Estudio bibliografico (tesis)

1,575 views
1,421 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,575
On SlideShare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Estudio bibliografico (tesis)

  1. 1. UNIVERSIDAD TECNICA DE AMBATO FACULTAD DE INGENIERIA EN SISTEMAS, ´ ELECTRONICA E INDUSTRIALTEMA: GU´ DE SEGURIDADES PARA EVITAR EL ROBO DE LA IA INFORMACION POR MEDIO DEL PHISHING EN LACOOPERATIVA DE AHORRO Y CREDITO 10 DE AGOSTO DE LA CIUDAD DE AMBATO Trabajo de graduaci´n modalidad: SEMINARIO DE oGRADUACION,presentado como requisito previo a la obtenci´n del o T´ ıtulo de Ingeniero en Sistemas Computacionales e Inform´ticos. a AUTOR: Luis P. Analuiza TUTOR: Ing. Clay Ald´s a AMBATO - ECUADOR 2011
  2. 2. ´ Indice1. INTRODUCCION ´ 1 1.1. PHISHING . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2. Definici´n . . . . . . . . . . . o . . . . . . . . . . . . . . . . . . . . . 2 1.3. Origen de la palabra Phishing . . . . . . . . . . . . . . . . . . . . . 3 1.4. Tipos de Phinshing . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.5. Funcionamiento del Phishing . . . . . . . . . . . . . . . . . . . . . 4 1.6. El Phishing en el Ecuador . . . . . . . . . . . . . . . . . . . . . . . 4 1.7. Maneras de evitar el Phishing . . . . . . . . . . . . . . . . . . . . . 52. ANTECEDENTES 53. TRABAJOS RELACIONADOS 54. PROPUESTA 65. APLICACION 66. RESULTADOS 87. AGRADECIMIENTO 9 2
  3. 3. Resumen el desarrollo econ´mico de los pa´ se o ıses sustentan en la utilizaci´n de servicios o tecnol´gicos que mejoran la calidad de o En el presente trabajo se analiza el vida y facilitan las labores cotidianascomportamiento y funcionamiento del de las personas y de las organizaciones.phishing en el Ecuador y particularmen-te en la Cooperativa de Ahorro y Cr´di-eto 10 de Agosto del centro del pa´ a ıs,trav´s del empleo de t´cnicas estad´ e e ısti- En los pa´ ıses subdesarrollados comocas, utilizando como fuente la informa- el Ecuador, el uso de las tecnolog´ ıasci´n generada en los bancos privados del est´ creciendo significativamente, ya o acentro del pa´ evaluando para estos fi- que un estudio realizado a nivel mundial ıs,nes variables tales como: montos totales revela que en el a˜o 2008 el Ecuador nde robos realizados por medio del inter- ocupaba el puesto 107 del desarrollonet, total de v´ ıctimas de estos robos y tecnol´gico mundial[1], pero desde ese omontos sustraidos de cada usuario. entonces hasta la fecha nuestro pa´ ha ıs desarrollado mucho el nivel tecnol´gico o debido a que se tiene mayor accesibili- dad a la tecnolog´ como por ejemplo ıaEn su primera parte se exponen algu- el internet que es la mayor fuente denos principios fundamentales del phis- informaci´n y comunicaci´n en todo el o ohing que permitiran conocer su funcio- mundo.namiento y modo de operar, a fin de es-tablecer las bases te´ricas sobre las que osustentan el robo bancario por medio delphishing. Sin embargo, la tecnolog´ presenta ıa importantes desaf´ frente a la necesi- ıos dad de proteger la informaci´n de las o personas y organizaciones, esto se daLuego se presenta un resumen de los ro- a la creciente presencia de amenazasbos realizados en las cuentas bancarias que invaden Internet con el objetivode otros pa´ en el ultimo a˜o a trav´s de obtener informaci´n confidencial ıses ´ n e ode indicadores estad´ ısticos con la finali- de las personas para cometer delitosdad de contar con un marco de referen- inform´ticos, da˜ar los sistemas ope- a ncia que nos permita conocer el estado de rativos o aplicaciones, o para hacerconocimiento de las personas sobre esta negocio y que el consumidor final sigamanera de fraude electr´nico en nuestro comprando herramientas inform´ticas o apa´ıs. para contra restar dichas amenazas[2]. Conscientes del avance tecnol´gico que o1. ´ INTRODUCCION se va dando constantemente en el ´rea a inform´tica y el impacto de esta en a En las sociedades modernas los servi- nuestra sociedad, se torna necesariocios para el bienestar de la poblaci´n y o 1
