BOLIVIA PERFIL DE TESIS DE MAESTRA SISTEMA DE TRANSFERENCIAS ELECTRNICAS POR EL CANAL DE BANCA MVIL UTILIZANDO EL POSICIONAMIENTO GLOBAL COMO UN MTODO DE AUTENTICACIN GONZALO PARRA HUANCA LA PAZ, 202 . INTRODUCCIN 1.1. ANTECEDENTES DEL PROBLEMA DE NVESTGACN El phishing actualmente es uno de los mtodos con mayor fraude electrnico en Bolivia. Por esta razn es necesario incluir mtodos de autenticacin adicionales para las transferencias electrnicas. Como el el posicionamiento global como mtodo de autenticacin por el GPS. 2. PLANTEAMIENTO DEL PROBLEMA 2.1. DENTFCACN DEL PROBLEMA Diagrama Causa / Efecto 2.2. FORMULACN DEL PROBLEMA Es posible mitigar el problema de la estafa electrnica utilizando un mtodo de autenticacin por posicionamiento GPS? !. OBJETIVOS DE LA INVESTIGACIN 3.1. OBJETVO GENERAL mplementar un sistema basado en GPS que proteja a los clientes de phishing utilizando el posicionamiento global como un mtodo de autenticacin. 3.2. OBJETVOS ESPECFCOS nvestigar sobre el posicionamiento global por GPS. Obtener informacin sobre los mtodos en phishing de Bolivia. nvestigar sobre el posicionamiento global como un mtodo de autenticacin adicional. nvestigar sobre los sistemas implementados con GPS como forma de autenticacin en Bolivia. Realizar un diagnostico del phishing y las transferencias electrnicas en Bolivia. Desarrollar un sistema que permita la autenticacin por posicionamiento GPS. ". JUSTIFICACIN 4.1. JUSTFCACN SOCAL Actualmente el fraude electrnico se encuentra en latente en Bolivia, incluyendo al canal de Banca Mvil. Anualmente muchas personas son estafadas, lo que ha disminuido la confianza de los clientes en canales como la banca por internet y banca mvil El presente trabajo al implementarse una autenticacin por posicionamiento GPS, tiene como objetivo una disminucin en los casos de fraude electrnico, por lo que derivara en una mayor confianza y uso de los canales alternativos como banca electrnica y banca mvil, lo cual beneficiara tanto a las entidades financieras como a sus clientes. #. ALCANCES 5.1. ALCANCE TEMTCO 5.1.1. rea de nvestigacin Este trabajo se centrara en la autenticacin por posicionamiento GPS y los mtodos de phishing por fraude electrnico actuales. 5.1.2. Tema Especfico mplementacin de un sistema basado en GPS de transferencia electrnicas por el canal de banca mvil utilizando el posicionamiento global por GPS como un mtodo de autenticacin 5.1.3. Nivel de nvestigacin 5.2. ALCANCE ESPACAL Este trabajo ser realizado para ser implementado en Sudamrica. 5.3. ALCANCE TEMPORAL Para la toma de periodo de datos, se tomaran datos de fraude electrnico desde el 2005 hasta la fecha. $. ESTADO DEL ARTE 6.1. FUNDAMENTOS TERCOS $... SISTEMA DE POSICIONAMIENTO GLOBAL El SPG o GPS (Global Positioning System: sistema de posicionamiento global) o NAVSTAR-GPS1 es un sistema global de navegacin por satlite (GNSS) que permite determinar en todo el mundo la posicin de un objeto, una persona o un vehculo con una precisin hasta de centmetros (si se utiliza GPS diferencial), aunque lo habitual son unos pocos metros de precisin. El sistema fue desarrollado, instalado y actualmente operado por el Departamento de Defensa de los Estados Unidos. El GPS funciona mediante una red de 24 satlites en rbita sobre el planeta tierra, a 20.200 km, con trayectorias sincronizadas para cubrir toda la superficie de la Tierra. Cuando se desea determinar la posicin, el receptor que se utiliza para ello localiza automticamente como mnimo tres satlites de la red, de los que recibe unas seales indicando la identificacin y la hora del reloj de cada uno de ellos. Con base en estas seales, el aparato sincroniza el reloj del GPS y calcula el tiempo que tardan en llegar las seales al equipo, y de tal modo mide la distancia al satlite mediante "triangulacin" (mtodo de trilateracin inversa), la cual se basa en determinar la distancia de cada satlite respecto al punto de medicin. Conocidas las distancias, se