Академический Документы
Профессиональный Документы
Культура Документы
XX CELAES 2005
Comit de Expertos en Seguridad Bancaria
Guatemala, Guatemala
Agosto 10 - 12, 2005
PHISHING
IMPACTO NEGATIVO EN EL SISTEMA BANCARIO
Robo de Identidad, nuevo reto de seguridad
1.
2.
3.
4.
5.
DELITO CIBERNTICO
DELITO ELECTRNICO
DELITO INFORMTICO
COMPUTO FORENSE
IDENTIFICACIN
PRESERVACIN
EXTRACCIN Y ANLISIS
PRESENTACIN
XX CELAES 2005
XX CELAES 2005
para
acceder
las
cuentas
bancarias
del
usuario,
realizar
para
llevar
cabo
serios
ataques
los
sistemas
con
los
sistemas
computaconales.
Hacker.-
Alguien
con
mucho
talento
dominio
XX CELAES 2005
miran aquellos sitios web que han sido visitados por los usuarios.
Phishing website.- Un sitio o pgina web que recolecta informacin
personal a travs de phishing.
Nota Especial
Por considerarlo de gran importancia se recomienda que el lector de este
documento tenga ocasin de revisar el reporte original adjunto del AntiPhishing Workin Group (APWG), que muestra un detalle del problema y el
resultado de los estudios y tendencias analizadas al mes de Junio de 2005.
En otro orden de ideas
El desarrollo de este trabajo no se centra en concepciones de naturaleza legal propias
del campo jurdico, sino slo como un referente para enfatizar la importancia de las
acciones
irregulares,
ilcitas
dolosas
donde
intervienen
los
dispositivos
XX CELAES 2005
En tal sentido, pretendemos dar una idea clara de los principales conceptos vinculados
con el tema de los delitos cibernticos y la computacin forense, especialmente, en esta
ocasin, con el llamado Phishing. (Ver anexos al final de este trabajo y consultar
pgina www.antiphishing.org)
Definiciones bsicas
Delito.- Accin u omisin voluntaria o imprudente penada por la ley.
Ciberntica.- Estudio de las analogas entre los sistemas de control y comunicacin de
los seres vivos y los de las mquinas; y en particular, el de las aplicaciones de los
mecanismos de regulacin biolgica a la tecnologa.
Electrnica.- Estudio y aplicacin del comportamiento de los electrones en diversos
medios, como el vaco, los gases y los semiconductores, sometidos a la accin de
campos elctricos y magnticos.
Informtica.- Conjunto de conocimientos cientficos y tcnicas que hacen posible el
tratamiento automtico de la informacin por medio de computadoras.
Computacin.- Someter datos al tratamiento de una computadora.
Forense.- Perteneciente o relativo al foro. Usualmente, presentaciones ante
autoridades legales en un foro para discernir y resolver sobre un asunto tcnico.
Adoptando recientes estudios jurdicos realizados en Mxico y Argentina en materia de
delitos en contra de y por medio de computadoras, haremos un breve repaso.
XX CELAES 2005
Se tiene entonces que, los delitos cometidos en contra de equipos electrnicos son
aquellos en los cuales el receptor fsico del dao perpetrado resulta expresamente un
equipo electrnico.
Muy cuestionable sera dentro de esta categora pretender, incluir el delito especfico de
daos, reconocido en todas las legislaciones penales, por ejemplo, en aquellos casos
en que alguien destruye un cajero automtico, salvo que ste tuviere que ver con
destrucciones totales o parciales producidas a travs de la utilizacin de medios
informticos.
Carlos Ramrez Acosta
XX CELAES 2005
Determinando el bien jurdico protegido, puede inducirse que, en el caso de los delitos
informticos, los mltiples posibles, ya se encuentran en su mayora protegidos por
medio de figuras como el robo, la estafa, las injurias y calumnias, etc., contenidos en
cdigos penales o leyes especiales.
En este punto, queda por analizar el caso de aquellos delitos que no se encuentran
tipificados, ya que no corresponden a bienes jurdicos protegidos, al menos a primera
vista, como el caso especfico del hacking u otros similares.
Carlos Ramrez Acosta
XX CELAES 2005
Nos encontramos dentro del mbito especfico de los que son delitos electrnicos, por el
tipo de bien afectado que pueden ser el delito de daos, para el que por regla general
no existe legislacin.
