La tecnología no se ha ocupado

solamente para el beneficio del

hombre, sino que algunos individuos

sin escrúpulos han traspasado los

límites de la seguridad y han

realizado actos ilícitos.

La Organización de las Naciones

Unidas (ONU) define tres tipos de

delitos informáticos:

Fraudes cometidos mediante

manipulación de computadoras.

Manipulación de los datos de

entrada.

Daños o modificaciones de

programas.

SLAMMING

Es un término que se emplea paradescribir el cambio de compañíade telecomunicaciones (telefonía,Internet, etc) sin la autorizacióndel cliente.

Hágase preguntas del tipo, ¿quién se ha puesto encontacto con quién? Si se ponen en contacto con ustedpara ofrecerle una promoción que debe firmar en untiempo limitado antes de perderla es posible que leestén forzando a tomar una decisión precipitada sinsaber realmente si le interesa la promoción.

¿CÓMO PODEMOS INTUIR QUE

ESTAMOS SIENDO VÍCTIMAS DE

SLAMMING?

¿CUÁNDO NOS DAMOS CUENTA

DEL FRAUDE?

Normalmente cuando dejamos de recibir elservicio con nuestra operadora, que es cuandollamamos y nos dicen que no estamos en la basede datos como clientes.También se puede detectar cuando nuestraoperadora nos llama para lanzarnos unacontraoferta o una promoción para“recuperarnos” como clientes. O, sencillamente,cuando nos llega la factura de un operador hastaahora no habitual.

Se recomienda ser muy cautos en la conversacióntelefónica mantenida con el interlocutor. Lo mejores mantenerse firme en las respuestas.

Póngase en contacto con la compañía y verifiqueque esa promoción, oferta o producto se ajusta alos parámetros que le han indicado anteriormente.

Si recibe información a través del correoelectrónico, asegúrese de leer con cuidado toda lainformación antes de devolver la autorizaciónaceptando la oferta.

Revise su factura telefónica cuidadosamente. Si veel nombre de una compañía nueva, llameinmediatamente a su operador y soliciteinformación.

¿CÓMO PODEMOS EVITARLO?

Primero al servicio de atención al cliente de su operador. Para ellocuenta con un mes de plazo para presentar una reclamación desde quese ha recibido la notificación del cambio de Compañía. Si no lesolucionan el problema el siguiente paso es acudir a la Oficina deAtención al Usuario de Telecomunicaciones llamando al teléfono901366699.

¿A QUIÉN RECLAMAMOS SI HEMOS

SIDO VÍCTIMAS DE UN SLAMMING?

SCANNING

DEFINICIÓN

El Scaneo de puertos pertenece a la Seguridad Informática desde que erautilizado en los sistemas de telefonía.La idea básica es simple: llamar a un número y si el módem devuelve unmensaje de conectado, grabar el número. En otro caso, la computadoracuelga el teléfono y llama al siguiente número.

TIPOS DE SCANNING

• Si el puerto está escuchando, devolverá unarespuesta de éxito; cualquier otro casosignificará que el puerto no está abierto o que nose puede establecer conexión con él.

TCP CONNECT

SCANNING

• Cuando dos procesos establecen unacomunicación usan el modelo Cliente/Servidor.

• La aplicación del Servidor "escucha" todo lo queingresa por los puertos.

• El Cliente establece la conexión con el Servidor através del puerto disponible para luegointercambiar datos.

TCP SYN SCANNING

SKIMMING

DEFINICIÓN

El objetivo es capturar la información codificada en la banda magnéticautilizando dispositivos físicos o equipos para después producir tarjetas clonadascon el fin de utilizarlas en forma fraudulenta.A tener en cuenta: Brasil, México, Colombia y Argentina son algunos de los paísesde América Latina en donde más se están realizando fraudes a través de cajerosautomáticos.

