Ing.

Edilberto Sierra Mejía

Contenido

Definición

Pesca de Clave

Sabotaje virtual

Espionaje Informativo

Fraude

Estafa electrónica

Copia ilegal de software

NOTICIAS

HOSTIGAMIENTO O ACOSO POR INTERNET

Fecha última actualización: 3 de Marzo de 2008

Condenada una persona por apropiación de una cuenta de correo ajena

Se trata de la primera condena por un delito de esta tipología, y se le han impuesto
dos años de prisión (que no deberán ser cumplidos) y al pago de una indemnización
de 26.886,20 euros.
La condenada es una joven que se apropió de una cuenta de correo electrónico de
hotmail de una excompañera de estudios, y es a ella a la que deberá abonar la
indemnización señalada.
Además de acceder a la cuenta de correo, reenvió mensajes de la misma con
información de caracter privado, en los que la propietaria de la cuenta "criticaba
tanto a su jefe como a al Centro donde cursó determinados estudios profesionales, y
fueron enviados por la acusada a dicho jefe y a dicho Centro de estudios, por lo que
ambos tuvieron conocimiento de dichos mensajes".
Finalmente se ha llegado a un acuerdo entre las partes y la condena se ha saldado
con delito de revelación de secretos y falta de daños informáticos.
1. Definición

“Cualquier comportamiento criminógeno en el cual la computadora ha

estado involucrada como material o como objeto de la acción
criminogena, o como mero símbolo” Carlos Sarzana

“Aquel que se da con la ayuda de la informática o de técnicas anexas”

(Nidia Callegari)

"En un sentido amplio es cualquier conducta criminógena o criminal que

en su realización hace uso de la tecnología electrónica ya sea como
método, medio o fin y que, en un sentido estricto, el delito Informático, es
cualquier acto ilícito penal en el que las computadoras, sus técnicas y
funciones desempeñan un papel ya sea como método, medio o fin” (María
de la Luz Lima Malvido)

En forma típica y atípica, entendiendo por la primera a “las conductas

típicas, antijurídicas y culpables en que se tienen a las computadoras
como instrumento o fin” y por las segundas “actitudes ilícitas en que se
tienen a las computadoras como instrumento o fin” (Julio Téllez)
Delitos Informáticos
Delitos Informáticos

http://www.youtube.com/watch?v=eijZhkH9wCI&search=Internet
Delitos Informáticos
Delitos Informáticos

Delitos computarizados

1.- ¿Estamos de acuerdo en la

terminología de los delitos
informáticos?

2.- “Los delitos informáticos, son

en su mayoría delitos clásicos
ya previstos en las leyes
penales, que se exteriorizan con
el auxilio de la informática”; “son
variaciones de delitos ya
existentes”.
Delitos Informáticos
Delitos Informáticos
Delitos Informáticos

Tipos de Ataques en los últimos años

Virus 65%
Robo de Laptop 47%
Acceso no autorizado a redes 42%
Acceso no autorizado a información 32%
Denegación de servicios 25%
Penetración de sistemas 15%
Abuso de redes inalámbricas 14%
Robo de Información 9%
Fraude financiero 9%
Fraude de Telecomunicaciones 8%
Mal uso de aplicaciones públicas 6%
Alteración de sitios web 6%
Sabotaje 3%
Consideraciones

http://www.ndweb.org
Consideraciones
Consideraciones
Consideraciones
Consideraciones
2. Pesca de Clave

Existen varias técnicas para

pescar o capturar la
contraseña de una persona
por ejemplo como la de
acceso al correo electrónico.

Estas técnicas van desde el

conocimiento directo de la
clave por simple
observación, por descuido
del propietario que la revela
sin mayor dificultad ó porque
simplemente utiliza la misma
para realizar todas sus
operaciones virtuales.
Pesca de Clave

Ingeniería Social

La técnica fundamental en
el robo de contraseñas es la
ingeniería social, de hecho
con una simple verificación
de prueba podríamos
capturar la cuenta de correo
electrónico de muchos de
nuestros contactos.

