PHISHING: Fraudepor Internet (Internet Fraud) 1.

INTRODUCCIN: Cada da surgen en Internet nuevas amenazas que provocan que estemos al da en todo lo referente a actualizaciones, parches, vulnerabilidades del sistema, virus, etc. Pero ahora la nueva moda de delitos por internet se denomina Phishing. La gran diferencia con lo anteriormente citado es que esta vez nadie intenta acceder a tu sistema con intenciones maliciosas, o tratan de introducirte un virus que puede provocar el mal funcionamiento de tu computadora. Con un phishing, es el propio usuario quien enva informacin personal y confidencial de forma voluntaria; eso si, animado mediante tcnicas de engao. 2. HISTORIA DEL PHISHING El trmino phishing viene de la palabra en ingls "fishing" (pesca) haciendo alusin al acto de pescar usuarios mediante seuelos cada vez ms sofisticados y de este modo obtener informacin financiera y contraseas. Tambin se dice que el trmino "phishing" es la contraccin de "passwordharvestingfishing" (cosecha y pesca de contraseas). La primera mencin del trmino phishing data en 1996, fue adoptado por crackers que intentaban "pescar" cuentas de miembros de AOL.

Phishing en AOL Quienes comenzaron a hacer phishing en AOL durante los aos 1990 solan obtener cuentas para usar los servicios de esa compaa a travs de nmeros de tarjetas de crdito vlidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL podan durar semanas e incluso meses. Recin en 1995 AOL tom medidas para prevenir este uso fraudulento de sus servicios, de modo que los crackers recurrieron al phishing para obtener cuentas legtimas en AOL. El phishing en AOL estaba estrechamente relacionado con la comunidad de warez que intercambiaba software pirateado. Un cracker se haca pasar como un empleado de AOL y enviaba un mensaje instantneo a una vctima potencial. Para poder engaar a la vctima de modo que diera informacin confidencial, el mensaje poda contener textos como "verificando cuenta" o "confirmando informacin de factura". Una vez el usuario enviaba su contrasea, el atacante poda tener acceso a la cuenta de la vctima y utilizarla para varios propsitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requeran generalmente el uso de programas escritos por crackers, como el AOLHell.

En 1997 AOL reforz su poltica respecto al phishing y los warez fueron terminantemente expulsados de los servidores de AOL. Durante ese tiempo el phishing era tan frecuente en AOL que decidieron aadir en su sistema de mensajera instantnea, una lnea de texto que indicaba: "no oneworking at AOL willaskforyourpasswordorbillinginformation" ("nadie que trabaje en AOL le pedir a usted su contrasea o informacin de facturacin"). Simultneamente AOL desarroll un sistema que desactivaba de forma automtica una cuenta involucrada en phishing, normalmente antes de que la vctima pudiera responder. Los phishers se trasladaron de forma temporal al sistema de mensajera instantneo de AOL (AIM), debido a que no podan ser expulsados del servidor de AIM. El cierre obligado de la escena de warez en AOL caus que muchos phishers dejaran el servicio, y en consecuencia la prctica. 3. QU ES? El PHISHING no es ms que la suplantacin de sitios de internet. Se tratan de correos electrnicos engaosos y pginas Web fraudulentas que aparentan proceder de instituciones de confianza (bancos, entidades financieras, etc.), pero que en realidad estn diseados para embaucar al destinatario y conseguir que divulgue informacin confidencial. El trmino phishing significa pescar, en ingls, ya que en realidad tiene cierta similitud con la pesca. Se lanza un cebo y se espera a que alguien pique. La recompensa no puede ser ms sabrosa: datos personales y claves de acceso a tus cuentas bancarias. 4. Tcnicas de phishing La mayora de los mtodos de phishing utilizan alguna forma tcnica de engao en el diseo para mostrar que un enlace en un correo electrnico parezca una copia de la organizacin por la cual se hace pasar. URLs mal escritas o el uso de subdominios son trucos comnmente usados por phishers, como el ejemplo en esta URL: http://www.trustedbank.com/general/custverifyinfo.asp Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carcter arroba: @, para posteriormente preguntar el nombre de usuario y contrasea. Por ejemplo, el enlace: http://www.google.com@members.tripod.com/ puede engaar a un observador casual a creer que el enlace va a abrir en la pgina de www.google.com, cuando realmente el enlace enva al navegador a la pgina de

