Ataques Phishing y Medidas Correctivas

Este tipo de ataque suele estar mejor preparado, con detalles ms convincentes. Al avance de la tecnologa a nivel mundial se ha ido incrementando los ataques a empresas, organizaciones pblicas y privadas, lo que nos demuestra que la tecnologa no solo nos proporciona ventajas sino tambin ha permitido la sofisticacin de delitos informticos. Phishing, es uno de los delitos informticos ms conocidos, es la tcnica que consiste en solicitar informacin sensible de un usuario, es decir, informacin que vulnere su privacidad, hacindose pasar por un agente confiable. dato proporcionado por la victima y utilizarlo para operar en internet. Caso de Phishing en Panam En el 2009, todos los usuarios del Banco General recibieron la advertencia de podran convertirse en vctimas de un ataque Phishing, dado a que la pagina de este banco haba sido clonada a la perfeccin, incluyendo su banca en lnea. El Banco General dio a conocer por medio de la prensa y noticieros del pas que su sitio de internet www.bgeneral.com haba sido clonado y adverta a los usuarios no hicieran ninguna transferencia en el sitio, www.banco-general.com, luego de que se reportaran intentos de estafa a los clientes por medio de este Site. Adicional informo que en las pasadas semanas, hubo envos de correos electrnicos masivos donde supuestamente solicitaban informacin personal y sensitiva a los clientes, y le notificaban que el Banco General haba cambiado la direccin de su pgina Web e hicieron saber la nueva direccin . Desde ese entonces El Banco General aclar que nunca pide actualizacin de informacin por medio de enlaces en correos electrnicos y adicional informo que el Personal de seguridad de la entidad bancaria haba realizado los correctivos necesarios. Este caso en particular le permiti ver a los usuarios de internet en particular el peligro de proporcionar informacin sin previamente preguntar a la identidad la veracidad de esa solicitud. 1

Esta tcnica es un fraude que llena de preocupacin a los encargados de la seguridad especialmente en instituciones bancarias y gubernamentales dado a que este delito consiste en duplicar una pgina web para hacer creer al visitante que se encuentra en la pagina original en lugar de la falsa. El procedimiento consiste en aprovechar el XXS (Cross-Site Scripting), para visualizar el contenido que el usuario visualiza en su navegador. De este modo, al usuario rellenar y/o proporcionar sus datos en dicha pagina permite al estafador (hacker) obtener todo

Contraofensiva a nivel mundial

A nivel de organizaciones intergubernamentales de carcter universal, debe destacarse que en el seno de la Organizacin de las Naciones Unidas (ONU), en el marco del Octavo Congreso sobre Prevencin del Delito y Justicia Penal, celebrado en 1990 en la Habana Cuba, se dijo que la delincuencia relacionada con la informtica era consecuencia del mayor empleo del proceso de datos en las economas y burocracias de los distintos pases y que por ello se haba difundido la comisin de actos delictivos. Adems, la injerencia transnacional en los sistemas de proceso de datos de otros pases, haba trado la atencin de todo el mundo. Por tal motivo, si bien el problema principal hasta ese entonces era la reproduccin y la difusin no autorizada de programas informticos y el uso indebido de los cajeros automticos, no se haban difundido otras formas de delitos informticos, por lo que era necesario adoptar medidas preventivas para evitar su aumento. En general, se supuso que habra un gran nmero de casos de delitos informticos no registrados. Por todo ello, en vista que los delitos informticos eran un fenmeno nuevo, y debido a la ausencia de medidas que pudieran contrarrestarlos, se consider que el uso deshonesto de las computadoras podra tener consecuencias desastrosas. A este respecto, el Congreso recomend que se establecieran normas y directrices sobre la seguridad de las computadoras a fin de ayudar a la comunidad internacional a hacer frente a estas formas de delincuencia.20 Debido a esta recomendacin en Estados Unidos, pas que guarda informacin de alta seguridad de transacciones bancarias 2

