Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plantilla - IEEE
Plantilla - IEEE
Resumen— En este documento se describe en detalle los riesgos Keywords— Sniffing, Spoofing, MITM, Trashing, Risk,
y vulnerabilidades que pueden surgir con los datos de los Vulnerability, Social engineering.
usuarios en diversas entidades financieras de Colombia
mediante el uso de dispositivos móviles. Se demostró por medio I. INTRODUCCIÓN
de pruebas ‘’testings’’ , que no existen riesgos en la
intercepción de datos por medio de consultas a la banca móvil, La banca móvil se basa en servicios para usuarios con
desde computadoras o Smartphone; Colombia es un país el cual dispositivos móviles que tengan acceso a internet para lograr
es vulnerable a estafas, con métodos como: clonadores de transacciones, consultas del estado de sus cuentas, bloqueos
tarjetas, robo de información por hurto de dispositivos móviles, preventivos, etcétera.
estos eventos llevan a pensar que la delincuencia en Colombia
ignoran procesos tecnológicos para ejecutar este tipo de delitos, Dentro de las responsabilidades delegas en una entidad
pero siempre existe una minoría que si logran innovar y
Bancaria, se encuentra la transmisión de la información por
conducir a grandes fraudes bancarios. Una vulnerabilidad se
puede presentar a nivel de empresa, como también, a nivel de medio de canales seguros. Algunas entidades Bancarias
usuario, siendo la segunda la más usual en cuanto ataques asumen este rol con profesionalismo y teniendo en cuenta
informáticos para lograr objetivos pocos éticos, y desarrollar métricas de seguridad mínimas como las expuestas en la
una serie de eventos en los cuales se verán afectadas las norma externa 052 de 2007 de la SFC ''Superintendencia
entidades bancarias y sus correspondientes usuarios. La Financiera de Colombia'' [1]. En cuanto a ataques basados en
ingeniería social, puede alcanzar a penetrar cualquier sistema la intercepción de datos, se encuentran: Man in the Middle
de seguridad, sin llegar a manipular virus informáticos; todo
“Hombre en el Medio”, Man in the Middle Mobile “Hombre
radica en la astucia del atacante, puesto que se valen de muchos
métodos fraudulentos para robar identidades o datos en el Medio Móvil”, el cual tienen la capacidad y las
clasificados como confidenciales. herramientas suficientes para llevar a cabo un ataque,
vulnerando la Confidencialidad de los datos. Estos ataques se
ejecutan con sistemas operativos GNU/Linux, además de su
Palabras clave— Sniffing, Spoofing, MITM, Trashing, facilidad para ser controlados y dirigidos tanto a redes
Riesgo, Vulnerabilidad, Ingeniería Social. locales, como a dispositivos móviles de usuarios que
desconocen temas de seguridad. Dentro del gran círculo de
Abstract— The next document describes in detail the risks and riesgos, encontramos la ingeniería social, métodos o pasos
vulnerabilities that may appear with user data in different
banks in Colombia through using mobile devices. It was
aplicables a vulnerar la confidencialidad de los datos de
demonstrated through testing, no risk in the interception of usuarios en las entidades financieras de Colombia, sin
data through mobile banking queries from computers or necesidad de utilizar algún medio digital.
Smartphone; Colombia is a country which is vulnerable to
scams, with methods such as: card cloners, information theft by La ingeniería social, al igual que la intercepción de datos
theft of mobile devices, these events lead us to believe that confidenciales de muchos usuarios financieros en Colombia y
crime in Colombia ignore technological processes to execute this el mundo, no son tomados con la rigidez y el cuidado que
type of crime, but there is always a minority that if they
ello conlleva, omitiendo detalles mínimos como el trashing,
innovate and lead to large bank fraud. Vulnerability can be
presented at the enterprise level, as well, at the user level, the técnica basada en la ‘’recolección de datos analizando la
second most common in computer attacks to achieve few ethical basura’’.
objectives, and develop a series of events which affected banks
and its corresponding users. Social engineering can reach to Para el fortalecimiento de los análisis que se llevaron a cabo,
penetrate any security system, without actually manipulating se contó con un marco legal, para realizar pruebas sin
computer virus; all lies in the intelligence of the attacker, infringir leyes vigentes en Colombia, como las expuestas en
because who use many methods to steal identities or fraudulent
la ley 1273 de 2009 [2]. El enfoque de atacar los canales de
information classified as confidential.
transmisión de información de entidades financieras en
Colombia, hacen pensar que es cierto y veraz, que no existe
sistema informático seguro, pero si puede existir algo aún
más peligroso que un virus informático, se trata de la
confianza de la seguridad perimetral que se está ejecutando
en el momento, todo ello encapsula vulnerabilidades y
riesgos, que no serán detectadas con una simple inspección.
