Materia

ASPECTOS ÉTICOS Y LEGALES DE LA SEGURIDAD INFORMÁTICA (Posgrado)

Presentado por:
Raúl Alberto Avellaneda – Cód. 79.720.169
Trabajo individual contenido Video sensibilización compañía AELSI S.A

Grupo:
233005_7

Directora:
YOLIMA ESTHER MERCADO PALENCIA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNAD

Bogotá, Diciembre de 2017

Introducción

La tecnología avanza y con este avance se van viendo el crecimiento de las personas
mal intencionadas que desarrollan diferentes métodos y "habilidades" para captar
información sensible de usuarios comunes y corrientes, con el fin de estafar, difamar o
simplemente hackear cuentas de correo o sistemas operativos. Otra modalidad es
suplantación de identidad para lograr sus objetivos borrando perfiles de redes sociales,
para luego vender los seguidores a otros usuarios con fines lucrativos, la falta de
conocimiento de la gente del común, teniendo en cuenta las estadísticas que muestran
que cada vez son más las personas que tienen acceso a internet y por ende están
propensos a ser víctimas de un delito informático. Con esta Monografía se pretende
informar de una manera práctica y sencilla los medios y métodos más usuales que se
utilizan en este delito informático y como contrarrestarlos.
Objetivos
 Levantamiento de información cómo se realiza la captación de información y como
el Phishing ha logrado campo de acción debido a la falta de información de parte
de los usuarios de la compañía AELSI S.A.

 Identificación de estudios ya realizados y su análisis, de una manera clara para

que el usuario de la compañía AELSI S.A tenga herramientas para contrarrestar
ataques de Phishing.

 Generación de conclusiones basadas en la información recolectada, dando un

análisis propio y un aporte significativo, tomando ejemplos veraces ocurridos en
Colombia.
La compañía AELSI S.A consiente que se encuentra expuesta a riesgos y amenazas
que pueden convertirla en víctima de delitos informáticos, ha decidido contratar a
una firma de expertos para concientizar a sus empleados sobre el impacto que
pueden generar su materialización en lo económico, psicológico y social para las
personas y la empresa.

Enlace del video

https://youtu.be/mXDQiCxR6nw

El Phishing tiene como característica el robo de información sensible y personal del

usuario, se vienen presentando múltiples modalidades para este objetivo el cual se
enfoca generalmente a la información bancaria, de acuerdo con la firma de seguridad
informática Kaspersky, más del 80% de los códigos maliciosos son desarrollados con el
fin de robar información bancaria, sin dejar a un lado las redes sociales debido a su gran
cantidad de adeptos, también encontramos los sitios de compras en línea, algo puntual
es que en todas las formas o maneras de Phishing encontramos propagación de código
malicioso, el principal objetivo de un atacante son las claves de acceso a estas cuentas
ya con ellas acceden a información de usuario y posteriormente estados financieros, los
incautos usuarios al no tener conocimiento de este hecho delictivo son frecuentemente
engañados.

El phishin y sus orígenes a nivel Mundial:

El término phishing tiene su origen de la palabra inglesa "fishing" (pesca), que en su

contexto significa pescar usuarios o hacer que los usuarios "muerdan el anzuelo". A quien
lo practica se le llama phisher. Al termino phishing también se le conoce como la
abreviatura de password harvesting fishing (cosecha y pesca de contraseñas). La primer
aparición Phishing fue en el año de 1996 en el grupo de noticias de hackers alt.2600,
pero se cree que su real aparición fue en comunicado de noticias hacker 2600 Magazine,
desde allí el termino phishing fue dado a quienes hacían intentos de "pescar" información
sensible de cuentas a los miembros de AOL. Phishing en AOL Quienes comenzaron a
hacer phishing en AOL durante los años 1990 todo esto lo realizaba para obtener cuentas
o información de las mismas para robar efectivo. El phishing se relaciona bastante en su
momento con la comunidad Warez la cual se encargaba de intercambiar Software falso
o mal intencionado, todo lo sucedido en AOL fundamentalmente trataba de que un
experto en Phishing enviaba un mensaje a una o un grupo de personas las cuales eran
potencialmente afectadas de modo que diera información confidencial, el engaño era
perfecto el mensaje podía contener textos como "verificando cuenta" o "confirmando
información de factura".

El Phishing en Colombia

Con el paso del tiempo y el crecimiento de las tecnologías de la información, han crecido
también las personas inescrupulosas que con su gran conocimiento informático captan
información sensible se miles de usuarios para posteriormente utilizarlos para su
beneficio, Entre los casos más sonados están el de Andrés Sepúlveda, condenado a 10
años de cárcel o el de Jaime Solano, el denominado ladrón de millas de los famosos. 1

Principales países fuente de Spam y Phishing

Características del Phishing y porque es necesario contrarrestar su crecimiento en

Colombia.