members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la pgina abrir normalmente). Este mtodo ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legtima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legtima. En otro mtodo popular de phishing, el atacante utiliza los propios cdigos del banco o servicio del cual se hacen pasar contra la vctima. Este tipo de ataque resulta particularmente problemtico, ya que dirigen al usuario a iniciar sesin en la propia pgina del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este mtodo de ataque los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la pgina web autntica en realidad, el enlace esta modificado para realizar este ataque, adems es muy difcil de detectar si no se tienen los conocimientos necesarios. 5. Lavado de dinero producto del phishing Se est tendiendo actualmente a la captacin de personas por medio de e -mails, chats, donde empresas ficticias les ofrecen trabajo, ofrecindoles ejercer desde su propia casa y amplios beneficios. Todas aquellas personas que aceptan se convierten automticamente en vctimas que incurren en un grave delito bajo su ignorancia: el blanqueo de dinero obtenido a travs del acto fraudulento de phishing. Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual se indicarn entre otros datos, la cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-vctima el dinero procedente de las estafas bancarias realizadas por el mtodo de phishing. Con cada acto fraudulento de phishing la vctima recibe el cuantioso ingreso en su cuenta bancaria y es avisado por parte de la empresa del mismo. Una vez hecho este ingreso la vctima se quedar un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisin de trabajo y el resto lo reenviar a travs de sistemas de envo de dinero a cuentas indicadas por la seudo-empresa.

Dado el desconocimiento de la vctima (muchas veces motivado por la necesidad econmica) esta se ve involucrada en un acto de estafa importante, pudindose ver requerido por la justicia, previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposicin de devolver todo el dinero sustrado a la vctima, obviando que esta nicamente recibi una comisin. 6. Daos causados por el phishing La grfica muestra el incremento en los reportes de phishing desde Octubre del 2004 hasta junio de 2005. Los daos causados oscilan entre la prdida del acceso al correo electrnico a prdidas econmicas sustanciales. Este estilo de robo de identidad se est haciendo ms popular por la facilidad con que personas confiadas revelan informacin personal a los phishers.

7. Objetivos de la Investigacin: - Dar a conocer a los usuarios de Internet las diferentes formas de estafa que se dan por la web. - Evitar la proliferacin de fraudes va Internet. - Que los usuarios conozcan las caractersticas de una pgina web segura - Conocer el modo de pensar de los phisher, sus motivaciones y cmo evitan ser detectados.

8. Antecedentes 8.1. Investigaciones del FBI conducen al arresto de una organizacin phishing Institucin: Investigadores: Fuentes: http://www.theregister.co.uk/2006/11/03/operation_cardk eeper_phishing_arrests/ Oficina Federal de Investigaciones Oficina Federal de Investigaciones

Diecisiete miembros de una organizacin internacional de phishing y carding han sido arrestados en los Estados Unidos y Europa Oriental siguiendo una investigacin del FBI. Los defraudadores europeos tenan funcionado una serie de fraudes mediante el robo de identidad de las tarjetas de clientes de instituciones financieras importantes entre agosto y octubre de 2004. Estos defraudadores vendan informacin personal de clientes financieros a sus cmplices en los Estados Unidos, quienes vaciaban las cuentas comprometidas y entregaban informacin financiera a cambio. Las detenciones en Polonia y los Estados Unidos vinieron como parte de una investigacin llevada a cabo por el FBI denominada operacin Cardkeeper. Los investigadores de FBI trabajaron con polica local en Polonia y Rumania para investigar el comercio de la informacin robada de las tarjetas de crdito en lnea, obtenida a travs de varios phishingscams (Fraudes en Internet). El lder de la organizacin, MateuszRymski (AKA Blindroot), es sospechoso de comprometer los sistemas de firmas de terceros y de alquilar espacio Web a otros para poner sus sitios fraudulentos. Hasta ahora cuatro detenciones se han hecho en los E.U. y 13 en Polonia como parte de la investigacin. Los informes recibidos dicen que tres de los cuatro sospechosos de los E.U. fueron detenidos con tarjetas y mquinas MSR-206 que codifican datos sobre tarjetas del crdito en blanco. Uno de los arrestados intentaba deshacerse de las tarjetas de crdito falsas por medio del excusado. Los investigadores han identificado diez mil nmeros de tarjetas de crdito comprometidos y miles de identidades robadas en el curso de la investigacin. El grado de las prdidas causadas por la organizacin de phishing sigue siendo poco claro.

Se espera que se realicen otras detenciones en los E.U. y Rumania, despus de que tres rdenes de cateo ya fueron ejecutadas. Los rumanos son sospechosos de haber creado el software troyano usado para obtener informacin sobre cuentas bancarias.