Basta con simular que

somos los usuarios
originales del sistema y
someternos a las preguntas
de verificación de los
diferentes servidores de
correo.
Pesca de Clave

Usar ingeniería social para obtener una contraseña consiste en

obtener la mayor cantidad posible de información sobre la victima y al
final deducir las posibles respuestas de comprobación de identidad
que se pueden dar a las preguntas realizadas por los sistemas.
Pesca de Clave

Aunque esto realmente no es una pesca de clave, permite

secuestrar inicialmente la cuenta de correo y posteriormente este
hecho se puede aprovechar para forzar el reenvío de nuevas
contraseñas de otros sistemas o sitios directamente al correo
argumentando el olvido de la misma. Un claro ejemplo de esto se
evidencia con la red social Facebook.
Pesca de Clave
Descifrador de Asteriscos

Es muy frecuente el uso de caracteres como * ó para ocultar una

contraseña al momento de escribirla y aquí tenemos una herramienta
para descubrir esta información en un programa normal o en un sitio
web. Algunas aplicaciones permiten almacenar la contraseña y esta
queda oculta mediante estos caracteres en pantalla, de esta manera es
muy fácil conseguirla.
Pesca de Clave
Emulador de Messenger

Es un programa simple que simula el acceso

inicial a messenger en Windows. El usuario
se convence que es realmente la aplicación
original y que accederá de manera normal a
su cuenta.

Al pulsar iniciar sesión le mostrará el error

típico de conexión de messenger y no
sospechará que su password ha sido
copiado en un registro interno de la
aplicación.
Pesca de Clave

Ofrecer Beneficios a Cambio

Lo que ellos dicen:

¿Alguno de tus amigos está siempre offline o ausente en el MSN Messenger?

ScanMessenger es un servicio gratuito que te permite chequear si alguno de tus
contactos de MSN Messenger te ha bloqueado o eliminado. Funciona de una manera
muy simple: todo lo que debes hacer es ingresar tus datos del MSN, es decir tu
dirección de email y tu contraseña, en el formulario que aparece arriba y listo! Verás
una lista con todos los contactos que te han eliminado o bloqueado. Estos contactos
aparecerán marcados con un símbolo de “prohibido” en rojo.

La realidad:

Al diligenciar el formulario estas entregando la información de tu cuenta y ellos

posteriormente pueden venderla o utilizarla para su beneficio. Después de chequear
tu lista de contactos, tu nick cambiará a “http://www.ScanMessenger.com
<-- Fíjate quién te eliminó del MSN sin que te des cuenta.”
Pesca de Clave

Emulador de Inicio de Sesión

Es un sitio web idéntico al de Hotmail cuando solicita los datos de la cuenta del
usuario. Al pulsar iniciar sesión este envía a una base de datos del atacante los
datos de correo y contraseña. Es muy fácil verificar en la parte de arriba de la
pantalla cuando es suplantado un sitio web como estos.
Pesca de Clave
Ataque de Fuerza Bruta

Se denomina ataque de fuerza bruta a la forma de recuperar

una clave probando todas las combinaciones posibles hasta
encontrar aquella que permite el acceso.

La dificultad de un ataque de fuerza bruta depende de varios factores, tales como:

¿Cuánto tiempo puede consumir averiguar la clave?

¿Cuántos posibles caracteres tiene la clave?

¿Existe un mecanismo de bloqueo contra el atacante después de una serie de

intentos fallidos?

Como ejemplo, imagine un sistema que sólo permite a los códigos PIN de 4
dígitos. Esto significa que hay un máximo de 10.000 posibles combinaciones PIN.

http://www.youtube.com/watch?v=Dlfmt5bUaxk
 3. Sabotaje Virtual
Sniffer

Sniffer es un programa de captura de las tramas de red. Una trama es una

unidad de envío de datos ó un paquete de datos.

Es algo común que, por tratarse de una red, el medio de transmisión (cable
coaxial, UTP, fibra óptica etc.) sea compartido por varias computadoras y
dispositivos de red, lo que hace posible que un ordenador capture las tramas de
información no destinadas a él. Para conseguir esto el sniffer pone la tarjeta de
red en un estado conocido como "modo promiscuo" en el cual en la capa de
enlace de datos no son descartadas las tramas no destinadas a la dirección
MAC de la tarjeta; de esta manera se puede capturar (sniff, esnifar) todo el
tráfico que viaja por la red.

