Este documento describe varios tipos de fraude en Internet, incluyendo ofertas falsas de trabajo, venta de autos falsos, loterías falsas, sitios web falsos de recargas y phishing. Explica cómo funcionan estos fraudes y ofrece recomendaciones para evitarlos. También describe las acciones que está tomando la Superintendencia de Telecomunicaciones del Ecuador para capacitar al público, investigar denuncias y coordinar con proveedores de Internet para bloquear sitios fraudulentos.

1. Tlgo. Franklin Álvarez Segura
INVESTIGACION ESPECIAL
EN TELECOMUNICACIONES

2. LOS NUEVOS FRAUDES EN LA RED.
La mayoría de estos peligros se producen por medio de técnicas INGENIERIA SOCIAL
QUE ES IGUAL A ENGAÑO. Por medio de ingeniería social intentan que el usuario caiga
en la trampa con cualquier tipo de engaño para que facilitemos nuestras claves, datos
privados, etc. estos tipos de fraudes aun es desconocido por usuarios de internet, de ahí
su éxito.
Vamos describir de forma rápida que es cada uno y como los nuevos peligros exponen a
nuestra seguridad y datos.
SCAM (Ofertas falsas de trabajo)
El Scam es la captación de personas por medio de correos electrónicos, anuncios en web
de trabajo, chats, irc, etc... donde empresas ficticias le ofrecen trabajar cómodamente
desde casa y cobrando unos beneficios muy altos. Sin saberlo, la víctima esta
blanqueando dinero obtenido por medio del phishing (procedente de estafas bancarias).
Siempre le piden que tenga o abra una cuenta bancaria. Su trabajo consiste en recibir
transferencias bancarias a su cuenta bancaria, sacar este dinero posteriormente para
enviarlo a países extranjeros por medio de empresas tipo Western Union, Money Gram.

3. Se utiliza para el lavado de dinero. Las personas que aceptan se convierten en
cómplices del ilícito. Efectivamente la empresa ficticia recibe el ingreso y se asegura
el porcentaje, y luego se envía el capital a las cuentas de la empresa. Cuando el
banco denuncia el ilícito la víctima tiene que devolver la totalidad del depósito ya que
su cuenta es la única que se registra y conlleva situaciones penales. (muleros)
Phishing-Car
Captación de compradores de coches a un coste muy bajo, la venta nunca se efectúa,
esta persona realiza un pago como señal, se queda sin dinero y sin coche. Se
producen por medio de llamativas ofertas en vehículos lujosos, incluso tienen web
trampas con nombre de dominios muy similares a empresas con mucho prestigió que
se dedican a la venta de vehículos de ocasión.
Loterías Falsas
Falso premio de loterías, el usuario recibe un correo electrónico donde le notifican que
tiene un premio de lotería, si un usuario contesta a este correo le solicitara a
continuación todos datos bancarios para un falso ingreso del premio.
En otros casos se le solicita un parte del premio que tendrá que enviarlo a un país para
poder cobrar el premio completo. En todos los casos el premio es falso.

4. Web falsa de recargas
Es una variante del Phishing que solo busca un propósito, robar datos bancarios a los
usuarios. Detrás de llamativas ofertas prometiendo recargas más económicas se puede
esconder una estafa, que lo único que busca es hacerse con información del usuario.
Este tipo de fraude puede ser algunas veces mas peligroso que el tradicional phishing, el
ataque no es directo, se encuentra en los anuncios de los enlaces patrocinadores de
buscadores de Internet.
Spam
Se llama spam, correo basura a los mensajes no solicitados, habitualmente de tipo
publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de
alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina
spamming.
Otras tecnologías de internet que han sido objeto de correo basura incluyen grupos de
noticias, usenet, motores de búsqueda, foros, blogs, también a través de popups y todo
tipo de imágenes y textos en la web.
El correo basura también puede tener como objetivo los teléfonos móviles (a través de
mensajes de texto) y los sistemas de mensajería instantánea como por ejemplo
Outlook, Lotus Notes, etc.
También se llama spam a los virus sueltos en la red y páginas filtradas (casino, sorteos,
premios, viajes y pornografía), se activa mediante el ingreso a páginas de comunidades
o grupos o acceder a links en diversas páginas.