8.2. El Rey Phisher Institucin: Investigadores: Fuentes: http://www.darkreading.com/security/perimetersecurity/208804505/the-phisher-king.html RSnake consigue un verdadero "pisher" para describir la forma en que los cebos del anzuelo y las bobinas en su captura 09 de mayo 2007 | 09:00 AM | Por Higgins Jackson Kelly Lectura Oscura Usted ve los intentos de ataques de phishing casi todos los das, pero lo que no veo es la cara detrs del ataque. En una rara visin de la mente de un phisher, hacker y experto en seguridad RSnake recientemente contrat a un atacante que dice que gana $ 3,000 a $ 4,000 dlares al da y estaba dispuesto a compartir un poco sobre s mismo y la forma en que opera. RSnake, tambin conocido como Robert Hansen, CEO de SecTheory y blogger oscuro de lectura, pregunt el phisher, llamado "de litio", la forma en que opera, la tecnologa que utiliza, y cunto dinero se hace de estas estafas. De litio, que dice que tener 18 aos y ha sido "phishing" desde que tena 14 aos, dijo que ha robado ms de 20 millones de identidades, sobre todo a travs de gusanos de redes sociales. "Tengo tantos cientos de miles de cuentas de muchos sitios web, que ni siquiera he tenido la oportunidad de mirar alguna vez", le escribi a RSnake, que publica hoy las respuestas en el blog ha.ckers.org. RSnake tambin confirma que el litio es un phisher real: "He encontrado a uno de sus sitios de" phishing "viejo", dice RSnake. "No puedo comentar sobre el nmero, pero s, fue definitivamente en realidad un estafador de redes sociales." Compaa Dark Reading Higgins Jackson Kelly

Litio dijo que se interes por suplantacin de identidad despus de la realizacin de los correos electrnicos fraudulentos a sus padres reciban eran dbiles, pero an funcionaba bsicamente. "Por lo tanto, saba que automticamente se me ocurri con mtodos ms eficientes y tener un resultado mucho mayor." De litio manda phishesentre tres o cuatro a la semana, principalmente ataca en redes sociales, sobre todo aquellas frecuentados por el pblico adolescente. "5 de cada 10 personas utiliza la misma contrasea para su cuenta de correo electrnico", escribi. "Ahora, segn lo que est dentro de su buzn de correo electrnico determina cuntas ganancias hago. Si una cuenta de correo tiene una de las siguientes paypal / egold / rapidshare cuentas de eBay, incluso la cuenta de correo propia, vendo a los estafadores." El estafador dijo que normalmente trata de encontrar un nombre de dominio que se ve "realista" a la meta, y luego encuentra un husped annimo, por lo general en alta mar. "Aunque, tienden a utilizar en peligro las cuentas de hosting", escribi. "En segundo lugar, considero que la fuente de la pgina. Luego modificar el cdigo fuente para enviar la informacin de las formas a mi sitio pishing [sic]. En tercer lugar, crear un archivo php que se publicar la informacin de las formas actuales a un archivo de texto en mi servidor. Yo uso el archivo php lo mismo con todos los sitios ... Slo pequeas reformas son necesarias, ya que es [sic] Mearly unas pocas lneas de cdigo PHP. " RSnake le pregunt cuntas personas que normalmente ataques de phishing al da. de litio Dependiendo del tamao de la pgina web, dijo, por lo general alrededor de 30.000. HD Moore, director de investigacin de seguridad para los sistemas de BreakingPoint, dice mientras litio coincide con el perfil tpico de los phishers, su "nmero de parecer un poco en la parte alta." Adems, los das de litio como phisher podra ser contados si no tiene cuidado. "Ejecucin de un sitio de phishing llama la atencin -. Tiene que, o no funcionar alardear acerca de cunto dinero gana es un signo seguro de que va a conseguir eliminado en el futuro cercano", dice Moore. Uso de los programadores independientes es tambin una responsabilidad, seala Moore. "Si alguno de ellos se comprueban que su dinero proviene de, usted puede apostar que a su vez ms de este tipo en un latido del corazn." De litio, por su parte, dijo RSnake que utiliza un servidor dedicado, VPN, software de encriptacin de red y un 1 Mbit / s lnea ADSL. Herramientasabio, el phisher dijo que l utiliza MyChanger para la mayora de los sitios de redes sociales: "Esto hace que pishing [sic] de modo mucho ms rpido en los

