Amenazas al comercio electrónico

Ante las grandes amenazas que se encuentran en el e-commerce -comercio electrónico-, es

importante que conozcamos el concepto, sus alcances, sus tipologías y su normativa
vigente a fin de poder saber ante qué debemos estar prevenidos si queremos comprar o
extraer dinero de cuentas online o a través de cajeros automáticos (ATM).

Tipologías delictivas

Referencias
LECCIÓN 1 de 2

Tipologías delictivas

En este apartado nos ocuparemos de ciertas amenazas que crecen día a día por la falta de información y de políticas
de concientización por parte de las empresas del sector hacia los usuarios. Por otra parte, hablamos del consumidor,
quien hoy en día cuenta con una personalización de operaciones mucho más visible a través de internet y eso
conlleva, claramente, riesgos a sus datos personales. En estos tiempos, el objetivo de la empresa no es solo
maximizar beneficios, sino también ir cambiando la interacción con el cliente de manera segura. Por todo lo
anteriormente mencionado, acompañaremos a Vincent en un recorrido por las amenazas que orbitan en el ámbito del
comercio electrónico; amenazas no menores que sin duda debemos identificar para poder estar mejor preparados en
su tratamiento y frente a amenazas concretas y reales.

En estas líneas nos ocuparemos específicamente del phishing, smishing,

pharming, carding, skimming y ransomware, pero debemos recordarle a
Vincent que existen otros tipos de ataque que debe conocer a fin de que su
empresa se encuentre resguardada frente a estos fenómenos.

Phishing

Vincent empieza a preguntarse sobre el fenómeno del phishing pero no lo alcanza a entender, es por ello que cuenta
con el asesoramiento de su compañero de trabajo Mikko, quien lo va ayudar a entender estas amenazas. En primer
lugar, debemos hablar de que el phishing, dentro de los ciberdelitos, es el que tiene mayor incidencia tanto en
Latinoamérica como en el resto del mundo. También llamado pesca de información, Mikko la define como una
práctica de manipulación que consiste en el envío de correos electrónicos que simulan originarse en fuentes de buena
reputación con el objetivo de influir u obtener información personal de la víctima.

Mikko señala que es una técnica que necesita cierto ardid para lograr
inducir el error en el objetivo. Este método se basa en contactar a un
sinnúmero de personas, ya sea directa o indirectamente, y simular ser
parte de una entidad bancaria o de una entidad de prestigio (imitan a la
perfección el mail, el logo y su estructura de correo).

Vincent, aún sin entender, decide pedir un ejemplo, a lo que Mikko le presenta el siguiente: El ciberdelincuente, con
ánimo de inducir al error de las víctimas, a través de un correo electrónico simula pertenecer al banco “ARGENTA”
y lo envía a su objetivo; en este caso,al CEO de la empresa Lácteos S.R.L.: Vincent. En el cuerpo de dicho correo se
le notifica que, debido a problemas técnicos con el servidor, se lo invita a que actualice en el menor tiempo posible
ciertos datos sensibles y se le sugiere, para este caso, que acceda a un link de enlace del supuesto banco. Seguido, en
este caso, Vincent, como usuario y sin conocer este tipo de ciberamenazas, ingresa al enlace provisto previamente, el
que lo lleva a ingresar a un sitio que parece ser del banco ARGENTA pero que en realidad es un sitio que simula ser
el real. Es en ese momento en el que Vincent ingresa todos los datos requeridos: usuario, contraseña, clave de
seguridad y otros datos de interés. Claro que una vez que hace clic en aceptar la misma, esa página se actualiza y lo
redirige a la página oficial. En este caso, Vincent pensará,en esos milisegundos, que los datos no se han actualizado y
ahora al estar frente al sitio real del Banco ARGENTA nuevamente se le solicitará que ingrese los datos para ingresar
a su homebanking.

Mikko decide desentrañar el modo que tiene de operar del ciberdelincuente. Lo primero que éste realiza es captar la
atención en el mensaje, debido a que provenía, según su estructura e imagen, de una fuente real. Por otro lado, sigue
con la atención en dicho mensaje y comienza a utilizar la alerta del problema técnico, lo que genera cierto miedo en
la víctima de perder dinero. Cabe mencionar que, en este ínterin, la víctima no se percata que el banco bajo ninguna
circunstancia pediría actualizar los datos del homebanking. Por último, cabe mencionar que Vincent, al ingresar al
sitio y ver que éste es “real”, su confianza sigue intacta, por lo cual él nunca sospechó de todo lo que había sucedido
en cuestión de segundos.
Si seguimos con los detalles de esta operatoria, vemos que luego de ingresar
los datos sigue sin sospechar del timo, ya que el sitio se actualiza pero
muestra la misma imagen. Luego, al intentar de nuevo, finalmente logra
acceder a su cuenta.

