ESCUELA MILITAR DE INGENIERIA

MCAL. ANTONIO JOSE DE SUCRE

BOLIVIA
PERFIL DE TESIS DE MAESTRA
SISTEMA DE TRANSFERENCIAS ELECTRNICAS POR EL CANAL DE
BANCA MVIL UTILIZANDO EL POSICIONAMIENTO GLOBAL COMO UN
MTODO DE AUTENTICACIN
GONZALO PARRA HUANCA
LA PAZ, 202
. INTRODUCCIN
1.1. ANTECEDENTES DEL PROBLEMA DE NVESTGACN
El phishing actualmente es uno de los mtodos con mayor fraude electrnico en
Bolivia. Por esta razn es necesario incluir mtodos de autenticacin adicionales para
las transferencias electrnicas. Como el el posicionamiento global como mtodo de
autenticacin por el GPS.
2. PLANTEAMIENTO DEL PROBLEMA
2.1. DENTFCACN DEL PROBLEMA
Diagrama Causa / Efecto
2.2. FORMULACN DEL PROBLEMA
Es posible mitigar el problema de la estafa electrnica utilizando un mtodo de
autenticacin por posicionamiento GPS?
!. OBJETIVOS DE LA INVESTIGACIN
3.1. OBJETVO GENERAL
mplementar un sistema basado en GPS que proteja a los clientes de phishing
utilizando el posicionamiento global como un mtodo de autenticacin.
3.2. OBJETVOS ESPECFCOS
nvestigar sobre el posicionamiento global por GPS.
Obtener informacin sobre los mtodos en phishing de Bolivia.
nvestigar sobre el posicionamiento global como un mtodo de autenticacin
adicional.
nvestigar sobre los sistemas implementados con GPS como forma de
autenticacin en Bolivia.
Realizar un diagnostico del phishing y las transferencias electrnicas en Bolivia.
Desarrollar un sistema que permita la autenticacin por posicionamiento GPS.
". JUSTIFICACIN
4.1. JUSTFCACN SOCAL
Actualmente el fraude electrnico se encuentra en latente en Bolivia, incluyendo
al canal de Banca Mvil. Anualmente muchas personas son estafadas, lo que ha
disminuido la confianza de los clientes en canales como la banca por internet y
banca mvil
El presente trabajo al implementarse una autenticacin por posicionamiento
GPS, tiene como objetivo una disminucin en los casos de fraude electrnico,
por lo que derivara en una mayor confianza y uso de los canales alternativos
como banca electrnica y banca mvil, lo cual beneficiara tanto a las entidades
financieras como a sus clientes.
#. ALCANCES
5.1. ALCANCE TEMTCO
5.1.1. rea de nvestigacin
Este trabajo se centrara en la autenticacin por posicionamiento GPS y los
mtodos de phishing por fraude electrnico actuales.
5.1.2. Tema Especfico
mplementacin de un sistema basado en GPS de transferencia electrnicas por
el canal de banca mvil utilizando el posicionamiento global por GPS como un
mtodo de autenticacin
5.1.3. Nivel de nvestigacin
5.2. ALCANCE ESPACAL
Este trabajo ser realizado para ser implementado en Sudamrica.
5.3. ALCANCE TEMPORAL
Para la toma de periodo de datos, se tomaran datos de fraude electrnico desde
el 2005 hasta la fecha.
$. ESTADO DEL ARTE
6.1. FUNDAMENTOS TERCOS
$... SISTEMA DE POSICIONAMIENTO GLOBAL
El SPG o GPS (Global Positioning System: sistema de posicionamiento global) o
NAVSTAR-GPS1 es un sistema global de navegacin por satlite (GNSS) que
permite determinar en todo el mundo la posicin de un objeto, una persona o un
vehculo con una precisin hasta de centmetros (si se utiliza GPS diferencial),
aunque lo habitual son unos pocos metros de precisin. El sistema fue
desarrollado, instalado y actualmente operado por el Departamento de Defensa
de los Estados Unidos.
El GPS funciona mediante una red de 24 satlites en rbita sobre el planeta
tierra, a 20.200 km, con trayectorias sincronizadas para cubrir toda la superficie
de la Tierra. Cuando se desea determinar la posicin, el receptor que se utiliza
para ello localiza automticamente como mnimo tres satlites de la red, de los
que recibe unas seales indicando la identificacin y la hora del reloj de cada
uno de ellos. Con base en estas seales, el aparato sincroniza el reloj del GPS y
calcula el tiempo que tardan en llegar las seales al equipo, y de tal modo mide
la distancia al satlite mediante "triangulacin" (mtodo de trilateracin inversa),
la cual se basa en determinar la distancia de cada satlite respecto al punto de
medicin. Conocidas las distancias, se determina fcilmente la propia posicin
relativa respecto a los tres satlites. Conociendo adems las coordenadas o
posicin de cada uno de ellos por la seal que emiten, se obtiene la posicin
absoluta o coordenadas reales del punto de medicin. Tambin se consigue una
exactitud extrema en el reloj del GPS, similar a la de los relojes atmicos que
llevan a bordo cada uno de los satlites.