  4. 4. que las entidades bancarias indepen- La gu´ de seguridades tiene como ıadientemente de los servicios que estas principal objetivo evitar o disminuirofrezcan a la sociedad implementen las estafas y los robos bancarios,medidas de seguridad ya pues debido adem´s se busca reducir el ´ a ındice deal crecimiento en la adquisici´n de o delitos inform´ticos y aumentar el nivel atecnolog´ se incrementa la posibilidad ıas cultural de las personas sobre el usoque de alguna manera seamos v´ ıctimas correcto de la tecnolog´ y sobre todo ıade alg´n tipo de fraude[3]. u de la buena navegaci´n y las medidas o de seguridades que se debe tomar al momento de navegar en la web ya que muchas de las veces manejamosLuego de identificar el grave problema informaci´n confidencial y personal en oque presentan muchas instituciones las p´ginas de internet. afinancieras y personas que utilizamos elinternet como medio de comunicaci´n, oinvestigaci´n y de negocios, siendo ov´ ıctimas de fraudes inform´ticos como apor ejemplo estafas, suplantaci´n deo El articulo tiene como objetivo prin-identidades, saqueo de las cuentas cipal realizar un estudio amplio acercabancarias, etc., surge la necesidad de de los robos bancarios y las estafasbuscar una soluci´n r´pida a dichos realizadas por medio del internet y o aproblemas. espec´ıficamente mediante la utilizaci´n o del Phishing para lo cual se har´ men- a ci´n a definiciones del Phishing, origen o de la palabra Phishing, tipos de Phis-Uno de estos problemas o amenazas hing que existen, funcionamiento delson los robos bancarios mediante la Phishing, el Phishing en el Ecuador yutilizaci´n del phishing el cual en maneras de evitar el Phishing. onuestro pa´ est´ en constante creci- ıs amiento como pudimos observar en elultimo a˜o cuando se robaron dineros´ n 1.1. PHISHINGde las cuentas bancarias del Banco delPichincha haciendo uso de la clonaci´n 1.2. Definici´n o ode la p´gina oficial del Banco y re adireccionando hacia otro servidor lo ”Phishing es un t´rmino inform´tico e acual permiti´ realizar el delito[4], por lo o que denomina un tipo de delito encua-que se ha visto la necesidad de realizar drado dentro del ´mbito de las estafas aun estudio exhaustivo de las formas de cibern´ticas, y que se comete median- erobos bancarios y estafas mediante el te el uso de un tipo de ingenier´ so- ıainternet para as´ tener los fundamentos ı cial caracterizado por intentar adquirirnecesarios para realizar la creaci´n de informaci´n confidencial de forma frau- o ouna gu´ de seguridades para evitar el ıa dulenta, como puede ser una contrase˜anrobo bancario mediante el internet. o informaci´n detallada sobre tarjetas o de cr´dito u otra informaci´n bancaria. e o El estafador, conocido como phisher, se hace pasar por una persona o empresa 2