sitios de redes sociales Todo est automatizado de mensajera / boletines / comentarios / modificaciones de perfil es genial Aparte de eso,.!. Tengo un montn [sic] de los programas a la medida a la habitacin [sic] mis necesidades de los desarrolladores independientes ", escribi. Cmo es que permanecen en las sombras? "Puedo usar VPN, servidores dedicados, servidores proxy y mi trfico de la red est cifrada. Todos los pagos se realizan a travs de egold." Curiosamente, admiti Internet Explorer 7 y Firefox 2.0 's filtros anti-phishing "causa ms irritacin" de disuasin "phishing" disponibles hoy en da. Pero expertos en seguridad dicen que no parece mucho dao litio y otros estafadores en la final. Sigue siendo siempre un juego de ponerse al da para los buenos, dice Jeremiah Grossman, fundador y director de tecnologa de WhiteHat Security. "Microsoft y Mozilla pasar aos para descubrir una solucin viable, a continuacin, poco tiempo despus, todo por no. Los chicos malos pueden adaptarse mucho ms rpido que los buenos, por eso nuestro trabajo es mucho ms difcil." Y la riqueza de errores de aplicaciones Web es mantener en el negocio de litio - por ahora, de todos modos: "los desarrolladores web perezoso son la razn de que todava estoy alrededor de pishing", escribi el litio. 8.3. Nuevo caso de phishing relacionado con BBVA [Septiembre 2009] Advertimos del aumento de casos de phishing que se estn dando durante el verano, entre ellos figuraban diferentes casos relacionados con correos electrnicos que se envian en nombre del soporte del banco BBVA, que evidentemente son falsos. Esos mensajes que llegan a direcciones email, suelen tener avisos de seguridad solicitando al usuario que siga un enlace y rellene sus datos en un formulario, tambin se da el caso de una falsa promocin donde te regalan dinero sin saber de dnde sale. Ambos han sido denunciados y son casos de phishing destinados a robar datos de cuentas bancarias de personas que sean posibles clientes. Justo al iniciarse el mes de septiembre se ha dado otro aumento de phishing, donde tambin hay emails relacionadas con el banco BBVA, esta es la captura de imagen de un correo que he recibido, supongo que no soy el nico:

Como puede observarse en la barra inferior, el enlace al que dirige el correo no es la web del banco, sino otro sitio ms de cebo creado para captar las claves de incautos. Como de costumbre, en el email se mete prisa dando un tiempo limite en la alerta de seguridad, para presionar y no dejar que funcione el sentido comn. Tanto si eres cliente o no de BBVA, recuerda que los bancos no suelen actuar enviando esta clase de correos, no piden claves completas. Puedes denunciar este tipo de engaos y sencillamente borrar esta clase de spam sin prestarle atencin y sin entrar en los enlaces del cuerpo del mensaje.

9. RECOMENDACIONES:

Propuestas y recomendaciones dirigidas a los usuarios y asociaciones de consumidores y usuarios

La proliferacin del uso de Internet ha provocado que muchos usuarios se encuentren desinformados y acten de manera intuitiva, o que busquen conocimientos a travs de medios poco adecuados y de escasa fiabilidad. As, los usuarios buscan informacin en pginas de Internet, en las que los contenidos no tienen por qu ser fidedignos o a travs

de experiencias personales de otros usuarios no especializados, sin conocer la similitud tcnica del caso. Este modo de actuar provoca que los usuarios pongan en riesgo sus sistemas. Este hecho se ve agravado cuando el uso del ordenador es compartido. De esta manera, es suficiente con que uno de los usuarios se encuentre desinformado y acte de manera poco segura para que el resto tambin resulten perjudicados. El usuario reconoce suplir esta falta de formacin acudiendo a foros especializados, medios de comunicacin convencionales e incluso a la experiencia de amigos y compaeros. La principal conclusin de esta situacin de desinformacin, y la principal demanda de los usuarios, es la demanda por el usuario de una labor de tutelaje por parte de la Administracin, que oriente en el desarrollo de las nuevas tecnologas, ofreciendo pautas para un buen uso de las mismas. En general, todos los usuarios afirman que no existe la seguridad absoluta en Internet, y reconocen algunas situaciones de riesgo (la apertura de correos electrnicos y archivos adjuntos de fuentes desconocidas), considerando el phishing como un fraude de toda la vida trasladado a Internet. Sin embargo, esa aparente sensacin de inseguridad no impide que los usuarios continen utilizando la Red a la hora de realizar transacciones econmicas. Esto es debido a que los servicios y utilidades que brinda Internet se consideran irrenunciables al haberse integrado plenamente en su vida diaria, primando las ventajas derivadas del medio frente a las posibles desventajas. Recomendaciones genricas Dentro de las recomendaciones genricas para tratar de evitar los ataques en sus dos principales lugares de origen: 1. En relacin a la ingeniera social, una de las afirmaciones que ms se suele hacer en todos los esquemas de recomendaciones a los usuarios es que si es demasiado bueno para ser cierto, es que no es cierto. En este sentido, la mayor parte de los consejos van destinados a promover la utilizacin de la lgica por parte de los clientes. 2. Por lo que se refiere a las vulnerabilidades de los sistemas, la mayor parte de los impactos se producirn en el extremo ms vulnerable del sistema, esto es, en el ordenador del cliente, ya que el ataque a los servidores de las empresas que proporcionan servicios en Internet requiere de ms capacidad tcnica. Recomendaciones avanzadas De otro lado, conscientes de la rapidez con que se producen los cambios y oportunidades dentro de las Tecnologas de la Informacin y la Comunicacin y de que estas ventajas no dejarn de ser aprovechadas por los ciberdelincuentes, consideran necesario avanzar e ir incrementando el nivel bsico de seguridad, con nuevas medidas tecnolgicas que optimicen y garanticen en mayor medida su seguridad y complementen los hbitos y el comportamiento responsable y seguro del usuario.