La antigua Unin Sovitica construy un sistema similar llamado GLONASS,
ahora gestionado por la Federacin Rusa.
Actualmente la Unin Europea est desarrollando su propio sistema de
posicionamiento por satlite, denominado Galileo.
A su vez, la Repblica Popular China est implementando su propio sistema de
navegacin, el denominado Beidou, que preveen que cuente con entre 12 y 14
satlites entre 2011 y 2015. Para 2020, ya plenamente operativo deber contar
con 30 satlites. De momento (abril 2011), ya tienen 8 en rbita.
C%&%'()&*+(,'%+ (-'.,'%+ / 0&)+(%',1.)+
El Sistema Global de Navegacin por Satlite lo componen:
S,+()2% 3) +%(-4,()+: Est formado por 24 unidades con trayectorias
sincronizadas para cubrir toda la superficie del globo terrqueo. Ms
concretamente, repartidos en 6 planos orbitales de 4 satlites cada uno. La
energa elctrica que requieren para su funcionamiento la adquieren a partir de
dos paneles compuestos de celdas solares adosados a sus costados.
E+(%',1.)+ ()&&)+(&)+: Envan informacin de control a los satlites para
controlar las rbitas y realizar el mantenimiento de toda la constelacin.
T)&2,.%4)+ &)')0(1&)+: ndican la posicin en la que estn; conocidas tambin
como unidades GPS, son las que podemos adquirir en las tiendas
especializadas.
S)52).(1 )+0%',%4
Satlites en la constelacin: 24 (4 6 rbitas)
o Altitud: 20200 km
o Perodo: 11 h 58 min (12 horas sidreas)
o nclinacin: 55 grados (respecto al ecuador terrestre).
o Vida til: 7,5 aos
Segmento de control (estaciones terrestres)
o Estacin principal: 1
o Antena de tierra: 4
o Estacin monitora (de seguimiento): 5, Colorado Springs, Hawai,
Kwajalein, sla de Ascensin e sla de Diego Garca
Seal RF
o Frecuencia portadora:
Civil 1575,42 MHz (L1). Utiliza el Cdigo de Adquisicin
Aproximativa (C/A).
Militar 1227,60 MHz (L2). Utiliza el Cdigo de Precisin (P),
cifrado.
Nivel de potencia de la seal: 160 dBW (en superficie
tierra).
Polarizacin: circular dextrgira.
Exactitud
o Posicin: oficialmente indican aproximadamente 15 m (en el 95% del
tiempo). En la realidad un GPS porttil monofrecuencia de 12 canales
paralelos ofrece una precisin de 2,5 a 3 metros en ms del 95% del
tiempo. Con el WAAS / EGNOS / MSAS activado, la precisin asciende
de 1 a 2 metros.
o Hora: 1 ns
Cobertura: mundial
Capacidad de usuarios: ilimitada
Sistema de coordenadas:
o Sistema Geodsico Mundial 1984 (WGS84).
o Centrado en la Tierra, fijo.
ntegridad: tiempo de notificacin de 15 minutos o mayor. No es suficiente para
la aviacin civil.
Disponibilidad: 24 satlites y 21 satlites. No es suficiente como medio primario
de navegacin.
E6147',8. 3)4 +,+()2% GPS
Estacin y receptor GPS profesionales para precisiones centimtricas.
El GPS est evolucionando hacia un sistema ms slido (GPS ), con una
mayor disponibilidad y que reduzca la complejidad de las aumentaciones GPS.
Algunas de las mejoras previstas comprenden:
ncorporacin de una nueva seal en L2 para uso civil.
Adicin de una tercera seal civil (L5): 1176,45 MHz
Proteccin y disponibilidad de una de las dos nuevas seales para servicios de
Seguridad Para la Vida (SOL).
Mejora en la estructura de seales.
ncremento en la potencia de seal (L5 tendr un nivel de potencia de 154 dB).
Mejora en la precisin (1 5 m).
