nuevas formas de cometer delitos puedan quedar impunes. (Cfr.). Es por esta razón que es de nuestro interés tocar el tema ya que es de vital importancia generar documentación, comentarios, ensayos o artículos referente a los delitos informáticos y en el caso concreto de este trabajo tocar el tema del phishing.
El presente trabajo buscará explicar de una manera resumida y concisa, a manera de un marco referencial, que son los delitos Informáticos y mas específicamente sobre el phishing, se describirá un breve sumario de la legislación que existe en Bolivia y que regula esta nueva forma de delinquir, la cual nos ayudará a realizar las conclusiones y recomendaciones que el caso amerite.
2. DEFINICION DEL PHISHING
La palabra phishing se aplica “al acto de adquirir, de forma fraudulenta y a través de engaño, información personal como contraseñas o detalles de una tarjeta de crédito, haciéndose pasar por alguien digno de confianza con una necesidad verdadera de tal información en un e-mail parecido al oficial, un mensaje instantáneo o cualquier otra forma de comunicación. Es una forma de ataque de la ingeniería social” 2
Describiendo al phishing y de una manera didáctica podríamos decir que el phishing es la capacidad de duplicar una página web o duplicar un correo electrónico de alguna institución financiera, para hacer creer al visitante o lector electrónico que se encuentra en la página oficial o que se esta comunicando con su institución financiera para poder realizar transacciones u otros en el Internet. Esta técnica se utilizará con fines delictivos ya que se duplicarán páginas web de bancos o entidades financieras y se enviará indiscriminadamente correos electrónicos a miles de personas para que las mismas accedan a esta página web falsa y creyendo estar en la pagina oficial de su banco o institución financiera intentaran realizar transacciones bancarias u operaciones de actualización de datos personales, operaciones con tarjetas de crédito u otros, enviran “sin querer hacerlo” información personal confidencial como el numero de tarjeta de crédito, números PIN de tarjetas de debito y otro tipo de información la cual será usada por el o los delincuentes para cometer un delito. (Cfr.)
2 <http://www.monografias.com/trabajos23/phishing/phishing.shtml>. Acceso el 31 de Octubre de 2011.
2
3. HISTORIA DEL PHISHING
Se cree que el término phishing fue creado a mediados de los años 90 por crackers que procuraban robar las cuentas de la empresa norteamericana AOL. Un atacante se presentaría como empleado de AOL y enviaría un mensaje inmediato a una víctima potencial. El mensaje pediría que la víctima revelara su contraseña, con variadas excusas como la verificación de la cuenta o confirmación de la información de la facturación. Una vez que la víctima entregara la contraseña, el atacante podría tener acceso a la cuenta de la víctima y utilizarla para cualquier otro propósito.3
4. MECANISMO DE FUNCIONAMIENTO DEL PHISHING
Phishing Electrónico
En esta modalidad de fraude electrónico, un usuario de mala fe envía millones de mensajes falsos que parecen provenir de sitios Web reconocidos y de confianza, generalmente como la de su banco o la empresa de su tarjeta de crédito.
Alguna persona al recibir estos mensajes confía ingenuamente en dicho mensaje y responde a estas solicitudes de correo electrónico y envía sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales.
Para darle más realidad, el estafador suele incluir un vínculo electrónico falso en el mensaje que parece dirigir al sitio web legítimo, pero en realidad lleva a un sitio falso (web pirata) o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio web oficial. Una vez que el usuario está en uno de estos sitios Web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad.
Phishing Telefónico.
La empresa financiera BCP en Bolivia describre al Phishing Telefónico como: “Un phishing telefónico es un correo electrónico fraudulento que se hace pasar por un correo electrónico legítimo de una entidad, en el que los clientes son persuadidos a llamar a una línea telefónica directa. Al realizar la llamada el usuario es dirigido a
3 <http://www.monografias.com/trabajos23/phishing/phishing.shtml>. Acceso el 31 de Octubre de 2011.
