SlideShare una empresa de Scribd logo

Informe OBS: Phising

OBS Business School
OBS Business School

* En el último trimestre de 2016 se realizaron 270.000 ataques de phising * La banca es el sector donde mayoritariamente se dirigen los ataques de phising * El 48% de los ataques de phising son al sector financiero * El Instituto Nacional de Ciberseguridad de España (INCIBE) estima que el impacto de cibercriminalidad va de los 300.000 millones de euros al 1.000.000.000.000.

Internet
1 de 25
Descargar para leer sin conexión
www.OBS-edu.com Titulación: Phising: cuando la pesca no es un deporte Autora: Noelia Valverde Profesora de OBS Online Bussines School
Resumen ejecutivo Concepto de delito informático, Convenio de Ciberdelincuencia Chile: el primer país latinoamericano en en sancionar la Ley contra Delitos informáticos Delitos relacionados con la suplantación electrónica de identidad: spoofing y phising. Spoofing IP ARP DNS/pharming WEB MAIL GPS Phising Mecánica comisiva del phising La Normativa en el caso de uso fraudulento tarjetas pago. La Evolución de los ataques de phising. Medidas de prevención para los delitos anteriores. ¿Cómo actuar en caso de ser víctima de phising? Conclusiones Referencias 4 5 8 9 9 9 9 9 10 10 11 11 13 15 16 17 21 23 Índice
El auge de Internet fuera del entorno profesional y su incorporación al entorno domésticosindistincióndeedadhasupuestoelincrementodefraudes/intentosde estafa relacionados con la suplantación de la identidad, que consiste en la apropiación del nombre, contraseñas y/o patrimonio de otra persona con el fin de realizar actos delictivos. De hecho, existen múltiples informes que avalan lo indicado: los proporcionados por el AntiPhishing Working Group (APWG) indican que, por ejemplo, en 2016 hubo un incremento destacable de ataques phising (un 65% con respecto al 2015), estimándose la existencia durante el último trimestre del pasado año de más de 90.000 ataques de phising al mes. Y la última encuesta sobre “Equipamiento y uso de las tecnologías de la Información y comunicación en los hogares” del Instituto Nacional de Estadística (INE) indica que más del 75% (77,1%) de los hogares dispone de ordenador en su hogar, el 81,9% disponen de conexión a la red. Además del amparo jurídico que nos asiste, los ciudadanos somos un recurso para recuperar y evitar la identidad suplantada y lo sustraído. Si bien es cierto que no todo el mundo posee el mismo nivel de conocimiento es necesario explicar y poner en conocimiento todas las medidas que se pueden y deben de adoptar. Es más probable que seamos víctimas de un delito cibernético que de uno físico, y precisamente una de las razones por las que somos más propensos es que no somos conscientes del riesgo que corremos cada día. A través de este informe se pretende abordar concretamente uno de los casos de suplantación de identidad existente mediante la técnica de phising, tratando desde cuestiones de prevención a cómo proceder en caso de verse afectado, mencionando algunas de las leyes que nos amparan. Resumen ejecutivo 4
ElaugeenlaimplantacióndelatecnologíayenlaadopcióndeInternetentodoslos colectivos de nuestra sociedad ha dado lugar a la aparición de nuevos delitos ligadosalainformáticayaqueenlasociedadsetenganqueiradoptandomecanis- mos conforme estos van apareciendo. Partiendo de esta compleja situación y tomando como referencia el “Convenio de Ciberdelincuencia del Consejo de Europa” (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 2010), podemos definir los delitos informáticos como: “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informá- ticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”. Sus características principales son: • Delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar las pruebas. • Son actos que pueden llevarse a cabo de forma rápida y sencilla. En ocasiones estos delitos pueden cometerse en cuestión de segundos, utilizando sólo un equipo informático y sin estar presente físicamente en el lugar de los hechos. • Tienden a proliferar y evolucionar, lo que complica aún más la identificación y persecución de los mismos. En este convenio se propone una clasificación de los delitos informáticos en cuatro grupos: • Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos: - Acceso ilícito a sistemas informáticos. - Interceptación ilícita de datos informáticos. - Interferencia en el funcionamiento de un sistema informático. - Abuso de dispositivos que faciliten la comisión de delitos. • Delitos informáticos: - Falsificación informática mediante la introducción, borrado o supresión de datos informáticos. - Fraude informático mediante la introducción, alteración o borrado de datos informáticos, o la interferencia en sistemas informáticos. - El borrado fraudulento de datos o la corrupción de ficheros algunos ejemplos de delitos de este tipo. • Delitos relacionados con el contenido: - Producción, oferta, difusión, adquisición de contenidos de pornografía infantil, por medio de un sistema informático o posesión de dichos contenidos en un sistema informático o medio de almacenamiento de datos. Concepto de delito informático, Convenio de Ciberdelincuencia Phising: cuando la pesca no es un deporte 5
• Delitos relacionados con infracciones de la propiedad intelectual y derechos afines: Un ejemplo de este grupo de delitos es la piratería informática. Con el fin de criminalizar los actos de racismo y xenofobia cometidos mediante sistemas informáticos, en enero de 2008 se promulgó el “Protocolo Adicional al Convenio de Ciberdelincuencia del Consejo de Europa” (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 2015) que incluye, entre otros aspectos, las medidas que se deben tomar en casos de: • Difusión de material xenófobo o racista. • Insultos o amenazas con motivación racista o xenófoba. • Negociación, minimización burda, aprobación o justificación del genocidio o de crímenes contra la humanidad. Para ponernos en situación y entender la gran problemática de este tipo de delitos, en el Informe sobre la Cibercriminalidad en España correspondiente al año 2015 publicado por el Ministerio del Interior (Ministerio del Interior, 2016) podemos apreciar que a lo largo de la serie histórica 2012-2015 existe un incremento de la delincuencia comprendida dentro del concepto de cibercriminalidad. Además, destaca que en 2015 el 67,9% corresponde a fraudes informáticos. En España con anterioridad a la redacción del actual Código Penal de 1995 (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 1995), el delito de estafa se encontraba, según el texto legal de 1973 (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 1973), recogido en el artículo 528 y 529 bajo la siguiente redacción: “Art. 528. El que defraudare a otro en la sustancia, cantidad o calidad de las cosas que le entregare en virtud de un delito obligatorio será castigado […]. Art. 529. El que defraudare a otro usando nombre fingido, atribuyéndose poder, influencia o cualidades supuestas, aparentando bienes, crédito saldo en cuenta corriente, comisión, empresa o negociaciones imaginarias o valiéndose de cualquier otro engaño semejante […]. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndole a realizar un acto a disposición en perjuicio propio o ajeno. También se consideran reos de estafa los que, con ánimo de lucro y valiéndose de alguna manipulación […]”. Esta situación provocó que muchas de las estafas cometidas a través de medios informáticosnopudierantenercabidabajoestepreceptoteniendoqueserdeclara- das por los tribunales y asentado bajo jurisprudencia como apropiación indebida, ya que las estafas informáticas no estaban contempladas en el por aquel entonces vigente Código Penal. Concepto de delito informático, Convenio de Ciberdelincuencia 6
Con la aprobación del actual Código Penal, el 23 de noviembre de 1995 se realizaron importantes cambios entre los que destacan ampliaciones en las definiciones de ciertosarticulados,siendodeespecialimportanciaelnuevoapartadoincluidoenla definición de estafa: “Artículo 248. También se consideran reos de estafa los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero. La misma pena se aplicará a los que fabriquen, introdujeren, poseyeren o facilitaren programas de ordenador específicamente destinados a la comisión de estafas previs- tas en este artículo”. Igualmente debemos de destacar la loable iniciativa del INCIBE y del BOE del pasado año en donde se recopila en un único documento (de más de 900 páginas) toda legislación española – y europea de aplicación– relacionada con la seguridad de la información y la ciberseguridad en general. Dicho documento denominado “Código de Derecho de la Ciberseguridad” se encuentra disponible en la página del BOE (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 2017). Concepto de delito informático, Convenio de Ciberdelincuencia 7 Phising: cuando la pesca no es un deporte
Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos Informáticos. La Ley 19223 (Chile, 1993) publicada en su Boletín Oficial el 7 de junio de 1993 nos indica lo siguiente: “Artículo 1°. - El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo. Artículo 2°. - El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio. Artículo 3°. - El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio. Artículo 4°. - El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado." El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo de apoderarse, usar o conocer de manera indebida la información contenida en éste, es punible con cárcel; sin embargo, el acceso a ese mismo sistema sin permiso y sin intenciones de ver su contenido no constituye delito. Dar a conocer la información almacenada en un sistema puede ser castigado con prisión, pero si el que lo hace es el responsable de dicho sistema la condena puede ser superior. Chile: el primer país latinoamericano en en sancionar la Ley contra Delitos informáticos 8
Spoofing El spoofing, al igual que el phising, se trata igualmente de una suplantación de identidad, pero en este caso no se requiere de un engaño previo a la víctima, por lo que la actuación es básicamente técnica, siendo necesarios unos altos conocimien- tos informáticos. Algunas de las técnicas empleadas son las siguientes: IP Consiste en la alteración de los paquetes (bajo TCP), de forma que la dirección de origen no es la real, sino la de quien se va a suplantar; así el host que es suplantado recibe los paquetes de respuesta sin haberlos solicitado. ARP1 Se basa en el envío de mensajes ARP falsos, construyéndose tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. De esta forma, todos los paquetes que la máquina víctima iba a recibir ahora son recibidos por la máquina atacante. DNS/pharming SetratadelcambiodelarelacióndeunnombredeundominioporunaIPfalsa.Este ataque se realiza si el servidor DNS no es muy seguro, o si confía en otros que si son inseguros. Por otro lado, una vez se haya realizado el cambio, otros servidores DNS que se fíen de éste, podrán añadir a sus cachés la dirección falsa, denominándose DNS poisoning. Delitos relacionados con la suplantación electrónica de identidad: spoofing y phising 9 Fuente:Elaboración propia. DNS Server Website No OK Website OK Atacante Usuario 3 4 5 2 1 ARP (del inglés Address Resolution Protocol) es un protocolo de la capa de enlace de datos responsable de encontrar la dirección Ethernet MAC que corresponde a una determinada dirección IP. Para ello se envía un paquete (ARP request) a la dirección de difusión de la red que contiene dicha dirección, y se espera a que alguna máquina responda con la Ethernet MAC. Gráfico 1. Spoofing DNS. Phising: cuando la pesca no es un deporte
