Tecnología, Seguridad y Empresa. Manual de introducción a la seguridad en el ...
Estudio bibliografico (tesis)
1. UNIVERSIDAD TECNICA DE AMBATO
FACULTAD DE INGENIERIA EN SISTEMAS,
´
ELECTRONICA E INDUSTRIAL
TEMA:
GU´ DE SEGURIDADES PARA EVITAR EL ROBO DE LA
IA
INFORMACION POR MEDIO DEL PHISHING EN LA
COOPERATIVA DE AHORRO Y CREDITO 10 DE AGOSTO DE
LA CIUDAD DE AMBATO
Trabajo de graduaci´n modalidad: SEMINARIO DE
o
GRADUACION,presentado como requisito previo a la obtenci´n del
o
T´
ıtulo de Ingeniero en Sistemas Computacionales e Inform´ticos.
a
AUTOR: Luis P. Analuiza
TUTOR: Ing. Clay Ald´s
a
AMBATO - ECUADOR
2011
3. Resumen el desarrollo econ´mico de los pa´ se
o ıses
sustentan en la utilizaci´n de servicios
o
tecnol´gicos que mejoran la calidad de
o
En el presente trabajo se analiza el vida y facilitan las labores cotidianas
comportamiento y funcionamiento del de las personas y de las organizaciones.
phishing en el Ecuador y particularmen-
te en la Cooperativa de Ahorro y Cr´di-e
to 10 de Agosto del centro del pa´ a ıs,
trav´s del empleo de t´cnicas estad´
e e ısti- En los pa´ ıses subdesarrollados como
cas, utilizando como fuente la informa- el Ecuador, el uso de las tecnolog´ ıas
ci´n generada en los bancos privados del est´ creciendo significativamente, ya
o a
centro del pa´ evaluando para estos fi- que un estudio realizado a nivel mundial
ıs,
nes variables tales como: montos totales revela que en el a˜o 2008 el Ecuador
n
de robos realizados por medio del inter- ocupaba el puesto 107 del desarrollo
net, total de v´ ıctimas de estos robos y tecnol´gico mundial[1], pero desde ese
o
montos sustraidos de cada usuario. entonces hasta la fecha nuestro pa´ ha
ıs
desarrollado mucho el nivel tecnol´gico
o
debido a que se tiene mayor accesibili-
dad a la tecnolog´ como por ejemplo
ıa
En su primera parte se exponen algu- el internet que es la mayor fuente de
nos principios fundamentales del phis- informaci´n y comunicaci´n en todo el
o o
hing que permitiran conocer su funcio- mundo.
namiento y modo de operar, a fin de es-
tablecer las bases te´ricas sobre las que
o
sustentan el robo bancario por medio del
phishing. Sin embargo, la tecnolog´ presenta
ıa
importantes desaf´ frente a la necesi-
ıos
dad de proteger la informaci´n de las
o
personas y organizaciones, esto se da
Luego se presenta un resumen de los ro- a la creciente presencia de amenazas
bos realizados en las cuentas bancarias que invaden Internet con el objetivo
de otros pa´ en el ultimo a˜o a trav´s de obtener informaci´n confidencial
ıses ´ n e o
de indicadores estad´ ısticos con la finali- de las personas para cometer delitos
dad de contar con un marco de referen- inform´ticos, da˜ar los sistemas ope-
a n
cia que nos permita conocer el estado de rativos o aplicaciones, o para hacer
conocimiento de las personas sobre esta negocio y que el consumidor final siga
manera de fraude electr´nico en nuestro comprando herramientas inform´ticas
o a
pa´ıs. para contra restar dichas amenazas[2].