Fig. 1. Demandas instauradas por robo bancario Para hacer uso de este ataque es necesario contar con
sistemas operativos que de una forma u otra contribuyan a
capturar información, un ejemplo claro de estos sistemas
operativos es Linux Bcktrack 5 [5], el cual contiene
herramientas necesarias para lograr ejecutar un ataque
sniffing a un dispositivo móvil para obtener toda su
información transmitida por medio de una red wifi. Dentro de
las herramientas se contó con ettercap y a continuación se
dará a conocer los resultados y procedimientos para llevar a
cabo este tipo de ataque:
Fase de Análisis: Una vez configurado y puesto en marcha la Dentro del ataque Man in the middle mobile se genera un arp
aplicación ettercap, hay que conocer algunos parámetros spoofing; es la acción de disfrazar la ip del atacante con la ip
como lo son: Puerta de enlace del router , ip del dispositivo del router o ap [6], esto obtendrá como resultado la
móvil, esta información se puede obtener por medio de interceptación de datos sensibles y confidenciales de
aplicaciones como Nmap, que son capaces de efectuar un cualquier usuario sin levantar sospecha alguna. En los
diagrama de red, en cual se podrá obtener información como: dispositivos móviles es difícil llegar a detectar un ataque de
sistemas operativos de los dispositivos conectados a la red, spoofing porque no se cuenta con aplicaciones que ayuden a
puertos abiertos. Cada una de las aplicaciones mencionadas detectarlas, ó que hagan un escaneo progresivo a los
se complementan para ir descifrando cada uno de los protocolos arp para señalar las duplicidades de las
interrogantes que se generen en el camino del atacante o direcciones ip.
hacker.
Actualmente es una forma fácil de pescar víctimas, porque
Fase de Ejecución: El siguiente paso, es esperar hasta que la todo usuario es feliz navegando en redes wifi que no tengan
víctima proceda a abrir su explorador de internet desde su ningún tipo de seguridad, internet gratis a cambio de la
dispositivo móvil, una vez que la víctima realice está acción, información confidencial , una vez el atacante tenga en sus
se emitirá un mensaje de alerta de seguridad desde su manos la información visualizará en su pantalla la aplicación
dispositivo móvil, la cual hará alusión al siguiente mensaje: de ettercap, tal como se muestra en la Fig. 3
‘’hay problemas con el certificado de seguridad de este
sitio’’, este mensaje se podrá apreciar en la Fig. 2. Fig. 3. Pantalla de resultados de un ataque MITMO
Fuente: El autor.
Fuente: http://es.scribd.com/
Fuente: El autor.
Concluyendo los resultados expuestos, se señala a los
usuarios bancarios como un factor de peligro en la
transmisión de datos bancarios o financieros; siendo los
hackers el complemente a este peligro o riesgo, son dos
factores que unificados generan inestabilidad en cualquier
Fuente: http://www.hackplayers.com.
entidad bancaria o financiera del país. Una de las formas para
Se recomienda utilizar la aplicación whatsapp conectada a
mitigar estos riesgos, es la capacitación de usuarios o la
una red GSM [9] por motivo de seguridad, dado que las redes
divulgación de este tipo de ataques informáticos, ya que
GSM necesitan ataques más preparados y gente especializada
millones de usuarios capacitados o con algún tipo de
para lograr un sniffing.