Para estos casos particulares se requiere una rpida accin del legislador para definir
los tipos penales y agregarlos a los vigentes, sin perjuicio de que al hacer las
respectivas modificaciones, y segn la legislacin de cada pas, puedan agravarse
algunos tipos existentes en funcin del uso de nuevas tecnologas para, de esta forma,
desalentar su utilizacin indebida.
Puede establecerse que:
1. Los delitos electrnicos e informticos no resultan equivalentes y adems los
trminos no son sinnimos.
2. Todos los delitos electrnicos son perpetrados por medio del uso de la
informtica, razn por la cual no cabe menos que inferir que los delitos
electrnicos son una especie del gnero de los informticos.
3. En la mayora de los casos, los delitos electrnicos constituyen una especie
tan particular y especfica que a la fecha, no encuentran dentro del espectro
penal vigente la proteccin del bien jurdico que se afecta, mientras que los
delitos informticos la poseen, ya que no son otra cosa que nuevos medios
comisivos de delitos ya existentes.
4. Siguiendo esta lnea de reflexin puede precisarse que el gnero delito
informtico reconoce, al menos dos especies.
XX CELAES 2005
XX CELAES 2005
Esto es, las prcticas consideradas como las mejores para la cadena de custodia de la
evidencia digital, que puede encontrarse en el lugar de los hechos de un delito
ciberntico. Se trata de material de orientacin que sintetiza varias concepciones
investigadas y aplicadas por el autor.
10
XX CELAES 2005
11
XX CELAES 2005
Ante este escenario, es posible identificar ciertas acciones dolosas donde los
equipos informticos son usados especficamente como medio, mtodo o fin de
un delito, o transgresin de una norma interna de una organizacin y, que tal
conducta pueda requerir de una determinada sancin penal o administrativa, si
12
XX CELAES 2005
logra configurarse la tipicidad del hecho, bien sea por la accin u omisin de una
conducta registrada.
El trmino forense proviene de foro -sitio donde los tribunales juzgan las
causas- implica un ejercicio y aplicacin de ndole tcnica y de procedimientos
mediante los cuales se aprovechan una o varias ramas de la investigacin
criminal o de ciencias conexas que estudian y resuelven casos concretos ligados
habitualmente a situaciones legales o jurdicas.
13
XX CELAES 2005
Tomemos nota que los delitos informticos son cometidos por personas y no por las
mquinas y que de acuerdo a diferentes estudios publicados se estima que en materia
del ciber crimen el enemigo realmente puede estar en casa. En lugar de analizar slo
las herramientas tecnolgicas para descubrir las fallas, es necesario comprender que
las estadsticas recientes indican que de cada 10 incidentes criminales relacionados con
computadoras, 7 de ellos son cometidos con la complicidad de algn empleado de la
compaa afectada.
Por lo tanto, es sumamente importante la investigacin de todo el recurso humano
vinculado directa e indirectamente en un incidente criminal detectado.
14
XX CELAES 2005
El tpico perfil del hacker seala que se trata de individuos inquietos, curiosos,
creativos, lectores vidos, conocedores avanzados tcnicamente, clasemedieros
econmicamente y anarquistas. Es un perfil que aparecer con ms frecuencia
dadas las facilidades y ola tecnolgica por la que atravesamos en el mundo
entero. Es decir, estemos alertas y sigamos profesionalizando la labor del
analista e investigador en tareas de delitos cibernticos y cmputo forense.
del
mundo
de
los
sistemas,
para
hacerse
de
claves
15
XX CELAES 2005
ya se trate de evidencias
La diferencia entre una evidencia fsica y una digital es que sta ltima es frgil,
sensible y voltil y puede contaminarse o destruirse permanentemente afectando
completamente el resultado de un caso.
16
XX CELAES 2005
Introduccin
17
XX CELAES 2005
18
XX CELAES 2005
19
XX CELAES 2005
una adecuada orden judicial de amplio espectro pueda cubrir los imponderables
y no limitarse en la bsqueda fsica en un slo lugar. Un especialista en
seguridad informtica y cmputo forense podr desarrollar un anlisis efectivo y
determinar aquella evidencia significativa.
