DELITOS INFORMÁTICOS

CONCEPTO DE DELITOS INFORMÁTICOS

Son todos aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido de cualquier medio Informático.

El delito Informático implica actividades criminales que un primer momento los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robo, hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etc., sin embargo, el uso indebido de las computadoras es lo que ha propiciado la necesidad de regulación por parte del derecho.

El italiano Carlos Sarzana, define el Delito Informático como: "cualquier comportamiento criminal en que la computadora esta involucrada como material, objeto o mero símbolo.“

QUÉ DELITOS INFORMÁTICOS EXISTEN?

1. Extorsión 2. Difamación - Daño de Prestigio y Reputación 3. Fraude 4. Phishing 5. Quebranto del Servicio 6. Robo de Información 7. Lavado de Dinero 8. Pornografía infantil (*) 9. Propiedad intelectual - Uso Ilegal 10. Pánico Financiero 11. Apología al delito 12. Proxenetismo digital (*) 13. Espionaje Manipulación y/o falsificación de datos

PHISHING

IMPACTO EN LA IMAGEN, FRAUDE…

DEFINICIÓN

El Phishing es el acto que consiste en recomendar la visita a una página web falsa, haciendo creer al visitante que se encuentra en la página original o copiada.. Normalmente se utiliza con fines delictivos, duplicando páginas web de entidades financieras de renombre.

Una vez en las páginas falsas, se pide al visitante que introduzca datos personales (claves de acceso, etc.) que posteriormente son usados por los creadores de la estafa."

(fuente : Wikipedia.org)

VÍAS DE DIFUSIÓN

Correo electrónico, Sistemas de mensajería instantánea

• El Phishing suele ser enviado masiva e indiscriminadamente

• Insta al usuario a introducir datos confidenciales, con la excusa de

reactivar su cuenta, confirmarlos, etc.

• Puede tomar también la forma de alerta de una entidad financiera

advirtiendo de un ataque (algunos de los receptores serán efectivamente

clientes de la entidad).

• Acceder a una dirección web donde debe reconfirmar sus datos: nombre

de usuario, contraseña, número de tarjeta de crédito, PIN, número de

seguridad social, etc.

• Los estafadores utilizan esta información para conectarse a su cuenta y

disponer libremente de los fondos.

CARACTERÍSTICAS DEL PHISING

• Uso de nombres de compañías ya existentes. Los phishers adoptan la

imagen corporativa y funcionalidad del sitio web. • Utilizan el nombre de un empleado real de una empresa como

remitente del correo falso. • Direcciones web con la apariencia correcta.

CARACTERISTICAS DEL PHISHING

• El correo fraudulento suele conducir replica el aspecto deY

la empresa que está

siendo utilizada para robar la información. TENDENCIAS

• Factor miedo.

TÉCNICAS DEL PHISING

Man-in-the-middle.

Cross-Site Scripting que permiten simular una página web segura

de una entidad bancaria.

Vulnerabilidades de navegadores: El más atacado ha sido Internet

Explorer. Mediante el uso de exploits, se falsea la dirección que

aparece en el navegador.

Exploits en sitios web fraudulentos que, aprovechando alguna

vulnerabilidad permiten descargar troyanos de tipo keylogger.

Pharming. Cambiar los contenidos del DNS para redirigir los

navegadores a páginas falsas en lugar de las auténticas.

TENDENCIAS DEL PHISING

Según un informe del mes de agosto 2006 de la empresa de seguridad

informática RSA, España es el tercer país del mundo que más ataques de

'phishing' recibe.

El país más afectado por este intento de fraude por Internet fue Estados

Unidos, con el 73 por ciento de los ataques.

Además del 'phishing' se está intensificando el uso de los programas troyanos,

que contiene un código malicioso que se instala en el ordenador y permite

robar, falsificar y destruir datos. ( Fuente: Terra Actualidad )

Según la empresas de seguridad, la tendencia actual y para el 2007 es atacar

bancos pequeños, como 'cooperativas de crédito y bancos regionales'.

(fuentes : Network Working Group, Wikipedia, Gartner)

TENDENCIAS DEL PHISING

El fraude online en los primeros cuatro meses de 2006 en España creció

un 50% más que en el año 2005.

Se estima que entre mayo del 2004 y mayo del 2005 más de 1,2 millones

de personas en Estados Unidos perdieron dinero a causa del phishing.

La suma del dinero perdido por esta causa asciende a más de $929 millones

en 2005 según la firma de consultoría Gartner Group.

La media de dinero robado por fraude on-line a cada víctima ha aumentado desde 5.249 euros en 2003 hasta 6.383 en 2006.

