Professional Documents
Culture Documents
Taller de Investigación II
TALLER DE INVESTIGACION II
1
Licenciatura en informática I.T.D. Taller de Investigación II
TABLA DE CONTENIDO
Portada…………………………………………………………………………………..1
Tabla de contenido……………………………………………………………………..2
CAPITULO 1. INTRODUCCION……………………………….……………….…….4
1.1Antecedentes…………………………………………...………….…...…..…..4
1.3 Objetivo…………………………………………………………………….....…5
1.4 Alcance/limitaciones……………………………………………………...…..…..5
1.6 Justificación………………………………………………………………….....5
3.1 Scam…………………………………………………………………….…….…..8
3.3 Pirámides…………………………………..…………………………..…….…...8
3.5 Cadenas…………………………………………….………………………….….9
2
Licenciatura en informática I.T.D. Taller de Investigación II
CAPITULO 5. METODOLOGÍA………………………………………………….........10
CAPITULO 6. RESULTADOS………………………………………..………………..13
CAPITULO 7. CONCLUSIONES……………………………….………………….….19
3
Licenciatura en informática I.T.D. Taller de Investigación II
I. INTRODUCCIÓN.
1.1 Antecedentes.
Los fraudes por Internet son conocidos como phishing, y son delitos que buscan adquirir
información confidencial de las personas de manera fraudulenta, como puede ser una contraseña
o alguna información bancaria.
Según estudio realizado por Mattica, el primer laboratorio de cómputo forense en México
y Centroamérica, durante el segundo semestre de 2006 se encontraron en México un total de 270
páginas Web fraudulentas, delito cibernético conocido como phishing. De acuerdo con este
estudio cuantitativo sobre el origen, número y tipo de phishing registrados en México, durante
diciembre pasado se registro el mayor número de páginas Web falsas, superando incluso la
cantidad detectada en todo el semestre. Aun cuando estos 270 phishing estén en español y
navegando entre usuarios mexicanos, no necesariamente implica que fueron creados en el país.
De hecho, su origen, en orden de incidencia, resulta ser en su mayoría de Estados Unidos,
Alemania, Rusia y Francia (ICESI, 2007).
Este tipo de robo de identidad es cada vez más popular por la facilidad con que algunas
personas divulgan información personal como números de tarjetas de crédito. Los ladrones de
identidad también pueden obtener información de registros públicos para crear cuentas falsas a
nombre de la víctima, arruinar su crédito o incluso impedir que la víctima acceda a sus cuentas
propias. Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1.2 millones de
usuarios sufrieron pérdidas causadas por phishing (COPARMEX, 2008).
Se calcula que los negocios en Estados Unidos pierden un total de 2 billones de dólares al
año. En el Reino Unido, las pérdidas por fraude bancario vía Web, en su mayoría phishing, se
duplicaron de 12.2 millones a 23.3 millones de libras (MATTICA, 2006).
4
Licenciatura en informática I.T.D. Taller de Investigación II
1.3 Objetivo
Analizar los peligros a los que se está expuesto al realizar operaciones monetarias vía
Internet.
1.4 Alcance/limitaciones
Mediante este análisis se expondrán algunas propuestas sobre cómo hacer más seguras las
transacciones realizadas por el servicio gratuito del correo electrónico. También es una forma de
mantener informados a los usuarios de Internet para que estén prevenidos y no caigan en los
engaños de estos estafadores.
1.6 Justificación
Analizar el tema de los fraudes por correo electrónico es muy importante porque aquellas
empresas o personas que comercialicen sus productos u operen por Internet y que su forma de
manejo de dinero sea por vía correo electrónico son más susceptibles de sufrir el “engaño”, ya
que el riesgo de conocer efectivamente si se está realizando la transacción tal como nosotros
esperamos que se efectúe y no que se trate de alguna artimaña para obtener dinero ilícitamente.
5
Licenciatura en informática I.T.D. Taller de Investigación II
Crimen Electrónico, Fraude Electrónico, es todo acto que infringe la ley y que se realiza
aplicando algún medio de procesamiento electrónico. Por ejemplo: el robo a un banco, violando
la seguridad de algún medio de procesamiento electrónico de información, es constituido de
crimen electrónico.