Conscientes del avance tecnol´gico que
o
1. ´
INTRODUCCION se va dando constantemente en el ´rea
a
inform´tica y el impacto de esta en
a
En las sociedades modernas los servi- nuestra sociedad, se torna necesario
cios para el bienestar de la poblaci´n y
o
1
4. que las entidades bancarias indepen- La gu´ de seguridades tiene como
ıa
dientemente de los servicios que estas principal objetivo evitar o disminuir
ofrezcan a la sociedad implementen las estafas y los robos bancarios,
medidas de seguridad ya pues debido adem´s se busca reducir el ´
a ındice de
al crecimiento en la adquisici´n de
o delitos inform´ticos y aumentar el nivel
a
tecnolog´ se incrementa la posibilidad
ıas cultural de las personas sobre el uso
que de alguna manera seamos v´ ıctimas correcto de la tecnolog´ y sobre todo
ıa
de alg´n tipo de fraude[3].
u de la buena navegaci´n y las medidas
o
de seguridades que se debe tomar al
momento de navegar en la web ya
que muchas de las veces manejamos
Luego de identificar el grave problema informaci´n confidencial y personal en
o
que presentan muchas instituciones las p´ginas de internet.
a
financieras y personas que utilizamos el
internet como medio de comunicaci´n, o
investigaci´n y de negocios, siendo
o
v´
ıctimas de fraudes inform´ticos como
a
por ejemplo estafas, suplantaci´n deo El articulo tiene como objetivo prin-
identidades, saqueo de las cuentas cipal realizar un estudio amplio acerca
bancarias, etc., surge la necesidad de de los robos bancarios y las estafas
buscar una soluci´n r´pida a dichos realizadas por medio del internet y
o a
problemas. espec´ıficamente mediante la utilizaci´n
o
del Phishing para lo cual se har´ men-
a
ci´n a definiciones del Phishing, origen
o
de la palabra Phishing, tipos de Phis-
Uno de estos problemas o amenazas hing que existen, funcionamiento del
son los robos bancarios mediante la Phishing, el Phishing en el Ecuador y
utilizaci´n del phishing el cual en maneras de evitar el Phishing.
o
nuestro pa´ est´ en constante creci-
ıs a
miento como pudimos observar en el
ultimo a˜o cuando se robaron dineros
´ n
1.1. PHISHING
de las cuentas bancarias del Banco del
Pichincha haciendo uso de la clonaci´n 1.2. Definici´n
o o
de la p´gina oficial del Banco y re
a
direccionando hacia otro servidor lo ”Phishing es un t´rmino inform´tico
e a
cual permiti´ realizar el delito[4], por lo
o que denomina un tipo de delito encua-
que se ha visto la necesidad de realizar drado dentro del ´mbito de las estafas
a
un estudio exhaustivo de las formas de cibern´ticas, y que se comete median-
e
robos bancarios y estafas mediante el te el uso de un tipo de ingenier´ so- ıa
internet para as´ tener los fundamentos
ı cial caracterizado por intentar adquirir
necesarios para realizar la creaci´n de informaci´n confidencial de forma frau-
o o
una gu´ de seguridades para evitar el
ıa dulenta, como puede ser una contrase˜an
robo bancario mediante el internet. o informaci´n detallada sobre tarjetas
o
de cr´dito u otra informaci´n bancaria.
e o
El estafador, conocido como phisher, se
hace pasar por una persona o empresa
2
5. de confianza en una aparente comuni- rreo electr´nico que recibe el usua-
o
caci´n oficial electr´nica, por lo com´n
o o u rio donde se le ofrece el acceso a
un correo electr´nico, o alg´n sistema de
o u una gran suma de dinero que se en-
mensajer´ instant´nea o incluso utili-
ıa a cuentra en una divisa extranjera o
zando tambi´n llamadas telef´nicas”[5].
e o pa´ en conflicto[6], la estafa se da
ıs
cuando el phisher le dice que para
acceder a esta suma de dinero tie-
ne que el beneficiario depositar una
cierta suma de dinero en una cuen-
ta bancaria que le proporciona el
phisher.
Estafa Piramidal: El usuario re-
cibe una oferta de empleo en su co-
rreo electr´nico, basada en la pro-
o
moci´n de productos y en la capta-
o
ci´n de nuevos empleados[6], la es-
o
tafa es similar a las cartas nigeria-
nas ya que para acceder a ese em-
pleo el beneficiario debe depositar
una cierta suma de dinero en una
cuenta bancaria que le proporciona
el phisher.
