Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TESIS
AUTOR
JHON
ASESOR
Dr. JORGE VICTOR MAYHUASCA GUERRA
Lima - Perú
2023
2
DEDICATORIA
3
AGRADECIMIENTO
4
ÍNDICE GENERAL
CARÁTULA…………………………………………………………………………..i
DEDICATORIA ii
AGRADECIMIENTO iii
ÍNDICE GENERAL iv
LISTA DE CUADROS vi
RESUMEN viii
ABSTRACT ix
RESUMEN...................................................................................................................9
1. INTRODUCCIÓN..................................................................................................11
1.1 Formulación del problema...........................................................................13
1.1.1 Problema general..................................................................................13
1.1.2 Problemas específicos...........................................................................13
1.2 Justificación de la investigación..................................................................13
1.2.1 Justificación teórica..............................................................................13
1.2.2 Justificación práctica............................................................................14
1.2.3 Justificación metodológica...................................................................14
1.2.4 Justificación social................................................................................14
1.3 Objetivos......................................................................................................15
1.3.1 Objetivo general....................................................................................15
1.3.2 Objetivos específicos............................................................................15
2 MARCO TEÓRICO...........................................................................................16
2.1 Marco Filosófico de la investigación...........................................................16
2.2 Antecedentes de investigación.....................................................................17
2.3 Estado del Arte.............................................................................................20
2.4 Modelos de referencia..................................................................................39
2.5 Modelo Propuesto........................................................................................57
2.6 Bases teóricas...............................................................................................61
2.6.1 Delitos informáticos..............................................................................61
2.6.2 Características de los delitos informáticos..........................................62
2.6.3 Phishing................................................................................................63
5
LISTA DE CUADROS
No se encontraron entradas de tabla de contenido.
7
LISTA DE FIGURAS
No se encuentran elementos de tabla de ilustraciones.
8
RESUMEN
ABSTRACT
. This research aims to develop a model to mitigate computer fraud
targeting clients of the financial system. The model has been designed taking
into consideration the constant increase in cyberattacks using modalities
such as Phishing, Vishing, SIM swapping, and Fake App. These attacks
compromise the personal data and assets of banking clients. The proposed
model is named Sectrabank and has been implemented following a thorough
study of the process of a computer fraud attack. This model utilizes the
client's fingerprint and the International Mobile Equipment Identity (IMEI)
number as unique characteristics of the user and the mobile device,
respectively. Additionally, geolocation is employed to validate electronic
transactions through mobile banking.
Keywords: bank scam, phishing, smishing, vishing, fake app, SIM swapping.
10
1. INTRODUCCIÓN
el mundo han realizado extensos estudios para analizar los patrones, las
financiero en el Perú.
Figura 1.
años
Nota. Se puede observar como las denuncias se incrementan progresivamente. Elaboración propia.
Figura 2
12
Nota. El phishing es la modalidad de ataque más reportada en el territorio peruano. Elaboración propia.
1.3 Objetivos
2 MARCO TEÓRICO
tema.
18
métricas como precisión y errores. Los resultados mostraron que J48 obtuvo
20
batería.
sistema obtuvo una tasa de reconocimiento del 72%. Esto significa que
electrónica.
desarrollaron
de protección.
modalidad de ataque Fake App del tipo ANUBIS el cual fue evaluado
ataques APT de alto perfil que utilizaron los ejemplos de APT presentes en
el conjunto de datos. ANUBIS utiliza una red neuronal bayesiana (BNN) para
empresarial.
fraudulentos. Se utilizó una muestra de 4000 URLs, de las cuales 2000 eran
exactitud. El mejor modelo fue random forest con una exactitud de detección
phishing dirigido.
28
fue una red neuronal profunda que alcanzó una precisión del 95%, una
transacciones sospechosas.
Figura X
.
2.4.2 Modelo del sistema híbrido de aprendizaje automático para
resolver tareas de detección de fraude
Figura X.
Arquitectura general del modelo
41
Nota: El gráfico representa la arquitectura general del modelo el cual es un modelo híbrido.
Extraído de “Hybrid machine learning system for solving fraud detection tasks” (p. 3) , por
Vynokurova, O., Peleshko, D., Bondarenko, O., Ilyasov, V., Serzhantov, V., & Peleshko, M. ,
2020, IEEE Third International Conference on Data Stream Mining & Processing (DSMP) (pp.