Aumento en el nmero de estaciones de monitorizacin: 12 (el doble)
Permitir mejor interoperabilidad con la frecuencia L1 de Galileo
El programa GPS persigue el objetivo de garantizar que el GPS satisfaga
requisitos militares y civiles previstos para los prximos 30 aos. Este programa se
est desarrollando para utilizar un enfoque en 3 etapas (una de las etapas de
transicin es el GPS ); muy flexible, permite cambios futuros y reduce riesgos. El
desarrollo de satlites GPS comenz en 2005, y el primero de ellos estar
disponible para su lanzamiento en 2012, con el objetivo de lograr la transicin
completa de GPS en 2017. Los desafos son los siguientes:
Representar los requisitos de usuarios, tanto civiles como militares, en cuanto a
GPS.
Limitar los requisitos GPS dentro de los objetivos operacionales.
Proporcionar flexibilidad que permita cambios futuros para satisfacer requisitos
de los usuarios hasta 2030.
Proporcionar solidez para la creciente dependencia en la determinacin de
posicin y de hora precisa como servicio internacional.
El sistema ha evolucionado y de l han derivado nuevos sistemas de
posicionamiento PS-2 se refiere a nertial Positioning System, sistema de
posicionamiento inercial, un sistema de captura de datos, que permite al usuario
realizar mediciones a tiempo real y en movimiento, el llamado Mobile Mapping. Este
sistema obtiene cartografa mvil 3D basndose en un aparato que recoge un
escner lser, un sensor inercial, sistema GNSS y un odmetro a bordo de un
vehculo. Se consiguen grandes precisiones, gracias a las tres tecnologas de
posicionamiento: MU + GNSS + odmetro, que trabajando a la vez dan la opcin
de medir incluso en zonas donde la seal de satlite no es buena.
F7.',1.%2,).(1
R)')0(1& GPS.
La situacin de los satlites puede ser determinada de antemano por el receptor
con la informacin del llamado almanaque (un conjunto de valores con 5
elementos orbitales), parmetros que son transmitidos por los propios satlites.
La coleccin de los almanaques de toda la constelacin se completa cada 12-20
minutos y se guarda en el receptor GPS.
La informacin que es til al receptor GPS para determinar su posicin se llama
efemrides. En este caso cada satlite emite sus propias efemrides, en la que
se incluye la salud del satlite (si debe o no ser considerado para la toma de la
posicin), su posicin en el espacio, su hora atmica, informacin doppler, etc..
El receptor GPS utiliza la informacin enviada por los satlites (hora en la que
emitieron las seales, localizacin de los mismos) y trata de sincronizar su reloj
interno con el reloj atmico que poseen los satlites. La sincronizacin es un
proceso de prueba y error que en un receptor porttil ocurre una vez cada
segundo. Una vez sincronizado el reloj, puede determinar su distancia hasta los
satlites, y usa esa informacin para calcular su posicin en la tierra.
Cada satlite indica que el receptor se encuentra en un punto en la superficie de
la esfera, con centro en el propio satlite y de radio la distancia total hasta el
receptor.
Obteniendo informacin de dos satlites se nos indica que el receptor se
encuentra sobre la circunferencia que resulta cuando se intersecan las dos
esferas.
Si adquirimos la misma informacin de un tercer satlite notamos que la nueva
esfera slo corta la circunferencia anterior en dos puntos. Uno de ellos se puede
descartar porque ofrece una posicin absurda (por fuera del globo terrqueo,
sobre los satlites). De esta manera ya tendramos la posicin en 3D. Sin
embargo, dado que el reloj que incorporan los receptores GPS no est
sincronizado con los relojes atmicos de los satlites GPS, los dos puntos
determinados no son precisos.
Teniendo informacin de un cuarto satlite, eliminamos el inconveniente de la
falta de sincronizacin entre los relojes de los receptores GPS y los relojes de
los satlites. Y es en este momento cuando el receptor GPS puede determinar
una posicin 3D exacta (latitud, longitud y altitud). Al no estar sincronizados los
relojes entre el receptor y los satlites, la interseccin de las cuatro esferas con
centro en estos satlites es un pequeo volumen en vez de ser un punto. La
correccin consiste en ajustar la hora del receptor de tal forma que este volumen
se transforme en un punto.
F,%9,4,3%3 3) 41+ 3%(1+
Debido al carcter militar del sistema GPS, el Departamento de Defensa de los EE.
UU. se reservaba la posibilidad de incluir un cierto grado de error aleatorio, que
poda variar de los 15 a los 100 m. La llamada disponibilidad selectiva (S/A) fue
eliminada el 2 de mayo de 2000. Aunque actualmente no aplique tal error inducido,
la precisin intrnseca del sistema GPS depende del nmero de satlites visibles en
un momento y posicin determinados.