1.3. Origen de la palabra
Phishing Mulas: este timo es grave, ya que
puede suponer la c´rcel para el que
a
“El t´rmino phishing proviene de la
e caiga en ´l, al tratarse de un delito
e
palabra inglesa ”fishing”(pesca), hacien- de blanqueo de dinero[6],el phisher
do alusi´n al intento de hacer que los
o env´ un mail comunic´ndole a la
ıa a
usuarios ”piquen en el anzuelo”. A quien v´
ıctima que se va a ganar un dinero
lo practica se le llama phisher. Tam- extra realizando una transferencia
bi´n se dice que el t´rmino ”phishing.es
e e de una gran suma de dinero a otra
la contracci´n de ”password harves-
o cuenta.
ting fishing”(cosecha y pesca de contra-
se˜as), aunque esto probablemente es
n Hoax: Se trata de timos que en
un acr´nimo retroactivo, dado que la es-
o muchos casos se utilizan para sen-
critura ’ph es com´nmente utilizada por
u sibilizar al usuario para que reali-
hackers para sustituir la f, como ra´ de
ız ce aportaciones econ´micas[6]. El
o
la antigua forma de hacking telef´nico
o phisher utiliza los desastres natu-
conocida como phreaking”[5]. rales, la conciencia religiosa para
realizar este delito ya que se pi-
1.4. Tipos de Phinshing de sumas de dinero para ayudas de
damnificados de terremotos o ayu-
Cartas Nigerianas: Este tipo de das a personas de escasos recursos
phishing se caracteriza por un co- econ´micos.
o
3
6. Vishing: El usuario recibe un co- do para realizar todo tipo de fraude
rreo electr´nico o mensaje SMS en
o que puede[7], como por ejemplo: la
el que se le dice que tiene que llamar suplantaci´n de identidad para de-
o
a un n´mero de tel´fono para reci-
u e linquir, tambien para realizar el sa-
bir una informaci´n o un regalo[6],
o queo de la cuenta bancaria o para
la victima realiza la llamada al nu- realizar un blanqueo de dinero.
mero proporcionado y le respoden
diciendo que va hacer acreedor a un Blanqueo de dinero.- el phisher
regalo o suma de dinero pero tiene utiliza la informaci´n de las victi-
o
que dar los datos personales y su mas para hacer el dinero optenido
n´mero de cuenta y contrase˜as.
u n ilegalmente en dinero legal a eso se
le llama blanqueo de dinero[7].
1.5. Funcionamiento del
Phishing
La Planificaci´n.- en esta etapa
o
el phisher prepara el ataque y fi-
ja el objetivo al cual va atacar[7],
el phisher realiza una investigaci´n
o
del estado de situaci´n del pa´ ya
o ıs
sea la tasa de desempleo o a su vez
la situacion economica y emocional
en las que se encuentran las perso-
nas de dicho pa´ ıs.
La Preparaci´n.- el phisher pre-
o
para el correo fraudulento para en-
viar a las v´ ıctimas[7]. El correo
es preparado minusiosamente para
que tenga una efectividad mayor.
Ataque.- El phisher env´ el correo 1.6. El Phishing en el Ecua-
ıa
hacia las v´
ıctimas[7].Este correo es
dor
enviado a todas las personas que en
la etapa anterior investig´ y supues-
o El caso m´s conocido de Phishing
a
tamente son las mas vulnerables. en el Ecuador es el caso del Banco del
pichincha, el cual fu´ muy comentado
e
Recolecci´n.- El usuario luego de
o
en nuestro pa´ debido a las numerosas
ıs,
seguir los pasos del correo recibido
v´
ıctimas de este tipo de delito.
por parte de phisher realiza el en-
En nuestro pa´ a partir del a˜o 2009
ıs n
vi´ de su informaci´n confidencial
o o
al 2010 ha sufrido un peque˜o pero
n
hacia el phisher[7], esta informaci´n
o
considerable crecimiento en los delitos
puede ser datos personales, contra-
inform´ticos, como lo demuestra las
a
se˜as, cuentas bancarias etc.
