Nuevas técnicas aplicadas contra el fraude documental con soporte Físico y Electrónico

Nuevas técnicas aplicadas contra el fraude

documental con soporte Físico y Electrónico

Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”

Alonso E. Caballero Quezada aka ReYDeS

Area de Sistemas de La Cámara de Comercio de La LibertadIntegrante del Grupo Peruano de Seguridad Informática SWP

“Security Wari Projects”

email: ReYDeS@gmail.comWebPage: alonsocaballero.informatizate.net

ALONSO

CABALLERO

ReYDeS

Fraude

Según RAE

Fraude: (Del lat. fraus, fraudis).

1. m. Acción contraria a la verdad y a la rectitud, que perjudica a la persona contra quien se comete.2. m. Acto tendente a eludir una disposición legal en perjuicio del Estado o de terceros.3. m. Der. Delito que comete el encargado de vigilar la ejecución de contratos públicos, o de algunos privados, confabulándose con la representación de los intereses opuestos.*RAE -> rae2.es

ALONSO

CABALLERO

ReYDeS

Fraude

Fraude Electrónico

Es todo acto que infringe la ley y que se realiza aplicando algún medio de procesamiento electrónico. Por ejemplo: El robo a un Banco, violando la seguridad de algún medio de procesamiento electrónico de información, es constituido de crimen electrónico.

ALONSO

CABALLERO

ReYDeS

Tarjetas de Crédito

¿Qué es una tarjeta de Crédito?

Una tarjeta de crédito es una tarjeta de plástico con una banda magnética, a veces un microchip, y un número en relieve que sirve para hacer compras y pagarlas en fechas posteriores.

Los usuarios tienen límites con respecto a la cantidad que pueden cargar, pero no se les requiere que paguen la cantidad total cada mes. En lugar de esto, el saldo acumula interés, y sólo se debe hacer un pago mínimo. Se cobran intereses sobre el saldo pendiente.

ALONSO

CABALLERO

ReYDeS

¿Qué es una tarjeta de Crédito? cont.

La mayoría de tarjetas de crédito son del mismo tamaño y forma, como es especificado por el estándar ISO 7810.

ISO 7810: es un estándar internacional que define tres formatos para identidad o tarjetas de identificación, ID1, ID2, y ID3

*ISO 7810 -> http://www.iso.org

ALONSO

CABALLERO

ReYDeS

¿Qué es una tarjeta de Crédito? cont.

El ID1 especifica un tamaño de 85.60 x 53.98mm. Es comúmente utilizado para tarjetas de banco (ATM cards, tarjetas de crédito, tarjetas de débito). También es utilizado para licencias de conducir en muchos paises.

ISO 7813 / ISO 7811ISO 7816 / ISO 14443

*ISO 7810 -> http://www.iso.org

ALONSO

CABALLERO

ReYDeS

ALONSO

CABALLERO

ReYDeS

Visa: CCV2 / MasterCard: CVC2 / AE: CID

ALONSO

CABALLERO

ReYDeS

ALONSO

CABALLERO

ReYDeS

¿Cómo funciona?

Cuando una compra es realizada. El propietario indica su consentimiento de pagar, firmando un recibo con un registro de los detalles de la tarjeta e indicando la cantidad a pagar o ingresando un PIN. También puede ser una autorización verbal vía telefónica o autorización electrónica utilizando internet.

*Wikipedia -> http://en.wikipedia.org/wiki/Credit_card

ALONSO

CABALLERO

ReYDeS

¿Cómo funciona? cont.

El sistema de verificación electrónica permite al vendedor verificar que la tarjeta es válida y que tiene suficiente crédito para cubrir la compra en unos pocos segundos, permitiendo que la verificación sea realizada al momento de la compra. La verificación es realizada utilizando un terminal de pago de tarjeta de crédito o sistema POS con un enlace de comunicación al banco.

ALONSO

CABALLERO

ReYDeS

ALONSO

CABALLERO

ReYDeS

Los datos de la tarjeta de crédito son obtenidos utilizando la cinta magnética o el chip en la tarjeta; luego el sistema.

Otras variaciones de identificación implican que el propietario proporcione información adicional, como un código de seguridad impreso en el reverso de la tarjeta, o su dirección.

ALONSO

CABALLERO

ReYDeS

ALONSO

CABALLERO

ReYDeS

Proceso de autorización de una tarjeta de crédito

ALONSO

CABALLERO

ReYDeS

Tarjeta de banda Magnética; es un tipo de tarjeta capaz de almacenar data mediante modificación de magnetísmo de pequeñas particulas de metal magnetizadas sobre una banda de material magnético sobre la tarjeta. Es leido por contácto físico y pase sobre una cabeza lectora. Son comunmente utilizados en tarjetas de crédito, tarjetas de identidad, y similares.

