Nuevas técnicas aplicadas contra el fraude documental con soporte Físico y Electrónico

Nuevas técnicas aplicadas
contra el fraude
documental con soporte
Físico y Electrónico
Instituto de Pericias Criminalísticas
y Capacitación “HANS GROSS”
Alonso E. Caballero Quezada
aka ReYDeS
Area de Sistemas de La Cámara de Comercio de La Libertad
Integrante del Grupo Peruano de Seguridad Informática SWP
“Security Wari Projects”
email: ReYDeS@gmail.com
WebPage: alonsocaballero.informatizate.net

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”
Fraude
Según RAE
Fraude: (Del lat. fraus, fraudis).
1. m. Acción contraria a la verdad y a la
rectitud, que perjudica a la persona
contra quien se comete.
2. m. Acto tendente a eludir una
disposición legal en perjuicio del Estado
o de terceros.
3. m. Der. Delito que comete el encargado
de vigilar la ejecución de contratos
públicos, o de algunos privados,
confabulándose con la representación de
los intereses opuestos.
*RAE -> rae2.es

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Fraude
Fraude Electrónico
Es todo acto que infringe la ley y que se
realiza aplicando algún medio de
procesamiento electrónico. Por ejemplo:
El robo a un Banco, violando la seguridad
de algún medio de procesamiento
electrónico de información, es
constituido de crimen electrónico.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas de Crédito
¿Qué es una tarjeta de Crédito?
Una tarjeta de crédito es una tarjeta de
plástico con una banda magnética, a veces
un microchip, y un número en relieve que
sirve para hacer compras y pagarlas en
fechas posteriores.
Los usuarios tienen límites con respecto
a la cantidad que pueden cargar, pero no
se les requiere que paguen la cantidad
total cada mes. En lugar de esto, el
saldo acumula interés, y sólo se debe
hacer un pago mínimo. Se cobran intereses
sobre el saldo pendiente.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

¿Qué es una tarjeta de Crédito? cont.
La mayoría de tarjetas de crédito son del
mismo tamaño y forma, como es
especificado por el estándar ISO 7810.
ISO 7810: es un estándar internacional
que define tres formatos para identidad o
tarjetas de identificación, ID1, ID2, y
ID3
*ISO 7810 -> http://www.iso.org

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

¿Qué es una tarjeta de Crédito? cont.
El ID1 especifica un tamaño de 85.60 x
53.98mm. Es comúmente utilizado para
tarjetas de banco (ATM cards, tarjetas de
crédito, tarjetas de débito). También es
utilizado para licencias de conducir en
muchos paises.
ISO 7813 / ISO 7811
ISO 7816 / ISO 14443
*ISO 7810 -> http://www.iso.org

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S


A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Visa: CCV2 / MasterCard: CVC2 / AE: CID

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

¿Cómo funciona?
Cuando una compra es realizada. El
propietario indica su consentimiento de
pagar, firmando un recibo con un registro
de los detalles de la tarjeta e indicando
la cantidad a pagar o ingresando un PIN.
También puede ser una autorización verbal
vía telefónica o autorización electrónica
utilizando internet.
*Wikipedia -> http://en.wikipedia.org/wiki/Credit_card

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

¿Cómo funciona? cont.
El sistema de verificación electrónica
permite al vendedor verificar que la
tarjeta es válida y que tiene suficiente
crédito para cubrir la compra en unos
pocos segundos, permitiendo que la
verificación sea realizada al momento de
la compra. La verificación es realizada
utilizando un terminal de pago de tarjeta
de crédito o sistema POS con un enlace de
comunicación al banco.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S


A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Los datos de la tarjeta de crédito son
obtenidos utilizando la cinta magnética o
el chip en la tarjeta; luego el sistema.
Otras variaciones de identificación
implican que el propietario proporcione
información adicional, como un código de
seguridad impreso en el reverso de la
tarjeta, o su dirección.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Proceso de autorización de una tarjeta de cré

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjeta de banda Magnética; es un tipo
de tarjeta capaz de almacenar data
mediante modificación de magnetísmo de
pequeñas particulas de metal magnetizadas
sobre una banda de material magnético
sobre la tarjeta. Es leido por contácto
físico y pase sobre una cabeza lectora.
Son comunmente utilizados en tarjetas de
crédito, tarjetas de identidad, y
similares.
*Wikipedia -> http://en.wikipedia.org/wiki/Magnetic_stripe_card