Dentro de las recomendaciones avanzadas de carcter tecnolgico se consideran: 1. El DNI digital / electrnico cuenta con una gran aceptacin por parte de los participantes en las dinmicas de grupo y les ofrece mximas garantas. 2. El sistema de tarjetas de coordenadas tambin ofrece una elevada fiabilidad. 3. Las tarjetas de crdito virtuales, que modifican la clave en cada operacin y se recargan con la cantidad necesaria, resultan tambin una medida muy til. 4. El telfono mvil, garantiza una segunda validacin de las claves. Por lo que tener acceso a dos claves que proceden de canales diferentes obstaculizara notablemente la labor del delincuente. 5. El uso de un CD de arranque para operaciones bancarias requiere de cierta preparacin tcnica y se percibe como un sistema de seguridad complejo. 6. El sistema de claves para la apertura de cada correo electrnico recibido resulta seguro, pero resulta demasiado incmodo y resta agilidad. 7. El filtrado del correo electrnico, de cierto contenido, por parte del operador est bien considerado, siempre que sea configurable por el usuario. En todo caso, se debe procurar que la seguridad a nivel tecnolgico, no se vuelva en contra del uso de Internet. Trabajar de forma ms segura no puede suponer una prdida de tiempo y un aumento de esfuerzo. El usuario no est dispuesto a perder la comodidad y rapidez que caracterizan a Internet. Los usuarios difieren en la manera de tomar medidas y, sobre todo, a la hora de identificar los responsables de garantizar la seguridad en la Red. Si bien la mayora de los usuarios opina que la Administracin debera tomar parte, otros opinan que, adems, los operadores de telecomunicaciones y las entidades financieras e incluso algunos opinan que los propios usuarios han de garantizar esa seguridad. Como corolario a las recomendaciones indicadas se sugiere a los usuarios mantener las siguientes precauciones: 1. Si se recibe un mensaje que solicita informacin de carcter personal, no hay que responder, y ni siquiera hacer clic en l. Las empresas no piden a sus clientes informacin a travs de este tipo de medios. En caso de que exista alguna duda, esto es, de que se piense que la empresa puede estar requiriendo esta informacin, no hay que responder al mensaje, sino contactar con la empresa utilizando otra sesin del navegador (abrir una nueva ventana en nuestro navegador y teclear en ella la direccin web completa de la empresa), o bien por otro medio, y siempre ignorando el enlace insertado en el mensaje, que normalmente dirigir al usuario hacia una trampa. 2. Los prefijos pueden despistar. No se debe confiar en los prefijos de los nmeros de telfono que aparecen en los mensajes dado que, al utilizarse protocolos de voz va IP, estos pueden ser falsos o no estar situados en la zona

en la que aparentemente debera. Por otro lado, se invita a los consumidores a ignorar estos nmeros de telfono, utilizando siempre los que las entidades han proporcionado a sus clientes a priori. 3. Es importante utilizar programas de seguridad. Su utilizacin es muy importante para evitar la instalacin de cdigos maliciosos en el ordenador de los usuarios finales. 4. No conviene enviar informacin personal o financiera a travs del correo electrnico. Este medio de comunicacin puede ser monitorizado por un tercero con vistas a ejecutar un fraude a travs de herramientas de escaneo. Asimismo, se seala que la introduccin de informacin personal o financiera a travs de un formulario que lo requiera en una web debe hacerse en condiciones de seguridad, esto es, comprobando que ha y un candado en la barra de estado
del navegador o bien que la direccin comienza por https://, si bien estos indicadores han sido reproducidos por algunos de los estafadores ms hbiles.