*Wikipedia -> http://en.wikipedia.org/wiki/Magnetic_stripe_card

ALONSO

CABALLERO

ReYDeS

*http://www.ded.co.uk/magnetic-stripe-card-details.html

ALONSO

CABALLERO

ReYDeS

Fraude con Tarjetas de Crédito

* Tarjetas Robadas:

Cuando es robada, el ladrón es capaz de realizar compras hasta que la tarjeta sea cancelada. Las empresas que aceptan tarjetas de crédito no están autorizadas de solicitar información adicional de los propietarios; salvo que; las tarjetas no esten firmadas. Un ladrón puede realizar compras por miles de dolares en mercaderías o servicios, antes de que el propietario o el banco se percate de que la tarjeta está en manos indebidas.

ALONSO

CABALLERO

ReYDeS

ALONSO

CABALLERO

ReYDeS

* Suplantación de cuenta:

Los realizadores del fraude hacen llamadas, simulando ser los propietarios de la tarjeta, utilizando información personal robada. Obtienen la dirección y otra información del propietario modificada a una dirección que controlan. Tarjetas adicionales o PINs son enviados a petición y entregados a la nueva dirección, y son utilizados por los defraudadores para realizar compras u obtener beneficios.

ALONSO

CABALLERO

ReYDeS

* Trashing:

El viejo sistema de recoger tickets usados en restaurantes, papeleras, etc. también sigue siendo válido y efectivo para el fraude.

ALONSO

CABALLERO

ReYDeS

* Skimming:

Skimming es el robo de información de tarjetas de crédito, por un empleado deshonesto de un comercio legal, copiando manualmente los números, o utilizando un lector de bandas magnéticas en un dispositivo electrónico de pequeño tamaño. Escenarios usuales para skimming, son los restaurantes o bares, donde el skimmer toma posesión de la tarjeta de crédito de la victima.

ALONSO

CABALLERO

ReYDeS

* Skimming: cont.

Se utiliza un pequeño teclado para transcribir solapadamente los 3 o 4 digitos del código de seguridad, el cual no está presente en la banda magnética. En algunas modalidades el perpetrador coloca un dispositivo sobre la ranura de una cajero automático, el cual lee la banda magnética cuando el usuario sin conocimiento de ello, pasa su tarjeta. Son utilizados con ayuda de una cámara para leer el PIN del usuario al mismo tiempo.

ALONSO

CABALLERO

ReYDeS

* Skimming: cont.

ALONSO

CABALLERO

ReYDeS

* Skimming: cont.

ALONSO

CABALLERO

ReYDeS

* Skimming: (Cajeros)

ALONSO

CABALLERO

ReYDeS

* Skimming: (Cajeros) cont.

ALONSO

CABALLERO

ReYDeS

Original / Skimming

ALONSO

CABALLERO

ReYDeS

Original / Skimming

ALONSO

CABALLERO

ReYDeS

Original / Skimming

ALONSO

CABALLERO

ReYDeS

Un cajero normal.

ALONSO

CABALLERO

ReYDeS

Instalación deldispositivo deskimming paraobtener los datosde la tarjeta.

ALONSO

CABALLERO

ReYDeS

El cajero quedalisto. Todo lo quese necesita esun usuariodesprevenido.

ALONSO

CABALLERO

ReYDeS

Instalación deldispositivo deskimming paraobtener los datosde la tarjeta.

ALONSO

CABALLERO

ReYDeS

Mientras el usuarioescribe su PIN, eldispositivo deskimmingtrasmite los datosde la tarjeta haciala laptop.

ALONSO

CABALLERO

ReYDeS

* Skimming: Lector / Escritor de Tarjetas

http://jp-importexport.com/msr_206_reader_writer.shtml

ALONSO

CABALLERO

ReYDeS

* Carding

Termino utilizado para un proceso que se utiliza para verificar la validez de los datos de una tarjeta de crédito robada. Los defraudadores exponen las de tarjetas de crédito en un website que realiza procesamiento de transacciones en tiempo real, haciendo una compra por monto mínimo, de esta forma; no se utiliza el limite de la tarjeta de crédito, y así no atraer la atención de una revisión personal de la transacción.

ALONSO

CABALLERO

ReYDeS

* Carding (cont.)

Antes, los carders utilizaban programas llamados "generadores", para producir una secuencia de números de tarjetas y además verificar su validez. Sin embargo, este proceso no era viable debido a los requerimientos de los sistemas de procesamiento de tarjetas en internet, que solicitaban más datos, como la dirección de cobranza, los 3 o 4 dígitos del Código de Seguridad, o la fecha de vencimiento de la misma.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

¿Qué es una tarjeta de Débito?