No se considera Crimen Electrónico el que el mismo Banco sea robado utilizando como
medio artefactos electrónicos de alta tecnología que permita la tarea del delito. Sería bueno
recordar que todo delito necesita determinados elementos objetivos y subjetivos para su
identificación y diferenciación de acuerdo al agente encargado, su modo de operar y los medios
que utiliza en su acción.
Ahora con esta breve explicación de los elementos que integran un determinado delito y la
diferencia reseñamos que en el caso de crimen electrónico debe estar presente el elemento
utilizando medio de procesamiento electrónico entre otros.
Las estafas realizadas por tele mercadeo no son consideradas crimen electrónico. En ellas
aunque se utilizan instrumentos de tecnología electrónica (teléfono, radial, televisiva) carecen del
elemento que lo tipifica ¿Cuál? El Procesamiento Electrónico. El robo a un cajero automático
realizado por un ratero directamente al cajero, violando el artefacto físicamente, tampoco es
considerado un crimen electrónico.
Sin embargo, una violación de la seguridad del cajero utilizando tarjetas falsas
precodificadas, sí lo tipifica como tal porque viola la forma electrónica de la seguridad del
cajero.
6
Licenciatura en informática I.T.D. Taller de Investigación II
2.3 Los delitos más conocidos dentro de la familia delictiva denominada crimen
electrónico son:
*Virus Electrónicos;
7
Licenciatura en informática I.T.D. Taller de Investigación II
3.1 SCAM
El SCAM mezcla mensajes de correo basura con falsas alertas, normalmente de supuestos
negocios basados en estructuras piramidales
Pero no hay que dejarse engañar; detrás de estos mensajes se esconde un tipo de fraude
denominado SCAM que mezcla mensajes de correo basura con falsas alertas, normalmente de
supuestos negocios basados en estructuras piramidales. El objetivo es hacer caer en algún fraude
a los destinatarios.
3.3 Pirámides
Usted ya debe haber recibido por lo menos uno de estos mensajes que prometen una
ganancia enorme a partir de una inversión muy pequeña (cómo enviar $1 a cinco personas de una
lista). Hay incontables variaciones, pero el ataque está siempre basado en ese concepto mentiroso
de ganancia rápida y sin problemas.
El procedimiento básico suele ser el siguiente: usted recibe un e-mail que hace una gran
propaganda sobre cuánto podrá ganar si participa del esquema, y que trae una lista de personas.
Eventualmente, el mensaje contendrá la historia conmovedora de un padre de familia que estaba
endeudado y consiguió salvarse de la ruina participando de la pirámide, incentivándolo a hacer lo
mismo. Para eso, usted deberá enviar una pequeña cantidad de dinero a las primeras personas de
la lista y, a continuación, alterar el orden de los nombres de la lista retirando el primero, subiendo
los otros una posición y colocando el suyo en último lugar. Después, usted enviará copias de ese
e-mail al mayor número de personas posible. A medida que nuevas personas entran en el
esquema, usted recibe dinero. Los atacantes llegan a sugerir que usted compre listas de e-mails
para poder enviar miles de copias.
8
Licenciatura en informática I.T.D. Taller de Investigación II
Este esquema básico puede variar: usted puede ser tentado a comprar algo de las personas
que están por encima suyo para vender a las que estén abajo de la lista; o a crear una lista de e-
mails abajo suyo. En este último caso, además de perder dinero, usted suministrará un listado de
direcciones electrónicas que será vendida a otros atacantes y utilizadas en muchos otros fraudes.
Es fácil de entender como el esquema funciona. Pero, lo que las personas no perciben, es el
motivo de para él no funciona.
El marketing de múltiples niveles, también conocido como marketing de red, puede ser
considerado una especie de pirámide, una manera de vender bienes o servicios por intermedio de
distribuidores. Normalmente, esos planes prometen que, si usted se convierte en distribuidor, va a
recibir comisiones, tanto de sus ventas como de las ventas hechas por aquellas personas que usted
recluta para que sean distribuidores también. Aunque el marketing de múltiples niveles puede ser
legítimo -- usted realmente venderá productos, que tienen un valor, que serán utilizados por
personas interesadas en él, y recibirá comisiones por las ventas que realiza -- si el plan tiene
comisión para reclutar otras personas (en Estados Unidos, por ejemplo, eso está prohibido) puede
considerarlo una pirámide, ya que el esquema va ineludiblemente a entrar en colapso cuando no
haya nuevas personas a reclutar. Y así el común de la gente simplemente perderá su inversión --
aquellos bien arriba de la pirámide tal vez consigan ganar. Los otros, definitivamente sólo
pierden.