  5. 5. de confianza en una aparente comuni- rreo electr´nico que recibe el usua- ocaci´n oficial electr´nica, por lo com´n o o u rio donde se le ofrece el acceso aun correo electr´nico, o alg´n sistema de o u una gran suma de dinero que se en-mensajer´ instant´nea o incluso utili- ıa a cuentra en una divisa extranjera ozando tambi´n llamadas telef´nicas”[5]. e o pa´ en conflicto[6], la estafa se da ıs cuando el phisher le dice que para acceder a esta suma de dinero tie- ne que el beneficiario depositar una cierta suma de dinero en una cuen- ta bancaria que le proporciona el phisher. Estafa Piramidal: El usuario re- cibe una oferta de empleo en su co- rreo electr´nico, basada en la pro- o moci´n de productos y en la capta- o ci´n de nuevos empleados[6], la es- o tafa es similar a las cartas nigeria- nas ya que para acceder a ese em- pleo el beneficiario debe depositar una cierta suma de dinero en una cuenta bancaria que le proporciona el phisher.1.3. Origen de la palabra Phishing Mulas: este timo es grave, ya que puede suponer la c´rcel para el que a “El t´rmino phishing proviene de la e caiga en ´l, al tratarse de un delito epalabra inglesa ”fishing”(pesca), hacien- de blanqueo de dinero[6],el phisherdo alusi´n al intento de hacer que los o env´ un mail comunic´ndole a la ıa ausuarios ”piquen en el anzuelo”. A quien v´ ıctima que se va a ganar un dinerolo practica se le llama phisher. Tam- extra realizando una transferenciabi´n se dice que el t´rmino ”phishing.es e e de una gran suma de dinero a otrala contracci´n de ”password harves- o cuenta.ting fishing”(cosecha y pesca de contra-se˜as), aunque esto probablemente es n Hoax: Se trata de timos que enun acr´nimo retroactivo, dado que la es- o muchos casos se utilizan para sen-critura ’ph es com´nmente utilizada por u sibilizar al usuario para que reali-hackers para sustituir la f, como ra´ de ız ce aportaciones econ´micas[6]. El ola antigua forma de hacking telef´nico o phisher utiliza los desastres natu-conocida como phreaking”[5]. rales, la conciencia religiosa para realizar este delito ya que se pi-1.4. Tipos de Phinshing de sumas de dinero para ayudas de damnificados de terremotos o ayu- Cartas Nigerianas: Este tipo de das a personas de escasos recursos phishing se caracteriza por un co- econ´micos. o 3
  6. 6. Vishing: El usuario recibe un co- do para realizar todo tipo de fraude rreo electr´nico o mensaje SMS en o que puede[7], como por ejemplo: la el que se le dice que tiene que llamar suplantaci´n de identidad para de- o a un n´mero de tel´fono para reci- u e linquir, tambien para realizar el sa- bir una informaci´n o un regalo[6], o queo de la cuenta bancaria o para la victima realiza la llamada al nu- realizar un blanqueo de dinero. mero proporcionado y le respoden diciendo que va hacer acreedor a un Blanqueo de dinero.- el phisher regalo o suma de dinero pero tiene utiliza la informaci´n de las victi- o que dar los datos personales y su mas para hacer el dinero optenido n´mero de cuenta y contrase˜as. u n ilegalmente en dinero legal a eso se le llama blanqueo de dinero[7].1.5. Funcionamiento del Phishing La Planificaci´n.- en esta etapa o el phisher prepara el ataque y fi- ja el objetivo al cual va atacar[7], el phisher realiza una investigaci´n o del estado de situaci´n del pa´ ya o ıs sea la tasa de desempleo o a su vez la situacion economica y emocional en las que se encuentran las perso- nas de dicho pa´ ıs. La Preparaci´n.- el phisher pre- o para el correo fraudulento para en- viar a las v´ ıctimas[7]. El correo es preparado minusiosamente para que tenga una efectividad mayor. Ataque.