Los sniffers tienen diversos usos como monitorizar de redes para detectar y
analizar fallos o ingeniería inversa de protocolos de red. También es habitual su
uso para fines maliciosos, como robar contraseñas, interceptar mensajes de
correo electrónico, espiar conversaciones de chat, etc.
Sabotaje Virtual

MSN Sniffer

Esta utilidad nos permite “espiar”

literalmente todo lo que está
pasando en nuestra red.

A un lado de la pantalla aparecen

los contactos y al otro los
paquetes capturados y
descifrados con el texto
correspondiente a las
comunicaciones que estos tienen
con otras personas.

El programa se puede descargar

del sitio
http://www.msnsniffer.com/.
Sabotaje Virtual
Wireshark

Wireshark, antes conocido como

Ethereal, es un analizador de
protocolos utilizado para realizar
análisis y solucionar problemas en
redes de comunicaciones para
desarrollo de software y
protocolos, y como una
herramienta didáctica para
educación. Cuenta con todas las
características estándar de un
analizador de protocolos.

Permite examinar datos de una red viva o de un archivo de captura salvado en

disco. Se puede analizar la información capturada, a través de los detalles y
sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo
que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de
TCP.
Sabotaje Virtual
Exploits

Es una pieza de software, un fragmento de datos, o

una secuencia de comandos con el fin de automatizar
el aprovechamiento de un error, fallo o vulnerabilidad,
a fin de causar un comportamiento no deseado o
imprevisto en los programas informáticos, hardware, o
componente electrónico (por lo general
computarizado). Con frecuencia, esto incluye cosas
tales como la violenta toma de control de un sistema
de cómputo o permitir la escalada de privilegios o un
ataque de denegación de servicio.
Básicamente un exploit más que un programa que roba contraseñas, es un
archivo programado por expertos en el manejo de diversos lenguajes de
programación, uno de ellos es por ejemplo el manejar adecuadamente un
código a manera de lenguaje HTML, mismo que podría tener la capacidad de
robar tu contraseña de un servicio de cuenta de correo especifico.

http://www.youtube.com/watch?v=hOBGzZwgdks
Sabotaje Virtual
Spoofing

En términos de seguridad de redes hace referencia al uso de técnicas

de suplantación de identidad generalmente con usos maliciosos o de
investigación. Existen diferentes tipos dependiendo de la tecnología a
la que nos refiramos como el IP spoofing (quizás el más conocido),
ARP spoofing, DNS spoofing, Web spoofing o E-mail spoofing,
aunque en general se puede englobar dentro de spoofing cualquier
tecnología de red susceptible de sufrir suplantaciones de identidad.

http://www.youtube.com/watch?v=Aak6-B3JORE
4. Espionaje Informativo

Keylogger

Un keylogger (deriva del inglés:

Key (Tecla) y Logger
(Registrador); registrador de
teclas) es una herramienta de
diagnóstico utilizada en el
desarrollo de software que se
encarga de registrar las
pulsaciones que se realizan
sobre el teclado, para
memorizarlas en un fichero y/o
enviarlas a través de internet.
Suele usarse como malware del tipo daemon, permitiendo que otros usuarios
tengan acceso a los números de una tarjeta de crédito o a la contraseña de
cuentas on line al infiltrarse en una máquina. El registro de lo que se teclea puede
hacerse tanto con medios de hardware como de software.
http://www.youtube.com/watch?v=kiq2fSUJ7W8
Espionaje Informativo
Controlar Remotamente un Equipo

Un escritorio remoto es una tecnología que permite a un usuario trabajar en una computadora
a través de su escritorio gráfico desde otro terminal ubicado en otro lugar.

Hoy están disponibles una gran variedad de elementos, sistemas y productos para realizar
espionaje, el espionaje corporativo es la obtención de información sensible realizando para
tal fin el uso de medios ilícitos.
http://chemtrails.foros.ws/t364/entrevista-a-una-persona-victima-de-espionaje/
5. Fraude

El fraude es el delito más creativo:

Requiere de las mentes más agudas y

podemos decir que es prácticamente
imposible de evitar.