WEB Suplanta la dirección real en una página falsa la cual encaminará hacia otras páginas auténticas que recolectarán información de la víctima. Esta página falsa actuaráamododeproxy,deformaquerecolectarátodalainformacióndelacomu- nicación de la víctima pudiendo modificarla o recolectarla. Esto la hace muy difícil de detectar y de protegerse contra ella. En este caso se requiere de un primer engaño para hacer que la víctima visite la páginafalsaynolaverdadera.Peroadiferenciadelphishing,nosuplantarealmen- telapáginaoriginal,sinoquesecolocaenmediodelaconversación.Unejemplode transacción de Web durante un ataque de Web spoofing: MAIL A través de un servidor SMTP2 se envían correos con un remitente falso. Para protegerse de este tipo de ataque se podría usar la firma digital, o bien tomar precauciones revisando la dirección IP del remitente para reconocer si es la IP de la entidad auténtica que lo envía o es otra dirección IP. Delitos relacionados con la suplantación electrónica de identidad: spoofing y phising 10 Fuente:Elaboración propia. Website No OK Website OK Usuario 2. El Simple Mail Transfer Protocol (SMTP) es un protocolo de red utilizado para el intercambio de mensajes de correo electrónico, éste fue definido en el RFC 2821 (https://www.ietf.org/rfc/rfc2821.txt). 1. Se pide la URL errónea. 2. Se pide la URL real. 3. Se carga la web real. 4. Modifica la página 4. Se carga la página modificada Gráfica 2. Web Spoofing.
GPS Un ataque de este tipo intenta engañar a un receptor de GPS transmitiendo una señal ligeramente más poderosa que la recibida desde los satélites del sistema GPS, causando que el receptor determine una posición diferente a la real. Debido a que el sistema GPS trabaja midiendo el tiempo que le toma a una señal el viajar entre el satélite y el receptor, un spoofing exitoso requiere que el atacante conozca con precisión donde se encuentra el blanco de tal forma que la señal falsa pueda ser estructurada con el retraso apropiado. Existen interesantísimos artículos dentro del magazine GPS World (GPS World, 2016) donde se explican propuestas de test tanto para identificar como para mitigar el riesgo ante ataques de spoofing, recomendado si se desea profundizar al respecto. Phising Phishing es un término informático utilizado para denominar el fraude por suplantación de identidad empleando técnicas de ingeniería social. Existen dos teorías diferentes para el origen de la palabra phishing: • Contracción de “password harvesting fishing” (cosecha y pesca de contraseñas); • Término inglés “fishing” (pesca) haciendo alusión a “picar el anzuelo”. Este término se acuñó por primera vez en 1996, en los casos de intento de apropiación de cuentas de AOL, que consistió en el envío de mensajes instan- táneos haciéndose pasar por empleados de dicha empresa, solicitando contra- señas. Aunque en la actualidad los fines son más lucrativos centrándose en la banca para conseguir acceso y control de las cuentas bancarias de sus clientes. Para conseguir la información se utilizan variadas técnicas que pueden ser el envío de emails fraudulentos o la utilización de falsos sitios web. Generalmente el envío masivo de emails a pesar de emular correctamente y aparentar ser veraces no suele ser muy efectivo pues llega a personas que no tienen ninguna relación con la entidad que es falsificada. Por ello, otra forma más efectiva es relacionar por cualquier método a cada posible víctima con la entidad que será falsificada, ya sea cliente o empleado. En este caso la probabi- lidad de éxito es mucho mayor, pues está dirigida y es, por tanto, más veraz. Este caso se denomina spear phishing. Delitos relacionados con la suplantación electrónica de identidad: spoofing y phising 11 Phising: cuando la pesca no es un deporte
Delitos relacionados con la suplantación electrónica de identidad: spoofing y phising Si nos centramos en la suplantación de personalidad en las transacciones financieras nos encontramos que se ha pasado de la tradicional falsificación en las operaciones propiamente dichas, a los fraudes de tarjetas, para poste- riormente derivar en el fraude en la banca on-line debido a la impunidad con la que en la mayoría de los casos actúan los delincuentes, y las elevadas canti- dades que se pueden defraudar. Este fraude se realiza mediante la captura previa de las claves de los usuarios usando, por ejemplo, la mecánica que se indica en el apartado siguiente. No obstante, se debe de destacar que, aunque se habla en el presente artículo del sector bancario (ya que es donde mayoritariamente se dirigen los ataques de phising), también se dirigen a otras webs de uso extendidos para el intento de hacerse con las credenciales/datos personales como, por ejemplo, las redes sociales. 12
Mecánica comisiva del phising 13 La mecánica comisiva del phising se puede estructurar en 4 fases diferenciadas: 1. Descubrimiento de claves y contraseñas on-line: El proceso habitualmente se inicia con la utilización de alguna aplicación para infectar al usuario, con la finalidad de captar ilegalmente los datos confidenciales de las víctimas, para posteriormente realizar un envío masivo de correos electrónicos con el fin de llamar la atención de la víctima. 2. Utilización de otros equipos para realizar el acceso a sus cuentas: Para no dejar huella de quién realiza la operación, el autor de los hechos emplea distintos métodos como, por ejemplo, el empleo de lugares públicos de acceso a Internet. 3. Uso de terceros como titulares de cuentas bancarias a las que remitir el dinero: Una vez que se dispone de las claves y contraseñas de acceso a las cuentas de las víctimas, se precisa de la participación de un tercero que pueda abrir cuentas bancarias intermedias en el mismo país donde van a desarrollar la operativa para traspasar el dinero antes de proceder a su extracción y envío al país de origen. 4. Disponibilidad del beneficio ilícito: El titular de la cuenta bancaria destino de las transferencias, como último paso, se dirigirá a su banco y sacará el dinero de la transferencia, enviándolo al extranjero por medio de las agencias habitualmente dedicadas a ello. Deberá remitirlo al beneficiario y al destino el que le han facilitado anteriormente, y el importe acordado, quedándose con el porcentaje acordado. Así como vemos en las cuatro fases anteriores en las operaciones financieras realizadas a través de la banca on-line se basan principalmente en suplantaciones de personalidad para la realización de transferencias de fondos de la cuenta de un titular a la de un intermediario de la que posteriormente se extraen los fondos en efectivo o mediante transferencia al extranjero, haciéndose muy difícil su recuperación. Con respecto al fraude en la banca on-line nos encontramos en la tesitura de asegurar de forma fidedigna al cliente, ya que nos podemos estar encontrando con usuarios que estén suplantando la personalidad de un tercero utilizando sus claves de acceso. El problema radica que en estos casos no existe una cláusula limitativa de responsabilidadparaeltitular,porloquelosimportesdefraudadospuedenalcanzar la totalidad de los fondos que el cliente mantenga en las cuentas de la entidad. Por eso se debe de revisar el clausulado de los contratos de servicio de banca on-line porsicontasequeseríaposiblehacerrecaerlasconsecuenciasdelusoindebidodesu firma electrónica siempre en el cliente, asimilando dicho uso indebido con una negligente custodia de su firma electrónica de la que no pueden hacerse responsables. Phising: cuando la pesca no es un deporte
Mecánica comisiva del phising 14 En vista de las numerosas sentencias y jurisprudencia al respecto la cual se puede consultar en variados sitios web como también dentro de la web del Consejo GeneraldelPoderJudicial(ConsejoGeneraldelPoderJudicial,2017),enlamayoríade las ocasiones los perjuicios derivados del delito de phising se deberían de repartir entre la entidad bancaria y el cliente, que no ha sido suficientemente diligente en la custodia de las claves. En caso de que no se pudiera determinar el grado de participación en la culpa de cada parte, se debe determinar en el 50% para cada uno, en aplicación del artículo 1.103 del Código Civil (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 2017) “la responsabilidad que proceda de negligencia es igualmente exigible en el cumplimiento de toda clase de obligaciones; pero podrá moderarse por los Tribunales según los casos”.
La Normativa aplicable en el caso de uso fraudulento de tarjetas de pago: • Recomendación 88/590/CEE, de la Comisión, de 17 de noviembre, relativa a los sistemas de pago y, en particular, a las relaciones entre titulares y emisores de tarjetas. • Recomendación 97/489/CEE, de la Comisión, de 30 de julio de 1997, relativa a las transacciones efectuadas mediante instrumentos electrónicos de pago, en particular las relaciones entre emisores y titulares de tales instrumentos. • Código de Buena Conducta de la Banca Europea con respecto a los sistemas de pago mediante tarjeta, de 14 de noviembre de 1990; éste es una adaptación de la Recomendación 88/590/CEE, y limita la responsabilidad del titular de la tarjeta a 150 euros para el caso de uso fraudulento, que no implique negligencia en la custodia por parte del mismo. • Ley 7/1996, de 15 de enero de Ordenación del Comercio Minorista, en su artículo 46-1, reformado por la Ley 47/2002 de 19 de diciembre, establece para los pagos mediante tarjeta de crédito, que cuando el importe de una compra hubiese sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, su titular podrá exigir la inmediata anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuentas del proveedor y del titular se efectuarán a la mayor brevedad. En la actualidad, el “phising” está regulado en el artículo 248 del Código Penal que dispone: “1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. 2. También se consideran reos de estafa: a. Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. b. Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo. c.Losqueutilizandotarjetasdecréditoodébito,ochequesdeviaje,olosdatosobrantes encualquieradeellos,realicenoperacionesdecualquierclaseenperjuiciodesutitular o de un tercero.” Además, tal y como la Jurisprudencia del Tribunal Supremo establece, el precepto tiene la finalidad de proteger el patrimonio contra acciones que no responden al esquema típico del artículo 248.1 del Código Penal, pues no se dirigen contra un sujeto que pueda ser inducido a error. Por lo que, para que se puedan tipificar los hechos como un delito del artículo 248.2 del Código Penal se precisa que exista: • ánimo de lucro; • manipulación informática o similar que sustituya como medio comisivo al engaño del tipo del artículo 248.1, y se manifiesta en una actuación ilegítima que bien puede consistir en la alteración de los elementos físicos, de aquellos que permite su programación, o por la introducción de datos falsos; • disposición económica en perjuicio de tercero que se concreta en una transferencia no consentida. La Normativa en el caso de uso fraudulento tarjetas pago 15 Phising: cuando la pesca no es un deporte
Cada vez más a menudo el phising está siendo noticia en los medios de comunicación, desde que en el año 2008 la Asociación de Usuarios de Bancos, Cajas y Seguros obtuvo una de las primeras sentencias en España sobre fraude a consumidores en banca electrónica. Ejemplos recientes del presente año 2017 son los que desde el portal de la Oficina de Seguridad del Internauta (Oficina de Seguridad del Internauta - OSI, 2017) nos alertan, se citan a modo informativo dos de ellos: • Suplantando a Apple, alertando a los usuarios en un email que debido a un incidente de seguridad, los usuarios deben de validar sus credenciales. • Suplantando a PayPal a través de un sitio web simulado, para intentar conseguir los datos del usuario. El sitio de la OSI es muy recomendable ya que promueve, entre otros aspectos, la concienciación en materia de seguridad. Informes como los proporcionados por el AntiPhishing Working Group (APWG) (Anti-Phishing Working Group, 2017) indican que en el año 2016 hubo un incremento destacable de ataques phising (un 65% con respecto al 2015), estimándose la existencia durante el último trimestre del pasado año de más de 90.000 ataques de phising al mes. Tomando como referencia los datos recogidos en la “Bitácora de Ciberseguridad del INCIBE” (INCIBE-CERTSI, 2017) han elaborado el top ten de los incidentes de ciberseguridad producidos en 2016 en todo el mundo, teniendo en cuenta criterios de impacto económico, dimensión de las fugas de información o reputación. Citamos la primera posición correspondiente al robo de 81 millones de dólares al Banco Central de Bangladés, los cuales transfirieron esa cantidad de dinero a varios casinosdeFilipinas;peroquepodríahabersidomuchomayorsinohubierantenido un descuido en cuanto a la ortografía. Ya en el pasado 2014 cuando se puso en marcha en INCIBE se estimaba que el impactodelacibercriminalidadpodíavariarentrelos300.000millonesdedólaresy el billón (Ministerio del Interior-Gobierno de España, 2014). Si nos dirigimos a los últimos datos teniendo en cuenta la información publicada por Kaspersky Lab y resaltada en su nota de prensa del pasado mes de marzo (Kaspersky Lab, 2017): • El número de ataques de phishing financiero creció un 13,14% en 2016, representando el 47,5% del total de ataques phishing identificados. • Casi la mitad de los ataques de phishing registrados en 2016, tenían como objetivo hacerse con el dinero de sus víctimas. La Evolución de los ataques de phising 16