- El phisher env´ el correo 1.6. El Phishing en el Ecua- ıa hacia las v´ ıctimas[7].Este correo es dor enviado a todas las personas que en la etapa anterior investig´ y supues- o El caso m´s conocido de Phishing a tamente son las mas vulnerables. en el Ecuador es el caso del Banco del pichincha, el cual fu´ muy comentado e Recolecci´n.- El usuario luego de o en nuestro pa´ debido a las numerosas ıs, seguir los pasos del correo recibido v´ ıctimas de este tipo de delito. por parte de phisher realiza el en- En nuestro pa´ a partir del a˜o 2009 ıs n vi´ de su informaci´n confidencial o o al 2010 ha sufrido un peque˜o pero n hacia el phisher[7], esta informaci´n o considerable crecimiento en los delitos puede ser datos personales, contra- inform´ticos, como lo demuestra las a se˜as, cuentas bancarias etc. n siguientes estad´ısticas:[4] Fraude.- El phisher utiliza la in- formaci´n que le fue proporciona- o 4
  7. 7. muchos y variados; esto deber´ provo- ıa car que los empleados y clientes de la cooperativa tomen las debidas precau- ciones y seguridades al momento de na- vegar en la web, pero esto realmente no sucede debido a la poca informaci´n o acerca de los peligros que rodean a la web como por ejemplo el ingreso aparen- temente a la p´gina oficial de la Coope- a rativa de Ahorro y Cr´dito 10 de Agosto e que no es m´s que una p´gina clonada a a que sirve para robar informaci´n de la o cooperativa o de sus clientes, adem´s los a atacantes externos pueden robar correos electr´nicos de los clientes de la coopera- o tiva y as´ obtener informaci´n personal ı o de cada uno de los clientes por lo cual1.7. Maneras de evitar el se ha visto la necesidad de realizar una Phishing gu´ de seguridades para evitar el robo ıa de la informaci´n mediante el Phishing. o [8] Verificar la fuente de la informaci´n o 3. TRABAJOS RELA- Escribir uno mismo la direcci´n en o CIONADOS el navegador de Internet. Autor: Ing. Hugo Marcelo Dalgo Reforzar la seguridad. Proa˜o n Tema: An´lisis de los factores que a Comprobar que la p´gina web en la a obligan a proteger los datos en los ne- que se ha entrado es una direcci´n o gocios realizados a trav´s del comercio e segura. electr´nico – caso ecuador, 2010 o Hacer doble clic sobre el candado Reposa en: repositorio.iaen.edu.ec para tener acceso al certificado di- Direcci´n o electr´nica: o gital. http://repositorio.iaen.edu.ec:9090/ bitstream/123456789/58/1/IAEN-012- Revisar peri´dicamente las cuentas o 2007.pdf de correos. HIPOTESIS Encontr´ndonos en el siglo 21, acep- a tando el proceso de globalizaci´n al que o2. ANTECEDENTES nos encontramos expuestos, en donde el avance de la tecnolog´ se ha desarrolla- ıa La navegaci´n por medio de la web o do enormemente, facilitando el convivires una de las facilidades que brinda la de las personas y la humanidad, naceCooperativa de Ahorro y Cr´dito 10 de e la posibilidad de hacer negocios, y tras-Agosto y los beneficios que se tiene son mitir informaci´n a trav´s de medios o e 5
  8. 8. electr´nicos, para dar facilidades a las o nivel tecnol´gico. opersonas, tambi´n puede conllevar a euna serie de problemas en los ´mbitos acomerciales, econ´micos y legales, por olo que se hace necesario salvaguardarla integridad de la informaci´n en obeneficio del usuario, sea este emisor, 5. APLICACIONproveedor de servicio electr´nico o des- otinatario. Un marco jur´ ıdico acorde a la Se va ha realizar unas ecuentas al losprotecci´n de datos, permitir´ que las o a clientes de la cooperativo y al jefe detransacciones electr´nicas y el comercio o sistemas para lo