conocimiento serán un objetivo menos para un delincuente
informático. Los conocimientos transferidos a los usuarios,
C. Trashing, Técnica de Ingeniería social
logrará un impacto en el good will de las entidades en forma
positiva, adjunto a ello, se logrará un descenso significativo
Indudablemente la ingeniería social fue un término
de factor dinero en cuanto a demandas y asuntos relacionados
popularizado por el ex - hacker Kevin D. Mitnick [10]. Este
con la degradación de los servicios seguros que brinden las
ex – Hacker Norte Americano, hizo uso de técnicas poco
entidades bancarias.
convencionales a la hora de robar datos e información
confidencial sin hacer uso de algún tipo de dispositivo
B. WhatsApp Sniffer Free
electrónico, valiéndose de su personalidad y astucia; la
ingeniería social se ha vuelto una herramienta esencial para
WhatsApp Messenger es una aplicación de mensajería
los hackers debido a que no todo se puede saber mediante
multiplataforma que permite enviar y recibir mensajes sin
una computadora; en la Fig. 8. Se describe de una mejor
pagar por SMS [7].
manera, como interactúa un ataque con ingeniería social
directamente con la víctima.
Esta plataforma es popular porque puede ser instalada en
cualquier sistema operativo de diversos móviles; una de las Fig. 8. Interacción de un ataque de ingeniería social
ventajas que tiene esta plataforma, es que puede funcionar
con una red GSM ó simplemente conectándose a una red
inalámbrica logrará tener el servicio activo, siendo la
segunda opción la más utilizada por los usuarios y la más
insegura. Existen aplicaciones o apps desarrolladas por
personas muy astutas en programación y con grandes dotes
de ingenio, una de ellas es la aplicación Whatsapp pwned
free que permite interceptar los mensajes transmitidos desde
cualquier whatsapp que se encuentre conectado a una red
inalámbrica, este ataque es llamado comúnmente sniffing [8],
aparte de interceptar mensajes, tiene la capacidad de Fuente: The GBM Journal
interceptar imágenes ó vídeos. Para instalar este tipo de
aplicaciones el dispositivo móvil debe estar en un modo de La Fig. 8. deja en evidencia como un delincuente informático
puede obtener información aún teniendo un sistema simple
de seguridad como lo es un firewall [11], anti virus, debido informática, nunca hay que pensar que un dato es algo sin
que el delincuente interactúa directamente con la víctima sentido debido que todo tiene un precio y al final se puede
obteniendo información muy certera y en menos tiempo que pagar de una forma muy cara, así que evitar el fraude
ejecutando un rootkit o malware [12]. informático siempre será un tema de discusión y estudio
constante. Los bancos en Colombia aplican métricas de
En Colombia a lo mejor se desconoce la técnica de Trashing seguridad bastante robustas, pero la suma de usuario más
‘’Recoger o Buscar en la basura’’, esta técnica fue adoptada hacker es una combinación que puede penetrar cualquier
por el ya mencionado ex – hacker Norte Americano Kevin sistema de seguridad.
Mitnick, el cual describe con mayor profundidad estas
técnicas en su libro The Art of Deception, allí pauta paso a Colombia se ha fortalecido en cuanto a las leyes que incluya
paso todo lo que constituye la ingeniería social [13]. Muchas delitos informáticos y gracias al paso de la ley 1273 de 2009
de las personas que poseen cuentas bancarias, líneas móviles, se ha logrado disminuir las estafas o robos informáticos
u otro servicio que genere facturación en su lugar de debido a las penas que interpone dicha ley, de tal forma que
residencia nunca tienen el cuidado al desechar este tipo de existen entidades encargadas de velar por la seguridad de la
información impresa, esto tiene una causa y consecuencias transmisión de datos en Colombia.
muy graves, ¿ por qué graves?, porque están arrojando a la
basura información confidencial, ¿Alguien se ha puesto a IV. AGRADECIMIENTOS
analizar qué información contiene un extracto bancario?, sí Agradezco a los ingenieros: Ing. Juan Carlos Vesga, Ing. Luis
lo han pensado y lo han analizado, podrán observar que es Fernando Barajas, Ing. Cesar Villamizar, incorporados en la
muy posible un robo de identidad debido que los extractos
línea de investigación digital del grupo gidsaw – UDI , por
bancarios, recibos de las líneas móviles contienen datos tan
aportarme experiencia y motivación a la seguridad
básicos que un delincuente informático logrará estudiar la
identidad de cualquier víctima y posteriormente procederá a: informática.