determina fcilmente la propia posicin relativa respecto a los tres satlites. Conociendo adems las coordenadas o posicin de cada uno de ellos por la seal que emiten, se obtiene la posicin absoluta o coordenadas reales del punto de medicin. Tambin se consigue una exactitud extrema en el reloj del GPS, similar a la de los relojes atmicos que llevan a bordo cada uno de los satlites. La antigua Unin Sovitica construy un sistema similar llamado GLONASS, ahora gestionado por la Federacin Rusa. Actualmente la Unin Europea est desarrollando su propio sistema de posicionamiento por satlite, denominado Galileo. A su vez, la Repblica Popular China est implementando su propio sistema de navegacin, el denominado Beidou, que preveen que cuente con entre 12 y 14 satlites entre 2011 y 2015. Para 2020, ya plenamente operativo deber contar con 30 satlites. De momento (abril 2011), ya tienen 8 en rbita. C%&%'()&*+(,'%+ (-'.,'%+ / 0&)+(%',1.)+ El Sistema Global de Navegacin por Satlite lo componen: S,+()2% 3) +%(-4,()+: Est formado por 24 unidades con trayectorias sincronizadas para cubrir toda la superficie del globo terrqueo. Ms concretamente, repartidos en 6 planos orbitales de 4 satlites cada uno. La energa elctrica que requieren para su funcionamiento la adquieren a partir de dos paneles compuestos de celdas solares adosados a sus costados. E+(%',1.)+ ()&&)+(&)+: Envan informacin de control a los satlites para controlar las rbitas y realizar el mantenimiento de toda la constelacin. T)&2,.%4)+ &)')0(1&)+: ndican la posicin en la que estn; conocidas tambin como unidades GPS, son las que podemos adquirir en las tiendas especializadas. S)52).(1 )+0%',%4 Satlites en la constelacin: 24 (4 6 rbitas) o Altitud: 20200 km o Perodo: 11 h 58 min (12 horas sidreas) o nclinacin: 55 grados (respecto al ecuador terrestre). o Vida til: 7,5 aos Segmento de control (estaciones terrestres) o Estacin principal: 1 o Antena de tierra: 4 o Estacin monitora (de seguimiento): 5, Colorado Springs, Hawai, Kwajalein, sla de Ascensin e sla de Diego Garca Seal RF o Frecuencia portadora: Civil 1575,42 MHz (L1). Utiliza el Cdigo de Adquisicin Aproximativa (C/A). Militar 1227,60 MHz (L2). Utiliza el Cdigo de Precisin (P), cifrado. Nivel de potencia de la seal: 160 dBW (en superficie tierra). Polarizacin: circular dextrgira. Exactitud o Posicin: oficialmente indican aproximadamente 15 m (en el 95% del tiempo). En la realidad un GPS porttil monofrecuencia de 12 canales paralelos ofrece una precisin de 2,5 a 3 metros en ms del 95% del tiempo. Con el WAAS / EGNOS / MSAS activado, la precisin asciende de 1 a 2 metros. o Hora: 1 ns Cobertura: mundial Capacidad de usuarios: ilimitada Sistema de coordenadas: o Sistema Geodsico Mundial 1984 (WGS84). o Centrado en la Tierra, fijo. ntegridad: tiempo de notificacin de 15 minutos o mayor. No es suficiente para la aviacin civil. Disponibilidad: 24 satlites y 21 satlites. No es suficiente como medio primario de navegacin. E6147',8. 3)4 +,+()2% GPS Estacin y receptor GPS profesionales para precisiones centimtricas. El GPS est evolucionando hacia un sistema ms slido (GPS ), con una mayor disponibilidad y que reduzca la complejidad de las aumentaciones GPS. Algunas de las mejoras previstas comprenden: ncorporacin de una nueva seal en L2 para uso civil. Adicin de una tercera seal civil (L5): 1176,45 MHz Proteccin y disponibilidad de una de las dos nuevas seales para servicios de Seguridad Para la Vida (SOL). Mejora en la estructura de seales. ncremento en la potencia de seal (L5 tendr un nivel de potencia de 154 dB). Mejora en la precisin (1 5 m). Aumento en el nmero de estaciones de monitorizacin: 12 (el doble) Permitir mejor interoperabilidad con la frecuencia L1 de Galileo El programa GPS persigue el objetivo de garantizar que el GPS satisfaga requisitos militares y civiles previstos para los prximos 30 aos. Este programa se est desarrollando para utilizar un enfoque en 3 etapas (una de las etapas