Joan Castillo S

Irvin Ortega F
Diego Vargas J
 Delito informático, caracterizado por la utilización
de un medio de procesamiento electrónico, con el
fin de adquirir información confidencial de usuarios
de sistemas.

 La información es utilizada en la modificación de

datos, falsificación de documentos, penetraciones
en un sistema, y ventas de información.
 El phisher se hace pasar por una
persona o empresa, mediante
comunicaciones electrónicas
(correo electrónico, mensajería
instantánea) o llamadas
telefónicas.

 Se diferencia del hurto, ya que

en la estafa es imprescindible el
engaño.
 El cliente recibe una
llamada telefónica, un
e-mail o un mensaje de
texto al celular,
solicitando llamar a un
sistema interactivo de
voz falso.
 Clonación de tarjetas
de crédito y débito
mediante un dispositivo
instalado en el cajero
que captura la
información y la envía
de forma inalámbrica a
una distancia de hasta
200 metros.
 Programa espía que se instala en la computadora,
recopila y envía información del usuario de
manera silenciosa, con el fin de robar contraseñas
e información financiera o vender información a
empresas de publicidad. Ejemplo: keylogger.
 Redirecciona al
usuario a una pagina
falsa, similar a la
original, donde le
pide ingresar sus
datos (usuario,
contraseña), le
presenta un mensaje
de error y luego lo
redirecciona hacia la
pagina original.
 En un sistema, los
usuarios son el
“eslabón débil”.

 Todos queremos
ayudar.

 El primer movimiento
es siempre de
confianza hacia el
otro.

 No nos gusta decir

No.
 El usuario recibe un email en el cual se le solicita
ingresar sus datos en una página falsa.

URLs mal escritas

El uso de subdominios
Utilizar direcciones que contengan el carácter @.
Utilizando comandos en JavaScripts para alterar la
barra de direcciones.
Duplicación de la pagina de una institución.
Direcciones que resulten idénticas a la vista
puedan conducir a diferentes sitios.
 La red de estafadores se nutre de usuarios de
chat, foros o correos electrónicos, a través de
mensajes. En el caso de que caigan en la trampa,
los presuntos intermediarios de la estafa, deben
rellenar determinados campos.

 Se comete el phishing.

 Los estafadores comienzan a retirar sumas

importantes de dinero, las cuales son
transmitidas a las cuentas de los intermediarios.

 Los intermediarios realizan el traspaso a las

 Spam
 Troyano
 Bacteria
 Worm
 Trapdoor
 Bomba lógica
 Eavesdropping
 Mascarada
 Replay
 Fraudes con tarjetas de crédito en transferencias
electrónicas, violando sistemas de criptografía. 

 Estafas en Procesos de Pagos On-Line en

transacciones comerciales, violando códigos de
seguridad, o robando números de tarjetas de
crédito.

 Manipulación de la información.

 Virus Electrónicos.

 Engaños o estafas por Correos Electrónicos. 

 En el 2004, Estados Unidos llevó a juicio el primer
caso contra un phisher, un adolescente quién utilizó
una página web con un diseño gemeleado para
robar números de tarjetas.

 En el 2005, un hombre estonio fue arrestado

utilizando un sitio web falso, en el que incluía un
keylogger.

 Una de las más grandes redes de phishing, en dos

años, había robado entre $18 a $37 millones de
dólares.
 El primer caso de vishing se presentó en
Australia, con los clientes del Chase Bank.

 En el 2005, Wang recibió un mensaje con un

número telefónico al que debía llamar, ya que el
banco “había” cargado una importante compra.
Wang hizo la llamada, brindó sus datos a una
contestadora, y horas después su cuenta había
sido vaciada.
 Los objetivos más recientes son los clientes de
bancos y servicios de pago en línea, enviando un e-
mail falso.

 La información obtenida en sitios con fines sociales.

Utilizada en el robo de identidad.