EL SKIMMING EN LOS CAJEROS

AUTOMÁTICOS

Los delincuentes utilizan diversos métodos ydispositivos para robar los datos de la cuenta de latarjeta y también el PIN del cliente. Teniendo ya ensus manos los datos de la pista de la bandamagnética y los PINes, los delincuentes producentarjetas clonadas y las distribuyen a corredores queson empleados por grupos organizados con elobjetivo de sacar dinero de las cuentas de lostarjetahabientes.

Para poder perpetrar el skimming con éxito, serequiere un dispositivo llamado “skimmer” y undispositivo para capturar el PIN.

MÉTODOS

Métodos de Skimming:

SKIMMERS

• Están diseñados para que sepuedan colocar sobre laabertura o “boca” del lectorde tarjetas del cajeroautomático.

• Recoge informaciónincluyendo su nombre,dirección, número deteléfono, el número de sutarjeta, su límite de crédito ysu número PIN.

ATAQUES DE MALWARE

• El atacante puede implantarel malware después decomprometer la seguridaddel cajero automático físicoo del software que hacefuncionar la máquina.

• Le dan al atacante lahabilidad de dispensarefectivo y elegir ladenominación de billetesque desean dispensar.

Métodos para Capturar el PIN

CÁMARA

ESTENOPEICA

•Consiste en instalaruna cámaraestenopeica cerca delcajero automático lacual graba en video altarjetahabientemientras ingresa suPIN.

•La imagen de video sealmacena o transmitea un dispositivoreceptor situado a unmáximo de cienmetros.

TECLADO DE PIN

FALSO

•Se coloca sobre elteclado de PINlegítimo.

•El perpetrador delfraude se hace pasarpor un técnico y alterael teclado de PIN.

ESPIAR AL USUARIO

POR ENCIMA DEL

HOMBRO

•Se obtienen espiandopor encima delhombro a la víctimadel fraude mientrasestá ingresando suPIN.

Otros Métodos para Robar Tarjetas en Cajeros Automáticos

DISTRAER AL USUARIO

•El perpetrador provoca algúntipo de situación para distraer eltarjetahabiente.

•El skimming se realiza utilizandoun dispositivo de mano mientrasel tarjetahabiente está distraído.

EL “BUEN

SAMARITANO”

•Utilizando una banda o mangade metal o plástico, se bloquea laranura que dispensa el efectivoen el cajero automático.

•Cuando el cajero no dispensa losfondos, el “Buen Samaritano”sugiere ingresar de nuevo el PINmientras él observa. La máquinaretiene la tarjeta insertada. Elperpetrador del fraude larecupera después que eltarjetahabiente se marcha.

PREVENCIÓN

1. PREVENCIÓN DEL SKIMMING EN CAJEROS

AUTOMÁTICOS

Realizar Inspecciones Regulares de los CajerosAutomáticos:

Inspecciones físicas de rutina cada vez quese reponga el efectivo o durante losmantenimientos.

Inspeccionar para detectar cualquieraccesorio o dispositivo pegado o instaladoen los cajeros automáticos.

Fortalecer la seguridad del sistemaoperativo y software de los cajerosautomáticos.

Implementación de Controles de Adquirente:

Instalar cámaras de televisión de circuito cerrado(CCTV).

Equipar los cajeros automáticos con características“anti-skimming”: Lector de Tarjetas “Jitter”, Panel Anti-Skimmer, Dispositivo emisor de interferencias defrecuencias radiales.

Consideraciones del Adquirente:

Recuperar las imágenes de las cámaras de televisión decircuito cerrado que correspondan a retiros de efectivoconfirmados como fraudulentos.

Monitorear en tiempo real para detectar actividadessospechosas .

2. PREVENCIÓN DEL FRAUDE EN CAJEROS

AUTOMÁTICOS

Consideraciones del Emisor:

Establecer límites diarios de efectivo y número deretiros por tarjeta para la actividad en los cajerosautomáticos.

Investigar todas las quejas de los clientes paradeterminar si podrían deberse al skimming.