3
un sistema automático donde una grabación le pide "confirmar" su identidad, digitando su número de cuenta bancaria y tarjeta de crédito. De esta forma, los estafadores obtienen pleno acceso a saquear la cuenta del desprevenido usuario. Asimismo, se puede persuadir al cliente a llamar por teléfono mediante el uso de mensajes de texto o llamadas a celulares o teléfonos fijos. Se trata entonces de una forma avanzada de fraude, donde el mensaje grabado es prácticamente idéntico al usado por el propio banco.” 4
5. ¿QUE ASPECTO TIENE UN MENSAJE PHISHING A TRAVES DEL CORREO ELECTRONICO?
Los mensajes de phishing a través del o los correos electrónicos tienen diversas formas de suplantación de identidad de las cuales podemos mencionar: 5
Pueden parecer provenientes de su banco o institución financiera, de una empresa con la que hace negocios con frecuencia, como por ejemplo Microsoft o de su sitio de red social.
Pueden aparentar ser de alguien en su libreta de direcciones de correo electrónico.
Pueden pedirle que realice una llamada telefónica. Las estafas de suplantación de identidad telefónicas le indican que llame a un número de teléfono en el cual una persona o una unidad de respuesta de audio esperan para conseguir su número de cuenta, su número de identificación personal, su contraseña u otros datos personales valiosos.
Pueden incluir logotipos de apariencia oficial y otra información tomada directamente de sitios web legítimos, y pueden incluir detalles convincentes acerca de su historial personal que los estafadores hayan encontrado en sus páginas de redes sociales.
Pueden incluir vínculos a páginas falsificadas en los que se le solicita ingresar información personal.
4 <http://www.bancodecredito.com.bo/seguridad/phising_telefonico.asp>. Acceso el 29 de Octubre de 2011. 5 <http://www.microsoft.com/es-es/security/online-privacy/phishing-symptoms.aspx>. Acceso el 30 de Octubre de 2011.
4
En el cuadro de abajo se puede observar un ejemplo de cómo se vería una estafa de suplantación de identidad en un mensaje de correo electrónico.
Fuente: http://www.microsoft.com/es-es/security
A continuación se indican algunas frases que se usan habitualmente en las estafas de mensajes de correo electrónico de suplantación de identidad: 6
"Verifique su cuenta"
Toda empresa o institución bancaria no deberían solicitarle que envíe contraseñas, información de inicio de sesión o nombres de usuario, números de seguridad social u otra información personal a través del correo electrónico.
6 <http://www.microsoft.com/es-es/security/online-privacy/phishing-symptoms.aspx>. Acceso el 30 de Octubre de 2011.
5
"Ha ganado la lotería" 7
Esta modalidad de estafa de la lotería es una estafa común de suplantación de identidad conocida como fraude de cuota anticipada. Una de las formas más comunes del fraude de cuota anticipada es un mensaje que afirma que ha ganado una gran cantidad de dinero, o que una persona le pagará una gran cantidad de dinero.
La estafa de la lotería con frecuencia incluye referencias a grandes empresas, como por ejemplo Microsoft. La Lotería de Microsoft ni siquiera existe.
"Si no responde dentro de las 48 horas, se cerrará su cuenta" 8
Este tipo de mensaje con llevan un sentido de urgencia para que los responda de inmediato sin pensar. Un mensaje de correo electrónico de suplantación de identidad incluso puede afirmar que es necesaria su respuesta porque su cuenta puede haber resultado comprometida.
6. ¿QUE ASPECTO TIENE UN VINCULO (LINK) FALSO?
En ocasiones dentro de los mensajes de correo electrónico aparecen los llamados vínculos o links de phishing los cuales direccionan a determinados sitios falsos, estos vínculos pueden “incluir la totalidad o parte del nombre de una empresa real y por lo general se encuentran enmascarados, lo que significa que el vínculo que ve no lo lleva a esa dirección sino a un lugar diferente, por lo general, un sitio web ilegítimo” 9
De la definición que no señala en el párrafo de arriba podemos entender que los delincuentes cibernéticos también usan direcciones web que se parecen a los nombres de empresas reconocidas levemente alterados agregando, omitiendo o mezclando letras.