suplantarlo ya sea por medios telefónicos o suplantarlo
personalmente aunque la segunda sea la más difícil pero
quizá es la más eficaz para este tipo de ataques. V. REFERENCIAS
Este método de robar información puede generar problemas
[1] COLOMBIA. SUPERINTENDENCIA FINANCIERA DE COLOMBIA.
en las entidades bancarias de cualquier país, ya que es difícil Norma externa 052. (25, octubre, 2007). Requerimientos mínimos de
controlar este tipo de eventos, unas de las formas es seguridad y calidad en el manejo de información a través de medios y
sensibilizar a los usuarios para que utilicen herramientas que canales de distribución de productos y servicios. Superintendencia
le ayudarán a deshacer los medios impresos generados por Financiera de Colombia. Bogotá, D.C.: 2007, 10 p.
cualquier empresa prestadora de servicios; posiblemente una [2] COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 1273. (5, enero,
de las formas más seguras de desechar este tipo de 2009). Por medio de la cual se modifica el Código Penal, se crea un
información es utilizando un triturador de papel y repartir los nuevo bien jurídico tutelado - denominado “de la protección de la
información y de los datos”- y se preservan integralmente los sistemas
residuos del mismo en varias bolsas, esto evitará un robo de que utilicen las tecnologías de la información y las comunicaciones,
información. entre otras disposiciones. Diario Oficial. Bogotá, D.C.: 2009. no. 47.223.
2 p.
III. CONCLUSIONES [3] Fraude Electrónico, delito poco denunciado en el Huila, disponible en:
Este articulo demostró de muchas formas como los usuarios http://www.diariodelhuila.com/site/index.php/especiales/3161-fraude-
electronico-delito-poco-denunciado-en-el-huila_noticia25474
bancarios se convierten en un peligro en cuanto a la
transmisión de datos financieros o bancarios, siendo también [4] Noticias de tecnología, disponible en:
un peligro inminente los delincuentes informáticos. Hay que http://www.abc.es/20110915/tecnologia/abci-malware-android-
recordar que los dispositivos móviles no son los más seguros 201109151722.html
y menos si son conectados a una red inalámbrica pública, en [5] R. Vivek, BackTrack 5 Wireless Penetration Testing Beginner's Guide. 7
ese instante se está vendiendo información confidencial a ed. United Kingdom: Packt Publishing Ltd, 2011. 220 p. ISBN 978-1-
cambio de unos cuantos mega bytes de navegación; los 849515-58-0.
mensajes de seguridad que se generan a través de los [6] S. Mcclure, J. Scambray, J. Kurtz, Hacking exposed: network security
dispositivos móviles indican que hay algo mal, no siempre es secrets & solutions. 7 ed. United States of America: Osborne/McGraw-
un problema de la red o un error de conexión, quizá esto Hill, 2012. 768 p. ISBN 978-0071780285.
logra que los mensajes de advertencia sean omitidos por los
[7] Sistema de mensajeria multiplataforma, Whatsapp.
usuarios. http://www.whatsapp.com/
Cabe mencionar que la ingeniería social es un proceso el cual [8] S. Chris, Practical Packet Analysis: Using Wireshark to Solve Real-
puede ser fácil para algunos delincuentes informáticos, y la World Network Problems. 2 ed. United States of America: No Starch
Press, 2011. 280 p. ISBN 978-1593272661.
manera más sencilla de evitarlos es teniendo cuidado con la
eliminación de facturas impresas, eliminación de tarjetas de [9] L. Harte. Introduction to GSM: Physical Channels, Logical Channels,
crédito etcétera. La tecnología avanza cada segundo y los Network Functions, and Operation. 2 ed. United States of America:
Althos Publishing Inc, 2011. 112 p. ISBN 978-1932813852.
métodos de ataque van creciendo junto a ella, a veces las
cosas más simples son las más relevantes en el mundo de la
[10] M. Kevin, ghost in the wires my adventures as the world's most wanted
hacker. 1 ed. United States of America: Little, Brown and company,
2011. 432 p. ISBN 978-0316037709.
VI. BIOGRAFÍA