Alertar a las autoridades locales de inmediato encaso de sospechar que ha ocurrido un incidenterelacionado con el skimming.

SISTEMAS ANTI-SKIMMING

Existen sistemas anti-skimming los cuales permiten bloquear elingreso de las tarjetas cuando detecten un dispositivo en la entradadel lector de tarjetas. También existen sistemas electrónicosantifraude, diseñados con sensores ópticos e infrarrojos contecnología tipo barrera y reflexivo, los cuales cumplen la función dedetectar y anular la lectora cuando detecte alrededor de esta undispositivo fraudulento.

Dispositivo antiskimming Ebrax

1033

Inmediatamente que quede trabada la tarjeta, llamar a la líneatelefónica correspondiente y darle de baja para evitar que alguiendetrás pueda trasladar los datos a través de este sistema a unatarjeta clon.

¿QUÉ HACER SI ERES VÍCTIMA

DEL SKIMMING?

PHISHING

HISTORIA

El término fue acuñado en 1996 por los hackers que, en aquelentonces, robaban cuentas de usuario deAméricaOnline (AOL).El término viene a rendir homenaje a la primera forma de hackingdocumentada: el “phreaking”. Este delito consistía en el pirateo delos sistemas de telefonía con el objetivo final de no pagar por elservicio y el término fue popularizado por el primer hackerinformático, John Draper.

DEFINICIÓN

Es una forma de ingeniería social, se basan en correos electrónicosengañosos que conducen a los consumidores a sitios web falsosdiseñados para estafar a los destinatarios para que divulguen datosfinancieros tales como números de tarjetas de crédito, nombres deusuario de cuentas, contraseñas y números de la seguridad social.

Lo que diferencia al phishing de otros tipos de fraude es quecombina cuatro elementos fundamentales:

• Explota las debilidades de los individuos paraengañarles y hacer que actúen contra suspropios intereses.

Ingeniería social

• Las tecnologías de la información sonutilizadas para desarrollar los ataques dephishing.

Automatización

• Usan redes de comunicación, especialmenteInternet.

Comunicación electrónica

• Requiere que los delincuentes suplanten auna empresa legítima o a una agenciagubernamental.

Suplantación

¿CÓMO FUNCIONA?

A través de un mensaje electrónico, simulando proceder de una fuente fiable(por ejemplo, de tu banco), se intentan recoger los datos necesarios paraestafar al usuario.La modalidad que más éxito ha tenido para quienes cometen el fraude consisteen enviar el e-mail, y dentro del mismo colocar un link o vínculo que aparentadireccionar al usuario al web site original pero que en realidad lo transporta auna página falsa en donde le piden que ingrese su password y datos de cuenta ousuario.Otras veces el mismo mail te pide que rellenes los datos y pulses “enviar”, sinnecesidad de redireccionarte a otra página.

TIPOS DE PHISHING

1. Phishing engañoso – Deceptive Phishing: envío masivo de un correoelectrónico en el que es suplantada una empresa de confianza para elreceptor. Existen dos variantes: El vishing: uso de un tipo de software denominado “war dialers” cuya

función es realizar la marcación de teléfonos desde un ordenador. Tratande convencer al usuario de que visite un sitio web para dar sus datospersonales o que directamente “confirme” sus datos en la misma llamada.

El smishing: Trata de embaucar a los usuarios a través de mensajes detexto a móviles.

2. Phishing basado en software malicioso: El ataque debe conseguir, que elusuario realice alguna acción que permita la ejecución del malware en sumáquina. Existen distintos tipos de programas diseñados para robar datos:Los keyloggers son programas que graban todo lo que se teclea en elordenador y, posteriormente, lo envía al delincuente. Los screenloggers,capturan imágenes de la pantalla que son remitidos al atacante.

Troyanos web: Son programas maliciosos que hacen creer al usuario queestá introduciendo la información en el sitio web real, cuando en realidadlo están introduciendo en este software que, posteriormente, remite losdatos al delincuente.

