Phishing o suplantación de identidad, Es un término informático que denomina un tipo de

abuso informático y que se comete mediante el uso de un tipo de ingeniería social

caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede
ser una contraseña o información detallada sobre tarjetas de crédito u otra información
bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa
de confianza en una aparente comunicación oficial electrónica, por lo común un correo
electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas
telefónicas.

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se

requieren métodos adicionales de protección. Se han realizado intentos con leyes que
castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas
técnicas a los programas.

Intentos recientes de phishing

Los intentos más recientes de phishing han tomado como objetivo a clientes de bancos y
servicios de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es
enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de
dicho banco o servicio, estudios recientes muestran que los phishers en un principio son
capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar
un correo electrónico, falseado apropiadamente, a la posible víctima.9 En términos generales,
esta variante hacia objetivos específicos en el phishing se ha denominado spear
phishing (literalmente pesca con arpón). Los sitios de Internet con fines sociales también se
han convertido en objetivos para los phishers, dado que mucha de la información provista en
estos sitios puede ser utilizada en el robo de identidad. Algunos experimentos han otorgado
una tasa de éxito de un 90% en ataques phishing en redes sociales A finales de 2006
un gusano informático se apropió de algunas páginas del sitio web MySpace logrando
redireccionar los enlaces de modo que apuntaran a una página web diseñada para robar
información de ingreso de los usuarios

Técnicas de phishing
La mayoría de los métodos de phishing utilizan la manipulación en el diseño de el correo
electrónico para lograr que un enlace parezca una ruta legítima de la organización por la cual
se hace pasar el impostor. URLs manipuladas, o el uso de subdominios, son trucos
comúnmente usados por phishers; por ejemplo en esta
URL:http://www.nombredetubanco.com/ejemplo, en la cual el texto mostrado en la
pantalla no corresponde con la dirección real a la cual conduce. Otro ejemplo para disfrazar
enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente
preguntar el nombre de usuario y contraseña (contrario a los estándares ). Por ejemplo, el
enlace http://www.google.com@members.tripod.com/ puede engañar a un observador
casual y hacerlo creer que el enlace va a abrir en la página dewww.google.com, cuando
realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar
entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá
normalmente). Este método ha sido erradicado desde entonces en
los navegadores de Mozilla e Internet ExplorerOtros intentos dephishing utilizan comandos
en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la
URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones
original y abriendo una nueva que contiene la URL ilegítima.

En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de
programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta
particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del
banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este
método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje
diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página
web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es
muy difícil de detectar si no se tienen los conocimientos necesarios.

Otro problema con las URL es el relacionado con el manejo de Nombre de dominio
internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que
resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se
ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la
correspondiente letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios
a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este
defecto, conocido como IDN spoofing16 o ataques homógrafos,17 ningún ataque conocido de
phishing lo ha utilizado.

Lavado de dinero producto del phishing[editar]

Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de correo
electrónicos, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también
otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten
automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de
dinero obtenido a través del acto fraudulento de phishing.

Para que una persona pueda darse de alta con esta clase de «empresas» debe rellenar
un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene
la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas
bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte
automáticamente en lo que se conoce vulgarmente como mulero.

Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta
bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se
quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de
trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por
la seudo-empresa.

Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica)

ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia
previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de
devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una
comisión.

Fases

 En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos

electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o
disposición de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos
intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos
personales y número de cuenta bancaria.
 Se comete el phishing, ya sea el envío global de millones de correos electrónicos bajo la
apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (phishing)
o con ataques específicos.
 El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de
dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros).
 Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose éstos
las cantidades de dinero y aquéllos —los intermediarios— el porcentaje de la comisión.

Anti-Phishing
Existen varias técnicas diferentes para combatir el phishing, incluyendo la legislación y la
creación de tecnologías específicas que tienen como objetivo evitarlo.