n
siguientes estad´ısticas:[4]
Fraude.- El phisher utiliza la in-
formaci´n que le fue proporciona-
o
4
7. muchos y variados; esto deber´ provo-
ıa
car que los empleados y clientes de la
cooperativa tomen las debidas precau-
ciones y seguridades al momento de na-
vegar en la web, pero esto realmente
no sucede debido a la poca informaci´n o
acerca de los peligros que rodean a la
web como por ejemplo el ingreso aparen-
temente a la p´gina oficial de la Coope-
a
rativa de Ahorro y Cr´dito 10 de Agosto
e
que no es m´s que una p´gina clonada
a a
que sirve para robar informaci´n de la
o
cooperativa o de sus clientes, adem´s los
a
atacantes externos pueden robar correos
electr´nicos de los clientes de la coopera-
o
tiva y as´ obtener informaci´n personal
ı o
de cada uno de los clientes por lo cual
1.7. Maneras de evitar el se ha visto la necesidad de realizar una
Phishing gu´ de seguridades para evitar el robo
ıa
de la informaci´n mediante el Phishing.
o
[8]
Verificar la fuente de la informaci´n
o
3. TRABAJOS RELA-
Escribir uno mismo la direcci´n en
o CIONADOS
el navegador de Internet.
Autor: Ing. Hugo Marcelo Dalgo
Reforzar la seguridad. Proa˜o
n
Tema: An´lisis de los factores que
a
Comprobar que la p´gina web en la
a
obligan a proteger los datos en los ne-
que se ha entrado es una direcci´n
o
gocios realizados a trav´s del comercio
e
segura.
electr´nico – caso ecuador, 2010
o
Hacer doble clic sobre el candado Reposa en: repositorio.iaen.edu.ec
para tener acceso al certificado di- Direcci´n
o electr´nica:
o
gital. http://repositorio.iaen.edu.ec:9090/
bitstream/123456789/58/1/IAEN-012-
Revisar peri´dicamente las cuentas
o 2007.pdf
de correos. HIPOTESIS
Encontr´ndonos en el siglo 21, acep-
a
tando el proceso de globalizaci´n al que
o
2. ANTECEDENTES nos encontramos expuestos, en donde el
avance de la tecnolog´ se ha desarrolla-
ıa
La navegaci´n por medio de la web
o do enormemente, facilitando el convivir
es una de las facilidades que brinda la de las personas y la humanidad, nace
Cooperativa de Ahorro y Cr´dito 10 de
e la posibilidad de hacer negocios, y tras-
Agosto y los beneficios que se tiene son mitir informaci´n a trav´s de medios
o e
5
8. electr´nicos, para dar facilidades a las
o nivel tecnol´gico.
o
personas, tambi´n puede conllevar a
e
una serie de problemas en los ´mbitos
a
comerciales, econ´micos y legales, por
o
lo que se hace necesario salvaguardar
la integridad de la informaci´n en o
beneficio del usuario, sea este emisor, 5. APLICACION
proveedor de servicio electr´nico o des-
o
tinatario. Un marco jur´ ıdico acorde a la Se va ha realizar unas ecuentas al los
protecci´n de datos, permitir´ que las
o a clientes de la cooperativo y al jefe de
transacciones electr´nicas y el comercio
o sistemas para lo cual se va aplicar los
electr´nico se desarrollen en el Ecuador.
o siguientes cuestionarios:
Con reglas y procedimientos claros en Para los clientes
relaci´n a las obligaciones y responsa-
o UNIVERSIDAD TECNICA DE
bilidades que tiene cada uno de los in- AMBATO FACULTAD DE INGE-
tervinientes en una relaci´n de comer-
o NIERIA EN SISITEMAS, ELEC-
cio por v´ electr´nica se puede fomen-
ıa o TRONICA E INDUSTRIAL CIU-
tar el desarrollo electr´nico comercial.