3.5 Cadenas
Son raras las cadenas que tienen que ver con dinero o que piden información confidencial.
En su mayoría, no tienen nada que ver con transacciones financieras o reclutamiento de terceros.
Por esa razón, encajan muy bien en la categoría de SPAM (mensajes no solicitados,
habitualmente de tipo publicitario, enviados en forma masiva). Pueden también ser consideradas
como rumores, ya que difunden mensajes falsos. Los mayores daños que causan las cadenas son
entorpecer el tráfico de Internet abarrotando los servidores con mensajes inútiles y alimentan las
listas de e-mail canjeadas o vendidas entre atacantes y SPAMMERS. Las personas en general
reenvían el mensaje - ya sea porque es un pedido de ayuda o una información que les parece
relevante -- automáticamente a su lista de amigos, y difícilmente se preocupan por "esconder" las
direcciones de e-mails. Así, cada vez que una cadenas es reenviada a aquella enorme lista de e-
mails, nuevas direcciones caen en las manos de personas mal-intencionadas.
Los casos más frecuentes y exitosos de Fraude 4-1-9 son las estafas de transferencia de
fondos. En este ardid, una empresa o individuo generalmente recibe un mensaje no solicitado por
9
Licenciatura en informática I.T.D. Taller de Investigación II
correo postal o electrónico. El mensaje le informa al destinatario que se está en busca de una
empresa extranjera o individuo de reconocida reputación en cuya cuenta puedan depositar fondos
que su gobierno pagó en exceso respecto de algún contrato.
10
Licenciatura en informática I.T.D. Taller de Investigación II
Quizá el ataque más simple que aún es efectivo sea engañar a un usuario llevándolo a
pensar que una persona es un administrador del sistema y solicitando una contraseña para varios
propósitos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan
contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar
una configuración", u otra operación benigna; a este tipo de ataques se los llama Phishing
(pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para
que no divulguen contraseñas u otra información sensible a personas que dicen ser
administradores del sistema. En realidad, los administradores de redes (nunca) necesitan saber la
contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque
podría no ser necesario en una encuesta realizada por la empresa InfoSecurity, el 90% de los
empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un
bolígrafo barato.
En muchos casos vemos a diario usuarios de nuestra red que se nos acercan y nos
comunican que han perdido su cuenta de usuario o que perdieron la información almacenada en
su backup, o tal vez que han sido víctimas pues su cuenta de correo electrónica fue blanco de
ataques de spam, suplantación de identidad o envió de información no autorizada por la misma.
También el factor humano es una parte esencial del juego de seguridad. No existe un
sistema informático que no dependa de algún dato ingresado por un operador humano. Esto
11
Licenciatura en informática I.T.D. Taller de Investigación II
Una de las herramientas esenciales usadas para la ingeniería social es una buena
recolección de los hábitos de los individuos.
Los “Pishers” se hacen cada vez más astutos y resulta difícil decir quién es en verdad
legitimo y quien falso. Estos criminales trataran de robar tu información haciéndose pasar por
instituciones serias, enmascarando su falsa identidad tras varias estrategias que son fáciles de
distinguir si pones atención en cómo evitarlas.
Los fraudes por correo electrónico son más comunes de lo que piensas. Cuando recibes
este tipo de mails, generalmente estarán bien maquillados para que parezcan reales u oficiales,
intentaran llevarte a un sitio web aparentemente legitimo, cuando en realidad es solo un sitio
fantasma o “spoofed” que intentara robar tus números de cuenta, el nombre del cuenta habiente y
claves de acceso (passwords).
Generalmente intentaran hacerse pasar por instituciones que manejan dinero, como Bancos
o sitios web, para tratar de robar tu información personal y cometer sus delitos. Estos correos
fraudulentos pueden contener logos oficiales para aparentar ser legítimo.
12
Licenciatura en informática I.T.D. Taller de Investigación II
V. METODOLOGIA
Enfoques de investigación:
El método deductivo es el más adecuado para el tipo de investigación que realizare ya que,
se vasa en las conclusiones que se sacan del principio del proyecto es decir conforme avance la
investigación la conclusión serán clara y verdadera.