Por ejemplo, la dirección <www.microsoft.com> podría aparecer en lugar de ello como: <www.micosoft.com>, <www.mircosoft.com> o <www.verify-microsoft.com> en cualquiera de los casos estaremos en la presencia de un sitio web falso o pirata.
7 Idem 6. 8 Idem 6. 9 Idem 6.
6
7. PROCEDIMIENTO PARA LA PROTECCION DEL PHISHING
Las diferentes entidades financieras en este último tiempo han ido comunicando procedimientos para hacer frente a los estafadores que delinquen a través del phishing de los cuales podemos resumir los siguientes pasos: 10
1. Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje.
2. Para visitar sitios web, introduzca la dirección en la barra de direcciones. No acceda a sitios web desde links en su correo electrónico u otras páginas web
3. Consulte diariamente los saldos bancarios y de sus tarjetas de crédito.
4. Comunique los posibles delitos relacionados con su información personal a las autoridades competentes.
8. LA LEGISLACION BOLIVIANA Y EL PHISHING
En el tema de legislación de los delitos informáticos en Bolivia se tienen regulados 2 delitos de los 15 delitos establecidos por la ONU-OMPI, los cuales son la “manipulación informática” y el “acceso indebido” los cuales son mencionados en Código Penal (Art. 363 11) y mencionado en la Ley General de Aduanas y/o Código Tributario (falsificación o alteración de registros informáticos), Ley del Régimen Electoral (sobre la manipulación informática), Ley contra el trafico de niños, niñas y adolescentes (el que promueva pornografía por sistemas informáticos) pero no se tiene una legislación sobre el “phishing” propiamente dicho.
Por otra parte se observa que cuando se cometen delitos informáticos, éstos, casi siempre van de la mano de otros delitos ya tipificados dentro del Código Penal como 10 Elaboración propia en base a revisiones de cartillas seguridad electrónica del Banco de Crédito BCP y del Banco Bisa. 11 Codigo Penal Bolivia. Capítulo XI Delitos informáticos. Artículo 363 ter°.- (Alteración, acceso y uso indebido de datos informáticos) El que sin estar autorizado se apodere, acceda, utilice, modifique, suprima o inutilice, datos almacenados en una computadora o en cualquier soporte informático, ocasionando perjuicio al titular de la información, será sancionado con prestación de trabajo hasta un año o multa hasta doscientos días.
7
son el robo, hurto, uso de instrumento falsificado, abuso de confianza y otros y quiza sea esta una razón para que no exista una legislación puntual sobre el phishing u otros delitos informáticos. (Cfr.)
Existen tambien dentro de la NUEVA CONSTITUCION POLITICA DEL ESTADO, dos Articulos referentes al tema de Delitos Informaticos, MEJORAR ANALISIS estos se encuentran el sitio web:
http://www.plazapublica.org/documentos/CPE%20-%20en%20grande.pdf
Y hacen referencia a lo siguiente:
SECCIÓN III
ACCIÓN DE PROTECCIÓN DE PRIVACIDAD
Artículo 133
8
Toda persona individual o colectiva que crea estar indebida o ilegalmente impedida de conocer, objetar u obtener la eliminación o rectificación de los datos registrados por cualquier medio físico, electrónico, magnético o informático, en archivos o bancos de datos públicos o privados, o que afecten a su derecho fundamental a la intimidad y privacidad personal y familiar, a su propia imagen, honra y reputación, podrá interponer la Acción de Protección de Privacidad.
II. La Acción de Protección de Privacidad no procederá para levantar el secreto en materia de prensa.
Artículo 134
La Acción de Protección de Privacidad tendrá lugar de acuerdo con el procedimiento previsto para la acción de Amparo Constitucional.
II. Si el tribunal o juez competente declara procedente la acción, ordenará la revelación, eliminación o rectificación de los datos cuyo registro fue impugnado.III. La decisión se elevará en revisión de oficio ante el Tribunal Constitucional Plurinacional, en el plazo de las veinticuatro horas siguientes a la emisión del fallo, sin que por ello se suspenda su ejecución.