Con un elevado nmero de satlites siendo captados (7, 8 9 satlites), y si stos
tienen una geometra adecuada (estn dispersos), pueden obtenerse precisiones
inferiores a 2,5 metros en el 95% del tiempo. Si se activa el sistema DGPS llamado
SBAS (WAAS-EGNOS-MSAS), la precisin mejora siendo inferior a un metro en el
97% de los casos. Estos sistemas SBAS no se aplican en Sudamrica, ya que esa
zona no cuenta con este tipo de satlites geoestacionarios.
$..2. PHISHING
Phishing es un trmino informtico que denomina un tipo de delito encuadrado
dentro del mbito de las estafas cibernticas, y que se comete mediante el uso
de un tipo de ingeniera social caracterizado por intentar adquirir informacin
confidencial de forma fraudulenta (como puede ser una contrasea o
informacin detallada sobre tarjetas de crdito u otra informacin bancaria). El
estafador, conocido como phisher, se hace pasar por una persona o empresa de
confianza en una aparente comunicacin oficial electrnica, por lo comn un
correo electrnico, o algn sistema de mensajera instantnea 1 o incluso
utilizando tambin llamadas telefnicas.2
Dado el creciente nmero de denuncias de incidentes relacionados con el
phishing, se requieren mtodos adicionales de proteccin. Se han realizado
intentos con leyes que castigan la prctica y campaas para prevenir a los
usuarios con la aplicacin de medidas tcnicas a los programas.
H,+(1&,% 3)4 0:,+:,.5
O&,5). 3)4 (-&2,.1
El trmino phishing proviene de la palabra inglesa "fishing" (pesca), haciendo
alusin al intento de hacer que los usuarios "muerdan el anzuelo". A quien lo
practica se le llama phisher.4 Tambin se dice que el trmino "phishing" es la
contraccin de "password harvesting fishing" (cosecha y pesca de contraseas),
aunque esto probablemente es un acrnimo retroactivo, dado que la escritura 'ph
es comnmente utilizada por hackers para sustituir la f, como raz de la antigua
forma de hacking telefnico conocida como phreaking.
La primera mencin del trmino phishing data de enero de 1996. Se dio en el
grupo de noticias de hackers alt.2600,6 aunque es posible que el trmino ya
hubiera aparecido anteriormente en la edicin impresa del boletn de noticias
hacker "2600 Magazine".7 El trmino phishing fue adoptado por quienes
intentaban "pescar" cuentas de miembros de AOL.
I.().(1+ &)',).()+ 3) 0:,+:,.5
Los intentos ms recientes de phishing han tomado como objetivo a clientes de
bancos y servicios de pago en lnea. Aunque el ejemplo que se muestra en la
primera imagen es enviado por phishers de forma indiscriminada con la
esperanza de encontrar a un cliente de dicho banco o servicio, estudios
recientes muestran que los phishers en un principio son capaces de establecer
con qu banco una posible vctima tiene relacin, y de ese modo enviar un e-
mail, falseado apropiadamente, a la posible vctima.10 En trminos generales,
esta variante hacia objetivos especficos en el phishing se ha denominado spear
phishing (literalmente pesca con arpn). Los sitios de nternet con fines sociales
tambin se han convertido en objetivos para los phishers, dado que mucha de la
informacin provista en estos sitios puede ser utilizada en el robo de
identidad.11 Algunos experimentos han otorgado una tasa de xito de un 90%
en ataques phishing en redes sociales.12 A finales de 2006 un gusano
informtico se apropi de algunas pginas del sitio web MySpace logrando
redireccionar los enlaces de modo que apuntaran a una pgina web diseada
para robar informacin de ingreso de los usuarios.13
T-'.,'%+ 3) 0:,+:,.5
La mayora de los mtodos de phishing utilizan alguna forma tcnica de engao
en el diseo para mostrar que un enlace en un correo electrnico parezca una
copia de la organizacin por la cual se hace pasar el impostor. URLs mal
escritas o el uso de subdominios son trucos comnmente usados por phishers,
como el ejemplo en esta URL, http://www.nombredetubanco.com/ejemplo. Otro
ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el
carcter arroba: @, para posteriormente preguntar el nombre de usuario y
contrasea (contrario a los estndares14 ). Por ejemplo, el enlace
http://www.google.com@members.tripod.com/ puede engaar a un observador
casual y hacerlo creer que el enlace va a abrir en la pgina de www.google.com,
cuando realmente el enlace enva al navegador a la pgina de
members.tripod.com (y al intentar entrar con el nombre de usuario de
www.google.com, si no existe tal usuario, la pgina abrir normalmente). Este
mtodo ha sido erradicado desde entonces en los navegadores de Mozilla15 e
nternet Explorer.16 Otros intentos de phishing utilizan comandos en JavaScripts
para alterar la barra de direcciones. Esto se hace poniendo una imagen de la
URL de la entidad legtima sobre la barra de direcciones, o cerrando la barra de
direcciones original y abriendo una nueva que contiene la URL ilegtima.