cual se va aplicar loselectr´nico se desarrollen en el Ecuador. o siguientes cuestionarios: Con reglas y procedimientos claros en Para los clientesrelaci´n a las obligaciones y responsa- o UNIVERSIDAD TECNICA DEbilidades que tiene cada uno de los in- AMBATO FACULTAD DE INGE-tervinientes en una relaci´n de comer- o NIERIA EN SISITEMAS, ELEC-cio por v´ electr´nica se puede fomen- ıa o TRONICA E INDUSTRIAL CIU-tar el desarrollo electr´nico comercial. o DAD DE AMBATOEl insertar los principios de integridad, OBJETIVO DE LA ENCUESTAautenticidad y confidencialidad en las La encuesta tiene como objetivo ob-transacciones de comercio electr´nico, o servar que tipos seguridades utili-permitir´ aumentar la confianza en el a zan los usuarios de entidades ban-servicio. La conformaci´n de procedi- o carias al momento de navegar en lamientos, controles y seguridades permi- web. Se˜ores, su veracidad en las ntir´ satisfacer los niveles de seguridad a respuestas permitir´ al grupo inves- aque los usuarios necesitan. tigador desarrollar un trabajo real y efectivo. Agradecemos su colabo- raci´n y garantizamos absoluta re- o4. PROPUESTA serva de su informaci´n. o Cuestionario La propuesta para este art´ ıculo es 1. ¿Qu´ niveles de seguridades toma eel dise˜o y creaci´n de una gu´ de n o ıa usted al momento de navegar en laseguridades para evitar el robo bancario web?y las estafas por medio del Phishingen internet , para lo cual crearemos • Herramientas Inform´ticas aun Phishing o p´ginas web clonadas a • Ayuda de un expertode bancos del centro del pa´ y re di- ısreccionaremos a un servidor local para • Ningunoobtener informaci´n confidencial de los o 2. ¿Qu´ tipo de sitios web son los eusuarios de las entidades bancarias y que m´s visita? aasi obtener una muestra de usuariosvulnerables a este tipo de ataques • Financierasinform´ticos para luego realizar un aan´lisis estad´ a ıstico del nivel cultural en • Descargasla que se encuentra nuestra sociedad a • Videos 6
  9. 9. • Redes Sociales y efectivo. Agradecemos su colabo- • Otros raci´n y garantizamos absoluta re- o serva de su informaci´n. o3. ¿C´mo identifica usted p´ginas o a Cuestionarioweb seguras? 1. ¿Qu´ tipo de proveedor de inter- e net utiliza la entidad bancaria? • Herramientas • Candado de seguridad • CNT • Certificados • El Portal • Ninguno • Otros4. ¿Qu´ tipo de navegador utiliza al emomento de navegar en internet? 2. ¿Qu´ tipos de ataques lanzan los e • Firefox Mozilla hackers a la entidad bancaria? • Internet Explorer • Phishing • Otros • Vishing5. ¿Qu´ tipo de servidor de correos eutiliza usted para en el internet? • Hoax • Hotmail • Otros • Gmail 3. ¿Qu´ tipo de informaci´n es m´s e o a • Yahoo vulnerable a ser atacada en la enti- • Otros dad bancaria?Gracias por su colaboraci´n. Fecha o • Contrase˜as nde aplicaci´n: o • Informaci´n Personal oPara el jefe de sistemas • Cuentas BancariasUNIVERSIDAD TECNICA DE 4. ¿Qu´ paginas son las m´s falsifi- e aAMBATO FACULTAD DE INGE- cadas en internet?NIERIA EN SISITEMAS, ELEC-TRONICA E INDUSTRIAL CIU- • BancariasDAD DE AMBATOOBJETIVO DE LA ENCUESTA • P´ginas de redes Sociales aLa encuesta tiene como objetivo • Correosanalizar las seguridades que utili-zan las entidades bancarias para • Otrosbrindar el servicio web a los usua-rios. Se˜ores, su veracidad en las n Gracias por su colaboraci´n. Fecha orespuestas permitir´ al grupo inves- a de aplicaci´n: otigador desarrollar un trabajo real 7