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

*http://www.ded.co.uk/magnetic-stripe-card-details.html

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Fraude con Tarjetas de Crédito
* Tarjetas Robadas:
Cuando es robada, el ladrón es capaz de
realizar compras hasta que la tarjeta sea
cancelada. Las empresas que aceptan
tarjetas de crédito no están autorizadas
de solicitar información adicional de los
propietarios; salvo que; las tarjetas no
esten firmadas. Un ladrón puede realizar
compras por miles de dolares en
mercaderías o servicios, antes de que el
propietario o el banco se percate de que
la tarjeta está en manos indebidas.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S


A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

* Suplantación de cuenta:
Los realizadores del fraude hacen
llamadas, simulando ser los propietarios
de la tarjeta, utilizando información
personal robada. Obtienen la dirección y
otra información del propietario
modificada a una dirección que controlan.
Tarjetas adicionales o PINs son enviados
a petición y entregados a la nueva
dirección, y son utilizados por los
defraudadores para realizar compras u
obtener beneficios.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

* Trashing:
El viejo sistema de recoger
tickets usados en
restaurantes, papeleras, etc.
también sigue siendo válido
y efectivo para el fraude.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

* Skimming:
Skimming es el robo de información de
tarjetas de crédito, por un empleado
deshonesto de un comercio legal, copiando
manualmente los números, o utilizando un
lector de bandas magnéticas en un
dispositivo electrónico de pequeño
tamaño. Escenarios usuales para skimming,
son los restaurantes o bares, donde el
skimmer toma posesión de la tarjeta de
crédito de la victima.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

* Skimming: cont.
Se utiliza un pequeño teclado para
transcribir solapadamente los 3 o 4
digitos del código de seguridad, el cual
no está presente en la banda magnética.
En algunas modalidades el perpetrador
coloca un dispositivo sobre la ranura de
una cajero automático, el cual lee la
banda magnética cuando el usuario sin
conocimiento de ello, pasa su tarjeta.
Son utilizados con ayuda de una cámara
para leer el PIN del usuario al mismo

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

* Skimming: cont.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

* Skimming: (Cajeros)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

* Skimming: (Cajeros) cont.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Original / Skimming

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Un cajero normal.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Instalación del
dispositivo de
skimming para
obtener los datos
de la tarjeta.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

El cajero queda
listo. Todo lo que
se necesita es
un usuario
desprevenido.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Mientras el usuario
escribe su PIN, el
dispositivo de
skimming
trasmite los datos
de la tarjeta hacia
la laptop.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

* Skimming: Lector / Escritor de Tarjetas
http://jp-importexport.com/msr_206_reader_writer.shtml

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

* Carding
Termino utilizado para un proceso que se
utiliza para verificar la validez de los
datos de una tarjeta de crédito robada.
Los defraudadores exponen las de tarjetas
de crédito en un website que realiza
procesamiento de transacciones en tiempo
real, haciendo una compra por monto
mínimo, de esta forma; no se utiliza el
limite de la tarjeta de crédito, y así no
atraer la atención de una revisión
personal de la transacción.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

* Carding (cont.)
Antes, los carders utilizaban programas
llamados "generadores", para producir una
secuencia de números de tarjetas y
además verificar su validez. Sin embargo,
este proceso no era viable debido a los
requerimientos de los sistemas de
procesamiento de tarjetas en internet,
que solicitaban más datos, como la
dirección de cobranza, los 3 o 4 dígitos
del Código de Seguridad, o la fecha de
vencimiento de la misma.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
¿Qué es una tarjeta de Débito?
Tarjeta bancaria de plástico con una
banda magnética, usada para extraer
dinero de un cajero y para pagar compras
en comercios que tengan un terminal
lector de tarjetas bancarias. Se
diferencia de la tarjeta de crédito en
que el dinero que se usa nunca se toma a
crédito sino del que se disponga en la
cuenta bancaria (débito). Algunos bancos
realizan acuerdos con sus clientes para
permitirles extraer dinero, generando
préstamos con sus respectivos intereses.
Su cuota anual es más barata que la de