mundiales, se cre El AntiPhishing Working Group, es una organizacin creada en EE.UU. para combatir este fraude, asegura que el nmero y la sofisticacin de esta estafa se est incrementando de forma dramtica y que aunque la banca on line y el comercio electrnico son muy seguros, como norma general hay que ser muy cuidadoso a la hora de facilitar informacin personal a travs de Internet . En panam tambin se crearon legislaciones referentes firma digital, documentos y certificados electrnicos, entre otras cosas. Legislaciones en Panam El gobierno de Panam, consciente de la necesidad de ofrecer una proteccin real y efectiva a los titulares de derechos de autor, aprob la Ley de Derechos de Autor y Derechos Conexos, la cual establece sanciones mucho ms graves que las que existan en el pasado y procedimientos ms expeditos. Asimismo, la nueva Ley de Propiedad Industrial No. 35 del 10 de mayo de 1996, que entr el 15 de noviembre de 1996, concede a los agentes del Ministerio Pblico (Fiscales) la facultad de iniciar investigaciones de oficio por violacin a los derechos de autor, cuando se tenga conocimiento de la comisin del delito. Los agentes del Ministerio Pblico tienen la facultad de ordenar medidas cautelares, tales como el decomiso de las copias ilcitas y los medios e instrumentos utilizados en la comisin del delito. Por consiguiente, aquellos que infrinjan los derechos de los autores de software sern castigados severamente. Aos ms tarde, en vista del gran auge del comercio electrnico en el pas, el gobierno de Panam, en ese entonces regido por

Mireya Moscoso en conjunto con el rgano legislativo y el Consejo Nacional de Empresas Privadas (CONEP) , dialogaron sobre la necesidad de una ley que en conjunto a la de 1996 protegiera a empresas y entidad gubernamentales sobre el comercio electrnico, es de este modo que el 2001, se proclama la Ley 43, Que define y regula los documentos y firmas electrnicas y las entidades de certificacin en el comercio electrnico, y el intercambio de documentos electrnicos. Medidas Correctivas Para evitar ser vctima de este tipo de ataque, es recomendable seguir los siguientes consejos:
y

Norton 360, o el servicio SiteAdvisor ofrecido por McAfee.

y

Si fue vctima de engao, reporte inmediatamente el incidente a la entidad correspondiente para que cierren el sitio. Adicionalmente, cambie las contraseas de accesos comprometidos y de ser necesario reporte la tarjeta de crdito o dbito comprometido como robado. Recuerda hacer esto en el menor tiempo posible, as el atacante tendr menos oportunidad de usar la informacin obtenida para cometer una estafa.

Conclusin Hacer caso omiso de cualquier tipo de correo electrnico que reciba por parte de la entidad que ofrece el servicio pidiendo datos confidenciales. Ninguna compaa va a pedir ese tipo de informacin. Borre el correo inmediatamente. No usar links para visitar la pgina web de la entidad financiera o el comercio electrnico. Estos pueden ser disfrazados y aunque parezcan legtimos puede ser que enven al usuario a una pgina ilegtima. Mejor digite el nombre de la pgina web directamente en el navegador. Utilice algn filtro anti-phising. Los navegadores ms usados como Internet Explorer y Firefox ya traen incorporado un filtro que revisa si el sitio que visita es legtimo o no. Si prefiere puede usar servicios de terceros como el monitoreo de fraude ofrecido por Symantec en su paquete Aunque existen algunas herramientas como el filtro de sitios ilegtimos, todos los das aparecen nuevas pginas web fraudulentas y es posible que no estn todas registradas. Adems, la ingeniera social no puede ser prevenida por alguna herramienta de software o hardware, as que el usuario es el que tiene el papel principal para evitar ser vctima de estafa. Si tiene duda de algn sitio que vaya a visitar, mejor consulte con expertos, por ejemplo llame a su entidad financiera para verificar que el correo electrnico recibido sea legtimo. Bibliografa y y http://inpsicon.com/elconsumidor/a rchivos/phishing_amenaza.pdf http://www.monografias.com/trabaj os5/oriau/oriau.shtml