IV. La decisión final que conceda la Acción de Protección de Privacidad será ejecutada inmediatamente y sin observación. En caso de resistencia se procederá de acuerdo a lo señalado en la Acción de Libertad. La autoridad judicial que no proceda conforme a lo dispuesto por este artículo, quedará sujeta a las sanciones previstas por la ley.
Exactamente que tiene que ver con el tema?
5 .- Derecho Comparado
Argentina
5.1 .- . Legislación argentina y marcos normativos internacionales
El 4 de junio de 2008, con la sanción de la Ley Nº 26.388, se reformó el Código Penal, modificándose ciertos aspectos de los delitos existentes para receptar las nuevas tecnologías. Su texto tipifica como delitos informáticos: la pornografía infantil por Internet u otros medios electrónicos (art. 128, C. Penal); el acceso no autorizado a un sistema o dato informático de acceso restringido (art. 153, bis, C. Penal); la violación
9
de las comunicaciones electrónicas sin la debida autorización, su revelación indebida o la inserción de datos falsos (arts. 155 y 157 bis, C. Penal), el fraude informático (art. 173, C. Penal); el daño o sabotaje informático (arts. 183 y 184, C. Penal) y los delitos contra las comunicaciones (art. 197, C. Penal).
La Ley Nº 26.388 (o la llamada Ley de Delitos informáticos) que se basó en el “Convenio sobre Cibercriminalidad de Budapest” del 23/11/2001, significó un gran avance en la lucha contra la cibercriminalidad.
Esta convención es el primer instrumento legal de carácter internacional sobre la materia, y fue redactada en 2001 por el Consejo de Europa, junto a Sudáfrica, Costa Rica, México, Japón, Canadá y Estados Unidos.
El convenio representa la intención de la Comunidad Europea de unificar su legislación, y de esta forma abordar en forma total y completa el fenómeno de la delincuencia informática.
El Convenio de Budapest sienta los lineamientos básicos en torno a tres áreas fundamentales: la tipificación de los delitos informáticos, los aspectos procesales involucrados en una investigación en torno a estos delitos y las cuestiones relativas a la cooperación internacional, ya que estos ilícitos suelen ser trasnacionales. Más de treinta países ya han ratificado esta convención.
Si bien la Argentina, con la Ley de Habeas Data y la N° 26.388, se enmarca dentro de una política nacional sobre delitos informáticos, todavía faltan marcos legales (sustantivos y procesales) eficazmente aptos para recolectar la evidencia en tiempo y forma, necesitando en muchas ocasiones de la acción coordinada entre la policía y los magistrados de otras naciones.
5.2 .- La estafa informática en la legislación argentina ¿es lo mismo?
La figura de la estafa informática se encuentra consagrada en el inciso 16 del art. 173 del Código Penal, al disponer que: “El que defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos”.
10
La disposición agregada al art. 173 del Cód. Penal clausuró la discusión doctrinaria y jurisprudencial acerca de si el concepto de fraude era aplicable a la manipulación informática, por aquello de que el sistema informático no podía ser engañado ya que seguía procesos preestablecidos. Siendo así, quizás hubiera sido sistemáticamente mas apropiado ampliar al efecto, la descripción del art. 172 del Cód. Penal.
Sostiene Pablo A. Palazzi en “Los Delitos Informáticos en el Código Penal. Análisis de la ley 26.388”, Editorial Abeledo Perrot, año 2009, que la acción típica es defraudar mediante una manipulación en un ordenador.
Indica el autor que el tipo penal no se refiere solamente a procesos informáticos que son modificados, sino a “cualquier supuesto de defraudación mediante ordenadores, como accesos ilegítimos mediante claves falsas o phishing o falsos montajes en cajeros automáticos… Es una suerte de tipo penal abierto en relación con cualquier abuso informático”.