5. PHISHING
Capacidad de duplicar una pagina web y hacer creer al visitante que se encuentra en el
sitio web original, se trata de una suplantación de identidad, se utiliza con fines delictivos
enviando SPAM (Correo basura) a los usuarios.
OBJETIVO: Es adquirir información confidencial de los usuarios como contraseñas,
tarjetas de crédito, datos financieros o bancarios. Los estafadores se nutren de usuarios
de chat, foros, emails, el enganche se produce por medio de publicidad de trabajo o
rentabilidad de dinero.
La técnica del phishing utiliza el correo electrónico para ponerse en contacto con los
usuarios, utilizando mensajes que imitan, casi a la perfección, el formato, lenguaje y la
imagen de las entidades bancarias/financieras, y que siempre incluyen una petición final
en la solicita a los usuarios la “confirmación” de determinados datos personales
alegando distintos motivos: problemas técnicos, cambio de política de seguridad, posible
fraude, etc...

6. Estos mensajes de correo electrónico siempre incluyen enlaces que conducen
“aparentemente” a las páginas web oficiales de las citadas entidades pero que, en
realidad, remiten a “páginas web piratas” que imitan o copian casi a la perfección la
página web de la entidad financiera, siendo su finalidad principal captar datos de los
usuarios.
Es a partir de este momento donde empieza el fraude:
1.Utilización del número de tarjeta y fecha de caducidad para compras por Internet
(comercio electrónico).
2. Realización de transferencias bancarias no consentidas ni autorizadas.
3. Retirada de efectivo en cajeros con duplicados de las tarjetas.

16. PAGINA REAL PAGINA CLONADA

22. Recomendaciones para evitar el Phishing:
1.- Evitar el Spam que es el principal medio de distribución de los mensajes.
2.- Analizar y rechazar archivos adjuntos con aplicaciones .exe.
3.- No ingrese en links incluidos en un correo electrónico.
4.- Las empresas nunca piden confirmación de datos a través de correo electrónico.
5.- Una página segura empieza por” https”.
6.- Verificar el certificado digital dando click en el candado de la barra de estado.
7.- No responder solicitudes de información por email.
8.- Los emails son fáciles de interceptar no mandar claves ni contraseñas.
9.- Usar antivirus y firewalls.
10.- Enlaces de phishing no suelen estar personalizados.

23. Acciones de la SUPERTEL
La Dirección de Investigación Especial de Telecomunicaciones preocupada
por el alto índice de casos reportados por los usuarios al Centro de
Información y Reclamos de la Institución, con lo que ha iniciado un plan de
capacitación y de difusión de la problemática que encierra el ciberdelito en
sus distintas formas y el impacto que tiene en la ciudadanía.
En lo que va del año la IET ha recibido alrededor de 15 denuncias de páginas
de instituciones financieras que han sido víctimas de ataques de phishing, las
que al tratar de ser ubicadas se ha notado que los servidores se encuentran
fuera del país, con una latencia de páginas muy cortas, y con direcciones de
ataques variables.
Dentro del plan de acción que está ejecutando la IET en contra del ciberdelito
se encuentra la coordinación con los ISP´s legalmente autorizados en el país,
para buscar los métodos más adecuados para la detección y bloqueo de las
páginas que realizan este tipo de ilícitos.

24. Se han realizado presentaciones en medios de comunicación masiva
alertando a la ciudadanía de los peligros reales que existen en el Internet y
como protegerse de ellos.
Además se tiene previsto la publicación de información acerca del ciberdelito
en sus distintas formas y la recepción de denuncias a través de la página de
la SUPERTEL y del Centro de Información y Reclamos.
El número sin costo habilitado es el 1800 567 567, para que de este modo la
SUPERTEL pueda interceder para que la página sea bloqueada y evitar
nuevas víctimas.

25. GRACIAS POR SU
ATENCIÓN
mmeza@supertel.gov.ec
falvarez@supertel.gov.e
c