Tarjeta bancaria de plástico con una banda magnética, usada para extraer dinero de un cajero y para pagar compras en comercios que tengan un terminal lector de tarjetas bancarias. Se diferencia de la tarjeta de crédito en que el dinero que se usa nunca se toma a crédito sino del que se disponga en la cuenta bancaria (débito). Algunos bancos realizan acuerdos con sus clientes para permitirles extraer dinero, generando préstamos con sus respectivos intereses. Su cuota anual es más barata que la de crédito o incluso gratis.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

Tipo de Tarjetas de Crédito

La mayoría de tarjetas de débito son Visa o MasterCard, existen muchos otros tipos de tarjeta de débito, cada una de ellas aceptada solo dentro de un país o región, por ejemplo (Maestro y Solo) en el Reino Unido, (Carte Bleue) en Francia. La necesidad de traspasar fronteras y compatibilidad, hace que mucha de estas tarjetas puedan ser utilizadas si tienen el Logo de (Maestro), el cual es parte de MasterCard.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

Transacciones de Débito OnLine / OffLine

* Débito OnLine: Requiere autorización electrónica de cada transacción y el débito es reflejado en la cuenta del usuario inmediatamente.

* Débito OffLine: Este tipo de tarjeta de débito puede estar sujeta a un limite diario, como también un límite máximo igual a la cantidad actualmente depositado en la cuenta desde la cual se obtienen los fondos.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

Chip & PIN (cont.)

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

Chip & PIN

¿Cómo funciona?

Cuando el cliente desea pagar utilizando este sistema, la tarjeta es colocada en el terminal, el cual accede al chip de la tarjeta. Una vez que la tarjeta ha sido verificada como auténtica, el cliente ingresa los 4 digitos PIN, el cual es comprobado con el valor almacenado en la tarjeta; si los dos concuerdan , la transacción será automaticamente completada.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

Fraudes con Tarjeta de Débito

* PINs facilmente identificables; Se es victima de un robo, y el ladrón encuentra el PIN escrito en un lugar cercano a su tarjeta, o intenta con códigos de PIN comunes, tal como la fecha de cumpleaños; basado en la información hallada en los objetos del robo.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

* Un ladrón mira cuando se ingresa el PIN y luego distrae su atencion, para robar la tarjeta de débito. Si es una víctima probada de tal fraude, las perdidas pueden ser recuperadas por la institución financiera.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

* Atasco de Tarjeta; Algunos dispositivos son utilizados para atracar la tarjeta en el cajeto. Despues de que la tarjeta se atasca, un extraño servicial le sugiere que intente ingresar el PIN algunas veces, pero la tarjeta sigue insertada. Después de que el cliente se retira, el ladrón retira la tarjeta y además obtiene el PIN.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

* Skim y Clonar;

Algunos equipos son utilizados para ilegalmente recolectar el PIN e información de la tarjeta. Por ejemplo, cuando se realizar una compra, la tarjeta es pasada por un dispositivo que envía información de la banda magnética al banco. La persona además pasa la tarjeta por segunda vez para obtener la información en un dispositivo oculto el cual permite hacer un duplicado. Además en ese momento, una cámara registra el PIN.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

*Máquinas Falsas; Reemplaza el teclado real, obteniendo datos de la tarjeta y el PIN, entregando un recibo de la transacción, pero no la envía al banco. El empleado cubre la compra colocando el pago, así el propietario no se entera del fraude al revisar los libros de balance. Luego, el empleado usa los datos robados para crear una tarjeta de crédito para vaciar los fondos. La evidencia del fraude puede estar en tener el recibo de la transacción de la compra, pero la compra no aparece en los estados bancarios.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

Consejos Prácticos para Evitar Fraudes

* No pierdas de vista la tarjeta. En comercios donde se la entrega a un dependiente considera un tiempo razonable para que ésta sea devuelta.

* No reveles tu clave (el PIN) a nadie, ni lo lleves en tu persona. Memorízalo.

* Al seleccionar el PIN, evita lo obvio, como tu fecha de nacimiento, número de teléfono, número de apartamento, chapa de auto, etc.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

Consejos Prácticos para Evitar Fraudes (cont.)

* Cuando uses el cajero automático, o hagas una compra en una terminal de una tienda, cubre con la mano o el cuerpo el teclado al introducir tu clave. Toma tu tarjeta y recoge el recibo, ya que este último suele tener información de tu cuenta.

* Realiza las transacciones cuando y donde te sientas seguro, si por cualquier razón no te encuentras cómodo de un determinado cajero deja tu transacción para más tarde o dirígete a otro lugar.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

* Nunca aceptes ayuda o sugerencias de extraños cuando uses el cajero automático.* Revisa a detalle tu estado de cuenta. Verifica que el saldo corresponda al consumo. Destruye tus estados de cuenta antes de echarlos en la basura. Igualmente destruye ofertas de crédito y otra correspondencia que contenga información de tus finanzas, porque estos datos pueden usarse para el robo de identidad.* Si detectas un consumo que no realizaste, notifícalo a tu banco de inmediato.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

* Si no recibes tus estados de cuenta a tiempo, llama a tu institución financiera; puede ser indicación de que alguien ha desviado la cuenta a otra dirección.* Si temes que te hayan robado el número de cuenta, llama al emisor y pide que pongan un "bloqueo" sobre la cuenta y solicita una tarjeta nueva con otro número.* Antes de que pasen por segunda vez la tarjeta en la máquina, pide que espere a que llegue la autorización, así evitando cargos duplicados.

