1. PHISHING
Ing. María José Meza Ayala
DIRECCIÓN GENERAL DE INVESTIGACIÓN
ESPECIAL EN TELECOMUNICACIONES
2. DEFINICIÓN
• El Phishing es un tipo de delito incluido dentro del
ámbito de las estafas, se comete mediante el uso de
un tipo de ingeniería social caracterizado por
intentar adquirir información confidencial de forma
fraudulenta. El estafador se hace pasar por una
persona o empresa de confianza en una aparente
comunicación oficial electrónica; por lo común un
correo electrónico, o algún sistema de mensajería
instantánea.
3. TÉCNICAS DE PHISHING (I)
• Engaño en el diseño para lograr que un enlace en un correo electrónico
parezca una copia de la organización por la cual se hace pasar el impostor.
URLs mal escritas o el uso de subdominios son trucos comúnmente usados
por phishers.
http://www.nombredetubanco.com.ejemplo.com/.
• Utilización de direcciones que contengan el carácter arroba (@), para
posteriormente preguntar el nombre de usuario y contraseña.
http://www.google.com@members.tripod.com/
La dirección mostrada puede engañar a un observador casual y hacerlo creer
que el enlace va a abrir en la página de www.google.com, cuando
realmente el enlace envía al navegador a la página de
members.tripod.com.
4. TÉCNICAS DE PHISHING (II)
• Recepción de un mensaje (generalmente un correo electrónico), en el cual
se solicita la verificación de cuentas bancarias, seguido por un enlace que
aparenta ser la página web auténtica; en realidad, el enlace está
modificado para dirigir al usuario a iniciar sesión en la página del banco o
servicio, donde la URL y los certificados de seguridad parecen ser
auténticos.
• Otro problema con las URL es el relacionado con el manejo de Nombre de
dominio internacionalizado (IDN) en los navegadores, puesto que puede
ser que direcciones que resulten idénticas a la vista puedan conducir a
diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com,
aunque en el segundo las letras quot;oquot; hayan sido reemplazadas por la
correspondiente letra griega ómicron, quot;οquot;).
5. DAÑOS CAUSADOS
Este tipo de robo de identidad se está haciendo cada vez más
popular por la facilidad con que personas confiadas
normalmente revelan información personal a los phishers, una
vez esta información es adquirida, los phishers pueden usarla
para crear cuentas falsas utilizando el nombre de la víctima,
gastar el crédito de la víctima, o incluso impedir a las víctimas
acceder a sus propias cuentas.
6. ESTADÍSTICAS (Enero 2008)
• Se divulgaron 20,305 páginas Web de “phishing”
• 131 marcas de fábrica fueron “secuestradas”
• 92.4 por ciento de todos los ataques tratan del sector de
servicios financieros
• Los Países que alojan páginas Web de “phishing”:
#1: Estados Unidos (37.25 por ciento)
#2: Rusia (11.66 por ciento)
#3: China (10.3 por ciento)
12. PISHING EN MSN
• Dos de los ejemplos más
recientes son las páginas
quienteadmite.com y
noadmitido.com destinadas a
robar el nombre y contraseña
de los usuarios de MSN a
cambio de mostrarle a los
visitantes que las utilicen,
quien los ha borrado de su
lista de contactos.
• El servicio que brindan puede
obtenerse fácilmente desde la
solapa quot;privacidadquot; del menú
opciones desde el Msn
messenger.
13. MÉTODOS DE PREVENCIÓN (I)
• Un usuario al que se le contacta mediante un mensaje
electrónico y se le hace mención sobre la necesidad de
quot;verificarquot; una cuenta electrónica puede escribir la dirección
web en la barra de direcciones de su navegador para evitar
usar el enlace que aparece en el mensaje sospechoso de
phishing.
• Muchas compañías se dirigen a sus clientes por su nombre de
usuario en los correos electrónicos, de manera que si un
correo electrónico se dirige al usuario de una manera genérica
como (quot;Querido miembro de XXXXquot;) es probable que se trate
de un intento de phishing.
14. MÉTODOS DE PREVENCIÓN (II)
• Uso de software anti‐phishing.
• El uso de filtros de spam.
• Muchas organizaciones han introducido la característica denominada
pregunta secreta, en la que se pregunta información que sólo debe ser
conocida por el usuario y la organización. Las páginas de Internet también
han añadido herramientas de verificación que permite a los usuarios ver
imágenes secretas que los usuarios seleccionan por adelantado; sí estas
imágenes no aparecen, entonces el sitio no es legítimo.
• Muchas compañías ofrecen a bancos y otras entidades que sufren de
ataques de phishing, servicios de monitoreo continuos, analizando y
utilizando medios legales para cerrar páginas con contenido phishing.
15. MÉTODOS DE PREVENCIÓN (III)
• Informar enlaces sospechosos • Los servidores de correo más
haciendo click en ayuda y populares también cuentan con
pulsando en quot;Informar de opciones para denunciar intentos
falsificación webquot;: de phishing:
16. LEGISLACION
CÓDIGO PENAL
“……
Artículo 202.‐ ...
Artículo ...‐ El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de
seguridad, para acceder u obtener información protegida, contenida en sistemas de información; para
vulnerar el secreto, confidencialidad y reserva, o simplemente vulnerar la seguridad, será reprimido con
prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de
Norteamérica.
“……
……”
Artículo ...‐ Obtención y utilización no autorizada de información.‐ La persona o personas que obtuvieren
información sobre datos personales para después cederla, publicarla, utilizarla o transferirla a cualquier
título, sin la autorización de su titular o titulares, serán sancionadas con pena de prisión de dos meses a
dos años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica.
Nota: Artículo agregado por Ley No. 67, publicada en Registro Oficial Suplemento 557 de 17 de Abril del
2002.
……”
17. OBSERVACIONES
• Tanto los servicios de correo como cualquier otro servicio (bancos, cuentas
para compras por internet, actualizaciones de antivirus, etc.) nunca piden
información sensible del usuario a través del correo electrónico.
• Para defenderse de estos ataques es recomendable utilizar el escepticismo
inteligente en cualquier relación en la que se solicite al usuario que divulgue
datos personales, por otro lado, siempre que se tenga que hablar con el banco,
se lo debe hacer a través de los números de teléfono oficiales, y no facilitar
datos personales ni financieros a través de correos electrónicos.
• Si se recibe un correo con un enlace que sospechemos que es de phishing,
además de informarlo a la web, se lo debe notificar también al Centro de
Información y Reclamos de la SUPERTEL, comunicándose sin costo al 1800 567
567. Para que de este modo la SUPERTEL pueda interceder para que la página
sea bloqueada y evitar que nuevas víctimas sean engañadas.
• La SUPERTEL se está preparando técnicamente para desarrollar técnicas de
detección frente a este nuevo tipo de fraude, las cuales nos permitirán no solo
prevenir sino corregir técnicamente este tipo de estafas.