En otro mtodo popular de phishing, el atacante utiliza contra la vctima el propio
cdigo de programa del banco o servicio por el cual se hace pasar. Este tipo de
ataque resulta particularmente problemtico, ya que dirige al usuario a iniciar
sesin en la propia pgina del banco o servicio, donde la URL y los certificados
de seguridad parecen correctos. En este mtodo de ataque (conocido como
Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que
"verificar" sus cuentas, seguido por un enlace que parece la pgina web
autntica; en realidad, el enlace est modificado para realizar este ataque,
adems es muy difcil de detectar si no se tienen los conocimientos necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de
dominio internacionalizado (DN) en los navegadores, puesto que puede ser que
direcciones que resulten idnticas a la vista puedan conducir a diferentes sitios
(por ejemplo dominio.com se ve similar a dominio.com, aunque en el segundo
las letras "o" hayan sido reemplazadas por la correspondiente letra griega
micron, "o"). Al usar esta tcnica es posible dirigir a los usuarios a pginas web
con malas intenciones. A pesar de la publicidad que se ha dado acerca de este
defecto, conocido como DN spoofing17 o ataques homgrafos,18 ningn ataque
conocido de phishing lo ha utilizado.
L%6%31 3) 3,.)&1 0&137'(1 3)4 0:,+:,.5
Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de e-
mails, chats, irc y otros medios, ofrecindoles no slo trabajar desde casa sino
tambin otros jugosos beneficios. Aquellas personas que aceptan la oferta se
convierten automticamente en vctimas que incurren en un grave delito sin
saberlo: el blanqueo de dinero obtenido a travs del acto fraudulento de
phishing.
Para que una persona pueda darse de alta con esta clase de empresas debe
rellenar un formulario en el cual indicar, entre otros datos, su nmero de cuenta
bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-vctima el
dinero procedente de estafas bancarias realizadas por el mtodo de phishing.
Una vez contratada, la vctima se convierte automticamente en lo que se
conoce vulgarmente como mulero.
Con cada acto fraudulento de phishing la vctima recibe el cuantioso ingreso en
su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este
ingreso, la vctima se quedar un porcentaje del dinero total, pudiendo rondar el
10%-20%, como comisin de trabajo y el resto lo reenviar a travs de sistemas
de envo de dinero a cuentas indicadas por la seudo-empresa.
Dado el desconocimiento de la vctima (muchas veces motivado por la
necesidad econmica) sta se ve involucrada en un acto de estafa importante,
pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas
denuncias se suelen resolver con la imposicin de devolver todo el dinero
sustrado a la vctima, obviando que este nicamente recibi una comisin.
F%+)+
En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o
correos electrnicos, a travs de mensajes de ofertas de empleo con una gran
rentabilidad o disposicin de dinero (hoax o scam). En el caso de que caigan en
la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados
campos, tales como: Datos personales y nmero de cuenta bancaria.
Se comete el phishing, ya sea el envo global de millones de correos
electrnicos bajo la apariencia de entidades bancarias, solicitando las claves de
la cuenta bancaria (PHSHNG) o con ataques especficos.
El tercer paso consiste en que los estafadores comienzan a retirar sumas
importantes de dinero, las cuales son transmitidas a las cuentas de los
intermediarios (muleros).
Los intermediarios realizan el traspaso a las cuentas de los estafadores,
llevndose stos las cantidades de dinero y aqullos los intermediarios el
porcentaje de la comisin.
D%;1+ '%7+%31+ 01& )4 0:,+:,.5
Los daos causados por el phishing oscilan entre la prdida del acceso al correo
electrnico a prdidas econmicas sustanciales. Este tipo de robo de identidad
se est haciendo cada vez ms popular por la facilidad con que personas
confiadas normalmente revelan informacin personal a los phishers, incluyendo
nmeros de tarjetas de crdito y nmeros de seguridad social. Una vez esta
informacin es adquirida, los phishers pueden usar datos personales para crear
cuentas falsas utilizando el nombre de la vctima, gastar el crdito de la vctima,
o incluso impedir a las vctimas acceder a sus propias cuentas.
Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2
millones de usuarios de computadoras en los Estados Unidos tuvieron prdidas
a causa del phishing, lo que suma a aproximadamente $929 millones de dlares
estadounidenses. Los negocios en los Estados Unidos perdieron cerca de 2000
millones de dlares al ao mientras sus clientes eran vctimas.20 El Reino Unido
tambin sufri el alto incremento en la prctica del phishing. En marzo del 2005,
la cantidad de dinero reportado que perdi el Reino Unido a causa de esta
prctica fue de aproximadamente 12 millones de libras esterlinas.21
A.(,<P:,+:,.5
Existen varias tcnicas diferentes para combatir el phishing, incluyendo la
legislacin y la creacin de tecnologas especficas que tienen como objetivo
evitarlo.