5. Hay que comprobar los estados bancarios segn se reciban, para cotejar los movimientos y observar si existen algunos no autorizados. Si tardan en llegar ms de unos das, conviene ponerse en contacto con la entidad financiera para comprobar si todo est correcto.
6. Es importante tener precaucin a la hora de descargar o abrir archivos adjuntos de mensajes recibidos por correo electrnico, incluso si se conoce bien al remitente. Como ya se indic anteriormente, este es uno de los mtodos ms habituales para tratar de instalar cdigos maliciosos en los ordenadores de las v ctimas.

7. Conviene informar de los intentos de spam o de phishing que se reciban a las autoridades competentes, as como a las entidades que estn sufriendo el ataque, que suelen disponer de informacin en su pgina web sobre el medio de comunicacin ms adecuado. 8. En el caso de sospechar que se ha sido vctima de phishingconviene comunicarlo cuanto antes a las autoridades, para tratar de minimizar el dao que se pueda recibir, as como para intentar evitar el robo de identidad que suele acompaar al phishing. 9. Conozca con quin est tratando. Si contacta con algn desconocido, hgase con informacin sobre l a travs de las administraciones pblicas y entidades que la ofrecen. Conserve su direccin y telfono (comprobando ste) por si hubiera algn tipo de problema a posteriori. 10. Busque informacin sobre la resolucin de conflictos. Dado que los conflictos con compradores o vendedores de otros pases pueden ser difciles de resolver en caso de que surjan, busque de antemano la informacin de que suelen disponer las pginas de las empresas para conocer de antemano cmo se resuelven este tipo de problemas. 11. El hecho de que no haya habido quejas no es ninguna garanta. Las webs de los estafadores se abren y se cierran con mucha rapidez, de forma que normalmente no hay tiempo de que haya podido haber quejas de usuarios. 12. No crea en promesas de dinero fcil, negocios novedosos o una hipoteca gratuita o a un coste muy bajo, lo ms probable es que sea una estafa. 13. Entienda la oferta. Un vendedor de buena fe le dar todos los detalles que requiera sobre el producto, el precio, la forma de pago, el modo de envo, las polticas de cancelacin o reembolso y cualquier otro trmino o garanta. 14. Resista a la presin. Una autntica organizacin no lucrativa que pide fondos le dar tiempo para que considere su opcin, y no tratar de presionarle para que responda rpidamente, ni alegar que no admite un no por respuesta.

15. Penselo dos veces antes de participar en concursos organizados por empresas desconocidas. Muchas veces los fraudes proceden de esta forma. 16. Tenga cuidado con los suplantadores. Alguien puede enviarle un correo hablando falsamente en nombre de una empresa u organizacin no lucrativa, o crear una pgina web casi idntica a la de estas organizaciones. Si no est seguro de que est en contacto con la verdadera, utilice otro medio para realizar su transaccin. 17. Guarde su informacin personal. No proporcione su cuenta bancaria o nmero de tarjeta de crdito a menos que est realmente pagando por algn bien o servicio. El nmero de la seguridad social slo ser necesario en el caso de que est pidiendo un crdito. Sea especialmente suspicaz si alguien que dice pertenecer a una empresa con la que usted trabaja le pide una informacin que la empresa ya tiene. 18. Pague siempre por el medio ms seguro. Las tarjetas de crdito son el medio ms seguro de pago online, dado que siempre se puede reclamar en el caso de que no se reciba el bien o servicio, o que ste no se ajuste a lo ofrecido. Las leyes suelen imponer lmites a los daos al cliente si alguien hace un uso no autorizado de su tarjeta de crdito. Incluso estos daos son asumidos a veces por las empresas emisoras de tarjetas de crdito, segn el acuerdo de utilizacin. Hay adems algunas tecnologas que pueden aadir seguridad a las transacciones. 10. CONCLUSIONES Los avances experimentados en muy pocas dcadas en el marco de la Sociedad de la Informacin estn dotando posiblemente a las personas de los mayores grados de desarrollo econmico, social, cultural e individual que se han conocido hasta el momento. Los beneficios de las Tecnologas de la Informacin y la Comunicacin son cuantiosos y considerables, tanto desde un plano individual como desde un punto de vista organizativo. Del mismo modo que muchas aplicaciones, funcionalidades y servicios se han trasladado al mundo Internet, lamentablemente, el desarrollo de las tecnologas, y de Internet en particular, ha supuesto un nuevo entorno para la delincuencia, precisamente aprovechndose de las potencialidades que brinda este nuevo medio de comunicacin. As, se ha producido una evolucin tecnolgica de las estafas tradicionales, saltando a la Red bajo una nueva apariencia. Este es el caso del phishing. Si bien, en las primeras fases las actividades delictivas suelen ser ms rudimentarias y atentar contra bienes jurdicos ms elementales, los grados ms altos de progreso en las sociedades parecen una invitacin a los delitos de naturaleza econmica. En este sentido, las Tecnologas de la Informacin y las Comunicaciones han supuesto una herramienta facilitadora de la realizacin de delitos a gran escala, con mayor eficiencia y, por lo general, mayor impunidad para el delincuente, dada la dificultad de perseguir este tipo de conductas ilcitas. El phishing supone en parte una evolucin tecnolgica de algunas de las estafas tradicionales, aunque tambin significa en algunos casos la utilizacin de medios difciles de detectar para un usuario poco informado para la comisin de un fraude.