Respuestas organizativas
Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a
los empleados de modo que puedan reconocer posibles ataques. Una nueva táctica
de phishing donde se envían correos electrónicos de tipo phishing a una compañía
determinada, conocido como spear phishing, ha motivado al entrenamiento de usuarios en
varias localidades, incluyendo la Academia Militar de West Point en los Estados Unidos. En un
experimento realizado en junio del 2004 con spear phishing, el 80% de los 500 cadetes de
West Point a los que se les envió un correo electrónico falso fueron engañados y procedieron
a dar información personal.21

Un usuario al que se le contacta mediante un mensaje electrónico y se le hace mención sobre

la necesidad de "verificar" una cuenta electrónica puede o bien contactar con la compañía que
supuestamente le envía el mensaje, o puede escribir la dirección web de un sitio web seguro
en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el
mensaje sospechoso de phishing. Muchas compañías, incluyendo eBay y PayPal, siempre se
dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si
un correo electrónico se dirige al usuario de una manera genérica como («Querido miembro
de eBay») es probable que se trate de un intento dephishing.

Respuestas legislativas y judiciales

El 26 de enero de 2004, la FTC (Federal Trade Commission, la Comisión Federal de
Comercio) de Estados Unidos llevó a juicio el primer caso contra un phisher sospechoso. El
acusado, un adolescente de California, supuestamente creó y utilizó una página web con un
diseño que aparentaba ser la página de America Online para poder robar números de tarjetas
de crédito.Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando y
arrestando a presuntos phishers. A finales de marzo de 2005, un hombre estonio de 24 años
fue arrestado utilizando una backdoor, a partir de que las víctimas visitaron su sitio web falso,
en el que incluía un keylogger que le permitía monitorear lo que los usuarios tecleaban. Del
mismo modo, las autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de
Almeida, líder de una de las más grandes redes de phishing que en dos años había robado
entre $18 a $37 millones de dólares estadounidenses. En junio del 2005 las autoridades
del Reino Unido arrestaron a dos hombres por la práctica del phishing, en un caso conectado
a la denominada «Operation Firewall» del Servicio Secreto de los Estados Unidos, que
buscaba sitios web notorios que practicaban el phishing.

La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing. El 31 de

marzo del 2005, Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En
algunos de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para
obtener contraseñas e información confidencial. Microsoft espera desenmascarar con estos
casos a varios operadores de phishing de gran envergadura. En marzo del 2005 también se
consideró la asociación entre Microsoft y el gobierno deAustralia para educar sobre mejoras a
la ley que permitirían combatir varios crímenes cibernéticos, incluyendo el phishing.
3) La ley vigente

La Argentina sancionó el 4 de junio del 2008 la Ley 26.388 (promulgada de hecho el 24 de

junio de 2008) que modifica el Código Penal a fin de incorporar al mismo diversos delitos
informáticos, tales como la distribución y tenencia con fines de distribución de pornografía
infantil, violación de correo electrónico, acceso ilegítimo a sistemas informáticos, daño
informático y distribución de virus, daño informático agravado e interrupción de
comunicaciones.

Definiciones vinculadas a la informática

En el nuevo ordenamiento se establece que el término "documento" comprende toda

representación de actos o hechos, con independencia del soporte utilizado para su fijación,
almacenamiento, archivo o transmisión (art. 77 Código Penal).

Los términos "firma" y "suscripción" comprenden la firma digital, la creación de una firma
digital o firmar digitalmente (art. 77 Código Penal).

Los términos "instrumento privado" y "certificado" comprenden el documento digital firmado

digitalmente (art. 77 Código Penal).

Delitos contra menores

En el nuevo ordenamiento pasan a ser considerados delitos los siguientes hechos vinculados
a la informática:

 Artículo 128: Será reprimido con prisión de seis (6) meses a cuatro (4) años el que
produzca, financie, ofrezca, comercialice, publique, facilite, divulgue o distribuya, por
cualquier medio, toda representación de un menor de dieciocho (18) años dedicado a
actividades sexuales explícitas o toda representación de sus partes genitales con fines
predominantemente sexuales, al igual que el que organizare espectáculos en vivo de
representaciones sexuales explícitas en que participaren dichos menores.

Será reprimido con prisión de cuatro (4) meses a dos (2) años el que tuviere en su poder
representaciones de las descriptas en el párrafo anterior con fines inequívocos de distribución
o comercialización.