Pallazi señala, ateniéndose al texto de la norma, que la “manipulación informática” debe alterar el funcionamiento del sistema informático o la transmisión de datos. No se trata de cualquier manipulación, sino de aquella que es apta para producir dicho efecto. Si por un error en la programación, no se logra alterar el sistema informático, estaremos ante un delito tentado o imposible”. Uno de esos procedimientos es el conocido en el mundo informático como “phishing”.
Esta nueva modalidad de defraudación, desde que se inserta en la enumeración del art. 173 del Cód. Penal, requiere que exista un perjuicio patrimonial y ello se debe producir mediante la disposición o la afectación patrimonial, en la cual el medio específico es la manipulación informática o la transmisión de datos.
modalidades de “phishing”, cuyo análisis supera el objetivo de esta exposición.
5.3 .- El phishing en la jurisprudencia argentina
El 3 de agosto pasado, en los autos caratulados “G.R. y otro s/ procesamientos, Expte. N° 39.779”, la Sala IV de la Cámara Nacional de Apelaciones en lo Criminal y Correccional confirmó el procesamiento de dos personas imputadas por fraude, a raíz del uso de la técnica de manipulación informática conocida como “phishing”.
11
Se les imputa a los acusados haber llevado a cabo maniobras de fraude, mediante la creación de una página paralela, por la cual obtuvieron los datos necesarios (código de transferencia y número de tarjeta de crédito) para poder operar en las cuentas bancarias de la víctima y el 9 de septiembre de 2009 efectuar dos transferencias de 780 y 770 pesos desde la caja de ahorro y cuenta corriente de ésta a otra caja de ahorro, todas de la misma entidad bancaria.
Es decir que los imputados, a través de un sitio paralelo, obtuvieron datos de dos cuentas bancarias, desde las que transfirieron dinero, sin el consentimiento del titular de esas cuentas.
El denunciante manifestó que el 8 de septiembre pasado, mientras verificaba el estado de su cuenta bancaria, en su computadora, vía Internet, apareció una pantalla paralela que le indicaba que ingresara su código de transferencia y número de tarjeta de débito, lo que hizo debido a que ello daría una mejor atención y seguridad en la operación.
Al día siguiente, la víctima advirtió que faltaba dinero de su cuenta corriente y de su caja de ahorro, el cual había ingresado en una tercera cuenta, del mismo banco y cuya titularidad fue aportada por esa entidad, identificando así a los presuntos estafadores.
En ese contexto, señaló el tribunal que la circunstancia de que el dinero de la víctima haya ingresado en la cuenta de uno de los procesados, al día siguiente de la obtención de los datos, mediante la manipulación informática (página paralela) denunciada es suficiente como para agravar la situación procesal de los indagados
La Sala IV de la Cámara Nacional de Apelaciones en lo Criminal y Correccional estableció que el hecho de que no se haya determinado de qué computadora se realizaron las transferencias, no altera de momento los graves indicios cargosos, y más si se tiene en cuenta que uno de los procesados es perito mercantil con orientación en computación.
La conducta reprochable fue encuadrada dentro de las previsiones del art. 173, inciso 16, incorporado al Código Penal mediante la Ley Nº 26.388 y que castiga con pena de un mes a seis años, a quien “defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos”.
5.4 .- Valoración del fallo “G.R. y otro s/ procesamientos, Expte. N° 39.779”
12
En este caso, la víctima habría sido desapoderada del dinero depositado en sus dos cuentas bancarias, mediante la obtención de sus datos confidenciales a través de un ardid informático, siendo posible identificar a los supuestos autores del ilícito a través del seguimiento financiero de los fondos sustraídos: datos que fueron proporcionados por la misma entidad financiera.
En relación al fallo, el Dr. Ricardo Sáenz, Fiscal General ante la Cámara Criminal y Correccional de la Capital Federal y especialista en delincuencia informática, en su página web ricardosaenz.com.ar, manifestó que “…no encontraremos en esta decisión judicial un análisis acabado de este delito, y ello no se debe a un defecto del fallo sino a que se ha dictado en un momento embrionario de la investigación, anterior al juicio…”.
