Estudio de las Conductas Delictivas de la Clonacion de Paginas Web:

Phishing y Pharming

Universidad Escuela Libre de Derecho

Curso de Delitos Informaticos
Doctorandos:
José Rodrigo Solórzano Conejo
Luis Diego Jimenez

1
 Introduccion

• Terminología Importante a Resaltar:

• DNS

• Server

• Firewall

2
 Informatica

- Definición: proviene del francés informatique, conjunción

entre Information y Automatique.

- Automatizacion de la Informacion, ordenamiento según las

funciones requeridas.

3
- Z3: Konrad Zuse en 1941, 1000 kilogramos, 3 segundos para la
multiplicacion y division, suma y resta en 0.7 segundos

- Hardware: Maquinaria fisica del conjunto operacional

• Software: Lo intangible, es el programa o programas para el

correcto funcionamiento.
 Derecho Informatico

• Nuevas Relaciones, Interpersonales y tambien entre empresas.

• Regulacion de carácter jurídico

• Normas Jurídicas: Creacion, desarrollo, uso, aplicación. Raul

Martin Martín. Conceptos de Derecho Informatico.
 Delitos informaticos

• Definicion: “La acción delictiva que realiza una persona,

con la utiizacion de un medio informatico o lesionando los
derechos del titular de una elemento informaticoa, se trate
de las maquinas – hardwares – o de los programas –
software – “. Delitos Informáticos, Carlos Chinchilla Sandí.

6
• Hilda Callegari: “aquel que se da con la ayuda de la
informática o de técnicas anexas.”

• Carlos Zarzana: “cualquier comportamiento criminal en que la

computadora está involucrada como material, objeto o mero
símbolo”

• Rafael Fernandez Calvo: “la realización de una acción que,

reuniendo las características que delimitan el concepto de
delito, se ha llevado a cabo utilizando un elemento informático
o telemático contra los derechos y libertades …”
• Comportamiento no etico

• Antijuridico

• No autorizado

• Transmision de datos

• Procesado Automatico de datos

• Tipico: Tipico, antijuridico y culpable.

• Atipico: Actitudes Ilicitas

 Phishing

Phising Fishing Morder el anzuelo

I. Usurpación de identidad

 Modalidad delictiva destinada a usurpar la identidad de

una persona.

 Antes de ser un delito informático, ya era una modalidad

delictiva que se llevaba a cabo a consecuencia del robo de
documentos personales como DNI, tarjetas de crédito,
tarjetas de débito, libretas de cheques
 Phishing
• ARTÍCULO 230. Código Penal.- Suplantación de identidad.

Será sancionado con pena de prisión de uno a tres años quien suplante la
identidad de una persona física, jurídica o de una marca comercial en cualquier
red social, sitio de Internet, medio electrónico o tecnológico de información.

Fraude con tarjetas de crédito:

 número de tarjeta,

 el código de seguridad y algún otro dato, como el domicilio o fecha de

nacimiento.
 Phishing
• II. Correos fraudulentos

 la utilización de correos falsos.

 una organización, banco o empresa verdaderas para obtener información

 aparente comunicación oficial por correo electrónico

 enlace en el mensaje de correo, guía al usuario desprevenido, hacia un sitio web

fraudulento

 contiene una página duplicada de la organización, banco, o servicio de pago en

línea, engañandolo para que ingrese sus claves personales
 Phishing
III. Llamadas telefónicas fraudulentas

 obtención de datos sensibles

 el generador de la llamada se identifica como perteneciente a un banco, o

compañía de servicios

 estafadores ya cuentan con alguna información obtenida por otros medios y

así generan cierta confianza

 llaman para confirmar datos, dando a entender que ya los tienen, e

intentarán obtener toda la información posible
 El phishing y pharming

Universidad Escuela Libre de Derecho

Programa de Doctorado
Delitos informáticos
Profesor: Dr. Carlos Chinchilla.
Doctorandos: Lic. José , Lic. Luis Diego Jiménez J.
 Phishing
IV. Robo de contraseñas de correo

 Ganar acceso a los contactos para obtener direcciones de

correo e incorporarlas a listas de correo, enviando luego de
esta forma mensajes donde el remitente aparenta ser un
contacto conocido.

 Obtener información valiosa del contenido de los mensajes,

por ejemplo, muchas veces se conservan en la bandeja de
entrada las notificaciones de habilitación de claves bancarias.
 Phishing

V. Como protegerse del robo de identidad

 Ganar acceso a los contactos para obtener direcciones de

correo e incorporarlas a listas de correo, enviando luego de
esta forma mensajes donde el remitente aparenta ser un
contacto conocido.

 Obtener información valiosa del contenido de los mensajes,

por ejemplo, muchas veces se conservan en la bandeja de
entrada las notificaciones de habilitación de claves bancarias.
 Phishing
Prevención contra el phising

• Organizar las compras y pagos para dejar las tarjetas de crédito o débito y libretas de
cheques en casa, llevarlas sólo cuando se van a utilizar en el día.

• No llevar todos los documentos en un mismo lugar, cartera, maletín, billetera, etc.

• No poner el documento personal junto con las tarjetas de crédito y débito.

• Cuando se desechen papeles en la basura revisarlos para asegurarse que no contienen

información sensible, nombre, dirección, teléfonos, etc.