Estrategias de investigación:
En este punto del modelo, decidí guiarme por la investigación empírica; ya que utiliza dos
niveles los cuales son: nivel descriptivo y nivel explicativo.
Horizonte de tiempo:
La elección del método transversal es porque se adapta justo a las horas libres después de
la escuela y lo que le dedico a las tareas.
Método de recolección de datos:
Los dos métodos son muy buenos y se hace un complemento con ambos, para si falla en
algún punto alguno de los dos está el otro para reforzarlo.
C. Consultando el material de apoyo de apuntes indicar qué tipo de investigación se va a
realizar (exploratoria, descriptiva, experimental, histórica...).
El tipo de investigación será documental; ya que de lo que se trata es de elaborar un
documento. El horizonte del tiempo es transversal. El método de recolección de datos es por
medio de internet y en caso de que fuera necesario aplicar algunas encuestas.
Estrategias de investigación
Positivism
o
Investigación empírica
Método
deductivo
Fuentes Transvers
secundarias al
encuesta y
cuestionario
VI. RESULTADOS
13
Licenciatura en informática I.T.D. Taller de Investigación II
También recuerde que NADIE gana premios ni mucho menos dinero en sorteos, loterías,
o concursos en los que además nunca intervino. NADIE tiene tanta suerte que empresas
extranjeras los escojan precisamente para hacer un puente en el cobro de cheques bajo
comisiones altas y que inclusive les comienzan enviando cheques para depositarlos en cuentas y
posteriormente hacerles ustedes el traspaso... esto es también una forma de fraude que la gente no
reconoce y piensa que ganará dinero fácil... NADIE gana el dinero así fácilmente. NINGUNA
PERSONA vende su carro por internet baratísimo porque "se lo llevaba a Europa y no le
permitieron su ingreso y luego se anuncian como ofertones para la venta del vehículo y la víctima
les comienza a depositar dinero que a la postre pierden, lo mismo cuando inician negocios con
gente desconocida, como una gran oportunidad de inversión... siempre es lo mismo SON
FRAUDES. NUNCA envíe dinero usted por anticipado para cualquier operación de esa índole...
le dirán que para que cobre usted la fortuna de una persona que dejó millones de dólares (y que a
usted le tocará un mínimo de un 15%), tiene que enviar por ejemplo unos USD$8,000.00 para
"gastos administrativos y pago de impuestos (impuestos? pues no que el dinero está escondido?
como podría pagar impuestos) y si usted lo deposita, pues le inventarán más cosas que tenga que
pagar, hasta paquetería vaya!!! Y después desaparecen y usted... perdió su dinero y su ilusión de
hacerse millonario (aunque ilegalmente porque está la víctima consciente de que haría algo como
"lavado de dinero" penado por la ley).
Recuerda que estos correos fraudulentos pueden contener logos oficiales para aparentar ser
legítimos.
14
Licenciatura en informática I.T.D. Taller de Investigación II
enlace, en la mayoría de los navegadores web, el enlace destino es mostrado en la barra de estado
al fondo del navegador, si el enlace destino es diferente o no coincide con el de la empresa que
supuestamente te ha enviado el mail, no hagas clic sobre él.
15
Licenciatura en informática I.T.D. Taller de Investigación II
b. Cuando se pasa el cursor por encima de los enlaces sugeridos, el puntero cambia de forma a
una pequeña mano para indicarte que existe un enlace activo, cuando esto sucede la barra de
estado del navegador muestra el destino a donde te llevará dicho enlace, lo puedes ver en la
imagen aumentada.
16
Licenciatura en informática I.T.D. Taller de Investigación II
VII. CONCLUSIONES.
En la lucha contra esta plaga, las entidades financieras, las principales afectadas, basan su
ofensiva en la educación del consumidor y en la adopción de nuevas herramientas de seguridad.
Con todo, los expertos advierten que poco se conseguirá en la lucha contra el phishing si
las partes implicadas, y especialmente las entidades financieras, no dejan de adoptar métodos de
defensa meramente reactivos. Las empresas financieras, así como, los usuarios de la Internet,
abogan por reforzar las medidas preventivas adoptando técnicas de seguridad como la
autenticación de dos niveles (o doble autenticación) para validar cualquier cosa que un
consumidor haga online.
17
Licenciatura en informática I.T.D. Taller de Investigación II
VIII. REFERENCIAS.
18