 Las páginas quienteadmite y noadmitido, roban el

nombre y contraseña de los usuarios de MSN.

 Hi5 y Facebook han sido también víctimas de

ataques masivos de phishing.
 Según PhishTank, cada dos minutos se lanza un nuevo ataque de
Phishing.

 Marcas falsificadas: Paypal, eBay, HSBC y Bank of Corporation

 Cisco Security Index: Chile ocupa el primer lugar en casos de

phishing en Latinoamérica.

 APWG: a nivel mundial, Estados Unidos es primero, y China

segundo.

 Casos más comunes: son robo de contraseña y bloqueo de URL.

 Infoweek: el 55% dijo que sí conocía las recomendaciones de

seguridad de su banco, el 36% dijo que no.
Fuente: APWG

Fuente: APWG
Fuente: APWG

Fuente: APWG
Fuente: APWG
 Garantiza que los riesgos de la seguridad sean conocidos,
asumidos, gestionados y minimizados por la organización de
una forma documentada, sistemática, estructurada, repetible y
eficiente.

 ISO 27001 e ISO 17799 son normas certificables, para

organizaciones que tengan implantado un Sistema de Gestión
de la Seguridad de la Información. Utilizable por cualquier tipo
de organización.

 ISO 27001 es el nivel más alto en certificaciones de seguridad

electrónica.
 Auditoría: radiografía de los sistemas en cuanto a protección,
control y medidas de seguridad. Revisan de las redes locales y
corporativas, se realizan test de intrusión para comprobar el nivel de
resistencia y analizan páginas web.

 Consultoría: seguridad y tecnologías de la información. Definición y

revisión de políticas de seguridad, sistemas antifraude y
antiphishing, SGSI, configuración y desarrollo de redes y sistemas
seguros, criptografía y evaluación de aplicaciones Open Source.
 Metodologías, prácticas y procedimientos que buscan proteger la
información, minimizando amenazas y riesgos continuos, protegiendo
la identidad y la privacidad.

 Información es un activo. Requiere ser asegurada y protegida. Es

vital la información con números de tarjetas de crédito,
autenticaciones de clientes, correos electrónicos y llamadas
telefónicas.

 Sitios en internet:
 Gestión de claves (verificar la identidad)
 Confidencialidad (ningún atacante puede leerla )
 Imposibilidad de repudio (mensaje no podrá ser negado)
 Integridad (información no ha sido modificada)
 Autenticación (interlocutores son quienes dicen ser)
 Autorización
 Murallas o cortafuegos, software o hardware utilizado en redes
de computadoras. Cortan el tráfico, controlan las
comunicaciones, permitiéndolas o prohibiéndolas según
políticas de red. Aplica reglas de filtrado a los paquete IP, que
le permiten discriminar el tráfico según nuestras indicaciones.
Se implementa mediante un router.
 Certificanprocedencia de un
mensaje, asegurando que
proviene de quien dice.
 Evita los suplantes de
usuarios y envíos de
mensajes falsos a otro
usuario.
 Garantiza la integridad del
mensaje, que no ha ya sido
alterado durante la
transmisión.
 Cuando la información debe
atravesar redes sobre las
que no se tiene control
directo.
 Se requiere un certificado
digital y una llave privada.

 Contiene cientos de dígitos,

y se conecta en USB.

 Se guardan en un token, no
pueden ser copiado o leído.

 Sólo el usuario puede

utilizarlo.

 Llavero, tarjeta, celular.

 Protocolo de seguridad  SSL se usa para formar
HTTP en HTTPS.
 Proporciona
autenticación y  Navegadores: Safari,
privacidad de la Internet Explorer,
información mediante Mozilla Firefox, Opera.
el uso de criptografía.
 Entidades bancarias y
 Previene escuchas servicio que requiera el
secretos o envío de contraseñas.
eavesdropping de la
identidad del
remitente.
 No utilizar las claves proporcionadas por
defecto, y cambiarlas tan pronto como sea
posible.