R)+07)+(%+ 1&5%.,=%(,6%+
Una estrategia para combatir el phishing adoptada por algunas empresas es la
de entrenar a los empleados de modo que puedan reconocer posibles ataques
phishing. Una nueva tctica de phishing donde se envan correos electrnicos de
tipo phishing a una compaa determinada, conocido como spear phishing, ha
motivado al entrenamiento de usuarios en varias localidades, incluyendo la
Academia Militar de West Point en los Estados Unidos. En un experimento
realizado en junio del 2004 con spear phishing, el 80% de los 500 cadetes de
West Point a los que se les envi un e-mail falso fueron engaados y
procedieron a dar informacin personal.22
Un usuario al que se le contacta mediante un mensaje electrnico y se le hace
mencin sobre la necesidad de "verificar" una cuenta electrnica puede o bien
contactar con la compaa que supuestamente le enva el mensaje, o puede
escribir la direccin web de un sitio web seguro en la barra de direcciones de su
navegador para evitar usar el enlace que aparece en el mensaje sospechoso de
phishing. Muchas compaas, incluyendo eBay y PayPal, siempre se dirigen a
sus clientes por su nombre de usuario en los correos electrnicos, de manera
que si un correo electrnico se dirige al usuario de una manera genrica como
("Querido miembro de eBay") es probable que se trate de un intento de phishing.
R)+07)+(%+ (-'.,'%+
Hay varios programas informticos anti-phishing disponibles. La mayora de
estos programas trabajan identificando contenidos phishing en sitios web y
correos electrnicos; algunos software anti-phishing pueden por ejemplo,
integrarse con los navegadores web y clientes de correo electrnico como una
barra de herramientas que muestra el dominio real del sitio visitado. Los filtros
de spam tambin ayudan a proteger a los usuarios de los phishers, ya que
reducen el nmero de correos electrnicos relacionados con el phishing
recibidos por el usuario.
Muchas organizaciones han introducido la caracterstica denominada pregunta
secreta, en la que se pregunta informacin que slo debe ser conocida por el
usuario y la organizacin. Las pginas de nternet tambin han aadido
herramientas de verificacin que permite a los usuarios ver imgenes secretas
que los usuarios seleccionan por adelantado; s estas imgenes no aparecen,
entonces el sitio no es legtimo.23 Estas y otras formas de autentificacin mutua
continan siendo susceptibles de ataques, como el sufrido por el banco
escandinavo Nordea a finales de 2005.
Muchas compaas ofrecen a bancos y otras entidades que sufren de ataques
de phishing, servicios de monitoreo continuos, analizando y utilizando medios
legales para cerrar pginas con contenido phishing.
El Anti-Phishing Working Group, industria y asociacin que aplica la ley contra
las prcticas de phishing, ha sugerido que las tcnicas convencionales de
phishing podran ser obsoletas en un futuro a medida que la gente se oriente
sobre los mtodos de ingeniera social utilizadas por los phishers.25 Ellos
suponen que en un futuro cercano, el pharming y otros usos de malware se van
a convertir en herramientas ms comunes para el robo de informacin.
R)+07)+(%+ 4)5,+4%(,6%+ / >73,',%4)+
El 26 de enero de 2004, la FTC (Federal Trade Commission, "Comisin Federal
de Comercio") de Estados Unidos llev a juicio el primer caso contra un phisher
sospechoso. El acusado, un adolescente de California, supuestamente cre y
utiliz una pgina web con un diseo que aparentaba ser la pgina de America
Online para poder robar nmeros de tarjetas de crdito. Tanto Europa como
Brasil siguieron la prctica de los Estados Unidos, rastreando y arrestando a
presuntos phishers. A finales de marzo de 2005, un hombre estonio de 24 aos
fue arrestado utilizando una backdoor, a partir de que las vctimas visitaron su
sitio web falso, en el que inclua un keylogger que le permita monitorear lo que
los usuarios tecleaban.27 Del mismo modo, las autoridades arrestaron al
denominado phisher kingpin, Valdir Paulo de Almeida, lder de una de las ms
grandes redes de phishing que en dos aos haba robado entre $18 a $37
millones de dlares estadounidenses.28 En junio del 2005 las autoridades del
Reino Unido arrestaron a dos hombres por la prctica del phishing,29 en un caso
conectado a la denominada Operation Firewall del Servicio Secreto de los
Estados Unidos, que buscaba sitios web notorios que practicaban el phishing.