La última encuesta sobre “Equipamiento y uso de las tecnologías de la Información y comunicación en los hogares” del Instituto Nacional de Estadística (INE) (Instituto Nacional de Estadística, 2016) indica que más del 75% (77,1%) de los hogares dispone de ordenador en su hogar, el 81,9% disponen de conexión a la red. Como ya hemos indicado las cifras avalan el uso, los acontecimientos, … por ello se deben de tomar medidas y como vemos a continuación son sencillas: • Disponer de contraseñas robustas (es decir, con complejidad disponiendo de mayúsculas, minúsculas, números, …; con una longitud superior a 8 dígitos; obviando palabras del diccionario; y eludir tener la misma contraseña para todo). • Desconfiar cuando se soliciten datos personales a través del correo electrónico. • En bastantes de los intentos de phising en el correo se encuentra un adjunto que nos instan a abrir; ante la duda no abrir. • En otros casos lo que aparece es un enlace a una url (muy similar a la real y con apariencia casi idéntica), en vez de usar esa url ante la duda usar la que se tiene plena certeza que es correcta. • Desconfiar de remitentes desconocidos y/o correos mal redactados y/o con referencias impersonales. • Si es posible disponer de factores de doble autenticación en nuestros sistemas, por ejemplo, el correo electrónico. Medidas de prevención para los delitos anteriores. ¿Cómo actuar en caso de ser víctima de phising? Gráfico 3. Evolución de datos de Viviendas (2006-2016) por tamaño del hogar, hábitat, tipo de equipamiento y periodo. 17 Fuente:Elaboración propia con datos extraídos del sitio web del INE: www.ine.es. 900 800 700 600 500 400 300 200 2016 2015 2014 2013 2012 2011 2010 2009 2008 2007 Viviendas con algún tipo de ordenador Viviendas que disponen de acceso a Internet Viviendas con conexión de Banda Ancha (ADSL, Red de cable, etc.) Phising: cuando la pesca no es un deporte
En el estudio “Ciberseguridad y Confianza en los hogares españoles”, correspondiente al periodo enero-junio 2016 (ONTSI-Observatorio nacional de las telecomunicaciones, 2016), un punto interesante a destacar es que el uso responsable y el tener buenos hábitos hace que se mitigue el riesgo. Y así lo demuestran las cifras de este informe, ya que un porcentaje superior al 91% de estos usuarios no sufrió perjuicio económico como consecuencia de un fraude online o telefónico. Si revisamos el mismo estudio para el segundo semestre del pasado año (ONTSI-Observatorio nacional de las telecomunicaciones, 2017) se observa que el porcentaje de usuarios con buenos hábitos que no sufrió perjuicio económico subió al 94,4%. A continuación vamos a proceder a comparar ambos semestres tomando los datos de dichos estudios referenciados anteriormente para ver la evolución con respecto al fraude on-line y las medidas tomadas por los usuarios en el caso de haberse visto afectados: Medidas de prevención para los delitos anteriores. ¿Cómo actuar en caso de ser víctima de phising? 18 Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI https://www.ontsi.red.es Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI https://www.ontsi.red.es Sin perjuicio económico Intento de fraude online 90 90,5 91 91,5 92 92,5 93 93,5 94 94,5 95 Ene-Jun 2016 Jul-Dic 2016 Gráfico 4. Consumación del intento de fraude según los hábitos prudentes. Gráfico 5.90 91,8 94,4 90,3 64,1 60,6 0 10 20 30 40 50 60 70 80 90 100 Ene-Jun 2016 Jul-Dic 2016
El porcentaje de los intentos de fraude que acaban suponiendo un perjuicio económico para la víctima se mantiene en niveles del anterior periodo. Los cambios adoptados tras un incidente de seguridad permanecen en valores pasados Medidas de prevención para los delitos anteriores. ¿Cómo actuar en caso de ser víctima de phising? 19 Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI https://www.ontsi.red.es Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI https://www.ontsi.red.es 70 71 72 73 74 75 76 Ene-Jun 2016 Jul-Dic 2016 Gráfico 6. Cambios adoptados tras un incidente de seguridad. 63 61,960,5 58,9 0 20 40 60 80 100 Ene-Jun 2016 Jul-Dic 2016 Gráfico 7. Influencia del intento de fraude en los servicios de banca online y comercio electrónico: tras una invitación a visitar alguna página web sospechosa. Comercio electrónico Banca on-line Phising: cuando la pesca no es un deporte
La modificación de los hábitos tras recibir una invitación a visitar alguna página web sospechosa de los usuarios de banca online y de los de comercio electrónico ha disminuido ligeramente. Más de un tercio percibe un menor número de incidencias en los últimos 3 meses y además las considera de menor gravedad, mejorando con respecto al semestre anterior la percepción. Medidas de prevención para los delitos anteriores. ¿Cómo actuar en caso de ser víctima de phising? 20 Gráfica 9. Percepción de los usuarios sobre la evolución en seguridad. Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI https://www.ontsi.red.es Menor número de incidencias en los últimos 3 meses Las considera de menor gravedad 30,7 34,5 31,7 34,9 28 29 30 31 32 33 34 35 36 Ene-Jun 2016 Jul-Dic 2016
El phishing es uno de los delitos englobados dentro de la categoría de estafa y existen múltiples variantes, como la del envío masivo de emails, afectando principalmente a usuarios de la banca on-line (haciéndose pasar normalmente por entidades bancarias) y alegando supuestas razones de seguridad para que: • les faciliten sus credenciales para operar en la web del banco, o • les solicitan que pinchen en algún enlace que les redirecciona a una página idéntica a la oficial de dichas entidades para que las introduzcan y así capturen sus datos, o • les infectan, directamente, con algún virus para apoderase de sus claves. Por cualquiera de los mecanismos anteriores, los "Phishers" consiguen conocer las contraseñas de los usuarios, con las que posteriormente poder acceder a la verdadera web bancaria, suplantando la identidad de los verdaderos usuarios, y ordenando operaciones no consentidas. Las operaciones no se realizan directamente, sino que se emplean terceras personas (denominadas “muleros”) a las que a través de una supuesta oferta laboral en la que se les indica que abran una cuenta bancaria, en la que recibi- rán transferencias de personas desconocidas, y deberán de remitir dicho dinero descontando su comisión. Así, los verdaderos responsables penales del 'phishing' difícilmente son conde- nados por la justicia y los bancos para evitar su responsabilidad civil compare- cen como acusación particular para evitar el desembolso de las cantidades defraudadas (aunque de acuerdo al Código Civil y al Código de Comercio, tienen obligación de reembolsar al depositario las cantidades por éste ingresa- das, sin que pueda responsabilizarlo de accesos ilícitos por parte de terceras personas). Y, por supuesto, tomar sencillas medidas de seguridad que nos puedan evitar un susto como las enunciadas: • Disponer de contraseñas robustas (es decir, con complejidad disponiendo de mayúsculas, minúsculas, números, …; con una longitud superior a 8 dígitos; obviando palabras del diccionario; y eludir tener la misma contraseña para todo). • Desconfiar cuando se soliciten datos personales a través del correo electrónico. • En bastantes de los intentos de phising en el correo se encuentra un adjunto Conclusiones 21 Phising: cuando la pesca no es un deporte
que nos instan a abrir; ante la duda no abrir. • En otros casos lo que aparece es un enlace a una url (muy similar a la real y con apariencia casi idéntica), en vez de usar esa url ante la duda usar la que se tiene plena certeza que es correcta. • Desconfiar de remitentes desconocidos y/o correos mal redactados y/o con referencias impersonales. • Si es posible disponer de factores de doble autenticación en nuestros sistemas, por ejemplo, el correo electrónico. Así, en el estudio “Ciberseguridad y Confianza en los hogares españoles”, correspondiente al segundo semestre del pasado 2016 (ONTSI-Observatorio nacional de las telecomunicaciones, 2017), es de destacar que el uso responsable y el tener buenos hábitos hace que se mitigue el riesgo. Y así lo demuestran las cifras de este informe, ya que un porcentaje superior al 94% de estos usuarios no sufrió perjuicio económico como consecuencia de un fraude online o telefó- nico. Del mismo modo, más de un tercio percibe un menor número de inciden- cias en los últimos 3 meses y además las considera de menor gravedad, mejo- rando con respecto al semestre anterior la percepción. En el denominado “Código de Derecho de la Ciberseguridad” se recopila en un único documento toda aquella legislación española – y europea de aplicación - relacionada con la seguridad de la información y la ciberseguridad en general, documento de referencia. Conclusiones 22
Referencias 23 • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (1973, Diciembre 12). Retrieved from https://www.boe.es/buscar/doc.php?id=BOE-A-1973-1715 • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (1995, Noviembre 24). Retrieved from https://www.boe.es/buscar/doc.php?id=BOE-A-1995-25444 • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2010, Septiembre 17). Retrieved from https://www.boe.es/boe/dias/2010/09/17/pdfs/BOE-A-2010-14221.pdf • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2015, Enero 30). Retrieved from https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-793 • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2017, Abril 3). Retrieved from https://- boe.es/legislacion/codigos/codigo.php?id=34&modo=1&nota=0 • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2017, Marzo 9). Retrieved from http://www.boe.es/legislacion/codigos/codigo.php?id=173_Codi- go_de_Derecho__de_la_Ciberseguridad • Anti-Phishing Working Group. (2017). Retrieved from http://www.apwg.org • Boletín Oficial del Estado . (XXX). Retrieved from https://www.boe.es/bus- car/act.php?id=BOE-A-1889-4763 • Chile. (1993, Junio 7). Retrieved from http://www.leychile.cl/Navegar?idNorma=30590 • Consejo General del Poder Judicial. (2017). Retrieved from http://www.poderjudi- cial.es/search/indexAN.jsp • GPS World. (2016, Octubre 30). Retrieved from http://gpsworld.com/testing-susceptibi- lity-to-gps-spoofing • INCIBE. (2017). Retrieved from https://www.incibe.es • INCIBE-CERTSI. (2017). Retrieved from https://www.certsi.es/alertatemprana/bitacora- ciberseguridad • Instituto Nacional de Estadística. (2016, Octubre 3). Retrieved from http://www.ine.es/dyngs/INEbase/es/operacion.htm?c=estadisti- ca_C&cid=1254736176741&menu=ultiDatos&idp=1254735976608 • Instituto Nacional de Estadística. (2016, Octubre). Retrieved from www.ine.es • Kaspersky Lab. (2017). Retrieved from http://newsroom.kaspersky.eu/fileadmin/u- ser_upload/es/Downloads/Kaspersky_press_release_phishingfinancieroOK.pdf • Ministerio del Interior. (2016, Junio 22). Retrieved from http://www.interior.gob.es/do- cuments/10180/3066430/Informe+Ci- bercriminalidad+2015.pdf/c10f398a-8552-430c-9b7f-81d9cc8e751b • Ministerio del Interior-Gobierno de España. (2014). Retrieved from http://www.inte- rior.gob.es/prensa/noticias/-/asset_publisher/GHU8Ap6ztgsg/content/id/2720078 • Oficina de Seguridad del Internauta - OSI. (2017). Retrieved from https://www.osi.es/ • ONTSI-Observatorio Nacional de las Telecomunicaciones. (2016, Noviembre). Retrieved from http://www.ontsi.red.es/ontsi/sites/ontsi/files/Cibersegurida- d%20y%20Confianza%20en%20los%20hogares%20%28noviembre%202016%29.pdf • ONTSI-Observatorio Nacional de las Telecomunicaciones. (2017, Abril). Retrieved from https://www.ontsi.red.es/ontsi/es/Ciberseguridadyconfianzaen- loshogaresespa%C3%B1olesabril2017
www.obs-edu.com