Será reprimido con prisión de un (1) mes a tres (3) años el que facilitare el acceso a
espectáculos pornográficos o suministrare material pornográfico a menores de catorce (14)
años.

Protección de la privacidad
 Artículo 153: Será reprimido con prisión de quince (15) días a seis (6) meses el que
abriere o accediere indebidamente a una comunicación electrónica, una carta, un pliego
cerrado, un despacho telegráfico, telefónico o de otra naturaleza, que no le esté dirigido; o
se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un
despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o
desviare de su destino una correspondencia o una comunicación electrónica que no le
esté dirigida.

En la misma pena incurrirá el que indebidamente interceptare o captare comunicaciones

electrónicas o telecomunicaciones provenientes de cualquier sistema de carácter privado o de
acceso restringido.

La pena será de prisión de un (1) mes a un (1) año, si el autor además comunicare a otro o
publicare el contenido de la carta, escrito, despacho o comunicación electrónica.

Si el hecho lo cometiere un funcionario público que abusare de sus funciones, sufrirá además,
inhabilitación especial por el doble del tiempo de la condena.

 Artículo 153 bis: Será reprimido con prisión de quince (15) días a seis (6) meses, si no
resultare un delito más severamente penado, el que a sabiendas accediere por cualquier
medio, sin la debida autorización o excediendo la que posea, a un sistema o dato
informático de acceso restringido.

La pena será de un (1) mes a un (1) año de prisión cuando el acceso fuese en perjuicio de un
sistema o dato informático de un organismo público estatal o de un proveedor de servicios
públicos o de servicios financieros.

 Artículo 155: Será reprimido con multa de pesos un mil quinientos ($ 1.500) a pesos cien
mil ($ 100.000), el que hallándose en posesión de una correspondencia, una
comunicación electrónica, un pliego cerrado, un despacho telegráfico, telefónico o de otra
naturaleza, no destinados a la publicidad, los hiciere publicar indebidamente, si el hecho
causare o pudiere causar perjuicios a terceros.

Está exento de responsabilidad penal el que hubiere obrado con el propósito inequívoco de
proteger un interés público.

 Artículo 157: Será reprimido con prisión de un (1) mes a dos (2) años e inhabilitación
especial de un (1) a cuatro (4) años, el funcionario público que revelare hechos,
actuaciones, documentos o datos, que por ley deben ser secretos.
 Artículo 157 bis: Será reprimido con la pena de prisión de un (1) mes a dos (2) años el
que:

1. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de

datos, accediere, de cualquier forma, a un banco de datos personales;

2. Ilegítimamente proporcionare o revelare a otro información registrada en un archivo o en un

banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de la
ley.

3. Ilegítimamente insertare o hiciere insertar datos en un archivo de datos personales.

Cuando el autor sea funcionario público sufrirá, además, pena de inhabilitación especial de un
(1) a cuatro (4) años.

Delitos contra la propiedad

 Artículo 173 inciso 16: (Incurre en el delito de defraudación)...El que defraudare a otro
mediante cualquier técnica de manipulación informática que altere el normal
funcionamiento de un sistema informático o la transmisión de datos.

 Artículo 183 del Código Penal: (Incurre en el delito de daño)...En la misma pena incurrirá
el que alterare, destruyere o inutilizare datos, documentos, programas o sistemas
informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema
informático, cualquier programa destinado a causar daños.

 Artículo 184 del Código Penal: (Eleva la pena a tres (3) meses a cuatro (4) años de
prisión, si mediare cualquiera de las circunstancias siguientes):

Inciso 5: Ejecutarlo en archivos, registros, bibliotecas, museos o en puentes, caminos, paseos

u otros bienes de uso público; o en tumbas, signos conmemorativos, monumentos, estatuas,
cuadros u otros objetos de arte colocados en edificios o lugares públicos; o en datos,
documentos, programas o sistemas informáticos públicos;

Inciso 6: Ejecutarlo en sistemas informáticos destinados a la prestación de servicios de salud,

de comunicaciones, de provisión o transporte de energía, de medios de transporte u otro
servicio público.