En los Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti-Phishing
de 2005 el 1 de marzo de 2005. Esta ley federal de anti-phishing estableca que
aquellos criminales que crearan pginas web falsas o enviaran spam a cuentas
de e-mail con la intencin de estafar a los usuarios podran recibir una multa de
hasta $250,000 USD y penas de crcel por un trmino de hasta cinco aos.
La compaa Microsoft tambin se ha unido al esfuerzo de combatir el phishing.
El 31 de marzo del 2005, Microsoft llev a la Corte del Distrito de Washington
117 pleitos federales. En algunos de ellos se acus al denominado phisher "John
Doe" por utilizar varios mtodos para obtener contraseas e informacin
confidencial. Microsoft espera desenmascarar con estos casos a varios
operadores de phishing de gran envergadura. En marzo del 2005 tambin se
consider la asociacin entre Microsoft y el gobierno de Australia para educar
sobre mejoras a la ley que permitiran combatir varios crmenes cibernticos,
incluyendo el phishing.
$.2. TIPOS DE INVESTIGACION
Se decidi realizar una investigacin descriptiva y correlacional. Descriptiva
debido a que se busca especificar las caractersticas del fraude por phishing y el
mtodo de autenticacin por posicionamiento GPS y correlacional para confirmar
la relacin entre la variable de mtodo de autenticacin por posicionamiento
GPS y fraude electrnico.
?. ESTRATEGIA METODOLGICA
7.1. FORMULACN DE LA HPTESS
La implementacin del posicionamiento global como un mtodo de autenticacin
en las transferencias electrnicas, reducir como mnimo en un 20% el
porcentaje de fraudes electrnicos que se realizan por medio de Phishing por el
canal de Banca Mvil.
7.1.1. HPOTESS ESTADSTCA
7.2. DENTFCACN Y ANLSS DE VARABLES
7.2.1. Variable ndependiente
mplementacin de un sistema GPS como mtodo de autenticacin.
7.2.2. Variable Dependiente
La disminucin del fraude por phishing en el canal de banca mvil.
7.3. CONCEPTUALZACN DE LAS VARABLES
V%&,%94) I.3)0).3,).()
Variable 2: Estafa por Phishing
D)@,.,',8.A Phishing es un tipo de delito encuadrado dentro del mbito de las
estafas cibernticas, y que se comete mediante el uso de un tipo de ingeniera
social caracterizado por intentar adquirir informacin confidencial de forma
fraudulenta como ser una contrasea o informacin detallada sobre tarjetas de
crdito u otra informacin bancaria.
ndicador: Numero de fraudes realizados por phishing por el canal de Banca Mvil.
V%&,%94) D)0).3,).()
V%&,%94) A mplementacin del sistema de autenticacin por GPS
D)@,.,',8.A nstalacin exitosa del sistema de autenticacin por GPS.
I.3,'%31&A Nmero de instalacin en los celulares de los clientes de la entidad
financiera.
7.4. OPERACONALZACN DE VARABLES
VARIABLE D)@,.,',8. C1.')0(7%4 DIMENCIONES INDICADOR
VARIABLE
INDEPENDIENTE
MPLEMENTACON
DEL SSTEMA DE
AUTENTCACON
POR GPS
Un sistema de
autenticacin por GPS
realiza la validacin de
que un dispositivo se
encuentra en una zona
geogrfica establecida
a realizarse una
transferencia
electrnica.
USO POR
CLIENTES
B DE
INSTALACIONES
COMPLETADAS
NSTALACON
DEL SSTEMA
EN
DSPOSTVOS
MOVLES DE
LOS CLENTES
NMERO DE
NSTALACONES
REALZADAS AL
APLCATVO POR
LOS CLENTES
VARIABLE
DEPENDIENTE
ESTAFA POR
PHSHNG
La estafa por phishing
es un delito informtico
en el cual por medio del
robo de credenciales,
se transfiere dinero de
la cuenta del cliente a
la cuenta de un tercero
y se procede con el
robo.
REPORTES DE
FRAUDE
NUMERO DE
FRAUDES
CASOS DE
FRAUDE
ELECTRONCO
NUMERO DE
FRAUDES
REALZADOS
POR PHSHNG
EN BANCA MOVL
7.5. MATRZ DE CONSSTENCA
Tema Objetivos Variables
mplementacin de un
sistema basado en GPS de
transferencias electrnicas
por el canal de banca mvil
utilizando el
posicionamiento global por
GPS como un mtodo de
autenticacin
OBJETVO GENERAL
Implementar un sistema
basado en GPS que proteja a
los clientes de phishing
utilizando el posicionamiento
global como un mtodo de
autenticacin.