Recomendados

Cibercrimen
CibercrimenCibercrimen
CibercrimenGina Aduviri
 
Delitos informáticos
Delitos informáticos Delitos informáticos
Delitos informáticos Stephany Arevalo
 
Diapos delitos informaticos final
Diapos delitos informaticos finalDiapos delitos informaticos final
Diapos delitos informaticos finalDeboratth
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos InformaticosJose Daniel Loza Mamani
 
Diapositivas informatica juridica final.pptx1.pptx1
Diapositivas informatica juridica final.pptx1.pptx1Diapositivas informatica juridica final.pptx1.pptx1
Diapositivas informatica juridica final.pptx1.pptx1ViCarrazola
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosRaul Edgar Choque Taipe
 
Cuestionario sobre delitos informáticos
Cuestionario sobre delitos informáticosCuestionario sobre delitos informáticos
Cuestionario sobre delitos informáticospedro bahamonde
 
No a los delitos infromaticos, basta de
No a los delitos infromaticos, basta deNo a los delitos infromaticos, basta de
No a los delitos infromaticos, basta deDeboratth
 

Recomendados

Cibercrimen
CibercrimenCibercrimen
CibercrimenGina Aduviri
 
Delitos informáticos
Delitos informáticos Delitos informáticos
Delitos informáticos Stephany Arevalo
 
Diapos delitos informaticos final
Diapos delitos informaticos finalDiapos delitos informaticos final
Diapos delitos informaticos finalDeboratth
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos InformaticosJose Daniel Loza Mamani
 
Diapositivas informatica juridica final.pptx1.pptx1
Diapositivas informatica juridica final.pptx1.pptx1Diapositivas informatica juridica final.pptx1.pptx1
Diapositivas informatica juridica final.pptx1.pptx1ViCarrazola
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosRaul Edgar Choque Taipe
 
Cuestionario sobre delitos informáticos
Cuestionario sobre delitos informáticosCuestionario sobre delitos informáticos
Cuestionario sobre delitos informáticospedro bahamonde
 
No a los delitos infromaticos, basta de
No a los delitos infromaticos, basta deNo a los delitos infromaticos, basta de
No a los delitos infromaticos, basta deDeboratth
 
Presentacion delitos
Presentacion delitosPresentacion delitos
Presentacion delitosJORGE MONGUI
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosUniversidad Privada de Tacna
 
Origen del delito informatico
Origen del delito informaticoOrigen del delito informatico
Origen del delito informaticoCARLOSLEO8
 
Delitos informaticos en la Legislación Peruana
Delitos informaticos en la Legislación PeruanaDelitos informaticos en la Legislación Peruana
Delitos informaticos en la Legislación PeruanaRoxana NACION LLANOS
 
Delitos informaticos 901
Delitos informaticos 901Delitos informaticos 901
Delitos informaticos 901lauranataly16
 
Cuestionario sobre Delitos Informáticos
Cuestionario sobre Delitos InformáticosCuestionario sobre Delitos Informáticos
Cuestionario sobre Delitos InformáticosGiuliana Linares Deza
 
Diapositiva de los delitos informaticos
Diapositiva de los delitos informaticosDiapositiva de los delitos informaticos
Diapositiva de los delitos informaticosCristina Cedeño
 
Delitos informaticos presentacion
Delitos informaticos presentacionDelitos informaticos presentacion
Delitos informaticos presentacionwipise
 
Legislación delitos informaticos
Legislación delitos informaticosLegislación delitos informaticos
Legislación delitos informaticosD_Informatico
 
55 lec legislacion_informatica_en_mexico
55 lec legislacion_informatica_en_mexico55 lec legislacion_informatica_en_mexico
55 lec legislacion_informatica_en_mexicoFer Antonio Garcia
 
Delitos informáticos presentacion
Delitos informáticos presentacionDelitos informáticos presentacion
Delitos informáticos presentacionJokin Ortega
 
La exposición de ciber crimen especialmente sobre
La exposición de ciber crimen especialmente sobreLa exposición de ciber crimen especialmente sobre
La exposición de ciber crimen especialmente sobreINGRIDFIORELLA
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticosLizbethPrice
 
IMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERU
IMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERUIMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERU
IMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERUBlady Roque
 
7. nueva ley de delitos informaticos
7. nueva ley de delitos informaticos7. nueva ley de delitos informaticos
7. nueva ley de delitos informaticospilifc3
 
Presentacion Delitos Informaticos
Presentacion Delitos InformaticosPresentacion Delitos Informaticos
Presentacion Delitos Informaticosguest9ca8c4
 
Ley especial de Delitos Informáticos del Perú
Ley especial de Delitos Informáticos del PerúLey especial de Delitos Informáticos del Perú
Ley especial de Delitos Informáticos del PerúAlvaro J. Thais Rodríguez
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos InformaticosCarlos EspinosadelosMonteros
 
Seguridad delitos
Seguridad delitosSeguridad delitos
Seguridad delitosGrimanesa Vera
 
Diapositivas delitos informáticos
Diapositivas delitos informáticos Diapositivas delitos informáticos
Diapositivas delitos informáticos Paul Anthony Santos Flores
 
Delitos virtuales
Delitos virtualesDelitos virtuales
Delitos virtualesrondonlizarazo23
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosJazbleidy Oliiveros
 

Más contenido relacionado

La actualidad más candente

Presentacion delitos
Presentacion delitosPresentacion delitos
Presentacion delitosJORGE MONGUI
 
Origen del delito informatico
Origen del delito informaticoOrigen del delito informatico
Origen del delito informaticoCARLOSLEO8
 
Delitos informaticos en la Legislación Peruana
Delitos informaticos en la Legislación PeruanaDelitos informaticos en la Legislación Peruana
Delitos informaticos en la Legislación PeruanaRoxana NACION LLANOS
 
Delitos informaticos 901
Delitos informaticos 901Delitos informaticos 901
Delitos informaticos 901lauranataly16
 
Cuestionario sobre Delitos Informáticos
Cuestionario sobre Delitos InformáticosCuestionario sobre Delitos Informáticos
Cuestionario sobre Delitos InformáticosGiuliana Linares Deza
 
Diapositiva de los delitos informaticos
Diapositiva de los delitos informaticosDiapositiva de los delitos informaticos
Diapositiva de los delitos informaticosCristina Cedeño
 
Delitos informaticos presentacion
Delitos informaticos presentacionDelitos informaticos presentacion
Delitos informaticos presentacionwipise
 
Legislación delitos informaticos
Legislación delitos informaticosLegislación delitos informaticos
Legislación delitos informaticosD_Informatico
 
55 lec legislacion_informatica_en_mexico
55 lec legislacion_informatica_en_mexico55 lec legislacion_informatica_en_mexico
55 lec legislacion_informatica_en_mexicoFer Antonio Garcia
 
Delitos informáticos presentacion
Delitos informáticos presentacionDelitos informáticos presentacion
Delitos informáticos presentacionJokin Ortega
 
La exposición de ciber crimen especialmente sobre
La exposición de ciber crimen especialmente sobreLa exposición de ciber crimen especialmente sobre
La exposición de ciber crimen especialmente sobreINGRIDFIORELLA
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticosLizbethPrice
 
IMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERU
IMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERUIMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERU
IMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERUBlady Roque
 
7. nueva ley de delitos informaticos
7. nueva ley de delitos informaticos7. nueva ley de delitos informaticos
7. nueva ley de delitos informaticospilifc3
 
Presentacion Delitos Informaticos
Presentacion Delitos InformaticosPresentacion Delitos Informaticos
Presentacion Delitos Informaticosguest9ca8c4
 
Ley especial de Delitos Informáticos del Perú
Ley especial de Delitos Informáticos del PerúLey especial de Delitos Informáticos del Perú
Ley especial de Delitos Informáticos del PerúAlvaro J. Thais Rodríguez
 

La actualidad más candente (20)

Presentacion delitos
Presentacion delitosPresentacion delitos
Presentacion delitos
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Origen del delito informatico
Origen del delito informaticoOrigen del delito informatico
Origen del delito informatico
 
Delitos informaticos en la Legislación Peruana
Delitos informaticos en la Legislación PeruanaDelitos informaticos en la Legislación Peruana
Delitos informaticos en la Legislación Peruana
 
Delitos informaticos 901
Delitos informaticos 901Delitos informaticos 901
Delitos informaticos 901
 
Cuestionario sobre Delitos Informáticos
Cuestionario sobre Delitos InformáticosCuestionario sobre Delitos Informáticos
Cuestionario sobre Delitos Informáticos
 
Diapositiva de los delitos informaticos
Diapositiva de los delitos informaticosDiapositiva de los delitos informaticos
Diapositiva de los delitos informaticos
 
Delitos informaticos presentacion
Delitos informaticos presentacionDelitos informaticos presentacion
Delitos informaticos presentacion
 
Legislación delitos informaticos
Legislación delitos informaticosLegislación delitos informaticos
Legislación delitos informaticos
 
55 lec legislacion_informatica_en_mexico
55 lec legislacion_informatica_en_mexico55 lec legislacion_informatica_en_mexico
55 lec legislacion_informatica_en_mexico
 
Delitos informáticos presentacion
Delitos informáticos presentacionDelitos informáticos presentacion
Delitos informáticos presentacion
 
La exposición de ciber crimen especialmente sobre
La exposición de ciber crimen especialmente sobreLa exposición de ciber crimen especialmente sobre
La exposición de ciber crimen especialmente sobre
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticos
 
IMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERU
IMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERUIMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERU
IMPACTO DE LA NUEVA LEY DE DELITOS INFORMATICOS EN EL PERU
 
7. nueva ley de delitos informaticos
7. nueva ley de delitos informaticos7. nueva ley de delitos informaticos
7. nueva ley de delitos informaticos
 
Presentacion Delitos Informaticos
Presentacion Delitos InformaticosPresentacion Delitos Informaticos
Presentacion Delitos Informaticos
 
Ley especial de Delitos Informáticos del Perú
Ley especial de Delitos Informáticos del PerúLey especial de Delitos Informáticos del Perú
Ley especial de Delitos Informáticos del Perú
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
 
Seguridad delitos
Seguridad delitosSeguridad delitos
Seguridad delitos
 
Diapositivas delitos informáticos
Diapositivas delitos informáticos Diapositivas delitos informáticos
Diapositivas delitos informáticos
 

Similar a Informe OBS: Phising

Delitos informaticos
Delitos informaticos Delitos informaticos
Delitos informaticos guemez100
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosferchyt
 
Aspectos importantes acerca de la Ley contra los Delitos Informáticos
Aspectos importantes acerca de la Ley contra los Delitos InformáticosAspectos importantes acerca de la Ley contra los Delitos Informáticos
Aspectos importantes acerca de la Ley contra los Delitos Informáticosbelladanieladomingue
 
segunda actividad en equipo
segunda actividad en equipo segunda actividad en equipo
segunda actividad en equipo america herrera
 
Que son delitos imformaticos fanny
Que son delitos imformaticos fannyQue son delitos imformaticos fanny
Que son delitos imformaticos fannyEstefania Montano
 
Informe delitos informaticos y terrorismo computacional
Informe delitos informaticos y terrorismo computacionalInforme delitos informaticos y terrorismo computacional
Informe delitos informaticos y terrorismo computacionalJoel Martin
 
Leyes y acuerdos que regulan la actividad informatica
Leyes y acuerdos que regulan la actividad informaticaLeyes y acuerdos que regulan la actividad informatica
Leyes y acuerdos que regulan la actividad informaticaJazmin Lopez
 