  10. 10. 6. RESULTADOS Los sitios mas visitados por los clien- tes de la cooperativa son las paginas fi- nancieras debido a que por medio de ellas pueden tener acceso rapido a los estados de cuenta de cada uno de los usuarios. Los clientes de la Cooperativa de Aho-rro y Cr´dito 10 de Agosto no poseen emucho conocimiento acerca de los nive-les de seguridad que deben tomarse al Los clientes de la cooperativa no po-momento de navegar en la web asi lo seen herramientas para identificar pagi-demuestra la encuensta realizada a 20 nas web seguras asi lo indican las esta-clientes ya que la mayoria de personas disticas de la encuesta realizada.respondieron que no toman ningun tipode seguridad para navegar en el internet. Para los clientes de la cooperativa el 8
  11. 11. navegador mas comun de utilizar es el El Phishing ser´ descubierto en afirefox el motivo el cual lo utilizan es cuanto a su funcionalidad y seporque la mayoria de personas lo utili- ver´ las vulnerabilidades que posee azan. el phishing as´ como tambi´n vere- ı e mos c´mo podemos protegernos de o este tipo de ataques. 7. AGRADECIMIENTO Este es el momento propicio para expresar mi m´s profundo agrade- a cimiento a Dios y a mis Padres, por guiar mis pasos en toda mi forma- ci´n profesional y a la Cooperativa o de Ahorro y Cr´dito 10 de Agosto e por el apoyo, confianza y colabora- ci´n brindada. o Referencias Los clientes de la cooperativa utilizanpor igual los servidores de correos no [1] Desarrollo Tecnol´gico, otienen uno en preferencia. “Extra´ el d´ 7 de ıdo ıa Octubre”,La encuesta al jefe de sistemas se http://www.eluniverso.comlo realiz´ unicamnete al jefe de sistemas o /2008/04/09/0001/9/F6818de la cooperativa 10 de Agosto por lo ADB15634D6C9D15993CDF479que no tenemos mas encuestas realiza- F90.html,2011das. [2] Robos y frudesCONCLUSIONES inform´ticos, “Extra´ a ıdo el d´ 28 de Octubre”, ıa http://www.slideshare.net/ La gu´ de seguridades nos permi- ıa guest0b9717/robos-y- tir´ reducir el ´ a ındice de delitos in- fraudes-informticos- form´ticos. a presentation,2011 Se concientizar´ a los usuarios de a [3] C´mo evitar el phishing, o cuentas electr´nicas a mejorar la se- o “Extra´ el d´ 28 de ıdo ıa guridad de la informaci´n. o Septiembre”, http://www.taringa.net/posts/ La gu´ permitir´ educar tecnol´gi- ıa a o taringa/9949868/Como- camente a las personas a una mejor evitar-el-phishing- navegaci´n por la web. o roba-cuentas.html,2011 9
  12. 12. [4] Fraudes bancarios en el data mining, “Maher Ecuador, “Extra´ el d´ ıdo ıa Aburrous a,*, M.A. 5 de Octubre”, Hossain a, Keshav Dahal http://bitscloud.com/2011/04/el- a, Fadi Thabtah b”,2011 fraude-bancario-en- ecuador-un-tema-en- [11] Anti Phishing, “Extraido auge/,2011 el dia 7 de octubre”, http://www.wisedatasecurity.com/ [5] El Phishing, “Extra´ el ıdo phishing.html,2011 d´ 7 de Octubre”, ıa http://es.wikipedia.org/wiki/ Phishing,2011 [6] Diferentes tipos de phishing, “Extra´ el d´ ıdo ıa 4 de Octubre”, http://es.paperblog.com/diferentes- tipos-de-phishing-timos- en-la-red-81585/, 2011 [7] Las profundidades del phishing, “Gonzalo Alvarez Mara˜on”, n http://www.iec.csic.es/gonzalo/ descar- gas/phishing.pdf,2011 [8] phishing. tipos de amenazas, “Extra´ el ıdo d´ 6 de Octubre”, ıa http://www.pandasecurity.com/ spain/enterprise/security- info/types- malware/phishing/,2011 [9] Fraudes por e-mail, “Extra´ el d´ 6 de ıdo ıa Octubre”, http://www.informatica- hoy.com.ar/internet/ Tipos-de-fraudes-por-e- mail.php,2011[10] Intelligent phishing detection system for e-banking using fuzzy 10

×