OBJETVOS ESPECFCOS
-Investigar sobre el
posicionamiento global por
Variable ndependiente
mplementacin de un
sistema GPS como
mtodo de autenticacin.
Variable Dependiente
La disminucin del fraude
por phishing en el canal de
banca mvil.
GPS.
-Obtener inormacin sobre los
mtodos en phishing de
!olivia.
-Investigar sobre el
posicionamiento global como
un mtodo de autenticacin
adicional.
-Investigar sobre los sistemas
implementados con GPS como
orma de autenticacin en
!olivia.
-"esarrollar un sistema que
permita la autenticacin por
posicionamiento GPS.
PROBLEMA TEMATZACON CONTEXTUALZACN
Estafa electrnica por
Phishing
Phishing
Sistema de
posicionamiento
Global
Entidades Bancarias en
Bolivia
FORMULACN DEL
PROBLEMA
Es posible mitigar el
problema de la estafa
electrnica utilizando un
mtodo de autenticacin
por posicionamiento GPS?
Objetivo General
mplementar un sistema
basado en GPS que proteja
a los clientes de phishing
utilizando el posicionamiento
global como un mtodo de
autenticacin.
Hiptesis
La implementacin del
posicionamiento global
como un mtodo de
autenticacin en las
transferencias
electrnicas, reducir
como mnimo en un 20%
el porcentaje de fraudes
electrnicos que se
realizan por medio de
Phishing por el canal de
Banca Mvil.
7.6. UNVERSO Y MUESTRA
Va a ser una muestra aleatoria y estratificada.
7.7. NSTRUMENTOS Y TCNCAS DE RECOPLACN
La recoleccin de la informacin para la comprobacin de la hiptesis, ser
realizara por medio de cuestionarios. Adicionalmente para corroborar l % de
disminucin de fraude que se dio en la hiptesis, se consultaran los reportes de
fraude electrnico de la entidad financiera.
7.8. ESTRATEGA DE NVESTGACN
Como estrategia de investigacin, se eligi una nvestigacin por encuestas, en
la cual se rene informacin a travs una encuesta que ser entregada a los
expertos.
CRONOGRAMA DE ACTIVIDADES
Presupuesto
Ingresos Bolivianos Egresos Bolivianos
#ecursos
Propios $%%% &ransporte '%%
Papeler(a )%%

*reacin del
prototipo +%%%
Otros Gastos '%%
&otal Ingresos $%%% &otal ,gresos $)%%
C. TEMARIO TENTATIVO
. GENERALIDADES
1.1. NTRODUCCN
1.2. ANTECEDENTES
1.3. PLANTEAMENTO DEL PROBLEMA
1.4. PLANTEAMENTO DE LOS OBJETVOS
1.5. JUSTFCACN
1.6. ALCANCES
2. ESTADO DEL ARTE
2.1 FUNDAMENTOS TERCOS
2.2 MTODO O ESTRUCTURA DE LA UNDAD DE ANLSS, CRTEROS DE
VALDEZ Y CONFABLDAD.
2.3 DSEO TERCO DE LA NVESTGACN (OPCONAL)
!. ESTRATEGIAS METODOLGICAS
3.1 DEFNCN DE HPTESS
3.2 VARABLES E NDCADORES
3.3 OPERACONALZACN DE LAS VARABLES
3.4 POBLACN Y MUESTRA
3.5 ESTUDO PLOTO (OPCONAL).
". DESARROLO PRDCTICO
4.1 RECOLECCN, PRESENTACN, ANLSS E NTERPRETACN DE LOS
DATOS.
4.2 CODFCACN Y DGTALZACN
4.3 PRESENTACN DEL MODELO (RESULTADO DEL OBJETVO GENERAL)
4.4 DEMOSTRACN DE LA HPTESS
#. PRESENTACIN DE RESULTADOS EOPCIONALFMODIFICABLEG
5.1 ANLSS Y PRESENTACN CON TABLAS Y DATOS FNALES (LOS
RESULTADOS CONFORME AL MARCO DE NVESTGACN)
5.2 PRESENTACN DE LOS RESULTADOS (REDACCN APOYADA CON
CFRAS Y TABLAS)
5.3 PROPUESTA DE LAS ESTRATEGAS NNOVATVAS
$. CONCLUSIONES H RECOMENDACIONES
6.1 CONCLUSONES
6.2 RECOMENDACONES
6.3 SUGERENCAS PARA FUTURAS NVESTGACONES
BIBLIOGRAFA
ANEXOS
GLOSARIO DE TRINOS