Informe delitos informaticos y terrorismo computacional
Informe delitos informaticos y terrorismo computacionalInforme delitos informaticos y terrorismo computacional
Informe delitos informaticos y terrorismo computacionalEzio Aguilar
 
Los delitos ciberneticos en mexico
Los delitos ciberneticos en mexicoLos delitos ciberneticos en mexico
Los delitos ciberneticos en mexicoIvette Garcia
 
Delitoinformtico 120527222833-phpapp01
Delitoinformtico 120527222833-phpapp01Delitoinformtico 120527222833-phpapp01
Delitoinformtico 120527222833-phpapp01Angiee RiCoo
 

Similar a Informe OBS: Phising (20)

Delitos virtuales
Delitos virtualesDelitos virtuales
Delitos virtuales
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Delitos informaticos
Delitos informaticos Delitos informaticos
Delitos informaticos
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Aspectos importantes acerca de la Ley contra los Delitos Informáticos
Aspectos importantes acerca de la Ley contra los Delitos InformáticosAspectos importantes acerca de la Ley contra los Delitos Informáticos
Aspectos importantes acerca de la Ley contra los Delitos Informáticos
 
Trabajo
TrabajoTrabajo
Trabajo
 
segunda actividad en equipo
segunda actividad en equipo segunda actividad en equipo
segunda actividad en equipo
 
Legislación informática
Legislación informáticaLegislación informática
Legislación informática
 
Que son delitos imformaticos fanny
Que son delitos imformaticos fannyQue son delitos imformaticos fanny
Que son delitos imformaticos fanny
 
U4 Actividad 4 Equipo
U4 Actividad 4 EquipoU4 Actividad 4 Equipo
U4 Actividad 4 Equipo
 
Informe delitos informaticos y terrorismo computacional
Informe delitos informaticos y terrorismo computacionalInforme delitos informaticos y terrorismo computacional
Informe delitos informaticos y terrorismo computacional
 
Leyes y acuerdos que regulan la actividad informatica
Leyes y acuerdos que regulan la actividad informaticaLeyes y acuerdos que regulan la actividad informatica
Leyes y acuerdos que regulan la actividad informatica
 
EXPOSICION
EXPOSICIONEXPOSICION
EXPOSICION
 
Informe delitos informaticos y terrorismo computacional
Informe delitos informaticos y terrorismo computacionalInforme delitos informaticos y terrorismo computacional
Informe delitos informaticos y terrorismo computacional
 
Delitos Informáticos
Delitos InformáticosDelitos Informáticos
Delitos Informáticos
 
Ciber crimen
Ciber crimenCiber crimen
Ciber crimen
 
Los delitos ciberneticos en mexico
Los delitos ciberneticos en mexicoLos delitos ciberneticos en mexico
Los delitos ciberneticos en mexico
 
Delitoinformtico 120527222833-phpapp01
Delitoinformtico 120527222833-phpapp01Delitoinformtico 120527222833-phpapp01
Delitoinformtico 120527222833-phpapp01
 
Delito informático
Delito informáticoDelito informático
Delito informático
 

Más de OBS Business School

Informe OBS: Análisis de la situación social de la inmigración
Informe OBS: Análisis de la situación social de la inmigraciónInforme OBS: Análisis de la situación social de la inmigración
Informe OBS: Análisis de la situación social de la inmigraciónOBS Business School
 
Informe OBS: Agencias de Colocación, ETT y Head Hunting
Informe OBS: Agencias de Colocación, ETT y Head HuntingInforme OBS: Agencias de Colocación, ETT y Head Hunting
Informe OBS: Agencias de Colocación, ETT y Head HuntingOBS Business School
 
Informe OBS: Nuevas tendencias metodológicas
Informe OBS: Nuevas tendencias metodológicasInforme OBS: Nuevas tendencias metodológicas
Informe OBS: Nuevas tendencias metodológicasOBS Business School
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersOBS Business School
 
Informe OBS: Análisis del transporte que se consume en vacaciones
Informe OBS: Análisis del transporte que se consume en vacacionesInforme OBS: Análisis del transporte que se consume en vacaciones
Informe OBS: Análisis del transporte que se consume en vacacionesOBS Business School
 
Informe OBS: El pelotazo de Netflix. Claves de un éxito mundial.
Informe OBS: El pelotazo de Netflix. Claves de un éxito mundial.Informe OBS: El pelotazo de Netflix. Claves de un éxito mundial.
Informe OBS: El pelotazo de Netflix. Claves de un éxito mundial.OBS Business School
 
Informe OBS: Turismo de masas y Airbnb
Informe OBS: Turismo de masas y AirbnbInforme OBS: Turismo de masas y Airbnb
Informe OBS: Turismo de masas y AirbnbOBS Business School
 
Informe OBS: Los festivales de música en España
Informe OBS: Los festivales de música en EspañaInforme OBS: Los festivales de música en España
Informe OBS: Los festivales de música en EspañaOBS Business School
 
Informe OBS: Emprendimiento Juvenil
Informe OBS: Emprendimiento JuvenilInforme OBS: Emprendimiento Juvenil
Informe OBS: Emprendimiento JuvenilOBS Business School
 
Informe OBS: Tendencias en la industria del libro
Informe OBS: Tendencias en la industria del libroInforme OBS: Tendencias en la industria del libro
Informe OBS: Tendencias en la industria del libroOBS Business School
 
Informe OBS: El salto del Big Data al Huge Data
Informe OBS: El salto del Big Data al Huge DataInforme OBS: El salto del Big Data al Huge Data
Informe OBS: El salto del Big Data al Huge DataOBS Business School
 
Informe OBS: Análisis de los Presupuestos Generales del Estado
Informe OBS: Análisis de los Presupuestos Generales del EstadoInforme OBS: Análisis de los Presupuestos Generales del Estado
Informe OBS: Análisis de los Presupuestos Generales del EstadoOBS Business School
 
Informe OBS: Mobile World Congress 2019
Informe OBS: Mobile World Congress 2019Informe OBS: Mobile World Congress 2019
Informe OBS: Mobile World Congress 2019OBS Business School
 
Ciberseguridad: El 80% de las empresas necesitará contratar a un ‘hacker’ in...
Ciberseguridad: El 80% de las empresas necesitará contratar a un ‘hacker’ in...Ciberseguridad: El 80% de las empresas necesitará contratar a un ‘hacker’ in...
Ciberseguridad: El 80% de las empresas necesitará contratar a un ‘hacker’ in...OBS Business School
 
Informe OBS: Criptocurrency y Blockchain
Informe OBS: Criptocurrency y BlockchainInforme OBS: Criptocurrency y Blockchain
Informe OBS: Criptocurrency y BlockchainOBS Business School
 
Informe OBS: El Problema Medio Ambiental
Informe OBS: El Problema Medio Ambiental Informe OBS: El Problema Medio Ambiental
Informe OBS: El Problema Medio Ambiental OBS Business School
 
Qué puede pasar con los mercados en 2019
Qué puede pasar con los mercados en 2019Qué puede pasar con los mercados en 2019
Qué puede pasar con los mercados en 2019OBS Business School
 
Informe OBS: Black Friday & Cyber Monday
Informe OBS: Black Friday & Cyber MondayInforme OBS: Black Friday & Cyber Monday
Informe OBS: Black Friday & Cyber MondayOBS Business School
 

Más de OBS Business School (20)

Informe OBS: Análisis de la situación social de la inmigración
Informe OBS: Análisis de la situación social de la inmigraciónInforme OBS: Análisis de la situación social de la inmigración
Informe OBS: Análisis de la situación social de la inmigración
 
Informe OBS: Agencias de Colocación, ETT y Head Hunting
Informe OBS: Agencias de Colocación, ETT y Head HuntingInforme OBS: Agencias de Colocación, ETT y Head Hunting
Informe OBS: Agencias de Colocación, ETT y Head Hunting
 
Informe OBS: Nuevas tendencias metodológicas
Informe OBS: Nuevas tendencias metodológicasInforme OBS: Nuevas tendencias metodológicas
Informe OBS: Nuevas tendencias metodológicas
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y Hackers
 
Informe OBS: Análisis del transporte que se consume en vacaciones
Informe OBS: Análisis del transporte que se consume en vacacionesInforme OBS: Análisis del transporte que se consume en vacaciones
Informe OBS: Análisis del transporte que se consume en vacaciones
 
Informe OBS: El pelotazo de Netflix. Claves de un éxito mundial.
Informe OBS: El pelotazo de Netflix. Claves de un éxito mundial.Informe OBS: El pelotazo de Netflix. Claves de un éxito mundial.
Informe OBS: El pelotazo de Netflix. Claves de un éxito mundial.
 
Informe OBS: Turismo de masas y Airbnb
Informe OBS: Turismo de masas y AirbnbInforme OBS: Turismo de masas y Airbnb
Informe OBS: Turismo de masas y Airbnb
 
Informe OBS: Patentes 2018
Informe OBS: Patentes 2018Informe OBS: Patentes 2018
Informe OBS: Patentes 2018
 
Informe OBS: Los festivales de música en España
Informe OBS: Los festivales de música en EspañaInforme OBS: Los festivales de música en España
Informe OBS: Los festivales de música en España
 
Informe OBS: e-Learning 2019
Informe OBS: e-Learning 2019Informe OBS: e-Learning 2019
Informe OBS: e-Learning 2019
 
Informe OBS: Emprendimiento Juvenil
Informe OBS: Emprendimiento JuvenilInforme OBS: Emprendimiento Juvenil
Informe OBS: Emprendimiento Juvenil
 
Informe OBS: Tendencias en la industria del libro
Informe OBS: Tendencias en la industria del libroInforme OBS: Tendencias en la industria del libro
Informe OBS: Tendencias en la industria del libro
 
Informe OBS: El salto del Big Data al Huge Data
Informe OBS: El salto del Big Data al Huge DataInforme OBS: El salto del Big Data al Huge Data
Informe OBS: El salto del Big Data al Huge Data
 
Informe OBS: Análisis de los Presupuestos Generales del Estado
Informe OBS: Análisis de los Presupuestos Generales del EstadoInforme OBS: Análisis de los Presupuestos Generales del Estado
Informe OBS: Análisis de los Presupuestos Generales del Estado
 
Informe OBS: Mobile World Congress 2019
Informe OBS: Mobile World Congress 2019Informe OBS: Mobile World Congress 2019
Informe OBS: Mobile World Congress 2019
 
Ciberseguridad: El 80% de las empresas necesitará contratar a un ‘hacker’ in...
Ciberseguridad: El 80% de las empresas necesitará contratar a un ‘hacker’ in...Ciberseguridad: El 80% de las empresas necesitará contratar a un ‘hacker’ in...
Ciberseguridad: El 80% de las empresas necesitará contratar a un ‘hacker’ in...
 