1-5). IEEE
Figura X.
Arquitectura detallada del modelo implementado.
Figura X.
Proceso de
detección
de fraude con
tarjetas de crédito
utilizando
inteligencia
artificial
43
Nota: El gráfico representa el proceso de detección de fraude con tarjetas de crédito utilizando
inteligencia artificial . Extraído de “A conceptual model for the use of artificial intelligence for
credit card fraud detection in banks.” (p. 3) , por Nkomo, B. K., & Breetzke, T. , 2020 ,
Conference on Information Communications Technology and Society (ICTAS) (pp. 1-6). IEEE.
2.4.2 Modelo Prevención del fraude en la caja SIM mediante la toma de huellas
dactilares del modelo de dispositivo
Figura X.
Nota: Extraído de “ Preventing SIM Box Fraud Using Device Model Fingerprinting ” (p. 3) , por
Priya, Oh, B., Ahn, J., Bae, S., Son, M., Lee, Y., Kang, M., & Kim, Y. , 2023 , NDSS
Symposium.
Figura X.
Protección contra ataques de phishing en el sistema de banca móvil a nivel de
autenticación
Nota: El gráfico muestra como AntiPhiMBS-Auth logra proteger a los usuarios para la
autenticación en el sistema bancario . Extraído de Preventing SIM Box Fraud Using
Device Model Fingerprinting ” (p. 370) , por Oh, B., Ahn, J., Bae, S., Son, M., Lee, Y.,
Kang, M., & Kim, Y. , 2023 ,en NDSS Symposium.
Figura X.
Protección contra ataques de phishing en el sistema de banca móvil a nivel de
autenticación
Nota: El gráfico muestra que AntiPhiMBS protege a los usuarios para la autenticación en el
sistema bancario . Extraído de Preventing SIM Box Fraud Using Device Model
Fingerprinting ” (p. 370) , por Oh, B., Ahn, J., Bae, S., Son, M., Lee, Y., Kang, M., & Kim, Y.
, 2023 ,en NDSS Symposium.
Figure X
Arquitectura de HearMeOut .
48
Nota: Extraído de Preventing SIM Box Fraud Using Device Model Fingerprinting ” (p. 370) ,
por Oh, B., Ahn, J., Bae, S., Son, M., Lee, Y., Kang, M., & Kim, Y.
, 2023 ,en NDSS Symposium.
servicios de localización
.
54
SMiShing
pero Naive Bayes tiene menos falsos negativos, por lo que puede ser
Nota: El gráfico señala el proceso que pasan los mensajes para posteriormente pasar
al entrenamiento del modelo de machine learning. Extraído de B. E. Boukari, A. Ravi
and M. Msahli, "Machine Learning Detection for SMiShing Frauds," 2021 IEEE 18th
Annual Consumer Communications & Networking Conference (CCNC), Las Vegas,
NV, USA, 2021, pp. 1-2, doi: 10.1109/CCNC49032.2021.9369640.
2.6.3 Phishing
Se entiende como la suplantación de identificación, es una
concepción informática que designa un modelo de injusticia virtual y que se
realiza por medio del uso de un tipo de ingeniería social, representado por
pretender obtener información personal de forma engañosa. (Jaramillo,
2019)
Se considera como la llamada ingeniería social. En donde esta
práctica se enfoca en la manipulación de individuos a través de diversas
técnicas psicológicas o prácticas conseguidas, conformes a la naturaleza
humana. De esta forma se expiden numerosos mensajes por medio del
correo electrónico, perspicazmente redactados requiriendo información
privada. Asimismo, pueden añadir archivos ilícitos en postales,
memorándums de cumpleaños, promociones, cancelaciones, etc; debe ser
atrayente para ser descargado. (Aredo, 2021)
2.6.5 Seguridad
Es la ausencia de inseguridades o a la confianza en algo o en alguien,
pero este componente puede considerarse para diversos sentidos de
acuerdo al área en el que haga una concepción la seguridad, no obstante,
en cualquiera contexto se tendrá el objetivo de valorar, examinar y
administrar los riesgos en la que esta se halla experimentado. (García, 2017)
● En mensajes.
● Medios de locución.
● Proyecciones.
● Contenida en correos.
● Almacenada en la nube
2.6.14 Estrategias
Permiten asegurar la administración operativa, sujetando como
consecuencia el suceso de ser víctima de una estafa, esto es dable debido a
la relación contrapuesta que tienen el control interno y los fraudes. Se
71
● Smishing. Sssssssss
● Vishing. Sssssssss
72
● SIM swapping.