Continua diciendo, el Dr. Sáenz, que la propia resolución de los jueces reconoce que todavía no se han probado todos los pasos del procedimiento del phishing, ni se ha determinado de qué computadora se realizó la transferencia. Sin embargo, considera como determinante para confirmar el procesamiento que el dinero ingresó en la cuenta de los imputados al día siguiente de la obtención de los datos, “mediante la manipulación informática (página paralela) denunciada” por la víctima, y que aquéllos no pudieron dar una explicación satisfactoria sobre el origen del depósito en su cuenta. Estas reflexiones confirman el aserto sobre la dificultad técnica que afrontan estas investigaciones, ya que si bien el ingreso de la transferencia en la cuenta de los imputados configura un indicio grave no llega a la condición de no contingente, ya que no podría descartarse absolutamente la existencia de una maniobra de algún tercero para afectar a los procesados o con otros fines. El cine, que a veces se adelanta premonitoriamente, ya se ha ocupado de esta especulación (v. “Red de Mentiras”, Título Original: Body Of Lies, USA, Año: 2008).
La importancia de este precedente radica, básicamente, en tratar una realidad que en nuestra jurisprudencia se encontraba relegada o poco considerada, esperando que abra un camino en donde los operadores jurídicos le otorguen la atención que el tema se merece en el futuro próximo o inmediato.
Y la comparación con Bolivia?
6.- Conclusiones
13
La conclusión que se aporto de los 4 estudiantes de la cerra de derecho de la universidad UDABOL es la siguiente:
La tecnología y la informática que se han venido desarrollando en este mundo globalizado debido a su acelerado desarrollo y su incidencia directa en varios ámbitos de la sociedad han alcanzado el rango de bienes jurídicos protegidos por el ordenamiento jurídico –particularmente por el Derecho Penal. Por lo que una vez más nos hace pensar que estamos en presencia de un proceso de mejoramiento, no solo a nivel latinoamericano sino tambien a nivel mundial del Derecho Penal, donde gracias a la globalización se ha logrado realizar esfuerzos para la creación de un sistema que garantice y sea capaz de proteger los derechos de la información.
Para que este sistema garantista del Derecho Penal de la Tecnología y la Información surta sus efectos, es necesario el compromiso de toda la comunidad a fin de que regulen sus ordenamientos jurídicos de una manera uniforme siguiendo las recomendaciones y pautas señaladas por las diferentes organizaciones mundiales, y de esta manera se logre la armonización de sus legislaciones, para que los usuarios de la tecnología de la información se vean cada vez más protegidos y accedan al maravilloso mundo del ciberespacio.
Confío sinceramente que el tema tratado haya constituido una modesta contribución al mejor estudio por parte de todos los lectores de la importante normativa que hoy se somete a su consideración.
7.-Biografia
http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
http://www.ifccfbi.gov/index.asp
http://www.antiphishing.org/
¿?
3.4 .- Estafas de suplantación de identidad dirigidas a actividades, intereses o hechos novedosos
14
Se generan nuevas técnicas de estafas o de suplantación de identidad (phishing) siempre que hay un evento de interés , como por ejemplo una catástrofe natural, elecciones nacionales o un cambio significativo en el sistema financiero mundial.
Tarjetas electrónicas falsas
Oportunidades laborales falsas
Estafas de donaciones
3.5 Tarjetas electrónicas falsas
Las tarjetas electrónicas se crean de la misma manera que los sitios web: se construyen en Internet, al igual que esta página. Esto significa que una tarjeta electrónica que reciba puede ser una estafa de suplantación de identidad (phishing) , spam o de programas malintencionados o un virus informático.
Cómo evitar tarjetas electrónicas falsas
Reconozca al remitente de la tarjeta. Si no conoce al remitente, no confíe en la tarjeta .
Cuando el ser tenga dudas, use métodos de visualización alternativos. No haga doble clic en ningún vínculo cuando no esté seguro del remitente por medio del correo electrónico.