de transicin es el GPS ); muy flexible, permite cambios futuros y reduce riesgos. El desarrollo de satlites GPS comenz en 2005, y el primero de ellos estar disponible para su lanzamiento en 2012, con el objetivo de lograr la transicin completa de GPS en 2017. Los desafos son los siguientes: Representar los requisitos de usuarios, tanto civiles como militares, en cuanto a GPS. Limitar los requisitos GPS dentro de los objetivos operacionales. Proporcionar flexibilidad que permita cambios futuros para satisfacer requisitos de los usuarios hasta 2030. Proporcionar solidez para la creciente dependencia en la determinacin de posicin y de hora precisa como servicio internacional. El sistema ha evolucionado y de l han derivado nuevos sistemas de posicionamiento PS-2 se refiere a nertial Positioning System, sistema de posicionamiento inercial, un sistema de captura de datos, que permite al usuario realizar mediciones a tiempo real y en movimiento, el llamado Mobile Mapping. Este sistema obtiene cartografa mvil 3D basndose en un aparato que recoge un escner lser, un sensor inercial, sistema GNSS y un odmetro a bordo de un vehculo. Se consiguen grandes precisiones, gracias a las tres tecnologas de posicionamiento: MU + GNSS + odmetro, que trabajando a la vez dan la opcin de medir incluso en zonas donde la seal de satlite no es buena. F7.',1.%2,).(1 R)')0(1& GPS. La situacin de los satlites puede ser determinada de antemano por el receptor con la informacin del llamado almanaque (un conjunto de valores con 5 elementos orbitales), parmetros que son transmitidos por los propios satlites. La coleccin de los almanaques de toda la constelacin se completa cada 12-20 minutos y se guarda en el receptor GPS. La informacin que es til al receptor GPS para determinar su posicin se llama efemrides. En este caso cada satlite emite sus propias efemrides, en la que se incluye la salud del satlite (si debe o no ser considerado para la toma de la posicin), su posicin en el espacio, su hora atmica, informacin doppler, etc.. El receptor GPS utiliza la informacin enviada por los satlites (hora en la que emitieron las seales, localizacin de los mismos) y trata de sincronizar su reloj interno con el reloj atmico que poseen los satlites. La sincronizacin es un proceso de prueba y error que en un receptor porttil ocurre una vez cada segundo. Una vez sincronizado el reloj, puede determinar su distancia hasta los satlites, y usa esa informacin para calcular su posicin en la tierra. Cada satlite indica que el receptor se encuentra en un punto en la superficie de la esfera, con centro en el propio satlite y de radio la distancia total hasta el receptor. Obteniendo informacin de dos satlites se nos indica que el receptor se encuentra sobre la circunferencia que resulta cuando se intersecan las dos esferas. Si adquirimos la misma informacin de un tercer satlite notamos que la nueva esfera slo corta la circunferencia anterior en dos puntos. Uno de ellos se puede descartar porque ofrece una posicin absurda (por fuera del globo terrqueo, sobre los satlites). De esta manera ya tendramos la posicin en 3D. Sin embargo, dado que el reloj que incorporan los receptores GPS no est sincronizado con los relojes atmicos de los satlites GPS, los dos puntos determinados no son precisos. Teniendo informacin de un cuarto satlite, eliminamos el inconveniente de la falta de sincronizacin entre los relojes de los receptores GPS y los relojes de los satlites. Y es en este momento cuando el receptor GPS puede determinar una posicin 3D exacta (latitud, longitud y altitud). Al no estar sincronizados los relojes entre el receptor y los satlites, la interseccin de las cuatro esferas con centro en estos satlites es un pequeo volumen en vez de ser un punto. La correccin consiste en ajustar la hora del receptor de tal forma que este volumen se transforme en un punto. F,%9,4,3%3 3) 41+ 3%(1+ Debido al carcter militar del sistema GPS, el Departamento