En el momento en que se descubre el

remedio, alguien inventa algo nuevo.

Es una manera muy antigua de

conseguir beneficios mediante la
utilización de la inteligencia, viveza y
creatividad del ser humano.

http://www.youtube.com/watch?v=4IfSVQK7Jvo
Fraude

Hoax

El FBI define al “fraude cometido a través

de Internet” (Internet Fraud), como
cualquier plan o conducta fraudulenta, a
través de la cual, una o más aplicaciones
de la Internet, tal como web sites, chat
rooms, e-mails, etc., juegan un papel
primordial ofreciendo bienes o servicios
inexistentes a los consumidores. Estos
fraudes se presentan de diferentes tipos y
formas utilizando diversos métodos para
conseguir el engaño.

http://www.youtube.com/watch?v=mEsthgSplxg
Fraude
Fraude
Fraude
Estafa Electrónica

Definición

Estas conductas consisten en la manipulación ilícita, a través

de la creación de datos falsos o la alteración de datos o
procesos contenidos en sistemas informáticos, realizada con
el objeto de obtener ganancias indebidas.

Los distintos métodos para realizar estas conductas se

deducen, fácilmente, de la forma de trabajo de un sistema
informático: en primer lugar, es posible alterar datos, omitir
ingresar datos verdaderos o introducir datos falsos, en un
ordenador. Esta forma de realización se conoce como
manipulación del input o de la entrada de datos.
Estafa Electrónica
Phishing
Hace poco fue enviado un mail intentando estafar a usuarios
desprevenidos. Simulaba ser de PayPal, un servicio electrónico
relativo a pagos por medio de Internet.

Invitaba a visitar esta supuesta página:

http://paypal.com/cgi-bin/webscr?cmd=login-run

Pero como buen mail estafador (phishing), al hacer clic allí no dirigía al sitio
de PayPal (ciertamente esa es la dirección web verdadera), sino a

www.congarfm.info/chat/inc/patServer/us/cgi-
bin/account_flagged/webscr=home=p/index.php

Que es una dirección web que NADA tiene que ver con PayPal. Allí podrán ver un
sitio web idéntico al de PayPal que nos invita a ingresar con nuestros datos de
usuario: mail y password.
Estafa Electrónica

Entonces ingresé datos falsos, puesto que tampoco soy cliente de PayPal:
e-mail: “rompecadenas -@- hotmail.com”
Password: “nada”

Luego quedó mostrando este mensaje:

Processing Login…
If this page appears for more than 5 seconds click here to reload.

Y posteriormente:

Verify Your Identity

Please fill in the correct information to verify your identity.
For your security, we will keep your account locked until you provide us the
correct information.
Estafa Electrónica

Hace poco fue enviado un mail intentando estafar a usuarios

desprevenidos. Simulaba ser de PayPal, un servicio electrónico
relativo a pagos por medio de Internet.

Invitaba a visitar esta supuesta página:

http://paypal.com/cgi-bin/webscr?cmd=login-run

Pero como buen mail estafador (phishing), al hacer clic allí no dirigía al sitio
de PayPal (ciertamente esa es la dirección web verdadera), sino a

www.congarfm.info/chat/inc/patServer/us/cgi-
bin/account_flagged/webscr=home=p/index.php

Que es una dirección web que NADA tiene que ver con PayPal. Allí podrán ver un
sitio web idéntico al de PayPal que nos invita a ingresar con nuestros datos de
usuario: mail y password.
Estafa Electrónica

Credit Card Information

Con un formulario de 8 campos en el cual se

me pregunta por:
Nombre de la tarjeta de crédito, nombre del
banco, número de la tarjeta, fecha de
expiración, “3-digit security code”, PIN, ZIP,
SSN (Social Security Number).

Imaginen lo que sucediera si le diéramos todos

esos datos a los ladrones que están detrás de
esto…

Bien, ahora están informados, el título del mail

fue:

“PayPal Account notice” y simulaba provenir

de: admin@paypal.com.
Estafa Electrónica
Phishing por memorias USB
Una nueva técnica de phising se está produciendo con
el simple hecho de dejar un pendrive (memory flash o
memoria USB) por ahi tirado en la calle. Es simple, se
llena con troyanos y algún usuario incauto lo vé e
inmediatamente lo recoge como suyo, lo usa en la PC
y listo por medio del troyano te roban tus contraseñas
de tus cuentas bancarias y quizás alguna otra cosa
más.