● Fauerza Bruta
● Fake App
3 METODOLOGÍA
3.1 Tipo y diseño de investigación
4 RESULTADOS Y DISCUSIÓN
4.1 MVP
Se adjuntan imágenes de los avances en el desarrollo de la aplicación
76
5 CONCLUSIONES
79
6 RECOMENDACIONES
80
7 REFERENCIAS BIBLIOGRÁFICAS
Abanto, W. (2014). Diseño y desarrollo del proyecto de investigación.
https://www.academia.edu/30430586/DISE
%C3%91O_Y_DESARROLLO_DEL_PROYECTO_DE_INVESTIGACI
%C3%93N_GU%C3%8DA_DE_APRENDIZAJE
Acosta, M, Benavides, M. y García, N. (2020). Delitos informáticos:
Impunidad organizacional y su complejidad en el mundo de los
negocios. Revista venezolana de Gerencia, 25(89), pp. 351-368.
https://biblat.unam.mx/es/revista/revista-venezolana-de-gerencia/artic
ulo/delitos-informaticos-impunidad-organizacional-y-su-complejidad-
en-el-mundo-de-los-negocios
Álvarez, M. y Ladino, D. (2021). Análisis preliminar de la ciberseguridad
asociada al sistema financiero en algunos países de Latinoamérica y
la contribución de la informática forense. Cuaderno de
investigaciones: semilleros andina, 1(14).
https://revia.areandina.edu.co/index.php/vbn/article/download/1950/18
73
Archer, M., Bhaskar, R., Collier, A., Lawson, T., & Norrie, A. (Eds.). (1998).
Critical Realism: Essential Readings (1st ed.).
Routledge.https://internationalcentreforcriticalrealism.files.wordpress.c
om/2013/04/archer-et-al_cr-essential-readings-1998-bhaskar-genl-
intro.pdf
Aredo, L. (2021). El phishing y su vulneración a la protección de datos
personales en los delitos informáticos. [Tesis de grado, Universidad
Cesar Vallejo]. Repositorio Institucional UCV.
https://repositorio.ucv.edu.pe/bitstream/handle/20.500.12692/80920/
Aredo_LLA-SD.pdf?sequence=1
Aslan, O., Ozkan-Okay, M. & Gupta, D. (2021). Intelligent Behavior-Based
Malware Detection System on Cloud Computing Environment. IEEE
Access, 9, 83252-83271.
https://doi.org/10.1109/ACCESS.2021.3087316
Baena, G. (2017). Metodología de la investigación (3a. ed.).
http://www.biblioteca.cij.gob.mx/Archivos/Materiales_de_consulta/Dro
81
gas_de_Abuso/Articulos/metodologia%20de%20la
%20investigacion.pdf
Benavides, E., Fuertes, W., Sanchez, S. y Nuñez, D. (2020). Caracterización
de los ataques de phishing y técnicas para mitigarlos. Ataques: una
revisión sistemática de la literatura. Ciencia y Tecnología, 13(1).
https://revistas.uteq.edu.ec/index.php/cyt/article/download/357/407
Bermúdez, A., y López, J. (2022). Modelo de seguridad informática basada
en prospectiva para mejorar la protección de la red informática de la
Sunat – Lima [Tesis de pregrado, Universidad Nacional del Santa].
https://hdl.handle.net/20.500.14278/4196
Bernal, C. (2010). Metodología de la investigación administración, economía,
humanidades y ciencias sociales. https://abacoenred.com/wp-
content/uploads/2019/02/El-proyecto-de-investigaci%C3%B3n-F.G.-
Arias-2012-pdf.pdf
Bosch, M. y Cavalotti, R. (2016). ¿Es posible una definición de integridad en
el ámbito de la ética empresarial? Revista empresa y humanismo,
19(2), 51-68. https://dadun.unav.edu/bitstream/10171/41784/1/02.pdf
Cabezas, E., Andrade, D. y Torres, J. (2018). Introducción a la metodología
de la investigación científica.
http://repositorio.espe.edu.ec/xmlui/bitstream/handle/21000/15424/
Introduccion%20a%20la%20Metodologia%20de%20la
%20investigacion%20cientifica.pdf?sequence=1&isAllowed=y
Cañar Cuevas, J. A., & Patiño Dorado, L. A. (2021). Modelo informático
aplicado a la ciberseguridad de dispositivos IoT [Proyecto de
investigación, Biblioteca Digital Minerva].
http://hdl.handle.net/10882/10773
Casimiro, M. y Coelho, A. (2019). The antecedents of corporate reputation
and image and their impacts on employee commitment and
performance: The moderating role of CSR. Corporate Reputation
Review, 22(1), pp. 10-25. DOI: https://doi.org/10.1057/s41299-018-
0053-8.