ALONSO

CABALLERO

ReYDeS

Tarjetas Débito

* No entregues la tarjeta a desconocidos y no des el número de tarjeta a nadie si no eres tú quien inicia una compra. Ojo con ofertas de premios. No des información de tus cuentas por teléfono. Muchos números de tarjeta son robados así.* No lleves más tarjetas en tu billetera de las que uses normalmente, así limitas los dolores de cabeza te robaran la billetera. También evita llevar documentos que tengan ese número.* Ten a la mano los teléfonos para notificar al banco en caso de robo o extravío.

ALONSO

CABALLERO

ReYDeS

Phishing

¿Qué es el Phishing?

Es un término utilizado que denomina el uso de un tipo de ingeniería social, caracterizada por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjeta de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza mediante una comunicación electrónica falsa, por lo común un email, algún sistema de mensajería instantanea o incluso utilizando también llamadas telefónicas.

ALONSO

CABALLERO

ReYDeS

Phishing

Técnicas de Phishing

La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/.

ALONSO

CABALLERO

ReYDeS

Phishing

Caso: CitiBank (Perú)

ALONSO

CABALLERO

ReYDeS

Phishing

ALONSO

CABALLERO

ReYDeS

Phishing

ALONSO

CABALLERO

ReYDeS

Phishing

Técnicas de Phishing (Cont.)

Otro método popular, el atacante utiliza los propios códigos del banco contra la víctima. Este tipo de ataque resulta problemático, ya que dirigen al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de Seguridad parecen correctos. Con este método de ataque (conocido como Cross Site Scripting) se recibe un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque.

ALONSO

CABALLERO

ReYDeS

Phishing

Caso: BCP

ALONSO

CABALLERO

ReYDeS

Phishing

ALONSO

CABALLERO

ReYDeS

Phishing

ALONSO

CABALLERO

ReYDeS

Phishing

ALONSO

CABALLERO

ReYDeS

Phishing

Caso: CitiBank (Perú) IP Origen: Perú / SMTP: Alemania: Web Falsa: Austria.

ALONSO

CABALLERO

ReYDeS

Phishing

Mapa Mundial Phishing Ultimo Mes.

*www.antiphishing.org

ALONSO

CABALLERO

ReYDeS

Phishing

Recomendaciones:

* Solicite información a su banco acerca de los productos y servicios bancarios así como de las medidas de seguridad implementadas y que se encuentran a su disposición para poder usarlos con seguridad.

* Revise periódicamente sus estados de cuenta para detectar consumos no reconocidos.

* Actualice el S.O y el Navegador, siguiendo las instrucciones indicadas por los fabricantes.

ALONSO

CABALLERO

ReYDeS

Phishing

Recomendaciones: (cont.)

* Mantenga su computadora libre de virus informáticos y programas espías.

* No utilice computadoras públicas para efectuar operaciones en la Banca Electrónica.

* No anote ni comparta su Clave Secreta o PIN.

* Verifique que la URL que aparece en la parte superior de la página web corresponda al banco. Si no puede verla o duda, contáctese con su banco.

ALONSO

CABALLERO

ReYDeS

Phishing

* Cuando utilice la banca por Internet y requiera ingresar su código de usuario y clave personal, verifique que se encuentre en una zona segura presionando el icono del candado que aparece en la parte inferior de su navegador.

* Elija contraseñas fáciles de recordar, pero difíciles de adivinar. No escriba sus contraseñas ni las almacene en archivos electrónicos.

ALONSO

CABALLERO

ReYDeS

Phishing

* No abandone o desatienda su computadora mientras no haya cerrado su sesión en la Banca Electrónica.

* No preste o exponga la información de su tarjeta.

* Nunca descargue archivos ni baje de sitios desconocidos.

ALONSO

CABALLERO

ReYDeS

Pharming

¿Qué es Pharming?

Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System), o en el de los equipos de los usuarios, que permite a un atacante redireccionar un nombre de dominio a otra máquina distinta.

De esta forma un usuario que introduzca un determinado nombre de dominio, que haya sido redireccionado, en su explorador de internet, accederá a la página web que el atacante haya especificado para ese nombre de dominio.

ALONSO

CABALLERO

ReYDeS

Pharming

¿Cómo funciona?

Los ataques mediante pharming pueden realizarse de dos formas:

* Directamente a los servidores DNS, con lo que todos los usuarios se verían afectados.

* O bien atacando a ordenadores concretos, mediante la modificación del fichero "hosts" presente en cualquier equipo que funcione bajo Microsoft Windows o sistemas Unix.