Mikko también le dice a Vincent que el ciberdelincuente nunca va a realizar una operación inmediatamente luego de
lograr obtener los datos de la víctima, sino que lo realizará pasadas las horas. Es a partir de ese momento que
comienza el fraude, por ejemplo usar datos sensibles de la empresa la Lácteos S.R.L. para realizar operaciones (Ver
Figura 1).

Figura 1. Un caso de phishing

 Fuente: Luque Guerrero, 2005, https://goo.gl/MPEQRi

En razón de lo anterior, nuestro experto en informática le hace saber a Vincent que este tipo de operaciones también
pueden realizarse a través de mensaje de texto, lo que se conoce como modalidad: smishing. Ésta se define como una
práctica de manipulación que consiste en el envío de mensajes de texto que simulan originarse en números de
personas reales y de buena reputación con el objetivo de influir u obtener información personal de la víctima.
En efecto, esto sucede en innumerables casos. Ejemplifiquemos con Vincent: supongamos que una mañana el CEO
recibe un mensaje de un número desconocido que le indica que se ha ganado un premio y debe contestar dicho
mensaje para seguir con los detalles. En esta tipología pueden darse 2 situaciones: se busca obtener los datos
personales de la víctima o, a través de utilización de técnicas avanzadas, se busca obtener crédito del operador de
telefonía para ser transferidos a números de ciberdelincuentes (ver Figura 2).

Figura 2. Caso típico de smishing:

Fuente: [Imagen sin título sobre smishing], 2016, https://goo.gl/ecLRiR

Otra técnica que utilizan los ciberdelincuentes es la llamada modalidad de vishing. En este caso, según Mikko, es una
práctica que tiene como fin el obtener información o pretender influir en la acción a través del uso telefónico. Esta
técnica utiliza métodos de manipulación que hemos visto en módulos anteriores y es muy útil para conseguir
información, incluso información que la víctima no pensaba que estaba dando (Ver Figura 3).

Figura 3. Tips del vishing:

 Fuente: [Imagen sin título sobre la prevención de delitos cibernéticos]. (s.f.), https://goo.gl/PcTcQr

Siguiendo con las enseñanzas de Mikko hacia Vincent, nos encontramos con el caso de pharming, una práctica que
consiste en redirigir un nombre de dominio de otro con el objeto de inducir al error a la víctima. Supongamos que
Mikko nos dice que Vincent, al intentar ingresar en el navegador el dominio del banco, sin darse cuenta ingresa a un
dominio falso creado por un ciberdelincuente. Este dominio aparenta ser el verdadero. El delincuente se aprovecha
de la vulnerabilidad en el servidor DNS del sitio para redireccionar a la víctima y así conseguir información
confidencial de Vincent (ver Figura 4).

Figura 4. Proceso del pharming

Fuente: BustaThief, s.f., https://goo.gl/ArgMSB

Como se puede ver, son todas técnicas de engaño que tienen la finalidad de obtener el dinero de los clientes.Por otra
parte, Mikko le comenta a Vincent sobre el fenómeno de carding y el de skimming, técnicas muy conocidas. Para
empezar, Mikko se refiere a skimming, que es un proceso que consiste en obtener ilegítimamente a través de técnicas
especiales la información que posee la banda magnética de una tarjeta. La idea es utilizar elementos que permitan el
copiado de la información de la banda magnética. Un ejemplo de esto sería si Vincent fuese a un cajero a retirar
dinero, ya que debe realizar una operación para la empresa y al momento de ingresar la misma al lector del cajero,
sin darse cuenta, estuviese el cajero intervenido por un dispositivo externo al banco que extrae la información de
Vincent. Entonces, nos hacemos la siguiente pregunta: ¿para qué sirve esa información? La respuesta nos lleva a
decir que dicha información luego será utilizada en el proceso de carding, es decir, duplicar la información obtenida
en otra tarjeta, en una tarjeta denominada ‘blanca’. Estas modalidades, como bien señala Mikko, permiten realizar
transacciones con la tarjeta o ser vendidas en el mercado negro (ver Figuras 5 y 6).