Su característica principal para poder engañar al usuario es a través del envío de spam
(correo no deseado) e invitando al usuario a acceder a la página falsa. El objetivo del
engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de

1 EL TIEMPO, La historia detrás de cinco 'hackers' colombianos y sus delitos {En línea}. Fecha 1 de noviembre de 2017. Disponible en
http://www.eltiempo.com/justicia/cortes/delitos-de-hackers-en-colombia-52232
crédito o datos financieros y bancarios. A menudo, los correos llegan de con cuentas de
correos financieros conocidos o se crean paginas “gusanillo” para que el usuario de
loguee en ella y al Hacker le llegue correo y clave del usuario.

Esta técnica Phishing en Colombia consiste en recolectar datos sensibles que el usuarios
que utilizan para identificarse en un sitio de Internet, desde donde realizará una
transacción, un pago de servicio o una transferencia bancaria. Generalmente el
colombiano promedio tiene conocimientos básicos de informática y no se da cuenta que
está siendo víctima de un delito informático al dar a conocer datos como: nombre de
usuario, contraseña, números de tarjetas de crédito y de su código de seguridad y número
de DNI.

El más habitual es que a los usuarios se les envié un mail como modalidad de
suplantación de corporaciones de ahorro y vivienda.

Pautas para evitar ser víctima de Phishing en Colombia

Se debe tener en cuenta que los Bancos envían los mails dirigidos a sus usuarios
ejemplo: Apreciado Sr Raul Avellaneda, en ningún momento envían correos genéricos
Estimado Cliente, etc.

Se debe verificar el remitente, si no tiene cuenta o contacto con esa entidad, desconfié y
no abra el correo.

Verifique los ejecutables que incluyen los correos si no son archivos conocidos no abra
el adjunto, al igual, Acérquese a su banco y notifíquele que le han solicitado información
financiera personal a nombre del banco, puede contactarlos llamando al número que está
en el reverso de su tarjeta
Qué servicios son los más utilizados por los ciberdelincuentes para suplantar su
identidad?

Bancos y cajas.
Utilizan plataformas bancarias ficticias al igual que páginas de PayPal usualmente utilizan
frases como cambio en la normativa del servicio, cierre incorrecto de la sesión del usuario,
mejoras en las medidas de seguridad, detectada intrusión en sus sistemas de seguridad,
etc...

Redes sociales (Facebook, Twitter, Tuenti, Instagram, Linkedin, etc.)

Las redes sociales son las fuentes más utilizadas para aplicar Phishing utilizando tácticas
como alguien te ha enviado un mensaje privado, se han detectado conexiones extrañas
en la cuenta, por motivos de seguridad es necesario que se cambien las claves, etc.

Páginas de compra/venta y subastas (Amazon, eBay, etc.)

Las compras en línea son otras áreas afectadas por el Phishing siendo muy común recibir
mensajes como problemas en la cuenta del usuario, detectados movimientos
sospechosos, actualización de las condiciones del uso del servicio, etc.

El gran auge de los Smart Phone y los computadores con aceleradores de gráficos para
ejecutar juegos con gran calidad de definición le dan cabida para realizar fraude a la hora
de logiarse con mensajes como fallos de seguridad en la plataforma del juego, problemas
en la cuenta de los usuarios.

Servicios de almacenamiento en la nube (Google Drive, Dropbox, etc.)

En vista de la necesidad de adquirir espacios extras en la nube los CIber criminales
utilizan estrategias para obtener información sensible con invitaciones a ver documentos
en espacios como Google Docs. Haciendo que el usuario ingrese sus datos.

Ley que tipifica el delito informático Phishing.

Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS
PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle,
trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas
emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre
que la conducta no constituya delito sancionado con pena más grave.
Es primordial mencionar que este artículo tipifica lo que comúnmente se denomina
“phishing”, modalidad de estafa que usualmente utiliza como medio el correo electrónico
pero que cada vez con más frecuencia utilizan otros medios de propagación como por
ejemplo la mensajería instantánea o las redes sociales. Según la Unidad de Delitos
Informáticos de la Policía Judicial (Dijín) con esta modalidad se robaron más de 3.500
millones de pesos de usuarios del sistema financiero en el 2006[2].2

Importancia del tema para la empresa AELSI S.A

El tema se lleva a cabo para que los funcionarios no sean víctimas de personas
inescrupulosas que de forma malintencionada puede acceder a sus cuentas de correo y
tomar no solo información personal sino información sensible de la compañía, teles como:
 Contraseñas
 Información de clientes
 Información de proveedores
 Estados financieros de la compañía