• Nunca ingresar información sensible en redes sociales, incluyendo fechas de vacaciones,

detalles sobre la vida privada o de la familia, costumbres, etc.
 El pishing
 Modificar el perfil de facebook para que no se muestre
públicamente la dirección de email.

 Nunca siguir los vínculos incluidos en mensajes de correo, para

entrar al sitio del banco, o servicio, teclear la URL directamente
en la barra del explorador, o utilizar la lista de favoritos.

 Nunca abras un adjunto que no solicitaste o no estabas

esperando, aún cuando provenga de uno de tus contactos.

 Prestá atención a avisos de alerta sobre sitios sospechosos que

incorporan algunos navegadores de internet.
Phishing. Recomendaciones del BN
Phishing. Recomendaciones del BN
Phishing. Recomendaciones del BN
Phishing. Recomendaciones del
BN
Phishing. Recomendaciones del BN
 El phishing. Recomendaciones del BCR

• 1- Cuidado con los sitios, llamadas y mensajes de texto falsos ("Phishing",

"Vishing", "Smishing").

• El "PHISHING" es la creación de sitios falsos en Internet (copias similares de un

sitio real). Se envía un correo electrónico al usuario afirmando ser una empresa
relacionada, por ejemplo su banco con un mensaje amenazante o motivante, por
ejemplo:
 
"Su usuario ha caducado, favor ingresar y modificar su clave de acceso, si usted no
lo hace, el BCR no se hará responsable." 

• "Usted ha sido incluido en el concurso "un millón de colones" por favor ingrese y
active su participación." 

• El correo electrónico incluye un enlace (link)  para hacer "click" el cual envía al
usuario al sitio falso.
 Phishing
Recomendaciones del BCR
• El “VISHING" y "SMISHING" consisten en realizar llamadas telefónicas o el
envío de mensajes de texto en donde solicitan y convencen a los usuarios de
entregar información confidencial tal como número de cuenta, PIN, clave de
acceso, código de seguridad y otros con los cuales posteriormente pueden
efectuar el fraude.

• El “DNS poising”: utiliza tipos de virus a fin de que cuando el usuario digite la

dirección del sitio de banca electrónica, este sea automáticamente redirigido a un
sitio falso, en donde se captura la información confidencial del usuario.

• El “TAP-Napping”: utiliza tipos de virus a fin de que cuando un

usuario accesa a diferentes sitios Web de forma simultanea, aprovecha la
desconcentración del usuario y redirecciona las paginas no activas a sitios falsos.
 Recomendaciones del BCR
• El sitio de banca electrónica del BCR es www.bancobcr.com.

• Siempre ingrese digitando directamente en el navegador la dirección del sitio

del Banco, verifique que la dirección fue bien digitada.

• Nunca haga “click” en enlaces de mensajes recibidos a través de correo

electrónico.

• Nunca entregue a nadie información confidencial tal como número de cuenta,

PIN, clave de acceso, código de seguridad, ni por correo electrónico, ni por
teléfono, mensajes de texto, fax, de forma personal, ni por ningún otro medio,
no existe ninguna justificación para que alguien le solicite esta información, el
BCR NUNCA le solicitará esta información.

•  
 Recomendaciones del BCR
• Lleve un registro actualizado de sus ingresos a la Oficina
Virtual (bitácora de ingresos) y cada vez que acceda a esta
verifique la fecha y hora de la última conexión a efecto de
poder detectar accesos no autorizados.

• No ingrese a otros sitios o páginas de Internet mientras está

conectado al sitio del Banco.

• Si por error ingresó a un sitio falso o entregó su clave de

acceso, ingrese al sitio oficial del BCR y bloquee su usuario
ingresando erróneamente la clave de acceso más de 3 veces.
 Pharming

• Modificacion técnica de las direcciones DNS.

• Hechas por el Pharmer

• Bancos On-Line

• Imitacion

27
• Induciendo a error

• Claves

• Transacciones
 Pharming

• Masivo

• Bloqueo, expiracion de cuenta

• Uilizacion de Keyloggers o Troyanos para recopilar

informacion y datos.

• Spoofing: Suplantacion de direcciones IP. Madiante protocolos

TCP/IP, IcMP, UpDP, TCP. (Modalidad sin acceso del usuario)
• Sitios Grandes atacados por Pahrming:

• Ebay en Alemania, joven de 16 años (2004)

• Panix, New York ISP. (2005)

• Hushmail (2005) – secure email server

• Mexico – 2008 – Servicio confiable de Tarjetas

 Recomendaciones

• ISP rango principal

• Usar ISP conocidos y de renombre

• URL, cambios minimos

• HTTP -> HTTPS

• Antivirus
Diagrama de Flujo de un Ataque

32
 Legislacion Costarricense

• Ley General de Aduanas

• Código de Normas y Procedimientos Tributarios

• Código Penal – Artículo 230

33
 Derecho Comparado

• Acta Anti-Phishing 2005, Estado Unidos – Multa de hasta

250.000 dolares y penas de hasta 5 años.

• Computer Misuse Act, 1991 – Gran Bretaña. Penas de hasta 5

años y multas.

34
 Jurisprudencia

• Resolucion 28-2014 del 5 de mayo del año 2014 del Tribunal

Contencioso Administrativo

• Resolucion 2013 – 1627, Tribunal de Apelacion de Sentencia

Penal – Segundo Circuito Judicial de San José. – Fraude
Informatico

35