Supuestos
1. El aseguramiento de tipo legal para incautar evidencia relacionada con equipo
de cmputo aplica a computadoras personales que no estn en red.
2. Si varios sistemas deben ser asegurados, cada sistema deber ser analizado
independientemente.
3. Los analistas o investigadores deben notificar a algn supervisor cuando los
procedimientos conocidos aqu referidos no se ajusten a situaciones
excepcionales para tomar providencias mayores.
4. Debern estar contemplados los recursos necesarios anticipadamente para
realizar un aseguramiento efectivo.
5. Es recomendable que se designe personal para las siguientes tareas:
a. Determinar en dnde se encuentra la evidencia
b. Registrar y documentar el cuarto bajo inspeccin
c. Registrar y documentar el rea donde se encuentra el cuarto bajo
inspeccin.
d. Documentar y asegurar la evidencia
e. Resguardar la evidencia
f.
Panorama Funcional
Un aspecto importante es que el aseguramiento de una computadora puede no reflejar
especficamente la ubicacin de la evidencia. Sin embargo, la evidencia potencial de la
escena del crimen deber asegurarse para ser turnada a una entidad especializada,
como por ejemplo, un laboratorio de informtica forense para su debido tratamiento.
Al ingresar a la escena del crimen, el analista o investigador puede suponer que una
computadora personal es independiente, pero en realidad esta conectada a una red.
Puede que tambin el propietario haya preparado al sistema para daarse si algunas
condiciones se suceden fuera de su control.
Por lo tanto, es importante primeramente determinar:
Carlos Ramrez Acosta
20
XX CELAES 2005
21
XX CELAES 2005
de
almacenamiento.-
Asegure
todos
los
disquetes
Comunicaciones.-
Se
incluyen
modems
externos
faxes
22
XX CELAES 2005
j.
Tijeras
k. Guantes
l.
m. Envolturas antiestticas
n. Bolsas de papel
o. Bateras suficientes
p. Cinta para marcar evidencia
23
XX CELAES 2005
Bsqueda
Aseguramiento
24
XX CELAES 2005
25
XX CELAES 2005
Transporte
Almacenamiento
Conclusiones
26
XX CELAES 2005
27
XX CELAES 2005
28
XX CELAES 2005
Esta situacin no termina con el engao, debido a que se suman los problemas de los principales
fabricantes, primordialmente en aplicaciones utilizadas por los usuarios para navegar en Internet como lo
es el caso de Fallas crticas en el Internet Explorer (Boletn de Seguridad UNAM-CERT 2005-015
Vulnerabilidades crticas en MS Windows 30 Julio 2004), donde la navegacin le permite al intruso
incrustar cdigo malicioso en todos los clientes, haciendo ms fcil este tipo de ataques. Este hecho fue
dado a conocer el 10 de diciembre el 2003 y fue solucionado por el fabricante ocho meses despus. Los
ataques Phishing Scam crecen a ritmo acelerado, recientemente, Citigroup, Ebay, Paypal, Yahoo y Bank of
America han sido vctimas de esta situacin donde se engaa a usuarios con cuentas vlidas en sus
sistemas y da con da el nmero de reportes y compaas involucradas aumenta, conforme los usuarios
reportan movimientos y saldos no vlidos en sus cuentas.
Es importante sealar que aunque las firmas de servicios financieros han sido blancos iniciales de este tipo
de engaos, hoy en da este fenmeno ha proliferado hasta en tareas comunes como la obtencin de una
simple cuenta de Internet, simulando ampliacin de espacio en la cuenta de correo, hasta las famosas
cuentas de 1 GB de espacio de informacin que actualmente todos buscan y se subasta en los sitios
tradicionales de trueque y negociacin por Internet y desean el espacio gratis sin considerar las
consecuencias implcitas que trae el adquirirlas.
Posibles soluciones
Es difcil precisar una receta para la prevencin de este tipo de ataques tan elaborados y sofisticados que
suceden da con da, sin embargo, entre las constantes que se deben promover se encuentran: la
informacin y capacitacin de los usuarios de las distintas organizaciones.