Robo de datos: También existen códigos maliciosos cuya finalidadconsiste en recabar información confidencial almacenada dentro de lamáquina en la que se instalan.

4. Phishing basado en el DNS o “Pharming”: modifica de forma noautorizada la resolución del nombre de dominio enviando al usuario a unadirección IP distinta.

5. Phishing mediante introducción de contenidos: Consiste en introducircontenido malicioso dentro de un sitio web legítimo. Puede tener diversasmodalidades: redirigir a los visitantes a otra página, instalar algún tipo demalware en el ordenador.

6. Phishing mediante la técnica del intermediario: Posicionamiento delphisher entre el ordenador del usuario y el servidor web legítimo. De estemodo el delincuente se hace con la capacidad de leer, e incluso modificar lainformación que se transfiere.

7. Phishing de motor de búsqueda: Los delincuentes crean páginas webpara productos o servicios falsos y esperan a que los usuarios visiten laspáginas para realizar compras y, por tanto, proporcionen informaciónconfidencial o directamente realicen transferencias bancarias.

FASES DEL PHISHING

• A quién va dirigido el ataque, cómo y dóndese va a realizar, cuál es el objetivo del fraude,quémedios necesitará para hacerlo, etc.

PLANIFICACIÓN

• Los delincuentes deben conseguir el software,los datos de contacto, localizar los destinos desus ataques, preparar sus equipos, construirlos sitios web diseñados para efectuar elfraude y otras tareas.

PREPARACIÓN

• Acciones como abrir un correo electrónico,visitar una página web o realizar unabúsqueda, son acciones necesarias para que elataque se consuma.

ATAQUE

• Una vez instalado el código en la fase anteriores necesaria su ejecución para conseguir losdatos.

RECOGIDA DE

DATOS

• Una vez recogidos los datos, el siguiente pasoefectuado por los delincuentes es larealización de la estafa, bien de forma directao bien vendiendo los datos robados.

EJECUCIÓN DEL

FRAUDE

• Eliminar las pistas que hayan quedado.FASE DE POST-

ATAQUE

RECOMENDACIONES

Sospechar ante cualquier correo electrónico que

solicite información personal.

Nunca proporcionar información como nombres de

usuario, contraseñas, número de tarjetas de crédito o

fechas de caducidad, vía telefónica ni vía correo

electrónico.

No utilizar los enlaces incluidos en correos electrónicos

de dudosa precedencia, para ellos es recomendable

dirigirse a la página web de entidad o la empresa de

forma directa.

Que siempre el navegador web, este actualizado y que

cuente con los parches de seguridad instalados.

REPERCUSIÓN DEL PHISHING

• En la actualidad, los casos más graves de phishing se hanproducido en Estados Unidos.

• En España se han dado, por el momento, casos en Banco Pastor,Banco Popular y Banesto.

• Según las cifras de un estudio patrocinado por Lacnic, fechadoen julio del 2013 el país de América Latina más afectado por losdelitos cibernéticos es Brasil, seguido por Argentina, Colombia,México yChile, en ese orden.

• En Estados Unidos se ha creado la “Anti-Phishing WorkingGroup”(APWG). Es una asociación de industrias cuyo principalobjetivo es acabar con el robo de identidad y fraudes resultantesdel creciente problema del phishing.

Del mismo modo que muchas

aplicaciones, funcionalidades y

servicios se han trasladado al mundo

Internet, lamentablemente, el

desarrollo de las tecnologías, ha

supuesto un nuevo entorno para la

delincuencia, aprovechándose de

las potencialidades que brinda este

nuevo medio de comunicación. Así,

se ha producido una evolución

tecnológica de las estafas

tradicionales, como son el Skimming y

el Phishing.

Por ello es necesaria una buena

formación en relación a los buenos

usos y abusos que se producen en la

Red.