 Utilizar
diferentes contraseñas para diferentes
sitios Web.
 Evitarno utilizar las mismas claves en todas
sus entidades financieras.
 Sonpersonales e intransferibles, no deben ser
reveladas.
 Sitios web "simulados". El usuario envía información
personal a los estafadores. No abra archivos adjuntos
de correo electrónico a menos que conozca la fuente.

 “Compruebe su cuenta”
 “Estimado cliente”
 “Su cuenta ha sido congelada”
 “Tenemos que reconfirmar sus datos”
 “Si no responde en un placo de 48 horas, su cuenta se
cancelará”
 “Haga click en el vínculo que aparece a continuación para
obtener acceso a su cuenta”.
 “Usted tiene una suma grande de dinero en su cuenta, por
favor verifique sus movimientos”
 Usar detectores de spam para bloquear e-mails
fraudulentos.

 Utilizar un software antiphishing antispyware.

 No permitir que los comerciantes en línea

almacenen información de su tarjeta.

 Enviar números de tarjetas solo a sitios seguros.

 Disponer de un Sistema Operativo actualizado con

los último parches.
 Las empresas:

 Establecer políticas corporativas para el contenido

de los correos electrónicos.

 Entregar a los clientes una forma de validar los

correos electrónicos.

 Establecer autenticación más confiable para sitios

web.

 Monitoreo de internet de posibles sitios web

fraudulentos.
 Según La Nación, durante el 2006 se dieron 71
denuncias de fraudes y a junio del 2007 habían 77
denuncias (¢200 millones).

 En el 2007 se registraron casi 500 casos en varios

bancos que se niegan a reintegrar el dinero (¢800
millones).

 El Banco Popular y de Desarrollo Comunal contabilizó

1565 denuncias por bloqueo, sustracción y fraude en
tarjetas de crédito y débito.

 El Banco Nacional recibió 41 denuncias en tarjetas de

crédito de Visa y Master Card, 147 denuncias por
 En diciembre de 2007, se detuvieron once personas,
por fraude electrónico. Se realizaron en contra de
personas que tenían cuentas en bancos.

 El monto de la estafa se estima en mil millones de

colones, afectando a unas 200 personas.

 Robaron cuentas bancarias al enviar un correo

keylogger. El virus ingresaba a las computadoras,
extraía la información sin que el usuario del sistema
se percatara.
 Pretende proteger a las víctimas de
fraude electrónico con tarjeta de
crédito y débito.

 Busca responsabilizar a los emisores

de tarjetas para que hagan frente a
los fraudes.

 Garantizar al usuario un sistema

confiable a través de Internet,
cajeros automáticos o cualquier otra
forma de acceso a información y
BAC San José – LAFISE – Grupo IMPROSA

 No se han dado casos de phishing

 Bloquear la cuenta inmediatamente

 Capacitación a los empleados

 Advertencias en páginas web sobre phishing

 En caso de skimming, llamar al sucursal

 Dispositivos
 SSL (protocolo de seguridad)
 VeriSign (sello certificador de autenticidad)
 Teclado Virtual: clave combina una parte alfabética y
otra numérica.
 Token: cédula de identidad en
formato electrónico. Certificado
Digital que contiene información del
cliente y su firma digital.

 e-Token y la nueva plataforma

tecnológica eliminan el Phishing y
minimiza el riesgo de robo de
Tarjeta Clave Dinámica: números
y letras. Sistema solicita digitar
tres coordenadas, integradas por
una letra y un número.
Sitekey
•Se hace la pregunta de
comprobación de
identidad.

•Si la respuesta es
correcta, aparece el título
-Una imagen
secreto de la imagen y la
imagen.
-Un título de imagen
•Seguridad para ambas
partes.
-Tres preguntas de
confirmación
¡Muchas Gracias!