El impacto de este delito es grave, tanto por las prdidas que genera de forma directa a sus vctimas, como por generar desconfianza hacia las TIC e Internet, lo que supone un freno al desarrollo de la economa digital. Dado que dichos efectos perniciosos del phishing afectan a todos: tanto particulares como empresas y administraciones pblicas, las soluciones tambin deben partir del conjunto de la sociedad. De este modo, pueden y deben impulsarse diferentes medidas de actuacin contra el fraude en Internet para tratar de erradicar o, al menos, paliar este problema. Individualmente, todos debemos ser conscientes de la magnitud de la amenaza sin caer en alarmismos, buscando niveles adecuados de formacin e informacin sobre el problema que permitan poder evitar las formas ms elementales de estafa. Por otra parte, somos responsables de utilizar las herramientas adecuadas para mantener nuestros sistemas de informacin con un grado de seguridad informtica aceptable. Las empresas, siguiendo las lneas de actuacin marcadas por los expertos en la lucha contra el cibercrimen, deben mantener sistemas de seguridad apropiados a sus actividades. Por otra parte, la cooperacin con otras empresas e instituciones es condicin indispensable para la defensa frente al fraude. Adems, deberan asumir el compromiso de formar e informar a los agentes con los que interactan, especialmente trabajadores y clientes. Los poderes pblicos, adems de promover todo tipo de iniciativas encaminadas a perseguir y erradicar este tipo de delitos, deben contribuir a la divulgacin de todo conocimiento que favorezca ese objetivo. Esto implica, por tanto, no slo el ejercicio de medidas legislativas, de polica o incluso pedaggicas, sino una constante actualizacin y valoracin de la informacin existente, en colaboracin con el resto de actores. Como antes se mencionaba, el fraude ha existido siempre, e Internet slo ha proporcionado un medio ms a los delincuentes, quienes han aprovechado su globalidad, la escasez de legislacin existente y la diversidad de desarrollo de sta entre unos pases y otros. Por ello, se hace imprescindible promover acuerdos y cooperaciones a nivel nacional e internacional. Mientras esto se perfecciona, se debe hacer hincapi en la prevencin. En primer lugar resulta imprescindible conseguir la concienciacin de los usuarios, porque la cadena de proteccin tiene su punto dbil en el ltimo eslabn. La seguridad en Internet es una cadena formada por operadores, proveedores de servicios, entidades financieras, medios de pago y usuarios. Una cadena es tan fuerte como lo sea su eslabn ms vulnerable, que es en definitiva, el que se puede acabar rompiendo. A pesar de las medidas tecnolgicas de proteccin que se puedanestablecer, la mayor parte de los fraudes de ingeniera social que se producen en la Red no se pueden evitar si falta la concienciacin del ciudadano. Muchos usuarios todava creen que toda la informacin que aparece en Internet es cierta y contrastada, se le supone la misma veracidad que tiene la prensa o la televisin. Lo mismo ocurre con los correos electrnicos que reciben.