Informe OBS: Criptocurrency y Blockchain
Informe OBS: Criptocurrency y BlockchainInforme OBS: Criptocurrency y Blockchain
Informe OBS: Criptocurrency y Blockchain
 
Informe OBS: El Problema Medio Ambiental
Informe OBS: El Problema Medio Ambiental Informe OBS: El Problema Medio Ambiental
Informe OBS: El Problema Medio Ambiental
 
Qué puede pasar con los mercados en 2019
Qué puede pasar con los mercados en 2019Qué puede pasar con los mercados en 2019
Qué puede pasar con los mercados en 2019
 
Informe OBS: Black Friday & Cyber Monday
Informe OBS: Black Friday & Cyber MondayInforme OBS: Black Friday & Cyber Monday
Informe OBS: Black Friday & Cyber Monday
 

Último

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 

Último (8)

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 

Informe OBS: Phising

  • 1. www.OBS-edu.com Titulación: Phising: cuando la pesca no es un deporte Autora: Noelia Valverde Profesora de OBS Online Bussines School
  • 2.
  • 3. Resumen ejecutivo Concepto de delito informático, Convenio de Ciberdelincuencia Chile: el primer país latinoamericano en en sancionar la Ley contra Delitos informáticos Delitos relacionados con la suplantación electrónica de identidad: spoofing y phising. Spoofing IP ARP DNS/pharming WEB MAIL GPS Phising Mecánica comisiva del phising La Normativa en el caso de uso fraudulento tarjetas pago. La Evolución de los ataques de phising. Medidas de prevención para los delitos anteriores. ¿Cómo actuar en caso de ser víctima de phising? Conclusiones Referencias 4 5 8 9 9 9 9 9 10 10 11 11 13 15 16 17 21 23 Índice
  • 4.
  • 5. El auge de Internet fuera del entorno profesional y su incorporación al entorno domésticosindistincióndeedadhasupuestoelincrementodefraudes/intentosde estafa relacionados con la suplantación de la identidad, que consiste en la apropiación del nombre, contraseñas y/o patrimonio de otra persona con el fin de realizar actos delictivos. De hecho, existen múltiples informes que avalan lo indicado: los proporcionados por el AntiPhishing Working Group (APWG) indican que, por ejemplo, en 2016 hubo un incremento destacable de ataques phising (un 65% con respecto al 2015), estimándose la existencia durante el último trimestre del pasado año de más de 90.000 ataques de phising al mes. Y la última encuesta sobre “Equipamiento y uso de las tecnologías de la Información y comunicación en los hogares” del Instituto Nacional de Estadística (INE) indica que más del 75% (77,1%) de los hogares dispone de ordenador en su hogar, el 81,9% disponen de conexión a la red. Además del amparo jurídico que nos asiste, los ciudadanos somos un recurso para recuperar y evitar la identidad suplantada y lo sustraído. Si bien es cierto que no todo el mundo posee el mismo nivel de conocimiento es necesario explicar y poner en conocimiento todas las medidas que se pueden y deben de adoptar. Es más probable que seamos víctimas de un delito cibernético que de uno físico, y precisamente una de las razones por las que somos más propensos es que no somos conscientes del riesgo que corremos cada día. A través de este informe se pretende abordar concretamente uno de los casos de suplantación de identidad existente mediante la técnica de phising, tratando desde cuestiones de prevención a cómo proceder en caso de verse afectado, mencionando algunas de las leyes que nos amparan. Resumen ejecutivo 4
  • 6. ElaugeenlaimplantacióndelatecnologíayenlaadopcióndeInternetentodoslos colectivos de nuestra sociedad ha dado lugar a la aparición de nuevos delitos ligadosalainformáticayaqueenlasociedadsetenganqueiradoptandomecanis- mos conforme estos van apareciendo. Partiendo de esta compleja situación y tomando como referencia el “Convenio de Ciberdelincuencia del Consejo de Europa” (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 2010), podemos definir los delitos informáticos como: “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informá- ticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”. Sus características principales son: • Delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar las pruebas. • Son actos que pueden llevarse a cabo de forma rápida y sencilla. En ocasiones estos delitos pueden cometerse en cuestión de segundos, utilizando sólo un equipo informático y sin estar presente físicamente en el lugar de los hechos. • Tienden a proliferar y evolucionar, lo que complica aún más la identificación y persecución de los mismos. En este convenio se propone una clasificación de los delitos informáticos en cuatro grupos: • Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos: - Acceso ilícito a sistemas informáticos. - Interceptación ilícita de datos informáticos. - Interferencia en el funcionamiento de un sistema informático. - Abuso de dispositivos que faciliten la comisión de delitos. • Delitos informáticos: - Falsificación informática mediante la introducción, borrado o supresión de datos informáticos. - Fraude informático mediante la introducción, alteración o borrado de datos informáticos, o la interferencia en sistemas informáticos. - El borrado fraudulento de datos o la corrupción de ficheros algunos ejemplos de delitos de este tipo. • Delitos relacionados con el contenido: - Producción, oferta, difusión, adquisición de contenidos de pornografía infantil, por medio de un sistema informático o posesión de dichos contenidos en un sistema informático o medio de almacenamiento de datos. Concepto de delito informático, Convenio de Ciberdelincuencia Phising: cuando la pesca no es un deporte 5
  • 7. • Delitos relacionados con infracciones de la propiedad intelectual y derechos afines: Un ejemplo de este grupo de delitos es la piratería informática. Con el fin de criminalizar los actos de racismo y xenofobia cometidos mediante sistemas informáticos, en enero de 2008 se promulgó el “Protocolo Adicional al Convenio de Ciberdelincuencia del Consejo de Europa” (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 2015) que incluye, entre otros aspectos, las medidas que se deben tomar en casos de: • Difusión de material xenófobo o racista. • Insultos o amenazas con motivación racista o xenófoba. • Negociación, minimización burda, aprobación o justificación del genocidio o de crímenes contra la humanidad. Para ponernos en situación y entender la gran problemática de este tipo de delitos, en el Informe sobre la Cibercriminalidad en España correspondiente al año 2015 publicado por el Ministerio del Interior (Ministerio del Interior, 2016) podemos apreciar que a lo largo de la serie histórica 2012-2015 existe un incremento de la delincuencia comprendida dentro del concepto de cibercriminalidad. Además, destaca que en 2015 el 67,9% corresponde a fraudes informáticos. En España con anterioridad a la redacción del actual Código Penal de 1995 (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 1995), el delito de estafa se encontraba, según el texto legal de 1973 (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 1973), recogido en el artículo 528 y 529 bajo la siguiente redacción: “Art. 528. El que defraudare a otro en la sustancia, cantidad o calidad de las cosas que le entregare en virtud de un delito obligatorio será castigado […]. Art. 529. El que defraudare a otro usando nombre fingido, atribuyéndose poder, influencia o cualidades supuestas, aparentando bienes, crédito saldo en cuenta corriente, comisión, empresa o negociaciones imaginarias o valiéndose de cualquier otro engaño semejante […]. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndole a realizar un acto a disposición en perjuicio propio o ajeno. También se consideran reos de estafa los que, con ánimo de lucro y valiéndose de alguna manipulación […]”. Esta situación provocó que muchas de las estafas cometidas a través de medios informáticosnopudierantenercabidabajoestepreceptoteniendoqueserdeclara- das por los tribunales y asentado bajo jurisprudencia como apropiación indebida, ya que las estafas informáticas no estaban contempladas en el por aquel entonces vigente Código Penal. Concepto de delito informático, Convenio de Ciberdelincuencia 6
  • 8. Con la aprobación del actual Código Penal, el 23 de noviembre de 1995 se realizaron importantes cambios entre los que destacan ampliaciones en las definiciones de ciertosarticulados,siendodeespecialimportanciaelnuevoapartadoincluidoenla definición de estafa: “Artículo 248. También se consideran reos de estafa los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero. La misma pena se aplicará a los que fabriquen, introdujeren, poseyeren o facilitaren programas de ordenador específicamente destinados a la comisión de estafas previs- tas en este artículo”. Igualmente debemos de destacar la loable iniciativa del INCIBE y del BOE del pasado año en donde se recopila en un único documento (de más de 900 páginas) toda legislación española – y europea de aplicación– relacionada con la seguridad de la información y la ciberseguridad en general. Dicho documento denominado “Código de Derecho de la Ciberseguridad” se encuentra disponible en la página del BOE (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 2017). Concepto de delito informático, Convenio de Ciberdelincuencia 7 Phising: cuando la pesca no es un deporte
  • 9. Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos Informáticos. La Ley 19223 (Chile, 1993) publicada en su Boletín Oficial el 7 de junio de 1993 nos indica lo siguiente: “Artículo 1°. - El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo. Artículo 2°. - El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio. Artículo 3°. - El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio. Artículo 4°. - El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado." El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo de apoderarse, usar o conocer de manera indebida la información contenida en éste, es punible con cárcel; sin embargo, el acceso a ese mismo sistema sin permiso y sin intenciones de ver su contenido no constituye delito. Dar a conocer la información almacenada en un sistema puede ser castigado con prisión, pero si el que lo hace es el responsable de dicho sistema la condena puede ser superior. Chile: el primer país latinoamericano en en sancionar la Ley contra Delitos informáticos 8
  • 10. Spoofing El spoofing, al igual que el phising, se trata igualmente de una suplantación de identidad, pero en este caso no se requiere de un engaño previo a la víctima, por lo que la actuación es básicamente técnica, siendo necesarios unos altos conocimien- tos informáticos. Algunas de las técnicas empleadas son las siguientes: IP Consiste en la alteración de los paquetes (bajo TCP), de forma que la dirección de origen no es la real, sino la de quien se va a suplantar; así el host que es suplantado recibe los paquetes de respuesta sin haberlos solicitado. ARP1 Se basa en el envío de mensajes ARP falsos, construyéndose tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. De esta forma, todos los paquetes que la máquina víctima iba a recibir ahora son recibidos por la máquina atacante. DNS/pharming SetratadelcambiodelarelacióndeunnombredeundominioporunaIPfalsa.Este ataque se realiza si el servidor DNS no es muy seguro, o si confía en otros que si son inseguros. Por otro lado, una vez se haya realizado el cambio, otros servidores DNS que se fíen de éste, podrán añadir a sus cachés la dirección falsa, denominándose DNS poisoning. Delitos relacionados con la suplantación electrónica de identidad: spoofing y phising 9 Fuente:Elaboración propia. DNS Server Website No OK Website OK Atacante Usuario 3 4 5 2 1 ARP (del inglés Address Resolution Protocol) es un protocolo de la capa de enlace de datos responsable de encontrar la dirección Ethernet MAC que corresponde a una determinada dirección IP. Para ello se envía un paquete (ARP request) a la dirección de difusión de la red que contiene dicha dirección, y se espera a que alguna máquina responda con la Ethernet MAC. Gráfico 1. Spoofing DNS. Phising: cuando la pesca no es un deporte