Nick Lowe, director regional de Check Point, mencionó

el caso durante la feria Infosec, pero declinó
proporcionar más detalles del mismo.
Así que ya sabes, si encuentras por ahí algún pendrive,
con mucho cuidado primero revisarlo bien, pero si no
tienes muchos conocimientos, mejor ni tocarlo.

http://www.youtube.com/watch?v=uHwCu--9878
Copia Ilegal de Software

Limitaciones

La principal limitante para realizar ésta investigación es la débil infraestructura

legal que posee nuestro país con respecto a la identificación y ataque a éste tipo
de Delitos, no obstante se poseen los criterios suficientes sobre la base de la
experiencia de otras naciones para el adecuado análisis e interpretación de éste
tipo de actos delictivos.

Infracción de los derechos de autor: La interpretación de los conceptos de

copia, distribución, cesión y comunicación pública de los programas de ordenador
utilizando la red provoca diferencias de criterio a nivel jurisprudencial.

Infracción del Copyright de bases de datos: No existe una protección uniforme

de las bases de datos en los países que tienen acceso a Internet. El sistema de
protección más habitual es el contractual: el propietario del sistema permite que
los usuarios hagan «downloads» de los ficheros contenidos en el sistema, pero
prohibe el replicado de la base de datos o la copia masiva de información.
Copia Ilegal de Software
Piratería
Es un término popular, creado por la industria británica del
copyright en el siglo XVII para referirse a la copia de obras
culturales (literarias, musicales, audiovisuales, de software
o invenciones) efectuada sin el consentimiento del titular
de los derechos de autor o, en su defecto, sin autorización
legal.

Las expresiones apropiadas para referirse a estos actos son los de copia no autorizada o, en
términos más generales, infracción del derecho de autor. El término piratería se utiliza también
para referirse a la venta ilícita de dicho material con ánimo de lucro.

Los derechos de autor sobre los programas de ordenador comprenden facultades tanto de
contenido personal como patrimonial, de modo que el autor tiene la plena disposición y
derecho exclusivo a la explotación de su obra.

Sin embargo, la realidad cada vez más preocupante es que la utilización de programas ilegales
por parte de las empresas ha ido creciendo de forma desorbitada, siendo incluso una actividad
promovida por algunos de sus directivos, con base en el ahorro que les supone adquirir
ilegalmente los programas necesarios para su empresa.
Copia Ilegal de Software
Algunas de las manifestaciones de la piratería de
software que nos resultan familiares en nuestras
actuaciones diarias son:

- Utilizar una copia adquirida con licencia para instalar un programa en varios
ordenadores.
- Adquirir software, restringido o no, destinado a la venta minorista sin una
licencia para uso comercial.
- Aprovechar ofertas de actualizaciones sin tener una copia legal de la
versión a actualizar.
- Sitios web piratas que ofrecen descargas de software gratuitas o a cambio
de la carga de programas.
- Venta de ordenadores nuevos con copias ilegales de software en los discos
duros, que hacen que la compra resulte más atractiva.
-Duplicación y venta ilegal de material protegido por los derechos de autor
con la intención de copiar directamente este producto protegido.

http://www.youtube.com/watch?v=k-qSjVkzQu8
Referencias Web

Utilidades

http://www.msnsniffer.com/
http://www.cascanolahack.org/

Artículos e Investigaciones

http://www.delitosinformaticos.com
https://www.nic.co/pls/dominio/home.html
http://www.softwarelegal.org.ar/HTML/infoutil1.html
http://vlex.com/tags/copia-ilegal-de-software-953113
http://www.microsoft.com/business/smb/es-es/legal/uso_ilegal.mspx
http://www.microsoft.com/business/smb/es-es/legal/proteger_creaciones.mspx
http://www.mailxmail.com/curso-delitos-informaticos/fraude-traves-computadoras