Desafortunadamente, son pocas las organizaciones que dedican parte de sus esfuerzos a las campaas
internas y cursos de actualizacin, lo que trae consigo el no estar preparados frente a este tipo de eventos,
ni establecer normas y procedimientos que les ayuden a reaccionar y responder de forma apropiada ante
incidentes de seguridad de este tipo.
Otras posibles soluciones incluyen el fortalecimiento de las bases de la seguridad informtica que incluyen
la deteccin, prevencin y educacin.
Para fomentar la cultura de la prevencin y deteccin en el rea de informtica se cre el AntiPhishing
Working Group (APWG), organismo que conglomera esfuerzos de diversas compaas, con la finalidad de
documentar, informar y catalogar las distintas formas que emplean los intrusos mediante la tcnica del
Phishing Scam.
El APWG realiz una lista con las entidades bancarias online y los sitios de compras en donde se detectan
ms fraudes de este tipo. Citibank figura en primer lugar como el banco donde ms vctimas se han
registrado o cuyo nombre es utilizado con mayor frecuencia para hacer estafas.
En lo que va de este ao se han registrado cerca de cuatro mil 500 ataques de Phishing Scam, y realmente
resulta preocupante que semana tras semana el nmero de estafas aumenta. En junio de este ao, se
registraron mil 422 casos y se calcula que para finales de 2004 la cifra se duplicar. Hay que sealar que la
mayora de estos ataques ocurren en Estados Unidos en donde, segn la compaa consultora
especializada Gartner, se han generado prdidas totales pro dos mil 400 millones de dlares a cada
vctima.
(J. Carlos. Guel. CERT-UNAM. Mxico)
29
XX CELAES 2005
4. Herramientas Forenses
La computacin forense es una de las actividades profesionales de muy rpido
crecimiento en el siglo XXI. El incremento vertiginoso de usuarios de Internet en
combinacin con la automatizacin constante de los procesos de negocio ha creado
nuevas oportunidades para los ciber criminales. Segn estimaciones de John R. Vacca,
autor de la obra Computer Forensics: Computer Crime Scene Investigation, se
requieren por lo menos 50,000 especialistas en cmputo forense para poder combatir
con efectividad las amenazas globales de ataques informticos.
30
XX CELAES 2005
John Vacca destaca en su obra que los ataques terroristas no estn acotados a los
edificios emblemticos ni a los aeropuertos. El uso de computadoras personales
como armas en manos de delincuentes, algunos de tan slo 16 aos de edad, han
causado prdidas severas a travs de Internet hacia agencias de gobierno, bancos,
grandes corporativos, pequeas empresas, etc.
31
5.
XX CELAES 2005
i)
32
XX CELAES 2005
i)
33
XX CELAES 2005
iii) Al definir su contrasea, recuerde que nadie ms debe conocerla ni debe ser
anotada, nicamente debe memorizarla, considerando las caractersticas
siguientes:
Una longitud mnima de ocho caracteres alfanumricos.
La combinacin de minsculas, maysculas, nmeros y caracteres
especiales.
Evite el uso de valores triviales, obvios o de fcil deduccin por terceros.
Cambie su contrasea en forma peridica o inmediatamente cuando
considere que sta pudo haber sido comprometida.
Si el banco le requiere definir una pregunta secreta o pista para
recuperar su contrasea en caso de olvido, procure que sta no
contenga a la contrasea en s y evite utilizar respuestas obvias o que
puedan ser conocidas por terceras personas. De preferencia evite utilizar
esta opcin si le es posible.
Si cuenta con el servicio de Banca por Internet en ms de una institucin,
procure utilizar contraseas diferentes en cada caso.
c) Cuidados durante el uso del servicio. El uso de la Banca por Internet puede
realizarse de manera ms segura si se mantienen cuidados mnimos durante la
ejecucin de transacciones y si se observa una
i)
34
XX CELAES 2005
ii) Consulte y concilie peridicamente los saldos de sus cuentas contra los
movimientos realizados y confirmados por usted, tal como lo hara con otras
formas de operacin, por ejemplo en el uso de cajeros automticos.
iii) Revise peridicamente las cuentas registradas por usted para realizar
traspasos a terceros en el mismo banco e interbancarios.