o DAD DE AMBATO
El insertar los principios de integridad, OBJETIVO DE LA ENCUESTA
autenticidad y confidencialidad en las La encuesta tiene como objetivo ob-
transacciones de comercio electr´nico,
o servar que tipos seguridades utili-
permitir´ aumentar la confianza en el
a zan los usuarios de entidades ban-
servicio. La conformaci´n de procedi-
o carias al momento de navegar en la
mientos, controles y seguridades permi- web. Se˜ores, su veracidad en las
n
tir´ satisfacer los niveles de seguridad
a respuestas permitir´ al grupo inves-
a
que los usuarios necesitan. tigador desarrollar un trabajo real
y efectivo. Agradecemos su colabo-
raci´n y garantizamos absoluta re-
o
4. PROPUESTA serva de su informaci´n.
o
Cuestionario
La propuesta para este art´ ıculo es 1. ¿Qu´ niveles de seguridades toma
e
el dise˜o y creaci´n de una gu´ de
n o ıa usted al momento de navegar en la
seguridades para evitar el robo bancario web?
y las estafas por medio del Phishing
en internet , para lo cual crearemos • Herramientas Inform´ticas
a
un Phishing o p´ginas web clonadas
a • Ayuda de un experto
de bancos del centro del pa´ y re di-
ıs
reccionaremos a un servidor local para • Ninguno
obtener informaci´n confidencial de los
o
2. ¿Qu´ tipo de sitios web son los
e
usuarios de las entidades bancarias y
que m´s visita?
a
asi obtener una muestra de usuarios
vulnerables a este tipo de ataques • Financieras
inform´ticos para luego realizar un
a
an´lisis estad´
a ıstico del nivel cultural en • Descargas
la que se encuentra nuestra sociedad a • Videos
6
9. • Redes Sociales y efectivo. Agradecemos su colabo-
• Otros raci´n y garantizamos absoluta re-
o
serva de su informaci´n.
o
3. ¿C´mo identifica usted p´ginas
o a Cuestionario
web seguras? 1. ¿Qu´ tipo de proveedor de inter-
e
net utiliza la entidad bancaria?
• Herramientas
• Candado de seguridad • CNT
• Certificados
• El Portal
• Ninguno
• Otros
4. ¿Qu´ tipo de navegador utiliza al
e
momento de navegar en internet? 2. ¿Qu´ tipos de ataques lanzan los
e
• Firefox Mozilla hackers a la entidad bancaria?
• Internet Explorer
• Phishing
• Otros
• Vishing
5. ¿Qu´ tipo de servidor de correos
e
utiliza usted para en el internet? • Hoax
• Hotmail • Otros
• Gmail
3. ¿Qu´ tipo de informaci´n es m´s
e o a
• Yahoo vulnerable a ser atacada en la enti-
• Otros dad bancaria?
Gracias por su colaboraci´n. Fecha
o
• Contrase˜as
n
de aplicaci´n:
o
• Informaci´n Personal
o
Para el jefe de sistemas • Cuentas Bancarias
UNIVERSIDAD TECNICA DE 4. ¿Qu´ paginas son las m´s falsifi-
e a
AMBATO FACULTAD DE INGE- cadas en internet?
NIERIA EN SISITEMAS, ELEC-
TRONICA E INDUSTRIAL CIU- • Bancarias
DAD DE AMBATO
OBJETIVO DE LA ENCUESTA • P´ginas de redes Sociales
a
La encuesta tiene como objetivo • Correos
analizar las seguridades que utili-
zan las entidades bancarias para • Otros
brindar el servicio web a los usua-
rios. Se˜ores, su veracidad en las
n Gracias por su colaboraci´n. Fecha
o
respuestas permitir´ al grupo inves-
a de aplicaci´n:
o
tigador desarrollar un trabajo real
7
10. 6. RESULTADOS Los sitios mas visitados por los clien-
tes de la cooperativa son las paginas fi-
nancieras debido a que por medio de
ellas pueden tener acceso rapido a los
estados de cuenta de cada uno de los
usuarios.
Los clientes de la Cooperativa de Aho-
rro y Cr´dito 10 de Agosto no poseen
e
mucho conocimiento acerca de los nive-
les de seguridad que deben tomarse al
Los clientes de la cooperativa no po-
momento de navegar en la web asi lo
seen herramientas para identificar pagi-
demuestra la encuensta realizada a 20
nas web seguras asi lo indican las esta-
clientes ya que la mayoria de personas
disticas de la encuesta realizada.
respondieron que no toman ningun tipo
de seguridad para navegar en el internet.