2
http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia
Conclusiones
Trabajo realizado con el fin de sensibilizar empleados de la compañía AELSI S.A
contextualizando con ejemplos reales, describiendo el problema y sus formas de
contrarrestar el delito informático, esto con el fin de mitigar el ilícito, su campo de acción
y sus consecuencias.
Referencias
[1] SEGU.INFO Seguridad de la Información. {En línea}. Fecha 1 de noviembre de
2017. Disponible en http://www.segu-info.com.ar/malware/phishing.htm

[2] EL TIEMPO, La historia detrás de cinco 'hackers' colombianos y sus delitos {En
línea}. Fecha 1 de noviembre de 2017. Disponible en
http://www.eltiempo.com/justicia/cortes/delitos-de-hackers-en-colombia-52232

[3] PORTAFOLIO ¿Sabe usted qué es el ‘phishing’, el delito cibernético más común del
país? {En línea}. Fecha 3 de noviembre de 2017. Disponible en
http://www.portafolio.co/mis-finanzas/que-es-el-phishing-delito-informatico-503702

[4] PORTAFOLIO ¿Cómo evitar ser víctima de fraude en sus cuentas bancarias? {En
línea}. Fecha 3 de noviembre de 2017. Disponible en
http://www.portafolio.co/economia/finanzas/consejos-victima-phishing-fraude-financiero-
493281

[5] OSI Oficina de seguridad del Internauta Aprendiendo a identificar los 10 phishing
más utilizados por ciberdelincuentes ? {En línea}. Fecha 3 de noviembre de 2017.
Disponible en https://www.osi.es/es/actualidad/blog/2014/04/11/aprendiendo-identificar-
los-10-phishing-mas-utilizados-por-ciberdelincuen

[6] WELIVESEGURITY Noticias, opiniones y análisis de la comunidad de seguridad de

ESET {En línea}. Fecha 3 de noviembre de 2017. Disponible en
https://www.welivesecurity.com/la-es/2015/05/08/5-tipos-de-phishing/

[7] BBVA Un ejemplo de phishing paso a paso {En línea}. Fecha 3 de noviembre de
2017. Disponible en https://www.bbva.com/es/un-ejemplo-de-phishing-paso-a-paso/
[8] LA INFORMATK Phising (I): Definición y ejemplos {En línea}. Fecha 3 de noviembre
de 2017. Disponible en https://informatk.wordpress.com/2012/12/31/phising-i-definicion-
y-ejemplos/

[9] PANDA SEGURITY Top 10 de asuntos de emails de phishing en empresas

AGOSTO 11, 2017 {En línea}. Fecha 3 de noviembre de 2017. Disponible en
https://www.pandasecurity.com/spain/mediacenter/seguridad/top-10-de-asuntos-de-
emails-de-phishing-en-empresas/

[10] UNIDAD DE TECNOLOGIAS DE LA INFORMACION, Archivo de ejemplos de

Phishing 2017, {En línea}. Fecha 3 de noviembre de 2017. Disponible en
https://red.agro.uba.ar/ejemplosphishing

[11] AVAST A los hackers les gusta sacar provecho de las emociones y necesidades
personales, que explotan mediante los ataques de phishing. Sepa qué buscar para
mantenerse a salvo, 2017, {En línea}. Fecha 3 de noviembre de 2017. Disponible en
https://www.avast.com/es-es/c-phishing

[12] NORTON BY SYMANTEC PHISING, 2017, {En línea}. Fecha 3 de noviembre de

2017. Disponible en https://es.norton.com/security_response/phishing.jsp

[13] UNIVERSIDAD LIBRE DE COLOMBIA, Crecen los ataques de Phishing en

Colombia {En línea}. Fecha 3 de noviembre de 2017. Disponible en:
http://www.unilibre.edu.co/bogota/ul/noticias/noticias-universitarias/424-crecen-los-
ataques-de-phishing-en-colombia

[14] Los ataques de Phishing crecen, Seguridad. En Colombia se calcula que las
pérdidas por estos delitos bancarios fueron cercanas a los seis millones de dólares
Colombia {En línea}. Fecha 3 de noviembre de 2017. Disponible en:
https://www.publimetro.co/co/economia/2012/04/16/ataques-phishing-crecen.html

[15] Fondo Nacional del Ahorro, Crecen los ataques de Phishing en Colombia,
28/02/2017, {En línea}. Fecha 3 de noviembre de 2017. Disponible en:
https://www.fna.gov.co/prensa/boletines-de-prensa/crecen-los-ataques-de-phishing-en-
colombia

[16] Karpesky Lab, Spam y phishing en el primer trimestre de 2017, Darya Gudkova,
Maria Vergelis, Nadezhda Demidova, Tatyana Shcherbakova - Mayo 2, 2017, {En
línea}. Fecha 3 de noviembre de 2017. Disponible en: https://securelist.lat/spam-and-
phishing-in-q1-2017/84922/