  • 11. WEB Suplanta la dirección real en una página falsa la cual encaminará hacia otras páginas auténticas que recolectarán información de la víctima. Esta página falsa actuaráamododeproxy,deformaquerecolectarátodalainformacióndelacomu- nicación de la víctima pudiendo modificarla o recolectarla. Esto la hace muy difícil de detectar y de protegerse contra ella. En este caso se requiere de un primer engaño para hacer que la víctima visite la páginafalsaynolaverdadera.Peroadiferenciadelphishing,nosuplantarealmen- telapáginaoriginal,sinoquesecolocaenmediodelaconversación.Unejemplode transacción de Web durante un ataque de Web spoofing: MAIL A través de un servidor SMTP2 se envían correos con un remitente falso. Para protegerse de este tipo de ataque se podría usar la firma digital, o bien tomar precauciones revisando la dirección IP del remitente para reconocer si es la IP de la entidad auténtica que lo envía o es otra dirección IP. Delitos relacionados con la suplantación electrónica de identidad: spoofing y phising 10 Fuente:Elaboración propia. Website No OK Website OK Usuario 2. El Simple Mail Transfer Protocol (SMTP) es un protocolo de red utilizado para el intercambio de mensajes de correo electrónico, éste fue definido en el RFC 2821 (https://www.ietf.org/rfc/rfc2821.txt). 1. Se pide la URL errónea. 2. Se pide la URL real. 3. Se carga la web real. 4. Modifica la página 4. Se carga la página modificada Gráfica 2. Web Spoofing.
  • 12. GPS Un ataque de este tipo intenta engañar a un receptor de GPS transmitiendo una señal ligeramente más poderosa que la recibida desde los satélites del sistema GPS, causando que el receptor determine una posición diferente a la real. Debido a que el sistema GPS trabaja midiendo el tiempo que le toma a una señal el viajar entre el satélite y el receptor, un spoofing exitoso requiere que el atacante conozca con precisión donde se encuentra el blanco de tal forma que la señal falsa pueda ser estructurada con el retraso apropiado. Existen interesantísimos artículos dentro del magazine GPS World (GPS World, 2016) donde se explican propuestas de test tanto para identificar como para mitigar el riesgo ante ataques de spoofing, recomendado si se desea profundizar al respecto. Phising Phishing es un término informático utilizado para denominar el fraude por suplantación de identidad empleando técnicas de ingeniería social. Existen dos teorías diferentes para el origen de la palabra phishing: • Contracción de “password harvesting fishing” (cosecha y pesca de contraseñas); • Término inglés “fishing” (pesca) haciendo alusión a “picar el anzuelo”. Este término se acuñó por primera vez en 1996, en los casos de intento de apropiación de cuentas de AOL, que consistió en el envío de mensajes instan- táneos haciéndose pasar por empleados de dicha empresa, solicitando contra- señas. Aunque en la actualidad los fines son más lucrativos centrándose en la banca para conseguir acceso y control de las cuentas bancarias de sus clientes. Para conseguir la información se utilizan variadas técnicas que pueden ser el envío de emails fraudulentos o la utilización de falsos sitios web. Generalmente el envío masivo de emails a pesar de emular correctamente y aparentar ser veraces no suele ser muy efectivo pues llega a personas que no tienen ninguna relación con la entidad que es falsificada. Por ello, otra forma más efectiva es relacionar por cualquier método a cada posible víctima con la entidad que será falsificada, ya sea cliente o empleado. En este caso la probabi- lidad de éxito es mucho mayor, pues está dirigida y es, por tanto, más veraz. Este caso se denomina spear phishing. Delitos relacionados con la suplantación electrónica de identidad: spoofing y phising 11 Phising: cuando la pesca no es un deporte
  • 13. Delitos relacionados con la suplantación electrónica de identidad: spoofing y phising Si nos centramos en la suplantación de personalidad en las transacciones financieras nos encontramos que se ha pasado de la tradicional falsificación en las operaciones propiamente dichas, a los fraudes de tarjetas, para poste- riormente derivar en el fraude en la banca on-line debido a la impunidad con la que en la mayoría de los casos actúan los delincuentes, y las elevadas canti- dades que se pueden defraudar. Este fraude se realiza mediante la captura previa de las claves de los usuarios usando, por ejemplo, la mecánica que se indica en el apartado siguiente. No obstante, se debe de destacar que, aunque se habla en el presente artículo del sector bancario (ya que es donde mayoritariamente se dirigen los ataques de phising), también se dirigen a otras webs de uso extendidos para el intento de hacerse con las credenciales/datos personales como, por ejemplo, las redes sociales. 12
  • 14. Mecánica comisiva del phising 13 La mecánica comisiva del phising se puede estructurar en 4 fases diferenciadas: 1. Descubrimiento de claves y contraseñas on-line: El proceso habitualmente se inicia con la utilización de alguna aplicación para infectar al usuario, con la finalidad de captar ilegalmente los datos confidenciales de las víctimas, para posteriormente realizar un envío masivo de correos electrónicos con el fin de llamar la atención de la víctima. 2. Utilización de otros equipos para realizar el acceso a sus cuentas: Para no dejar huella de quién realiza la operación, el autor de los hechos emplea distintos métodos como, por ejemplo, el empleo de lugares públicos de acceso a Internet. 3. Uso de terceros como titulares de cuentas bancarias a las que remitir el dinero: Una vez que se dispone de las claves y contraseñas de acceso a las cuentas de las víctimas, se precisa de la participación de un tercero que pueda abrir cuentas bancarias intermedias en el mismo país donde van a desarrollar la operativa para traspasar el dinero antes de proceder a su extracción y envío al país de origen. 4. Disponibilidad del beneficio ilícito: El titular de la cuenta bancaria destino de las transferencias, como último paso, se dirigirá a su banco y sacará el dinero de la transferencia, enviándolo al extranjero por medio de las agencias habitualmente dedicadas a ello. Deberá remitirlo al beneficiario y al destino el que le han facilitado anteriormente, y el importe acordado, quedándose con el porcentaje acordado. Así como vemos en las cuatro fases anteriores en las operaciones financieras realizadas a través de la banca on-line se basan principalmente en suplantaciones de personalidad para la realización de transferencias de fondos de la cuenta de un titular a la de un intermediario de la que posteriormente se extraen los fondos en efectivo o mediante transferencia al extranjero, haciéndose muy difícil su recuperación. Con respecto al fraude en la banca on-line nos encontramos en la tesitura de asegurar de forma fidedigna al cliente, ya que nos podemos estar encontrando con usuarios que estén suplantando la personalidad de un tercero utilizando sus claves de acceso. El problema radica que en estos casos no existe una cláusula limitativa de responsabilidadparaeltitular,porloquelosimportesdefraudadospuedenalcanzar la totalidad de los fondos que el cliente mantenga en las cuentas de la entidad. Por eso se debe de revisar el clausulado de los contratos de servicio de banca on-line porsicontasequeseríaposiblehacerrecaerlasconsecuenciasdelusoindebidodesu firma electrónica siempre en el cliente, asimilando dicho uso indebido con una negligente custodia de su firma electrónica de la que no pueden hacerse responsables. Phising: cuando la pesca no es un deporte
  • 15. Mecánica comisiva del phising 14 En vista de las numerosas sentencias y jurisprudencia al respecto la cual se puede consultar en variados sitios web como también dentro de la web del Consejo GeneraldelPoderJudicial(ConsejoGeneraldelPoderJudicial,2017),enlamayoríade las ocasiones los perjuicios derivados del delito de phising se deberían de repartir entre la entidad bancaria y el cliente, que no ha sido suficientemente diligente en la custodia de las claves. En caso de que no se pudiera determinar el grado de participación en la culpa de cada parte, se debe determinar en el 50% para cada uno, en aplicación del artículo 1.103 del Código Civil (Agencia Estatal BOLETÍN OFICIAL DEL ESTADO, 2017) “la responsabilidad que proceda de negligencia es igualmente exigible en el cumplimiento de toda clase de obligaciones; pero podrá moderarse por los Tribunales según los casos”.
  • 16. La Normativa aplicable en el caso de uso fraudulento de tarjetas de pago: • Recomendación 88/590/CEE, de la Comisión, de 17 de noviembre, relativa a los sistemas de pago y, en particular, a las relaciones entre titulares y emisores de tarjetas. • Recomendación 97/489/CEE, de la Comisión, de 30 de julio de 1997, relativa a las transacciones efectuadas mediante instrumentos electrónicos de pago, en particular las relaciones entre emisores y titulares de tales instrumentos. • Código de Buena Conducta de la Banca Europea con respecto a los sistemas de pago mediante tarjeta, de 14 de noviembre de 1990; éste es una adaptación de la Recomendación 88/590/CEE, y limita la responsabilidad del titular de la tarjeta a 150 euros para el caso de uso fraudulento, que no implique negligencia en la custodia por parte del mismo. • Ley 7/1996, de 15 de enero de Ordenación del Comercio Minorista, en su artículo 46-1, reformado por la Ley 47/2002 de 19 de diciembre, establece para los pagos mediante tarjeta de crédito, que cuando el importe de una compra hubiese sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, su titular podrá exigir la inmediata anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuentas del proveedor y del titular se efectuarán a la mayor brevedad. En la actualidad, el “phising” está regulado en el artículo 248 del Código Penal que dispone: “1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. 2. También se consideran reos de estafa: a. Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. b. Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo. c.Losqueutilizandotarjetasdecréditoodébito,ochequesdeviaje,olosdatosobrantes encualquieradeellos,realicenoperacionesdecualquierclaseenperjuiciodesutitular o de un tercero.” Además, tal y como la Jurisprudencia del Tribunal Supremo establece, el precepto tiene la finalidad de proteger el patrimonio contra acciones que no responden al esquema típico del artículo 248.1 del Código Penal, pues no se dirigen contra un sujeto que pueda ser inducido a error. Por lo que, para que se puedan tipificar los hechos como un delito del artículo 248.2 del Código Penal se precisa que exista: • ánimo de lucro; • manipulación informática o similar que sustituya como medio comisivo al engaño del tipo del artículo 248.1, y se manifiesta en una actuación ilegítima que bien puede consistir en la alteración de los elementos físicos, de aquellos que permite su programación, o por la introducción de datos falsos; • disposición económica en perjuicio de tercero que se concreta en una transferencia no consentida. La Normativa en el caso de uso fraudulento tarjetas pago 15 Phising: cuando la pesca no es un deporte
  • 17. Cada vez más a menudo el phising está siendo noticia en los medios de comunicación, desde que en el año 2008 la Asociación de Usuarios de Bancos, Cajas y Seguros obtuvo una de las primeras sentencias en España sobre fraude a consumidores en banca electrónica. Ejemplos recientes del presente año 2017 son los que desde el portal de la Oficina de Seguridad del Internauta (Oficina de Seguridad del Internauta - OSI, 2017) nos alertan, se citan a modo informativo dos de ellos: • Suplantando a Apple, alertando a los usuarios en un email que debido a un incidente de seguridad, los usuarios deben de validar sus credenciales. • Suplantando a PayPal a través de un sitio web simulado, para intentar conseguir los datos del usuario. El sitio de la OSI es muy recomendable ya que promueve, entre otros aspectos, la concienciación en materia de seguridad. Informes como los proporcionados por el AntiPhishing Working Group (APWG) (Anti-Phishing Working Group, 2017) indican que en el año 2016 hubo un incremento destacable de ataques phising (un 65% con respecto al 2015), estimándose la existencia durante el último trimestre del pasado año de más de 90.000 ataques de phising al mes. Tomando como referencia los datos recogidos en la “Bitácora de Ciberseguridad del INCIBE” (INCIBE-CERTSI, 2017) han elaborado el top ten de los incidentes de ciberseguridad producidos en 2016 en todo el mundo, teniendo en cuenta criterios de impacto económico, dimensión de las fugas de información o reputación. Citamos la primera posición correspondiente al robo de 81 millones de dólares al Banco Central de Bangladés, los cuales transfirieron esa cantidad de dinero a varios casinosdeFilipinas;peroquepodríahabersidomuchomayorsinohubierantenido un descuido en cuanto a la ortografía. Ya en el pasado 2014 cuando se puso en marcha en INCIBE se estimaba que el impactodelacibercriminalidadpodíavariarentrelos300.000millonesdedólaresy el billón (Ministerio del Interior-Gobierno de España, 2014). Si nos dirigimos a los últimos datos teniendo en cuenta la información publicada por Kaspersky Lab y resaltada en su nota de prensa del pasado mes de marzo (Kaspersky Lab, 2017): • El número de ataques de phishing financiero creció un 13,14% en 2016, representando el 47,5% del total de ataques phishing identificados. • Casi la mitad de los ataques de phishing registrados en 2016, tenían como objetivo hacerse con el dinero de sus víctimas. La Evolución de los ataques de phising 16