de Defensa de los EE. UU. se reservaba la posibilidad de incluir un cierto grado de error aleatorio, que poda variar de los 15 a los 100 m. La llamada disponibilidad selectiva (S/A) fue eliminada el 2 de mayo de 2000. Aunque actualmente no aplique tal error inducido, la precisin intrnseca del sistema GPS depende del nmero de satlites visibles en un momento y posicin determinados. Con un elevado nmero de satlites siendo captados (7, 8 9 satlites), y si stos tienen una geometra adecuada (estn dispersos), pueden obtenerse precisiones inferiores a 2,5 metros en el 95% del tiempo. Si se activa el sistema DGPS llamado SBAS (WAAS-EGNOS-MSAS), la precisin mejora siendo inferior a un metro en el 97% de los casos. Estos sistemas SBAS no se aplican en Sudamrica, ya que esa zona no cuenta con este tipo de satlites geoestacionarios. $..2. PHISHING Phishing es un trmino informtico que denomina un tipo de delito encuadrado dentro del mbito de las estafas cibernticas, y que se comete mediante el uso de un tipo de ingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta (como puede ser una contrasea o informacin detallada sobre tarjetas de crdito u otra informacin bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicacin oficial electrnica, por lo comn un correo electrnico, o algn sistema de mensajera instantnea 1 o incluso utilizando tambin llamadas telefnicas.2 Dado el creciente nmero de denuncias de incidentes relacionados con el phishing, se requieren mtodos adicionales de proteccin. Se han realizado intentos con leyes que castigan la prctica y campaas para prevenir a los usuarios con la aplicacin de medidas tcnicas a los programas. H,+(1&,% 3)4 0:,+:,.5 O&,5). 3)4 (-&2,.1 El trmino phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusin al intento de hacer que los usuarios "muerdan el anzuelo". A quien lo practica se le llama phisher.4 Tambin se dice que el trmino "phishing" es la contraccin de "password harvesting fishing" (cosecha y pesca de contraseas), aunque esto probablemente es un acrnimo retroactivo, dado que la escritura 'ph es comnmente utilizada por hackers para sustituir la f, como raz de la antigua forma de hacking telefnico conocida como phreaking. La primera mencin del trmino phishing data de enero de 1996. Se dio en el grupo de noticias de hackers alt.2600,6 aunque es posible que el trmino ya hubiera aparecido anteriormente en la edicin impresa del boletn de noticias hacker "2600 Magazine".7 El trmino phishing fue adoptado por quienes intentaban "pescar" cuentas de miembros de AOL. I.().(1+ &)',).()+ 3) 0:,+:,.5 Los intentos ms recientes de phishing han tomado como objetivo a clientes de bancos y servicios de pago en lnea. Aunque el ejemplo que se muestra en la primera imagen es enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio, estudios recientes muestran que los phishers en un principio son capaces de establecer con qu banco una posible vctima tiene relacin, y de ese modo enviar un e- mail, falseado apropiadamente, a la posible vctima.10 En trminos generales, esta variante hacia objetivos especficos en el phishing se ha denominado spear phishing (literalmente pesca con arpn). Los sitios de nternet con fines sociales tambin se han convertido en objetivos para los phishers, dado que mucha de la informacin provista en estos sitios puede ser utilizada en el robo de identidad.11 Algunos experimentos han otorgado una tasa de xito de un 90% en ataques phishing en redes sociales.12 A finales de 2006 un gusano informtico se apropi de algunas pginas del sitio web MySpace logrando redireccionar los enlaces de modo que apuntaran a una pgina web diseada para robar informacin de ingreso de los usuarios.13 T-'.,'%+ 3) 0:,+:,.5 La mayora de los mtodos de phishing utilizan alguna forma tcnica de engao en el diseo para mostrar que un enlace en un correo electrnico parezca una copia de la organizacin por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com/ejemplo. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carcter arroba: @, para posteriormente preguntar el nombre de usuario y contrasea (contrario a los estndares14 ). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engaar a un observador casual y hacerlo creer que el enlace va a abrir en la pgina de www.google.com, cuando realmente el enlace enva al navegador a la pgina de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la pgina abrir normalmente). Este mtodo ha sido erradicado desde entonces en los navegadores de Mozilla15 e nternet Explorer.16 Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legtima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegtima. En otro mtodo popular de phishing, el atacante utiliza contra la vctima el propio cdigo de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemtico, ya que dirige al usuario a iniciar sesin en la propia pgina del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este mtodo de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la pgina web autntica; en realidad, el enlace est modificado para realizar este ataque, adems es muy difcil de detectar si no se tienen los conocimientos necesarios. Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (DN) en los navegadores, puesto que puede ser que direcciones que resulten idnticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dominio.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega micron, "o"). Al usar esta tcnica es posible dirigir a los usuarios a pginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como DN spoofing17 o ataques homgrafos,18 ningn ataque conocido de phishing lo ha utilizado. L%6%31 3) 3,.)&1 0&137'(1 3)4 0:,+:,.5 Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de e- mails, chats, irc y otros medios, ofrecindoles no slo trabajar desde casa sino tambin otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automticamente en vctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a travs del acto fraudulento de phishing. Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicar, entre otros datos, su nmero de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-vctima el dinero procedente de estafas bancarias realizadas por el mtodo de phishing. Una vez contratada, la vctima se convierte automticamente en lo que se conoce vulgarmente como mulero. Con cada acto fraudulento de phishing la vctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la vctima se quedar un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisin de trabajo y el resto lo reenviar a travs de sistemas de envo de dinero a cuentas indicadas por la seudo-empresa. Dado el desconocimiento de la vctima (muchas veces motivado por la necesidad econmica) sta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposicin de devolver todo el dinero sustrado a la vctima, obviando que este nicamente recibi una comisin. F%+)+ En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos electrnicos, a travs de mensajes de ofertas de empleo con una gran rentabilidad o disposicin de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos personales y nmero de cuenta bancaria. Se comete el phishing, ya sea el envo global de millones de correos electrnicos bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (PHSHNG) o con ataques especficos. El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros). Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevndose stos las cantidades de dinero y aqullos los intermediarios el porcentaje de la comisin. D%;1+ '%7+%31+ 01& )4 0:,+:,.5 Los daos causados por el phishing oscilan entre la prdida del acceso al correo electrnico a prdidas econmicas sustanciales. Este tipo de robo de identidad se est haciendo cada vez ms popular por la facilidad con que personas confiadas normalmente revelan informacin personal a los phishers, incluyendo nmeros de tarjetas de crdito y nmeros de seguridad social. Una vez esta informacin es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la vctima, gastar el crdito de la vctima, o incluso impedir a las vctimas acceder a sus propias cuentas. Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones de usuarios de computadoras en los Estados Unidos tuvieron prdidas a causa del phishing, lo que suma a aproximadamente $929 millones de dlares estadounidenses. Los negocios en los Estados Unidos perdieron cerca de 2000 millones de dlares al ao mientras sus clientes eran vctimas.20 El Reino Unido tambin sufri el alto incremento en la prctica del phishing. En marzo del 2005, la cantidad de dinero reportado que perdi el Reino Unido a causa de esta prctica fue de aproximadamente 12 millones de libras esterlinas.21 A.(,<P:,+:,.5 Existen varias tcnicas diferentes para combatir el phishing, incluyendo la legislacin y la creacin de tecnologas especficas que tienen como objetivo evitarlo. R)+07)+(%+ 1&5%.,=%(,6%+ Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques phishing. Una nueva tctica de phishing donde se envan correos electrnicos de tipo phishing a una compaa determinada, conocido como spear phishing, ha motivado al entrenamiento de usuarios en varias localidades, incluyendo la Academia Militar de West Point en los Estados Unidos. En un experimento realizado en junio del 2004 con spear phishing, el 80% de los 500 cadetes de West Point a los que se les envi un e-mail falso fueron engaados y procedieron a dar informacin personal.22 Un usuario al que se le contacta mediante un mensaje electrnico y se le hace mencin sobre la necesidad de "verificar" una cuenta electrnica puede o bien contactar con la compaa que supuestamente le enva el mensaje, o puede escribir la direccin web de un sitio web seguro en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de phishing. Muchas compaas, incluyendo eBay y PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrnicos, de manera que si un correo electrnico se dirige al usuario de una manera genrica como ("Querido miembro de eBay") es probable que se trate de un intento de phishing. R)+07)+(%+ (-'.,'%+ Hay varios programas informticos anti-phishing disponibles. La mayora de estos programas trabajan identificando contenidos phishing en sitios web y correos electrnicos; algunos software anti-phishing pueden por ejemplo, integrarse con los navegadores web y clientes de correo electrnico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros de spam tambin ayudan a proteger a los usuarios de los phishers, ya que reducen el nmero de correos electrnicos relacionados con el phishing recibidos por el usuario. Muchas organizaciones han introducido la caracterstica denominada pregunta secreta, en la que se pregunta informacin que slo debe ser conocida por el usuario y la organizacin. Las pginas de nternet tambin han aadido herramientas de verificacin que permite a los usuarios ver imgenes secretas que los usuarios seleccionan por adelantado; s estas imgenes no aparecen, entonces el sitio no es legtimo.23 Estas y otras formas de autentificacin mutua continan siendo susceptibles de ataques, como el sufrido por el banco escandinavo Nordea a finales de 2005. Muchas compaas ofrecen a bancos y otras entidades que sufren de ataques de phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para cerrar pginas con contenido phishing. El Anti-Phishing Working Group, industria y asociacin que aplica la ley contra las prcticas de phishing, ha sugerido que las tcnicas convencionales de phishing podran ser obsoletas en un futuro a medida que la gente se oriente sobre los mtodos de ingeniera social utilizadas por los phishers.25 Ellos suponen que en un futuro cercano, el pharming y otros usos de malware se van a convertir en herramientas ms comunes para el robo de informacin. R)+07)+(%+ 4)5,+4%(,6%+ / >73,',%4)+ El 26 de enero de 2004, la FTC (Federal Trade Commission, "Comisin Federal de Comercio") de Estados Unidos llev a juicio el primer caso contra un phisher sospechoso. El acusado, un