Nunca descargue y evite hacer del clic en una página que provenga de una fuente desconocida.
Desconfíe de un mensaje de correo electrónico o archivo adjunto de alguien que no conoce o que parece sospechoso.
Revise la dirección web de un vínculo antes de hacer clic en él link.
3.6 Estafas de búsqueda de trabajo en línea
15
Las estafas de por la técnica phishing también pueden presentarse como avisos de trabajo falsos. Los delincuentes cibernéticos publican sus anuncios en sitios de trabajo legítimos y con frecuencia usan logotipos de empresas y lenguaje de aspecto familiar o convincente y vínculos a sitios web falsos que parecen pertenecientes a organizaciones reales.
3.7 Estafas de donaciones
Estas personas de mala fe aprovechan los desastres naturales, las campañas políticas y los temas de salud global, con frecuencia, son12 el foco de estafas de suplantación de identidad (phishing) de donaciones. Podemos mencionar el siguiente ejemplo, durante los últimos años, los delincuentes de cuello blanco se han aprovechado de terremotos y tsunamis para crear empresas de "caridad" ilegítimas para ayudar a los sobrevivientes de estos eventos.
En su mayoría estas estafas comienzan con un mensaje de correo electrónico o una publicación en un foro en línea pidiendo donaciones en nombre de organizaciones de caridad bien conocidas y legítimas.
Cómo evitar las estafas de donaciones
El ser social debe ser cuidadoso si recibe un mensaje de correo electrónico no deseado de una organización de caridad que le solicita dinero. No abra ningún archivo adjunto ni haga clic en ningún vínculo.
Verifique dos veces la ortografía del sitio web de la organización en la barra de direcciones antes de navegar en el sitio.
En el sitio web donde ingresará la información de su tarjeta de crédito u otra información personal, busque una "s" después de http en la dirección web de esa página. Debería decir: https://. (El cifrado es una medida de seguridad que codifica sus datos mientras recorren Internet).
Asegúrese de que haya un icono pequeño candado cerrado en la barra de direcciones o en el extremo inferior derecho de la ventana.
Si usa Internet Explorer, un indicio de que el sitio es de confianza es que la barra de direcciones se vuelve verde y muestra los https y el candado cerrado. 12http://www.proydesa.org/portal/http://www.cisco.com/web/learning/netacad/index.html
16
Mejore las defensas de su ordenador usando siempre un firewall, un antivirus y software anti spyware,
3.8 .- Estafas a través de correos electrónicos o sitios web cómo protegerse
Cuando lee correo electrónico o navega en la red de redes , debe tener cuidado con las estafas que intentan robar su información personal ( robo de identidad ), su dinero o ambos. Muchas de estas estafas se conocen como "estafas de suplantación de identidad (phishing)" porque intentan "pescar (fish)" su información.
Ingresando en google las siguientes paginas pude ayudarle con las siguientes dudas.
Cómo reconocer estafas
Cómo denunciar estafas
Qué hacer si piensa que ha sido víctima de estafa
Herramientas para ayudarlo a evitar estafas
3.9 Cómo reconocer estafas
Todos los días parece que aparecen estafas nuevas. Para ver las estafas más recientes, navegue por la sección de fraudes. Además, puede aprender a reconocer una estafa familiarizándose con algunos de los signos delatores.
Las estafas pueden incluir lo siguiente:
Mensajes alarmistas y amenazas de cierre de cuentas.
Promesas de dinero a cambio de poco esfuerzo o sin esfuerzo alguno.
Negocios que suenan demasiado buenos para ser reales.
17
Solicitudes de donaciones a organizaciones de caridad después de noticias sobre alguna catástrofe.
Errores de gramática o de ortografía.
Estafas populares
Le mencionamos algunas estafas populares de las que debe estar al tanto:
Estafas que usan el nombre de Microsoft o los nombres de otras empresas reconocidas. El mensaje de correo electrónico puede alegar que ha ganado un concurso de Microsoft, que Microsoft necesita su información de inicio de sesión o su contraseña o que un representante de Microsoft se comunicará con usted para ayudarlo con su computadora. (Estas estafas de soporte técnico falso con frecuencia se realizan por teléfono.)