i)
35
XX CELAES 2005
esperando que algunos los contesten haciendo creer al pblico, que se est
comunicando con su institucin financiera y entreguen, en realidad, a los
defraudadores informacin confidencial tal como clave de usuario, nmero
de cliente, nmeros de cuentas, password o PIN. Utilizan frases como
estamos actualizando nuestros registros, seguridad y mantenimiento,
investigacin de irregularidades, personalizacin de cuentas, su cuenta
ha sido congelada, tenemos que reconfirmar sus datos, su tarjeta de
crdito ha sido cancelada, usted tiene una suma grande de dinero en su
cuenta, por favor verifique sus movimientos, actualice sus datos. Lo
anterior, es para lograr convencerlo de proporcionar sus datos.
ii) Keyloggers. Son dispositivos fsicos (conectados entre la PC y el teclado) y
programas que se instalan en las computadoras que tienen como fin
almacenar en un archivo todo el texto que se digita en un teclado.
Posteriormente, este archivo es recuperado con el fin de conocer toda la
informacin que el usuario digit, incluyendo sus identificadores de usuario y
contraseas. El riesgo es mayor si utiliza equipos pblicos de Internet (cafs
Internet, hoteles, de otro usuario) o si alguien ms tiene acceso fsico a su
computadora.
iii) Web Page Spoofing. Consiste en crear un sitio Web con direccin y
apariencia similar al de una institucin o empresa con el fin de obtener
mediante los campos normales para capturar sus datos personales, la
informacin de clientes. Al creer que se est en la pgina real de la
institucin, el cliente proporciona su nombre de usuario y contrasea. Por lo
general, es ms fcil confundirse con estas pginas al acceder a ellas
mediante ligas colocadas en pginas de concentradores de informacin o
de terceros en general.
36
XX CELAES 2005
37
XX CELAES 2005
Sitios de inters
www.seguridad.unam.mx
www.cert.org.mx/main.dsc
www.ssp.gob.mx
www.condusef.gob.mx
www.microsoft.com/latam/technet/seguridad/
38
XX CELAES 2005
Sntesis Curricular
Carlos Ramrez Acosta
Estudi en el Instituto Nacional de Ciencias Penales de la Ciudad de Mxico. Es Criminlogo y Criminalista. Trabaj
para el Banco Nacional de Mxico por ms de 20 aos en el rea corporativa de seguridad hasta el ao 2000. Es
miembro del Grupo Delitos Cibernticos Mxico, dependiente de la Polica Federal Preventiva. Ostenta el grado de
Certified Protection Professional (CPP) en ASIS International, as como el grado de Certified Protection Officer (CPO)
de la International Foundation for Protection Officers, IFPO, Captulo Mxico y Latinoamrica. Es socio fundador de la
Federacin Panamericana de Seguridad Privada (FEPASEP Mxico); miembro de la Asociacin Latinoamericana de
Profesionales en Seguridad Informtica (ALAPSI), y fue presidente de la mesa directiva de la International
Association of Financial Crimes Investigators (IAFCI) y secretario de la International Association of Law Enforcement
Intelligence Analysts (IALEIA), cargos ocupados en los captulos mexicanos. Fungi tambin como secretario tcnico
del presidente del comit de comunicacin y control sobre riesgos de lavado de dinero en Banamex. Tiene una
amplia experiencia en seguridad, proteccin e inteligencia. Supervis investigaciones corporativas cuyas
afectaciones se produjeron por medios informticos en productos y servicios bancarios. Ha sido un intenso promotor
de la seguridad de la informacin y de la computacin forense. Su especialidad est orientada al anlisis de
inteligencia, proteccin de informacin sensible y hacia la prevencin e investigacin criminal. La consultora, la
docencia y el trabajo en campo han sido sus actividades en los ltimos 5 aos llevando a cabo diversos seminarios
de sus especialidades en Mxico y Amrica Latina. De entre varios diplomados universitarios, es egresado de la
primera generacin de Seguridad Informtica de la Universidad Iberoamericana de Mxico y del diplomado en
Seguridad Nacional por el Instituto Nacional de Administracin Pblica. En el 2000, particip en un programa de
entrenamiento en Anlisis de Inteligencia Criminal en West Yorkshire Police Centre al norte de Inglaterra.
Actualmente dirige su propia firma consultora denominada PRISMA Consulting Services.
39