Delitos contra las comunicaciones

Artículo 197: Será reprimido con prisión de seis (6) meses a dos (2) años, el que interrumpiere
o entorpeciere la comunicación telegráfica, telefónica o de otra naturaleza o resistiere
violentamente el restablecimiento de la comunicación interrumpida.
Delitos contra la administración de justicia

Artículo 255: Será reprimido con prisión de un (1) mes a cuatro (4) años, el que sustrajere,
alterare, ocultare, destruyere o inutilizare en todo o en parte objetos destinados a servir de
prueba ante la autoridad competente, registros o documentos confiados a la custodia de un
funcionario público o de otra persona en el interés del servicio público. Si el autor fuere el
mismo depositario, sufrirá además inhabilitación especial por doble tiempo.

Si el hecho se cometiere por imprudencia o negligencia del depositario, éste será reprimido
con multa de pesos setecientos cincuenta ($ 750) a pesos doce mil quinientos ($ 12.500).

4).

A)Condenaron a un pedófilo argentino por corromper a una nena de 9 años

En su perfil, se llamaba Sole, de 10 años. Pero tiene 26 y un tribunal de Necochea le dio diez
años de cárcel. En su computadora hallaron vínculos con 70 chicos de todo el país y muchos
videos perversos. España pidió que lo investiguen por participar de un foro de pedofilia.
Decía que se llamaba ‘Sole’, que tenía 10 años y su foto de rubia angelical era su tarjeta de
presentación en el Messenger y en Facebook. Sin embargo, su verdadera identidadera
Leandro Nicolás Fragosa, de 26, vivía en Zárate, y fue condenado a 10 años de prisión por
corrupción de menores. La víctima fue una chiquita de 9 años de Necochea, aunque en la
computadora del imputado hallaron más de 70 contactos de chicos y cientos de videos perversos:
“Se veía a nenes de unos 8 años teniendo sexo con una naturalidad como si tuvieran 30;
había violaciones y hasta imágenes con bebés”.

El Tribunal Criminal N°1 de Necochea fue quien ayer condenó a 10 años de prisión a Fragosa por
encontrarlo penalmente responsable del delito de “promoción de la corrupción de menor
agravada por la edad de la víctima y su comisión mediante engaño”.

El caso de Necochea por el que fue condenado Fragosa –que trabajaba como operario en una
automotriz- se inició en 2010, cuando el papá de una nena advirtió el contenido de los mensajes
que recibía su hija de ‘Sole’. “Le escribía ‘quisiera hacerte’ tal o cual cosa y ese tal o cual cosa
eran cuestiones sexuales. Algo muy grave”, explican desde la Fiscalía General a Clarín.

El papá de la chiquita hizo la denuncia, se ordenó una pericia de la computadora familiar y

así se dio con el IP (algo así como DNI de la máquina) del sospechoso. Se descubrió que vivía en
Zárate y se ordenó un allanamiento en su vivienda y la compulsa (pericia) de la notebook de
Fragosa.
“Hallaron videos de alto contenido sexual: filmaciones de nenes teniendo sexo entre sí, con
mayores, de una violación. Algunos eran muy violentos y otros involucraban hasta bebés”,
señalan desde el entorno de la fiscal Analía Duarte, quien durante el juicio a Fragosa había
reclamado la pena de 13 años por considerar que se trata de un delito de peligro difuso en el
que puede haber “infinidad de damnificados y todos son menores”.

Es más, en la computadora del condenado también se encontraron que ‘Sole’ tenía contactos
con, al menos, 73 chicos (de varias provincias y de la Capital), más el de la nena por la que se
inició la causa. Y que, también, Fragosa participaba de foros de pedófilos.

Y en ese punto, ahora también se lo investiga a Fragosa en la Justicia Nacional –por un

requerimiento de Interpol España- por participar en un foro internacional de pedófilos donde se
intercambiaban imágenes pornográficas de menores.