ALONSO

CABALLERO

ReYDeS

Pharming

¿Cómo funciona? (cont.)

La técnica de pharming se utiliza normalmente para realizar ataques phishing, redireccionando el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos privados del usuario, generalmente datos bancarios.

ALONSO

CABALLERO

ReYDeS

Pharming

¿Cómo funciona?

ALONSO

CABALLERO

ReYDeS

Pharming

¿Cómo funciona?

ALONSO

CABALLERO

ReYDeS

Pharming

Anti Pharming:

* Utilización de software especializado, protección DNS y addons para los exploradores web, como por ejemplo toolbars.

* Software especializado es utilizado en los servidores empresas para proteger a los usuarios de posibles ataques de pharming y phising.

* La protección DNS permite evitar que los propios servidores DNS sean hackeados para realizar ataques pharming.

ALONSO

CABALLERO

ReYDeS

Dinero digital y Lavado de dinero

Dinero Electrónico

Dinero electrónico (también conocido como dinero digital), se refiere a dinero el cual es intercambiado solo de manera electrónica. Típicamente, involucra el uso de redes de computadoras, internet y sistemas de almacenamiento digitales.

Transferencia Electrónica de Depósitos (EFT) y depósitos directos son ejemplos de dinero electrónico. También, es un termino colectivo de criptografía financiera y tecnologías relacionadas.

ALONSO

CABALLERO

ReYDeS

Dinero Electrónico

Ventajas:

* Con la introducción a internet / Banca en Línea, tarjetas de débito, pagos de dinero en línea y negocios en internet, el dinero de papel se esta volviendo cosa del pasado.

* Los bancos ofrecen servicios donde el cliente puede transferir fondos, comprar, aportar para sus planes de retiro, y ofrecer una variedad de otros servicios sin tener que manipular dinero físico.

ALONSO

CABALLERO

ReYDeS

Dinero Electrónico

Ventajas: (cont.)

* Las tarjetas de débito o pagos en línea permiten transferir inmediatamente fondos desde la cuenta personal a la cuenta de la empresa sin tener un documento de transferencia o dinero.

ALONSO

CABALLERO

ReYDeS

Dinero Electrónico

Desventajas:

* Hacking en cuentas de bancos, obtención ilegal de registros bancarios, la exposición de invasión a la privacidad y una inclinación al robo de identidad.

* Fallas del fluido eléctrico, perdida de registros y software inadecuado causan en espaldarazo a promocionar la tecnología.

ALONSO

CABALLERO

ReYDeS

Dinero Electrónico

Desventajas: (Cont.)

* Existe un temor al uso de tarjetas de débito y a la creación por parte de la industria bancaria a un sistema de rastreo global. Algunas personas están trabajando un dinero electrónico anónimo para solucionar este asunto.

ALONSO

CABALLERO

ReYDeS

Dinero Electrónico

Lavado de Dinero:

También conocido como lavado de capitales, lavado de activos, blanqueo de dinero o blanqueo de capitales, es el proceso a mediante el cual es encubierto el origen de los fondos generados mediante el ejercicio de algunas actividades ilegales o criminales (tráfico de drogas, contrabando de armas, corrupción, desfalco, fraude, crímenes blancos, malversación pública, extorsión, trabajo ilegal y últimamente terrorismo).

ALONSO

CABALLERO

ReYDeS

Dinero Electrónico

Lavado de Dinero: (cont.)

El objetivo de la operación, que generalmente se realiza en varios niveles, consiste en hacer que los fondos o activos obtenidos a través de actividades ilícitas aparezcan como el fruto de actividades legítimasy circulen sin problema en el sistema financiero.

ALONSO

CABALLERO

ReYDeS

Dinero Electrónico

Lavado de Dinero: Modalidades

Ingresar gandes sumas en efectivo en una cuenta, con el fin de efectuar inmediatamente una transferencia electrónica a otra cuenta.

Smurfing: numerosos depósitos de pequeñas cantidades, situadas por debajo de la obligación de declarar y en varias cuentas, desde las que se efectúan transferencias a otra cuenta, generalmente en el extranjero.

ALONSO

CABALLERO

ReYDeS

Dinero Electrónico

Lavado de Dinero: Modalidades (cont.)

Uso de identidades falsas, testaferros y sociedades pantalla, constituidas en otra jurisdicción y utilizando cuentas puente para dificultar la identificación del verdadero origen de la transferencia.

Uso de entidades offshore y abogados que protegen a su cliente mediante la figura del secreto profesional.

ALONSO

CABALLERO

ReYDeS

Dinero Electrónico

Introducción de personas de confianza en pequeñas entidades financieras o en delegaciones.

Cuentas de colecta o recaudación: Un número importante de inmigrantes hacen pequeños ingresos sucesivos que se envían al exterior de forma agrupada.