Estafas de lotería. Es posible que reciba mensajes que aleguen que ha ganado la lotería o las apuestas de Microsoft. Estos mensajes incluso se ven como si provinieran de un ejecutivo de Microsoft. La Lotería de Microsoft ni siquiera existe.
Estafas de software de seguridad falso. Los software de seguridad falsos, también conocidos como “scareware”, son software que parecen ser beneficiosos desde la perspectiva de la seguridad, pero ofrecen una seguridad limitada o ninguna seguridad; generan alertas erróneas o engañosas o intentan convencerlo de que participen en transacciones fraudulentas.
3.10 .- Cómo denunciar una estafa
Puede usar herramientas de Microsoft para denunciar una supuesta estafa.
Internet Explorer. Mientras se encuentre en un sitio sospechoso, haga clic en el botón seguridad/protección o menú de Internet Explorer 8 y elija filtro SmartScreen . Y, luego,
18
haga clic en Denunciar sitio web peligroso y use la página web que se muestra para denunciar el sitio web.
Hotmail. Si recibe un mensaje de correo electrónico sospechoso que le solicita información personal, haga clic en la casilla que se encuentra al lado del mensaje en la bandeja de entrada de Hotmail. Haga clic en Marcar como y, luego, elija estafa de suplantación de identidad .
Microsoft Office Outlook. Adjunte el mensaje de correo electrónico sospechoso al nuevo mensaje de correo electrónico y envíeselo a [email protected].
3.11 .- Qué hacer si piensa que ha sido víctima de estafa
Realice los siguientes pasos para minimizar los daños.
Cambie las contraseñas o PIN de todas las cuentas en línea que crea que puedan haber resultado comprometidas.
Presente una alerta de fraude en sus informes crediticios. Hable con su banco.
Póngase en contacto directo con el banco o el comerciante en línea, llame a la línea 800
Si sabe de alguna cuenta a la cual se obtuvo acceso o que fue abierta de manera fraudulenta, ciérrela.
Revise sus estados bancarios y de tarjeta de crédito con regularidad día a día.
3.12 .- Herramientas para ayudarlo a evitar estafas
Microsoft ofrece varias herramientas para ayudarlo a evitar estafas de suplantación de identidad (phishing) cuando navega en la web o lee el correo electrónico.
Windows Internet Explorer. En Internet Explorer 8, el nombre del dominio en la barra de direcciones está enfatizado en letras negras y el resto de la dirección aparece
19
sombreado para que resulte más fácil identificar la verdadera identidad de un sitio web.
El filtro SmartScreen en Internet Explorer también le proporciona advertencias acerca de sitios web potencialmente peligrosos a medida que navega.
Windows Live Hotmail. El programa de correo web gratuito de Microsoft también usa tecnología SmartScreen para analizar el correo electrónico. SmartScreen ayuda a identificar y separar amenazas de suplantación de identidad (phishing) y otro correo electrónico no deseado del correo electrónico legítimo.
Microsoft Office Outlook. El Filtro de correo electrónico no deseado en Outlook 2010, Outlook 2007 y otros programas de correo electrónico de Microsoft evalúa cada mensaje de correo entrante para ver si incluye características sospechosas comunes a las estafas de suplantación de identidad (phishing)..
3.13 Denuncias de ataques a la seguridad
La pagina es :
http: \ \www.Seguridad Informática - Denuncias de Ataques a la Seguridad.mht
Utilice este formulario para realizar denuncias en donde Ud. crea que han burlado su seguridad o privacidad.
Si recibió un correo falso (phishing), no es necesario que complete este formulario.
20
Reenvíe el correo (fordward) a phishing [ARROBA] segu-info.com.ar
marque los siguientes campos
Su Nombre:
Correo (obligatorio):
Ataques a la Infraestructura
Estafa en sitio de Compra-Venta
Suplantación de Identidad
Violación de la Privacidad
21