  • 18. La última encuesta sobre “Equipamiento y uso de las tecnologías de la Información y comunicación en los hogares” del Instituto Nacional de Estadística (INE) (Instituto Nacional de Estadística, 2016) indica que más del 75% (77,1%) de los hogares dispone de ordenador en su hogar, el 81,9% disponen de conexión a la red. Como ya hemos indicado las cifras avalan el uso, los acontecimientos, … por ello se deben de tomar medidas y como vemos a continuación son sencillas: • Disponer de contraseñas robustas (es decir, con complejidad disponiendo de mayúsculas, minúsculas, números, …; con una longitud superior a 8 dígitos; obviando palabras del diccionario; y eludir tener la misma contraseña para todo). • Desconfiar cuando se soliciten datos personales a través del correo electrónico. • En bastantes de los intentos de phising en el correo se encuentra un adjunto que nos instan a abrir; ante la duda no abrir. • En otros casos lo que aparece es un enlace a una url (muy similar a la real y con apariencia casi idéntica), en vez de usar esa url ante la duda usar la que se tiene plena certeza que es correcta. • Desconfiar de remitentes desconocidos y/o correos mal redactados y/o con referencias impersonales. • Si es posible disponer de factores de doble autenticación en nuestros sistemas, por ejemplo, el correo electrónico. Medidas de prevención para los delitos anteriores. ¿Cómo actuar en caso de ser víctima de phising? Gráfico 3. Evolución de datos de Viviendas (2006-2016) por tamaño del hogar, hábitat, tipo de equipamiento y periodo. 17 Fuente:Elaboración propia con datos extraídos del sitio web del INE: www.ine.es. 900 800 700 600 500 400 300 200 2016 2015 2014 2013 2012 2011 2010 2009 2008 2007 Viviendas con algún tipo de ordenador Viviendas que disponen de acceso a Internet Viviendas con conexión de Banda Ancha (ADSL, Red de cable, etc.) Phising: cuando la pesca no es un deporte
  • 19. En el estudio “Ciberseguridad y Confianza en los hogares españoles”, correspondiente al periodo enero-junio 2016 (ONTSI-Observatorio nacional de las telecomunicaciones, 2016), un punto interesante a destacar es que el uso responsable y el tener buenos hábitos hace que se mitigue el riesgo. Y así lo demuestran las cifras de este informe, ya que un porcentaje superior al 91% de estos usuarios no sufrió perjuicio económico como consecuencia de un fraude online o telefónico. Si revisamos el mismo estudio para el segundo semestre del pasado año (ONTSI-Observatorio nacional de las telecomunicaciones, 2017) se observa que el porcentaje de usuarios con buenos hábitos que no sufrió perjuicio económico subió al 94,4%. A continuación vamos a proceder a comparar ambos semestres tomando los datos de dichos estudios referenciados anteriormente para ver la evolución con respecto al fraude on-line y las medidas tomadas por los usuarios en el caso de haberse visto afectados: Medidas de prevención para los delitos anteriores. ¿Cómo actuar en caso de ser víctima de phising? 18 Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI https://www.ontsi.red.es Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI https://www.ontsi.red.es Sin perjuicio económico Intento de fraude online 90 90,5 91 91,5 92 92,5 93 93,5 94 94,5 95 Ene-Jun 2016 Jul-Dic 2016 Gráfico 4. Consumación del intento de fraude según los hábitos prudentes. Gráfico 5.90 91,8 94,4 90,3 64,1 60,6 0 10 20 30 40 50 60 70 80 90 100 Ene-Jun 2016 Jul-Dic 2016
  • 20. El porcentaje de los intentos de fraude que acaban suponiendo un perjuicio económico para la víctima se mantiene en niveles del anterior periodo. Los cambios adoptados tras un incidente de seguridad permanecen en valores pasados Medidas de prevención para los delitos anteriores. ¿Cómo actuar en caso de ser víctima de phising? 19 Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI https://www.ontsi.red.es Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI https://www.ontsi.red.es 70 71 72 73 74 75 76 Ene-Jun 2016 Jul-Dic 2016 Gráfico 6. Cambios adoptados tras un incidente de seguridad. 63 61,960,5 58,9 0 20 40 60 80 100 Ene-Jun 2016 Jul-Dic 2016 Gráfico 7. Influencia del intento de fraude en los servicios de banca online y comercio electrónico: tras una invitación a visitar alguna página web sospechosa. Comercio electrónico Banca on-line Phising: cuando la pesca no es un deporte
  • 21. La modificación de los hábitos tras recibir una invitación a visitar alguna página web sospechosa de los usuarios de banca online y de los de comercio electrónico ha disminuido ligeramente. Más de un tercio percibe un menor número de incidencias en los últimos 3 meses y además las considera de menor gravedad, mejorando con respecto al semestre anterior la percepción. Medidas de prevención para los delitos anteriores. ¿Cómo actuar en caso de ser víctima de phising? 20 Gráfica 9. Percepción de los usuarios sobre la evolución en seguridad. Fuente:Elaboración propia con datos extraídos del sitio web del ONTSI https://www.ontsi.red.es Menor número de incidencias en los últimos 3 meses Las considera de menor gravedad 30,7 34,5 31,7 34,9 28 29 30 31 32 33 34 35 36 Ene-Jun 2016 Jul-Dic 2016
  • 22. El phishing es uno de los delitos englobados dentro de la categoría de estafa y existen múltiples variantes, como la del envío masivo de emails, afectando principalmente a usuarios de la banca on-line (haciéndose pasar normalmente por entidades bancarias) y alegando supuestas razones de seguridad para que: • les faciliten sus credenciales para operar en la web del banco, o • les solicitan que pinchen en algún enlace que les redirecciona a una página idéntica a la oficial de dichas entidades para que las introduzcan y así capturen sus datos, o • les infectan, directamente, con algún virus para apoderase de sus claves. Por cualquiera de los mecanismos anteriores, los "Phishers" consiguen conocer las contraseñas de los usuarios, con las que posteriormente poder acceder a la verdadera web bancaria, suplantando la identidad de los verdaderos usuarios, y ordenando operaciones no consentidas. Las operaciones no se realizan directamente, sino que se emplean terceras personas (denominadas “muleros”) a las que a través de una supuesta oferta laboral en la que se les indica que abran una cuenta bancaria, en la que recibi- rán transferencias de personas desconocidas, y deberán de remitir dicho dinero descontando su comisión. Así, los verdaderos responsables penales del 'phishing' difícilmente son conde- nados por la justicia y los bancos para evitar su responsabilidad civil compare- cen como acusación particular para evitar el desembolso de las cantidades defraudadas (aunque de acuerdo al Código Civil y al Código de Comercio, tienen obligación de reembolsar al depositario las cantidades por éste ingresa- das, sin que pueda responsabilizarlo de accesos ilícitos por parte de terceras personas). Y, por supuesto, tomar sencillas medidas de seguridad que nos puedan evitar un susto como las enunciadas: • Disponer de contraseñas robustas (es decir, con complejidad disponiendo de mayúsculas, minúsculas, números, …; con una longitud superior a 8 dígitos; obviando palabras del diccionario; y eludir tener la misma contraseña para todo). • Desconfiar cuando se soliciten datos personales a través del correo electrónico. • En bastantes de los intentos de phising en el correo se encuentra un adjunto Conclusiones 21 Phising: cuando la pesca no es un deporte
  • 23. que nos instan a abrir; ante la duda no abrir. • En otros casos lo que aparece es un enlace a una url (muy similar a la real y con apariencia casi idéntica), en vez de usar esa url ante la duda usar la que se tiene plena certeza que es correcta. • Desconfiar de remitentes desconocidos y/o correos mal redactados y/o con referencias impersonales. • Si es posible disponer de factores de doble autenticación en nuestros sistemas, por ejemplo, el correo electrónico. Así, en el estudio “Ciberseguridad y Confianza en los hogares españoles”, correspondiente al segundo semestre del pasado 2016 (ONTSI-Observatorio nacional de las telecomunicaciones, 2017), es de destacar que el uso responsable y el tener buenos hábitos hace que se mitigue el riesgo. Y así lo demuestran las cifras de este informe, ya que un porcentaje superior al 94% de estos usuarios no sufrió perjuicio económico como consecuencia de un fraude online o telefó- nico. Del mismo modo, más de un tercio percibe un menor número de inciden- cias en los últimos 3 meses y además las considera de menor gravedad, mejo- rando con respecto al semestre anterior la percepción. En el denominado “Código de Derecho de la Ciberseguridad” se recopila en un único documento toda aquella legislación española – y europea de aplicación - relacionada con la seguridad de la información y la ciberseguridad en general, documento de referencia. Conclusiones 22
  • 24. Referencias 23 • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (1973, Diciembre 12). Retrieved from https://www.boe.es/buscar/doc.php?id=BOE-A-1973-1715 • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (1995, Noviembre 24). Retrieved from https://www.boe.es/buscar/doc.php?id=BOE-A-1995-25444 • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2010, Septiembre 17). Retrieved from https://www.boe.es/boe/dias/2010/09/17/pdfs/BOE-A-2010-14221.pdf • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2015, Enero 30). Retrieved from https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-793 • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2017, Abril 3). Retrieved from https://- boe.es/legislacion/codigos/codigo.php?id=34&modo=1&nota=0 • Agencia Estatal BOLETÍN OFICIAL DEL ESTADO. (2017, Marzo 9). Retrieved from http://www.boe.es/legislacion/codigos/codigo.php?id=173_Codi- go_de_Derecho__de_la_Ciberseguridad • Anti-Phishing Working Group. (2017). Retrieved from http://www.apwg.org • Boletín Oficial del Estado . (XXX). Retrieved from https://www.boe.es/bus- car/act.php?id=BOE-A-1889-4763 • Chile. (1993, Junio 7). Retrieved from http://www.leychile.cl/Navegar?idNorma=30590 • Consejo General del Poder Judicial. (2017). Retrieved from http://www.poderjudi- cial.es/search/indexAN.jsp • GPS World. (2016, Octubre 30). Retrieved from http://gpsworld.com/testing-susceptibi- lity-to-gps-spoofing • INCIBE. (2017). Retrieved from https://www.incibe.es • INCIBE-CERTSI. (2017). Retrieved from https://www.certsi.es/alertatemprana/bitacora- ciberseguridad • Instituto Nacional de Estadística. (2016, Octubre 3). Retrieved from http://www.ine.es/dyngs/INEbase/es/operacion.htm?c=estadisti- ca_C&cid=1254736176741&menu=ultiDatos&idp=1254735976608 • Instituto Nacional de Estadística. (2016, Octubre). Retrieved from www.ine.es • Kaspersky Lab. (2017). Retrieved from http://newsroom.kaspersky.eu/fileadmin/u- ser_upload/es/Downloads/Kaspersky_press_release_phishingfinancieroOK.pdf • Ministerio del Interior. (2016, Junio 22). Retrieved from http://www.interior.gob.es/do- cuments/10180/3066430/Informe+Ci- bercriminalidad+2015.pdf/c10f398a-8552-430c-9b7f-81d9cc8e751b • Ministerio del Interior-Gobierno de España. (2014). Retrieved from http://www.inte- rior.gob.es/prensa/noticias/-/asset_publisher/GHU8Ap6ztgsg/content/id/2720078 • Oficina de Seguridad del Internauta - OSI. (2017). Retrieved from https://www.osi.es/ • ONTSI-Observatorio Nacional de las Telecomunicaciones. (2016, Noviembre). Retrieved from http://www.ontsi.red.es/ontsi/sites/ontsi/files/Cibersegurida- d%20y%20Confianza%20en%20los%20hogares%20%28noviembre%202016%29.pdf • ONTSI-Observatorio Nacional de las Telecomunicaciones. (2017, Abril). Retrieved from https://www.ontsi.red.es/ontsi/es/Ciberseguridadyconfianzaen- loshogaresespa%C3%B1olesabril2017