Chávez, L. y Inoñan, O. (2014). Propuesta de mejora de los procesos
operativos de la Empresa de Confecciones Diankris. [Tesis de grado,
Universidad Católica Santo Toribio de Mogrovejo]. Repositorio
82
Institucional USAT.
https://tesis.usat.edu.pe/bitstream/20.500.12423/77/1/TL_ChavezEste
vesLuz_InonanCastilloOrnella.pdf
Danermark, B., Ekstrom, M., Jakobsen, L., y Karlsson, J. (2001). Explaining
Society: An Introduction to Critical Realism in the Social Sciences (1st
ed.). Routledge. https://doi.org/10.4324/9780203996249.
Dávila, A. y Dextre, B. (2021). Propuesta de una implementación de un
programa de gestión de vulnerabilidades de seguridad informática
para mitigar los siniestros de la información en el policlínico de salud
AMC alineado a la NTP-ISO/IEC 27001:2014 en la ciudad de Lima -
2021 [Tesis de pregrado, Universidad Tecnológica del Perú].
https://hdl.handle.net/20.500.12867/4906
Diaz, L. M. (2022). Rediseño del proceso de gestión logística para disminuir
las pérdidas económicas de la empresa Productos de Acero Cassado
Norte, 2020. [Tesis de grado, Universidad Católica Santo Toribio de
Mogrovejo]. Repositorio Institucional USAT.
http://tesis.usat.edu.pe/handle/20.500.12423/4747
Dueñas, R. (2008). Introducción al sistema financiero y bancario. Institución
López, M., Bucheli, M., Grueso, M., Oliva, D. y Jair, E. (2021). Antecedentes
de la reputación empresarial interna: el caso de una Cooperativa de
86
https://ermoquisbert.tripod.com/pdfs/concepto-delito.pdf
Macías, R., Andrade, M., Angulo, F., Loor, J., Estupiñan, G. y Vizuete, J.
(2022). Casos frecuentes, penalización y prevención de los delitos
informáticos en el Ecuador: una breve revisión sistemática. 3(2), pp.
231-243.
https://journals.sapienzaeditorial.com/index.php/SIJIS/article/view/324
Magne, J. (2021). Modelo de Ciberseguridad Corporativa en el Sistema
Bancario. INF-FCPN-PGI Revista PGI, (8), 110–114.
Mansilla, D. (2021). Implementación de programas de cumplimiento en
ciberseguridad como una práctica de buen gobierno corporativo en las
entidades que forman parte del sistema financiero peruano [Tesis de
maestría, Pontificia Universidad Católica del Perú].
https://tesis.pucp.edu.pe/repositorio/handle/20.500.12404/18475
Martínez, N. (2019). Ciberseguridad y riesgo operacional en las
organizaciones [Trabajo de máster, Universidad Pontificia Comillas].
http://hdl.handle.net/11531/42317
Matos, E. (2022). Especialización de la investigación preparatoria en los
delitos de fraudes informáticos. [Tesis de grado, Universidad Cesar
Vallejo]. Repositorio Institucional UCV.
https://repositorio.ucv.edu.pe/handle/20.500.12692/84087
87
UNESP.
http://www.cedoh.org/proyectos/FFAA/downloads/lecturas/files/defens
a.pdf
Kelvin Nkomo , B., & Breetzke, T. (2020). A conceptual model for the use of
artificial intelligence for credit card fraud detection in banks. Conference on
Information Communications Technology and Society (ICTAS), 1-6.
doi:10.1109/ICTAS47918.2020.233980
Mishra, S., & Soni, D. (2020). Smishing Detector: A security model to detect
smishing through SMS content analysis and URL behavior analysis. Future
Generation Computer Systems, 108, 803-815.
doi:https://doi.org/10.1016/j.future.2020.03.021.