ALONSO

CABALLERO

ReYDeS

Dinero Electrónico

Depósito en una cuenta extranjera de una cantidad que actúa como garantía de un préstamo es enviada al país de origen como operación legítima que justifica la recepción de ese capital.

Las transferencias electrónicas son el principal instrumento para el blanqueo de dinero, debido a su rapidez de la transferencia a través de diversas jurisdicciones. la Unión Soviética y Europa del Este.

ALONSO

CABALLERO

ReYDeS

Dinero Electrónico

A pesar de la mejora en los sistemas de identificación de los clientes de un banco, sigue habiendo problemas para conocer la identidad del que ordena transferencia desde determinados paises. En este campo serán muy útiles los acuerdos relativos a autoridades de certificación.

El problema de la identificación del ordenante de una transferencia se acentúa con el uso del D.E.

ALONSO

CABALLERO

ReYDeS

Firma Digital

¿Qué es una Firma digital?

Antes de responder a esta pregunta debemos de revisar algunos conceptos:

ALONSO

CABALLERO

ReYDeS

Firma Digital

Criptografía;

La finalidad de la criptografía es, en primer lugar, garantizar el secreto en la comunicación entre dos entidades (personas, organizaciones, etc.) y, en segundo lugar, asegurar que la información que se envía es auténtica en un doble sentido: que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado, habitualmente denominado criptograma, no haya sido modificado en su tránsito.

ALONSO

CABALLERO

ReYDeS

Firma Digital

Criptografía (cont.)

Criptografía Simétrica:

Método criptográfico que usa una misma clave para cifrar y para descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usándola, lo envía al destinatario, y éste lo descifra con la misma.

ALONSO

CABALLERO

ReYDeS

Firma Digital

Criptografía Simétrica:

http://www.textoscientificos.com

ALONSO

CABALLERO

ReYDeS

Firma Digital

Criptografía (cont.)

Criptografía Asimétrica:

Método criptográfico que usa un par de claves para el envío de mensajes. Las 2 claves pertenecen a la persona que ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona. La otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso. El remitente usa la clave pública del destinatario para cifrar el mensaje, una vez cifrado, sólo la clave privada del destinatario podrá descifrarlo.

ALONSO

CABALLERO

ReYDeS

Firma Digital

Criptografía Asimétrica:

http://www.textoscientificos.com

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (Infraestrcutura de clave pública)

En criptografía, una infraestructura de clave pública (o, en inglés, PKI, Public Key Infrastructure) es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas.

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

Propósito:

La tecnología PKI permite a los usuarios autenticarse frente a otros usuarios y usar la información de los certificados de identidad (por ejemplo, las claves públicas de otros usuarios) para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el no repudio de un envío, y otros usos.

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

Funcionalidad:

* Un usuario iniciador de la operación* Unos sistemas servidores que dan fe de la ocurrencia de la operación y garantizan la validez de los certificados implicados en la operación (autoridad de certificación, Autoridad de registro y sistema de Sellado de tiempo)* Un destinatario de los datos cifrados /firmados /enviados garantizadamente por parte del usuario iniciador de la operación (puede ser él mismo).

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

* Autenticación de usuarios y sistemas (login)* Identificación del interlocutor* Cifrado de datos digitales* Firmado digital de datos (documentos, software, etc.)* Securización de las comunicaciones* Garantía de no repudio (negar que cierta transacción tuvo lugar)

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

Tipos de certificados:

*Certificado personal, que acredita la identidad del titular.* Certificado de pertenencia a empresa, que además de la identidad del titular acredita su vinculación con la entidad para la que trabaja.* Certificado de representante, que además de la pertenencia a empresa acredita también los poderes de representación que el titular tiene sobre la misma.

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

Tipos de certificados: (cont.)

* De persona jurídica, que identifica una empresa o sociedad como tal a la hora de realizar trámites ante las administraciones o instituciones.* Certificado de servidor seguro, utilizado en los servidores web que quieren proteger ante terceros el intercambio de información con los usuarios.* Certificado de firma de código, para garantizar la autoría y la no modificación del código de aplicaciones informáticas.

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

Componentes:* La autoridad de certificación (o, en inglés, CA, Certificate Authority): es la encargada de emitir y revocar certificados. Es la entidad de confianza que da legitimidad a la relación de una clave pública con la identidad de un usuario o servicio.* La autoridad de registro (o, en inglés, RA, Registration Authority): es la responsable de verificar el enlace entre los certificados (concretamente, entre la clave pública del certificado) y la identidad de sus titulares.

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

Componentes:* Los repositorios: son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados. En una lista de revocación de certificados (o, en inglés, CRL, Certificate Revocation List) se incluyen todos aquellos certificados que por algún motivo han dejado de ser válidos antes de la fecha establecida dentro del mismo certificado.

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

Componentes: (cont.)