En España, el ‘Grooming’ está penado por la ley. ¿Qué es el ‘Grooming’? Se define como las
“acciones deliberadas por parte de un adulto de cara a establecer lazos de amistad con un niño o
niña en Internet, con el objetivo de obtener una satisfacción sexualmediante imágenes eróticas o
pornográficas del menor o incluso como preparación para un encuentro sexual, posiblemente
por medio de abusos”.

El ‘Grooming’ tiene varias etapas. Primero, el adulto genera unarelación de confianza con el
menor. “Por medio de una red social, se hacen pasar por chicos. Después, le sigue la
erotización de la relación ya sea diciéndole cosas que le haría o que conoce y la menor
engañada no, mandándole fotos o videos”, se explayan en la Fiscalía de Necochea.

Y advierten: “Luego, llega la parte en la que el mayor le pide fotos, diciéndole algo así como
‘mostrame la colita’. Y va subiendo de tono el pedido hasta que llegan al punto de la extorsión
para que le envíe fotos más jugadas y, luego, como van cayendo las barreras de inhibición del
pedófilo, se pasa de la relación virtual a la real y se da el abuso; y hasta de tráfico de niños y
trata”.

Fragosa está con prisión preventiva desde 2012 y, tras la condena, fue derivado al penal de
Batán, aunque su abogado defensor ya presentó la reserva para apelar el fallo en Casación.

B)Detuvieron a un hacker de 19 años que robaba hasta 50 mil dólares por mes
Está acusado de liderar una red especializada en fraudes electrónicos. Vivía con su padre en
San Cristóbal.
La Policía Federal detuvo a un joven hacker de 19 años acusado de liderar una red informática
especializada en fraudes electrónicos. Según informaron fuentes de la fuerza, el joven robaba
grandes sumas de varios portales de transferencia de dinero y de juegos por Internet.
Los expertos en delitos tecnológicos de la Policía Federal aún continúan la investigación y el
análisis de las pruebas reunidas, pero trabajan con la hipótesis de que el joven desviaba a su
favor cerca de 50 mil dólares por mes.

Los peritos llevaron a cabo una serie de cinco allanamientos en Rosario y en el barrio porteño de
San Cristóbal, este último en el domicilio donde el joven no sólo operaba la red sino que
convivía con su padre.

En ese departamento de la avenida Juan de Garay al 3200, fueron

secuestradas computadoras con capacidades de cálculo muy superiores a las corrientes, cables de
conexión especiales, servidores, routers y 14 discos rígidos, informaron los voceros.

En el mismo operativo hay otras seis personas investigadas, entre las que se encuentra su
propio padre, un ingeniero informático de quien sospechan que pudo colaborar con su hijo en
los ilícitos.

El trabajo de los investigadores comenzó en 2012, luego de que un empresario que ofrecía
servicio de alojamiento -hosting- de páginas Web personales denunció que un hacker había
intervenido remotamente sus servidores e interceptado transferencias electrónicas que hacía a
través del portal Dineromail.

Las fuentes indicaron que el hacker utilizaba una técnica que consistía en plantar un virus
informático del tipo "malware", que realizaba los desvíos del dinero. Para evitar que las
víctimas notaran las transferencias ilegítimas, el hacker controlaba una compleja red de miles de
computadoras "zombies" que realizaban una petición al sitio web, todas juntas y al mismo
tiempo, y así saturaba y colapsaba el servidor por el tiempo que durara el ataque informático.

Tras el análisis de las miles de cuentas utilizadas para la maniobra, los investigadores dieron
con la dirección donde vivía el joven como el punto donde toda la operación se concretaba y la
de una persona enRosario como el lugar donde se cobraban todas las transferencias de dinero.

Fuentes de la investigación revelaron que el "súper hacker" poseía varias cámaras de última
generación enfocadas en distintos puntos de la manzana en la que vivía, con la intención de
saber con antelación si se producía un operativo policial y así tener tiempo de destruir las
pruebas.

Por esa razón, el día del operativo los efectivos de PFA decidieroncortar como precaución el
suministro de energía eléctrica en la zona. Interviene en la causa el Juzgado Nacional en lo
Criminal de Instrucción 11, a cargo de Wilma López.