Narayan Thakur, T., & Yoshiura, N. (2021). AntiPhiMBS-Auth: A New Anti-
phishing Model to Mitigate Phishing Attacks in Mobile Banking System at
Authentication Level. Database Systems for Advanced Applications.
DASFAA, 12680, 365-380. doi:10.1007/978-3-030-73216-5_25
Nwabuwe, A., Sanghera, B., Alade, T., & Olajide, F. (2023). Fraud Mitigation in
Attendance Monitoring Systems. International Journal of Advanced
Computer Science and Applications, 14(4), 938-945.
doi:10.14569/IJACSA.2023.01404104
Oh, B., Ahn, J., Bae, S., Son, M., Lee, Y., Kang, M., & Kim, Y. (2023). Preventing
SIM Box Fraud. NDSS Symposium, 1-18. Obtenido de https://www.ndss-
symposium.org/ndss-paper/preventing-sim-box-fraud-using-device-model-
fingerprinting/
Vynokurova, O., Peleshko, D., Bondarenko, O., Ilyasov, V., Vladislav, S., & Marta,
P. (2020). Hybrid Machine Learning System for Solving Fraud Detection
Tasks. IEEE Third International Conference on Data Stream Mining &
Processing (DSMP) , 1-5. doi:10.1109/DSMP47368.2020.9204244.
Kim, J., Kim, J., Wi, S., Kim, Y., & Son, S. (2022, June). HearMeOut: detecting
voice phishing activities in Android. In Proceedings of the 20th Annual
International Conference on Mobile Systems, Applications and Services (pp.
422-435). doi: 10.1145/3498361.3538939
93
8 ANEXOS
94
Técnica de
Problemas Objetivos Hipótesis Variable Dimensión Indicador
recolección de datos
Problema general Objetivo general Hipótesis general Gestión de cuentas de usuario y
Gestión de
contraseñas
Identidad y
¿Cómo puede Desarrollar un modelo El modelo informático Detección de intentos de acceso no
Acceso
desarrollarse un modelo informático para mitigar desarrollado mitiga los autorizado.
informático para mitigar los ataques informáticos ataques informáticos Detección de malware en tiempo real
los ataques informáticos dirigidos a los clientes del dirigidos a los clientes Prevención de
dirigidos a los clientes del sistema financiero del del sistema financiero ataques Malware Tiempo de respuesta para la eliminación
VI. Modelo de malware en sistemas críticos
sistema financiero del Perú. del Perú. informático Mitigación de ataques DDoS
Perú? Resiliencia a
Objetivos específicos Hipótesis especificas Ataques DDoS Tiempo de recuperación de servicios
Problemas específicos afectados por ataques DDoS.
Describir como el modelo El modelo informático Tiempo para resolver incidentes de
¿El modelo informático informático permitirá previene el Phishing y Gestión de seguridad
permitirá prevenir el prevenir el Phishing y la la suplantación de incidentes Restauración de servicios después de un
Phishing y la suplantación suplantación de identidad identidad de los incidente.
de identidad de los de los usuarios del usuarios del sistema Prevención de Tasa de detección de correos
usuarios del sistema sistema financiero del financiero del Perú. Phishing y electrónicos de phishing y sitios web
financiero del Perú? Perú. falsos.
Suplantación de
El modelo informático Número de usuarios que han caído en
Identidad ataques de phishing
¿El modelo informático Determinar si el modelo mejora la protección
permitirá mejorar la informático permitirá contra malware y virus
Número de dispositivos protegidos contra
protección contra malware mejorar la protección que atacan a los
malware y virus
y virus que atacan a los contra malware y virus usuarios del sistema VD. Ataques Protección contra
usuarios del sistema que atacan a los usuarios financiero del Perú. informáticos a Malware y Virus
Tasa de éxito en la eliminación de
financiero del Perú? del sistema financiero del los clientes
malware en dispositivos de usuarios
Perú. El modelo informático
¿El modelo informático brindará Porcentaje de dispositivos actualizados
permitirá tener Identificar si el modelo actualizaciones y Actualizaciones y con las últimas correcciones de
actualizaciones y parches informático permitirá tener parches de seguridad seguridad.
de seguridad a los actualizaciones y parches a los usuarios del Parches de
usuarios del sistema de seguridad a los sistema financiero del Seguridad Tiempo promedio para aplicar parches de
financiero del Perú? usuarios del sistema Perú. seguridad en dispositivos
95