(fuentes : Network Working Group, Wikipedia, Gartner)

PHISING ES NUEVO ??

Aunque el phishing es una palabra de moda, forma parte de la

obtención de datos personales con fines fraudulentos.

Es una variante de otros sistemas también conocidos en el ámbito de

la seguridad:

•Fraude de los cajeros automáticos.

•Ingeniería/Hacking social: “the art and science of getting people to

comply to your wishes”

Se basa en que los datos te los den voluntariamente. !!!

Esto lo aparta de la mayoría del resto de ataques de seguridad

incluidos los otros métodos de obtención de datos personales tipo

Keyloggers, troyanos, etc. Y también por lo tanto de los métodos para

evitarlo.

CÓMO COMBATIR EL PHISING ??

DEFENSAS CONTRA ATAQUES PHISING

Los principales métodos para prevenir el Phishing son:

Métodos legales.

Métodos informativos y educacionales.

Métodos tecnológicos.

En los Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti-Phishing del 2005 el 1 de Marzo de 2005. Aunque los métodos judiciales deben existir para evitar los vacíos legales, no deja de ser una herramienta reactiva que no evita en la mayoría de las ocasiones más que parte del daño.

LA MEJOR DEFENSA ES LA INFORMACIÓN

El Phishing se basa en la propia conducta del usuario y en su confianza.

A través de la educación, es necesario informar a los usuarios sobre :

La existencia de estas amenazas.

Cómo reconocerlas.

Cómo protegerse.

Aplicar a Internet la misma cautela que normalmente aplicamos en la

vida real, no dar a nadie que no se haya identificado correctamente y

sea de nuestra total confianza información confidencial.

RECOMENDACIONES

Nunca responda a solicitudes de información personal a través de correo electrónico. Si

tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el

mensaje.

Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones.

Asegúrese de que el sitio Web utiliza cifrado.

(Icono de candado de sitio seguro. Si el candado está cerrado, el sitio utiliza cifrado)

Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito. Hoy en día es

posible utilizar alarmas y límites diarios

Comunique los posibles delitos relacionados con su información personal a las autoridades

competentes.

RECOMENDACIONES

1. Sea cuidadoso con los lugares que visita. 2. Sea cuidadoso con los correos que abre. 3. Asegúrese que sus aplicaciones tienen instaladas las últimas actualizaciones de

seguridad. 4. Utilice la opción “copia oculta” para enviar mails. 5. No deje su banda ancha “conectada” en forma permanente las 24 horas del día. 6. Solamente llene formularios en la WEB en los que se esté utilizando el protocolo https:// 7. Recomiende a sus hijos que no den ninguna clase de datos personales. 8. Verifique la fuente de la información. NIC (Network Information Center)

PROTECCIÓN TECNOLÓGICA

Las técnicas de phishing se van sofisticando rápidamente. Algunas de ellas son

imperceptibles para el usuario. Es allí dónde la tecnología ofrece al usuario el medio

para protegerse.

Tecnologías basadas en técnicas de:

1. Detección de correos entrantes.

2. Reconocimiento de contenidos.

3. Bases de datos de URLs.

4. Antispyware.

5. Antivirus (Trojans, Keyloggers,…).

6. Antipharming.

Estas tecnologías pueden ser aplicadas directamente desde la red o en cada uno

de los PCs de los clientes.

PROTECCIÓN TECNOLÓGICA

Actualmente, se desarrollan tecnologías vivas, actualizándose y adaptándose

continuamente a los avances y nuevas técnicas utilizadas por los phishers.

Sin impacto en el rendimiento del equipo del usuario, estas soluciones le protegen en

tiempo real de las nuevas amenazas existentes.

Cuanto más transparente sea el uso del servicio mejor. Los usuarios más susceptibles

de ser engañados son los que menos se defienden ante un ordenador. Simplicidad.

Antipharming ya está siendo ofrecido mediante el uso de DNS del operador.

Pueden integrarse con los navegadores Web y clientes de correo electrónico.

QUIENES DAN PROTECCIÓN TECNOLÓGICA ?

¿Quién debe ser el encargado de ofrecer dicha tecnología?

Bancos. Los más interesados ya que son los que pueden perder

imagen, dinero y clientes con este tipo de actividades.

ISPs y operadores móviles. Existe una clara tendencia a que el

proveedor de acceso a Internet sea además proveedor seguro.

Third parties.

EJEMPLO DE INTENTO DE ATAQUE PHISHING

RESUMIENDO EL PHISING HACE ESTO….