Para los clientes de la cooperativa el
8
11. navegador mas comun de utilizar es el El Phishing ser´ descubierto en
a
firefox el motivo el cual lo utilizan es cuanto a su funcionalidad y se
porque la mayoria de personas lo utili- ver´ las vulnerabilidades que posee
a
zan. el phishing as´ como tambi´n vere-
ı e
mos c´mo podemos protegernos de
o
este tipo de ataques.
7. AGRADECIMIENTO
Este es el momento propicio para
expresar mi m´s profundo agrade-
a
cimiento a Dios y a mis Padres, por
guiar mis pasos en toda mi forma-
ci´n profesional y a la Cooperativa
o
de Ahorro y Cr´dito 10 de Agosto
e
por el apoyo, confianza y colabora-
ci´n brindada.
o
Referencias
Los clientes de la cooperativa utilizan
por igual los servidores de correos no [1] Desarrollo Tecnol´gico,
o
tienen uno en preferencia. “Extra´ el d´ 7 de
ıdo ıa
Octubre”,
La encuesta al jefe de sistemas se http://www.eluniverso.com
lo realiz´ unicamnete al jefe de sistemas
o /2008/04/09/0001/9/F6818
de la cooperativa 10 de Agosto por lo ADB15634D6C9D15993CDF479
que no tenemos mas encuestas realiza- F90.html,2011
das.
[2] Robos y frudes
CONCLUSIONES inform´ticos, “Extra´
a ıdo
el d´ 28 de Octubre”,
ıa
http://www.slideshare.net/
La gu´ de seguridades nos permi-
ıa guest0b9717/robos-y-
tir´ reducir el ´
a ındice de delitos in- fraudes-informticos-
form´ticos.
a presentation,2011
Se concientizar´ a los usuarios de
a [3] C´mo evitar el phishing,
o
cuentas electr´nicas a mejorar la se-
o “Extra´ el d´ 28 de
ıdo ıa
guridad de la informaci´n.
o Septiembre”,
http://www.taringa.net/posts/
La gu´ permitir´ educar tecnol´gi-
ıa a o taringa/9949868/Como-
camente a las personas a una mejor evitar-el-phishing-
navegaci´n por la web.
o roba-cuentas.html,2011
9
12. [4] Fraudes bancarios en el data mining, “Maher
Ecuador, “Extra´ el d´
ıdo ıa Aburrous a,*, M.A.
5 de Octubre”, Hossain a, Keshav Dahal
http://bitscloud.com/2011/04/el- a, Fadi Thabtah b”,2011
fraude-bancario-en-
ecuador-un-tema-en- [11] Anti Phishing, “Extraido
auge/,2011 el dia 7 de octubre”,
http://www.wisedatasecurity.com/
[5] El Phishing, “Extra´ el
ıdo phishing.html,2011
d´ 7 de Octubre”,
ıa
http://es.wikipedia.org/wiki/
Phishing,2011
[6] Diferentes tipos de
phishing, “Extra´ el d´
ıdo ıa
4 de Octubre”,
http://es.paperblog.com/diferentes-
tipos-de-phishing-timos-
en-la-red-81585/,
2011
[7] Las profundidades del
phishing, “Gonzalo
Alvarez Mara˜on”,
n
http://www.iec.csic.es/gonzalo/
descar-
gas/phishing.pdf,2011
[8] phishing. tipos de
amenazas, “Extra´ el
ıdo
d´ 6 de Octubre”,
ıa
http://www.pandasecurity.com/
spain/enterprise/security-
info/types-
malware/phishing/,2011
[9] Fraudes por e-mail,
“Extra´ el d´ 6 de
ıdo ıa
Octubre”,
http://www.informatica-
hoy.com.ar/internet/
Tipos-de-fraudes-por-e-
mail.php,2011
[10] Intelligent phishing
detection system for
e-banking using fuzzy
10