Paralelamente, ha de tenerse en cuenta la existencia de un problema aadido: la falta de informacin y datos rigurosos sobre el phishing y otras modalidades de fraude electrnico. Existe una cierta inercia hacia la discrecin, cuando no opacidad, a la hora de abordar el volumen de fraude que se est produciendo en Espaa, y el nivel de seguridad real del que se dispone en las comunicaciones y transacciones a travs de la Red. Sera muy deseable, que a travs de la coordinacin de diferentes entidades y organizaciones, se facilitase informacin veraz sobre la realidad en la que estamos inmersos, sin crear alarma social, y sin buscar culpables o vctimas, simplemente con la finalidad de construir indicadores que puedan orientar en qu direccin se debe avanzar, y las medidas de prevencin que se deben adoptar. La concienciacin y formacin del usuario respecto a los usos y abusos de Internet debe ser una prioridad. Esta debe ser suministrada de un modo planificado, y dirigida a la sociedad en su conjunto, por lo que resulta necesario el apoyo pblico en todo caso. Hoy en da, hay numerosas fuentes donde obtener esta informacin, pero todos son pequeos esfuerzos individuales, que slo abordan aquella parte que les puede afectar particularmente, segn el tipo de agente del que se trate. Resulta sorprendente que los usuarios residenciales tienen una menor percepcin del riesgo que los propios expertos. Esto podra explicarse por un desconocimiento de la realidad en la que viven inmersos. A pesar de que muchos son conscientes de los fraudes que existen en Internet no parecen tomar las medidas de seguridad imprescindibles para poder desenvolverse dentro de la Red con garantas, por falta de formacin, de concienciacin o simplemente porque lo asumen con resignacin. Algunos expertos, tanto en el sector financiero, como en otros sectores creen que se debe de ampliar el concepto de phishing hacia un concepto ms global de fraude online. Existen nuevas tcnicas que en realidad son variaciones del phishing tradicional. Recientemente, han aparecido casos de phishing tradicional en diferentes pases, pero en un nuevo escenario: la telefona IP y la telefona mvil (vishing), junto con la recepcin de sms (smishing). Otro factor fundamental, es la profesionalizacin del fraude, desde la delincuencia cotidiana, hasta las mafias, y el crimen organizado dentro de la Red. Esta organizacin ha permitido una mayor sofisticacin, y desarrollo tecnolgico en los mecanismos de fraude a travs de una coordinacin, e intercambio de informacin entre los malhechores. La introduccin de nuevas medidas tecnolgicas ha producido como resultado que el fraude se desplace de un sitio a otro. Un ejemplo claro es el fenmeno del phishing. Se ha comprobado que el fraude se mueve de una entidad a otra, dependiendo de la vulnerabilidad de las medidas de seguridad instauradas. Para intentar paliar el problema de seguridad, es imprescindible la coordinacin entre todos los agentes implicados. Ninguna solucin es vlida, si slo se aborda desde un nico mbito, ya sea desde un punto de vista social, tecnolgico o legal. La lucha contra el fraude en la Red, tiene que ser una prioridad de todos los intervinientes: usuario residencial, empresas y administracin.

A pesar de este objetivo comn, no es tarea fcil establecer acuerdos, y polticas consensuadas de actuacin, ya que estn presentes intereses, principalmente econmicos e incluso polticos, que existen en Internet. Estos intereses, normalmente contrapuestos, entorpecen los esfuerzos de mejora de cara a solventar el problema. Desde los diferentes agentes se reclama la presencia de una entidad pblica que coordine las diferentes medidas, que cada uno parece estar adoptando por su cuenta y riesgo. Es necesario establecer un marco en el que se definan unas mnimas reglas de juego, en las que los participantes conozcan sus derechos y obligaciones. Por otro lado, las medidas no se pueden establecer unilateralmente, es imprescindible una cooperacin y un compromiso, al menos a nivel europeo. Esto incluye, en todo caso, la armonizacin de la legislacin, tipificacin, intercambio de informacin, procedimiento judicial, y actuacin policial. Por ello, finalmente, desde los diferentes agentes se reclama la presencia de una figura que dinamice todo el proceso de mejora de la seguridad en Internet: es necesario que este ente rena, en un espacio imparcial, a todos los agentes y se anen esfuerzos en la misma direccin tanto preventivos como reactivos. As, se considera que ese ha de ser la Administracin, quien cumpla esa labor de tutelaje y coordinacin.

LINCOGRAFIA

y y

http://www.monografias.com/trabajos23/phishing/phishing.shtml http://www.spamspam.info/2009/09/03/nuevo-caso-de-phishingrelacionado-con-bbva-septiembre-2009/ http://www.canal-ayuda.org/a-virus/phishing.htm http://www2.bakersfieldcollege.edu/mrozell/documents/Phishing_new.pdf

y y