Figura 5. Skimming en cajeros automáticos

  


 

Dispositivo colocado en la entrada al cajero

 

La información de la tarjeta es introducida a una tarjeta en blanco para luego ser utilizada en cualquier operación.
 

El clonador retira el dispositivo de la puerta y transfiere todos los datos de la tarjeta a una computadora.
 

Al pasar la tarjeta por el dispositivo, este lee la información de la misma.

 

el usuario utiliza su tarjeta para ingresar al cajero

Fuente: [Imagen sin título sobre técnica de skimming]. (s.f.). Recuperado de https://goo.gl/1PS8AK

Figura 6. Proceso de carding o clonación

 Fuente: El Heraldo, 2016, https://goo.gl/58ZUWe

Antes de afectar el cerebro de Vincent por tanta información, debemos enseñarle sobre el caso de ransomware, y que
ya hemos introducido el tema en unidades anteriores. Mikko nos dice que el ransomware o rescate de información es
un malware diseñado para lograr restringir el acceso a un equipo o dispositivo, con la contraprestación de pedir
rescate a cambio de dejar el equipo sin afectación. Este accionar puede afectar archivos o determinadas particiones,
esto depende de si la información se encuentra en algún disco o en un servidor. Vincent ya había leído de esta técnica
y sabe que permite grandes ganancias para el ciberdelincuente así como también le da acceso a mucha información
que puede ser vendida. Asimismo fue una de las técnicas que los ciberdelincuentes quisieron utilizar en su empresa y
no lo lograron gracias a la intervención de Mikko. Por último, cabe mencionar que es una técnica muy utilizada hoy
en día por los ciberdelincuentes, ya que, de esta manera, no solo logran réditos económicos, sino que también
acceden a información confidencial que puede ser comercializada en el mercado negro (ver Figura 7).

Figura 7. Ejemplo de un ransomware Wanacry

Fuente: Zaharia, 2017, https://goo.gl/s0KnwQ

En conclusión, a lo largo de esta unidad hemos visto las diferentes amenazas que se encuentran en el mundo del e-
commerce y cómo, de una u otra forma, los usuarios deben estar prevenidos, ya que son posibles víctimas de
ciberdelitos; en especial Vincent a través de su empresa. Por otra parte, da pie a preguntarse: ¿qué pasa con la
información recolectada por los ciberdelincuentes?, ¿hacia dónde va a parar?, ¿dónde se comercializa? y ¿ qué
métodos utilizan? Esos y otros interrogantes se tratarán de aclarar para Vincent en capítulos siguientes.
En base a lo anterior, los invitamos a realizar la siguiente actividad de refuerzo:

¿A qué tipo de accionar corresponde el siguiente concepto: “Proceso de reorientación de

los usuarios de una copia fraudulenta de un sitio web legítimo, una vez más, con el
objetivo de robar datos personales y contraseñas para fines delictivos”?

Pharming: metodología de fraude que se utiliza para robar información de los usuarios.

Phishing: metodología de fraude que se utiliza para obtener datos bancarios de los usuarios.

Vishing: metodología de fraude que se utiliza para obtener información de un usuario vía
telefónica.

Ransomware: metodología de extorsión en la cual, una vez que se instala un malware en la

computadora del usuario, el malware hace que se bloquee la computadora y se pida un rescate
por los datos.

SUBMIT
LECCIÓN 2 de 2

Referencias

[Imagen sin título sobre la prevención de delitos cibernéticos]. (s.f.). Recuperado de

https://pbs.twimg.com/media/DKCVc2CU8AAe0U3.jpg

[Imagen sin título sobre smishing]. (2016). Recuperado de http://www.prensabancopacifico.ec/que-es-smishing/

[Imagen sin título sobre técnica de skimming]. (s.f.). Recuperado de Recuperado de

https://pbs.twimg.com/media/Bj5l5QDCMAASK0Z.jpg

BustaThief. (s.f.). What Is Pharming – DNS Poisoning. Recuperado de http://www.bustathief.com/what-is-

pharming-dns-poisoning/

El Heraldo. (2016). Infografía: Así es el proceso de clonación de tarjetas [imagen]. Recuperado de

https://www.elheraldo.co/infografias/infografia-asi-es-el-proceso-de-clonacion-de-tarjetas-284324

Luque Guerrero, J. M. (2005). Qué es el phishing y cómo protegerse. Recuperado de

https://seguridad.internautas.org/html/451.html

Zaharia, A. (2017). What is Ransomware – 15 Easy Steps To Protect Your System. Recuperado de
https://heimdalsecurity.com/blog/what-is-ransomware-protection/