* La autoridad de validación (o, en inglés, VA, Validation Authority): es la encargada de comprobar la validez de los certificados digitales.

* La autoridad de sellado de tiempo (o, en inglés, TSA, TimeStamp Authority): es la encargada de firmar documentos con la finalidad de probar que existían antes de un determinado instante de tiempo.

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

Componentes: (cont.)

* Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y privada) y un certificado asociado a su clave pública. Utilizan un conjunto de aplicaciones que hacen uso de la tecnología PKI (para validar firmar digitales, cifrar documentos para otros usuarios, etc.)

ALONSO

CABALLERO

ReYDeS

Firma Digital

PKI (cont)

ALONSO

CABALLERO

ReYDeS

Firma Digital

Ahora si respondemos a la pregunta:

¿Qué es la Firma Digital?

La firma digital es, en la transmisión de mensajes telemáticos y en la gestión de documentos electrónicos, un método criptográfico que asegura la identidad del remitente. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.

ALONSO

CABALLERO

ReYDeS

Firma Digital

La Ley: La Ley de Firma Electrónica, que puede ser diferente en cada país, define tres tipos de firma:

* Simple. Incluye un método de identificar al firmante* Avanzada. Además de identificar al firmante permite garantizar la integridad del documento. Se emplean técnicas de PKI* Reconocida. Es la firma avanzada ejecutada con un DSCF (dispositivo seguro de creación de firma) y amparada por un certificado reconocido (certificado que se otorga tras la verificación presencial de la identidad del firmante)

ALONSO

CABALLERO

ReYDeS

Firma Digital

La Ley: La Ley de Firma Electrónica, que puede ser diferente en cada país, define tres tipos de firma:

* Simple. Incluye un método de identificar al firmante* Avanzada. Además de identificar al firmante permite garantizar la integridad del documento. Se emplean técnicas de PKI* Reconocida. Es la firma avanzada ejecutada con un DSCF (dispositivo seguro de creación de firma) y amparada por un certificado reconocido (certificado que se otorga tras la verificación presencial de la identidad del firmante)

ALONSO

CABALLERO

ReYDeS

Firma Digital

La Teoría:

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido, y seguidamente aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma electrónica o digital.

ALONSO

CABALLERO

ReYDeS

Firma Digital

La Teoría: (cont.)

ALONSO

CABALLERO

ReYDeS

Firma Digital

La Teoría: (cont)

La función hash asocia un valor dentro de un conjunto finito (generalmente los números naturales) a su entrada. Cuando la entrada es un documento, el resultado de la función es un número que identifica casi unívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido. No obstante esto presenta algunas dificultades para el consumidor.

ALONSO

CABALLERO

ReYDeS

Firma Digital

La Teoría: (cont.)

ALONSO

CABALLERO

ReYDeS

Firma Digital

Un algoritmo efectivo debe hacer uso de un sistema de clave pública para cifrar sólo la firma. En particular, el valor "hash" se cifra mediante el uso de la clave privada del firmante, de modo que cualquiera pueda comprobar la firma usando la clave pública correspondiente. El documento firmado se puede enviar usando cualquier otro algoritmo de cifrado, o incluso ninguno si es un documento público. Si el documento se modifica, la comprobación de la firma fallará, pero esto es precisamente lo que la verificación se supone que debe descubrir.

ALONSO

CABALLERO

ReYDeS

Firma Digital

El Digital Signature Algorithm es un algoritmo de firmado de clave pública que funciona como hemos descrito. DSA es el algoritmo principal de firmado que se usa en GnuPG

ALONSO

CABALLERO

ReYDeS

Firma Digital

Formato:

* Firma básica. Incluye el resultado de operación de hash y clave privada, identificando los algoritmos utilizados y el certificado asociado a la clave privada del firmante. A su vez puede ser "attached" o "detached", "enveloped" y "enveloping"

* Firma fechada. A la firma básica se añade un sello de tiempo calculado a partir del hash del documento firmado por una TSA (Time Stamping Authority)

ALONSO

CABALLERO

ReYDeS

Firma Digital

Formato:

* Firma validada o firma completa. A la firma fechada se añade información sobre la validez del certificado procedente de una consulta de CRL o de OCSP realizada a la Autoridad de Certificación.

La firma completa libera al receptor de la firma del problema de ubicar al Prestador de Servicios de Certificación y determinar los procedimientos de validación disponibles.

ALONSO

CABALLERO

ReYDeS

Firma Digital

Ley de Firmas y Certificados Digitales del Perú

http://www2.congreso.gob.pe/ccd/leyes/cronos/2000/ley27269.htm

ALONSO

CABALLERO

ReYDeS

Elaboración de Documentos

La falsificación de documentos es una práctica que se ha multiplicado en los últimos años. La criminalidad está aumentando y las redes internacionales han adquirido tal maestría que cada vez resulta más difícil detectarlos.