adolescente de California, supuestamente cre y utiliz una pgina web con un diseo que aparentaba ser la pgina de America Online para poder robar nmeros de tarjetas de crdito. Tanto Europa como Brasil siguieron la prctica de los Estados Unidos, rastreando y arrestando a presuntos phishers. A finales de marzo de 2005, un hombre estonio de 24 aos fue arrestado utilizando una backdoor, a partir de que las vctimas visitaron su sitio web falso, en el que inclua un keylogger que le permita monitorear lo que los usuarios tecleaban.27 Del mismo modo, las autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, lder de una de las ms grandes redes de phishing que en dos aos haba robado entre $18 a $37 millones de dlares estadounidenses.28 En junio del 2005 las autoridades del Reino Unido arrestaron a dos hombres por la prctica del phishing,29 en un caso conectado a la denominada Operation Firewall del Servicio Secreto de los Estados Unidos, que buscaba sitios web notorios que practicaban el phishing. En los Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti-Phishing de 2005 el 1 de marzo de 2005. Esta ley federal de anti-phishing estableca que aquellos criminales que crearan pginas web falsas o enviaran spam a cuentas de e-mail con la intencin de estafar a los usuarios podran recibir una multa de hasta $250,000 USD y penas de crcel por un trmino de hasta cinco aos. La compaa Microsoft tambin se ha unido al esfuerzo de combatir el phishing. El 31 de marzo del 2005, Microsoft llev a la Corte del Distrito de Washington 117 pleitos federales. En algunos de ellos se acus al denominado phisher "John Doe" por utilizar varios mtodos para obtener contraseas e informacin confidencial. Microsoft espera desenmascarar con estos casos a varios operadores de phishing de gran envergadura. En marzo del 2005 tambin se consider la asociacin entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que permitiran combatir varios crmenes cibernticos, incluyendo el phishing. $.2. TIPOS DE INVESTIGACION Se decidi realizar una investigacin descriptiva y correlacional. Descriptiva debido a que se busca especificar las caractersticas del fraude por phishing y el mtodo de autenticacin por posicionamiento GPS y correlacional para confirmar la relacin entre la variable de mtodo de autenticacin por posicionamiento GPS y fraude electrnico. ?. ESTRATEGIA METODOLGICA 7.1. FORMULACN DE LA HPTESS La implementacin del posicionamiento global como un mtodo de autenticacin en las transferencias electrnicas, reducir como mnimo en un 20% el porcentaje de fraudes electrnicos que se realizan por medio de Phishing por el canal de Banca Mvil. 7.1.1. HPOTESS ESTADSTCA 7.2. DENTFCACN Y ANLSS DE VARABLES 7.2.1. Variable ndependiente mplementacin de un sistema GPS como mtodo de autenticacin. 7.2.2. Variable Dependiente La disminucin del fraude por phishing en el canal de banca mvil. 7.3. CONCEPTUALZACN DE LAS VARABLES V%&,%94) I.3)0).3,).() Variable 2: Estafa por Phishing D)@,.,',8.A Phishing es un tipo de delito encuadrado dentro del mbito de las estafas cibernticas, y que se comete mediante el uso de un tipo de ingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta como ser una contrasea o informacin detallada sobre tarjetas de crdito u otra informacin bancaria. ndicador: Numero de fraudes realizados por phishing por el canal de Banca Mvil. V%&,%94) D)0).3,).() V%&,%94) A mplementacin del sistema de autenticacin por GPS D)@,.,',8.A nstalacin exitosa del sistema de autenticacin por GPS. I.3,'%31&A Nmero de instalacin en los celulares de los clientes de la entidad financiera. 