ALONSO

CABALLERO

ReYDeS

La especialización que se necesita para falsificar pasaportes, carnets de identidad, permisos de residencia, de trabajo, visados o hasta carnés de conducir, ha llevado a los delincuentes que se dedican a ello a crear enormes entramados en los que trabajan desde químicos, impresores a informáticos que utilizan las técnicas más avanzadas en la elaboración de estos documentos.

ALONSO

CABALLERO

ReYDeS

La falsificación de documentos se realiza mediante la utilización de programas de computadora o alguna técnica informática. Estos productos se ofertan de manera directa, como también mediante internet.

ALONSO

CABALLERO

ReYDeS

Entre estos tipos de actos; podemos citar; alteraciones fraudulentas de firmas, textos y documentos. Creación de la imagen de su firma por computadora. Retoques. Levantamiento de firma superpuesta a textos de igual y distinto valor cromático. Elementos formales y estructurales de los grafismos. Sus modificaciones por computadora. Composición de un documento con texto, logotipos sellos y firmas.

ALONSO

CABALLERO

ReYDeS

¿Cómo se hace?

Generalmente se realiza mediante el escaneo de documentos verdaderos utilizando para ello equipos de cómputo; y mediante la utilización de diversos programas de retoque fotográfico o tratamiento de imagenes; se insertan los datos, relevantes del documento a falsificar, como la firma, huella o la fotografía del cliente.

ALONSO

CABALLERO

ReYDeS

¿Qué es lo que se utiliza?

ComputadorasImpresorasImpresoras de IDEscánersSoftware (Programas)Materiales para PlastificaciónPlastificadoraSellosetc.

ALONSO

CABALLERO

ReYDeS

Computadoras

ALONSO

CABALLERO

ReYDeS

Impresoras

ALONSO

CABALLERO

ReYDeS

¿Qué es lo que se utiliza?Impresoras de ID

ALONSO

CABALLERO

ReYDeS

Escáners

ALONSO

CABALLERO

ReYDeS

Software (Programas)

ALONSO

CABALLERO

ReYDeS

¿Qué es lo que falsifica?

Tarjetas de CréditoChequesDocumentos de Identidad, Inmigración.CertificacionesCarnet Universitario, Sanidad, de BomberosTítulos UniversitariosPasaportesCédulasCertificados de NacionalizaciónDocumentos ContablesBilletes

ALONSO

CABALLERO

ReYDeS

¿Qué es lo que falsifica? (cont.)

Tarjetas de CréditoCheques

ALONSO

CABALLERO

ReYDeS

Documentos de Identidad, Inmigración.Carnet Universitario, Sanidad, de Bomberos

ALONSO

CABALLERO

ReYDeS

Títulos UniversitariosPasaportes

ALONSO

CABALLERO

ReYDeS

CédulasBilletes

ALONSO

CABALLERO

ReYDeS

Impresoras laser incluyen código secreto

2004 / 2005

Las impresoras láser color 'marcan' cada una de las páginas que imprimen con pequeños puntos de color amarillo, no detectables a simple vista, y esas marcas 'invisibles' pueden ser usadas para 'seguir' la pista de cualquier documento desde el momento de su impresión.

ALONSO

CABALLERO

ReYDeS

Impresoras laser incluyen código secreto

2004 / 2005

Las impresoras láser color 'marcan' cada una de las páginas que imprimen con pequeños puntos de color amarillo, no detectables a simple vista, y esas marcas 'invisibles' pueden ser usadas para 'seguir' la pista de cualquier documento desde el momento de su impresión.http://www.eff.org/Privacy/printers/docucolor/http://www.pcworld.com/article/id,118664-page,1/article.html

ALONSO

CABALLERO

ReYDeS

Caso: Impresoras laser incluyen código secreto

http://www.eff.org/Privacy/printers/docucolor/

ALONSO

CABALLERO

ReYDeS

ALONSO

CABALLERO

ReYDeS

ALONSO

CABALLERO

ReYDeS

ALONSO

CABALLERO

ReYDeS

MODULO 1

SEGURIDAD DEL SISTEMA OPERATIVO

Nuevas técnicas aplicadas contra el fraude documental con soporte Físico y Electrónico

Technology

Transcript of Nuevas técnicas aplicadas contra el fraude documental con soporte Físico y Electrónico

Fraude Contable

Evaluación del Riesgo de Fraude y medidas contra el fraude ...

Fraude - Clases

El Fraude Multinivel

FRAUDE REGISTRAL

Cne Fraude

Fraude - dnn.go.cr

Auditoria Fraude Informatico

Fraude lunar

Importante!! FRAUDE

desempleo + fraude

Fraude, Accion Pauliana

Delito de Fraude

Fraude científico

Evolv fraude

Fraude Sector Publico

WhitePaper - Prevención de fraude de identidad y gestión documental

Atm Fraude

Trabajo Fraude

Fraude cibernético