7.4. OPERACONALZACN DE VARABLES VARIABLE D)@,.,',8. C1.')0(7%4 DIMENCIONES INDICADOR VARIABLE INDEPENDIENTE MPLEMENTACON DEL SSTEMA DE AUTENTCACON POR GPS Un sistema de autenticacin por GPS realiza la validacin de que un dispositivo se encuentra en una zona geogrfica establecida a realizarse una transferencia electrnica. USO POR CLIENTES B DE INSTALACIONES COMPLETADAS NSTALACON DEL SSTEMA EN DSPOSTVOS MOVLES DE LOS CLENTES NMERO DE NSTALACONES REALZADAS AL APLCATVO POR LOS CLENTES VARIABLE DEPENDIENTE ESTAFA POR PHSHNG La estafa por phishing es un delito informtico en el cual por medio del robo de credenciales, se transfiere dinero de la cuenta del cliente a la cuenta de un tercero y se procede con el robo. REPORTES DE FRAUDE NUMERO DE FRAUDES CASOS DE FRAUDE ELECTRONCO NUMERO DE FRAUDES REALZADOS POR PHSHNG EN BANCA MOVL 7.5. MATRZ DE CONSSTENCA Tema Objetivos Variables mplementacin de un sistema basado en GPS de transferencias electrnicas por el canal de banca mvil utilizando el posicionamiento global por GPS como un mtodo de autenticacin OBJETVO GENERAL Implementar un sistema basado en GPS que proteja a los clientes de phishing utilizando el posicionamiento global como un mtodo de autenticacin. OBJETVOS ESPECFCOS -Investigar sobre el posicionamiento global por Variable ndependiente mplementacin de un sistema GPS como mtodo de autenticacin. Variable Dependiente La disminucin del fraude por phishing en el canal de banca mvil. GPS. -Obtener inormacin sobre los mtodos en phishing de !olivia. -Investigar sobre el posicionamiento global como un mtodo de autenticacin adicional. -Investigar sobre los sistemas implementados con GPS como orma de autenticacin en !olivia. -"esarrollar un sistema que permita la autenticacin por posicionamiento GPS. PROBLEMA TEMATZACON CONTEXTUALZACN Estafa electrnica por Phishing Phishing Sistema de posicionamiento Global Entidades Bancarias en Bolivia FORMULACN DEL PROBLEMA Es posible mitigar el problema de la estafa electrnica utilizando un mtodo de autenticacin por posicionamiento GPS? Objetivo General mplementar un sistema basado en GPS que proteja a los clientes de phishing utilizando el posicionamiento global como un mtodo de autenticacin. Hiptesis La implementacin del posicionamiento global como un mtodo de autenticacin en las transferencias electrnicas, reducir como mnimo en un 20% el porcentaje de fraudes electrnicos que se realizan por medio de Phishing por el canal de Banca Mvil. 7.6. UNVERSO Y MUESTRA Va a ser una muestra aleatoria y estratificada. 7.7. NSTRUMENTOS Y TCNCAS DE RECOPLACN La recoleccin de la informacin para la comprobacin de la hiptesis, ser realizara por medio de cuestionarios. Adicionalmente para corroborar l % de disminucin de fraude que se dio en la hiptesis, se consultaran los reportes de fraude electrnico de la entidad financiera. 7.8. ESTRATEGA DE NVESTGACN Como estrategia de investigacin, se eligi una nvestigacin por encuestas, en la cual se rene informacin a travs una encuesta que ser entregada a los expertos. CRONOGRAMA DE ACTIVIDADES Presupuesto Ingresos Bolivianos Egresos Bolivianos #ecursos Propios $%%% &ransporte '%% Papeler(a )%%
*reacin del prototipo +%%% Otros Gastos '%% &otal Ingresos $%%% &otal ,gresos $)%% C. TEMARIO TENTATIVO . GENERALIDADES 1.1. NTRODUCCN 1.2. ANTECEDENTES 1.3. PLANTEAMENTO DEL PROBLEMA 1.4. PLANTEAMENTO DE LOS OBJETVOS 1.5. JUSTFCACN 1.6. ALCANCES 2. ESTADO DEL ARTE 2.1 FUNDAMENTOS TERCOS 2.2 MTODO O ESTRUCTURA DE LA UNDAD DE ANLSS, CRTEROS DE VALDEZ Y CONFABLDAD. 2.3 DSEO TERCO DE LA NVESTGACN (OPCONAL) !. ESTRATEGIAS METODOLGICAS 3.1 DEFNCN DE HPTESS 3.2 VARABLES E NDCADORES 3.3 OPERACONALZACN DE LAS VARABLES 3.4 POBLACN Y MUESTRA 3.5 ESTUDO PLOTO (OPCONAL). ". DESARROLO PRDCTICO 4.1 RECOLECCN, PRESENTACN, ANLSS E NTERPRETACN DE LOS DATOS. 4.2 CODFCACN Y DGTALZACN 4.3 PRESENTACN DEL MODELO (RESULTADO DEL OBJETVO GENERAL) 4.4 DEMOSTRACN DE LA HPTESS #. PRESENTACIN DE RESULTADOS EOPCIONALFMODIFICABLEG 5.1 ANLSS Y PRESENTACN CON TABLAS Y DATOS FNALES (LOS RESULTADOS CONFORME AL MARCO DE NVESTGACN) 5.2 PRESENTACN DE LOS RESULTADOS (REDACCN APOYADA CON CFRAS Y TABLAS) 5.3 PROPUESTA DE LAS ESTRATEGAS NNOVATVAS $. CONCLUSIONES H RECOMENDACIONES 6.1 CONCLUSONES 6.2 RECOMENDACONES 6.3 SUGERENCAS PARA FUTURAS NVESTGACONES BIBLIOGRAFA ANEXOS GLOSARIO DE TRINOS