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
Tipo de Tarjetas de Crédito
La mayoría de tarjetas de débito son Visa
o MasterCard, existen muchos otros tipos
de tarjeta de débito, cada una de ellas
aceptada solo dentro de un país o región,
por ejemplo (Maestro y Solo) en el Reino
Unido, (Carte Bleue) en Francia. La
necesidad de traspasar fronteras y
compatibilidad, hace que mucha de estas
tarjetas puedan ser utilizadas si tienen
el Logo de (Maestro), el cual es parte de
MasterCard.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
Transacciones de Débito OnLine / OffLine
* Débito OnLine: Requiere autorización
electrónica de cada transacción y el
débito es reflejado en la cuenta del
usuario inmediatamente.
* Débito OffLine: Este tipo de tarjeta de
débito puede estar sujeta a un limite
diario, como también un límite máximo
igual a la cantidad actualmente
depositado en la cuenta desde la cual se
obtienen los fondos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
Chip & PIN (cont.)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
Chip & PIN
¿Cómo funciona?
Cuando el cliente desea pagar
utilizando este sistema, la
tarjeta es colocada en el terminal,
el cual accede al chip de la tarjeta. Una
vez que la tarjeta ha sido verificada
como auténtica, el cliente ingresa los 4
digitos PIN, el cual es comprobado con el
valor almacenado en la tarjeta; si los
dos concuerdan , la transacción será
automaticamente completada.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
Fraudes con Tarjeta de Débito
* PINs facilmente identificables; Se es
victima de un robo, y el ladrón encuentra
el PIN escrito en un lugar cercano a su
tarjeta, o intenta con códigos de PIN
comunes, tal como
la fecha de cumpleaños;
basado en la información
hallada en los objetos del
robo.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
* Un ladrón mira cuando se ingresa el PIN
y luego distrae su atencion, para robar
la tarjeta de débito. Si es una víctima
probada de tal fraude,
las perdidas pueden
ser recuperadas por la
institución financiera.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
* Atasco de Tarjeta; Algunos dispositivos
son utilizados para atracar la tarjeta en
el cajeto. Despues de que la tarjeta se
atasca, un extraño servicial le sugiere
que intente ingresar el PIN algunas
veces, pero la
tarjeta sigue insertada.
Después de que el cliente
se retira, el ladrón retira la
tarjeta y además obtiene el
PIN.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
* Skim y Clonar;
Algunos equipos son utilizados para
ilegalmente recolectar el PIN e
información de la tarjeta. Por ejemplo,
cuando se realizar una compra, la tarjeta
es pasada por un dispositivo que envía
información de la banda magnética al
banco. La persona además pasa la tarjeta
por segunda vez para obtener la
información en un dispositivo oculto el
cual permite hacer un duplicado. Además
en ese momento, una cámara registra el

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
*Máquinas Falsas; Reemplaza el teclado
real, obteniendo datos de la tarjeta y el
PIN, entregando un recibo de la
transacción, pero no la envía al banco.
El empleado cubre la compra colocando el
pago, así el propietario no se entera del
fraude al revisar los libros de balance.
Luego, el empleado usa los datos robados
para crear una tarjeta de crédito para
vaciar los fondos. La evidencia del
fraude puede estar en tener el recibo de
la transacción de la compra, pero la
compra no aparece en los estados

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
Consejos Prácticos para Evitar Fraudes
* No pierdas de vista la tarjeta. En
comercios donde se la entrega a un
dependiente considera un tiempo razonable
para que ésta sea devuelta.
* No reveles tu clave (el PIN) a nadie,
ni lo lleves en tu persona. Memorízalo.
* Al seleccionar el PIN, evita lo obvio,
como tu fecha de nacimiento, número de
teléfono, número de apartamento, chapa de
auto, etc.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
(cont.)
* Cuando uses el cajero automático, o
hagas una compra en una terminal de una
tienda, cubre con la mano o el cuerpo el
teclado al introducir tu clave. Toma tu
tarjeta y recoge el recibo, ya que este
último suele tener información de tu
cuenta.
* Realiza las transacciones cuando y
donde te sientas seguro, si por cualquier
razón no te encuentras cómodo de un
determinado cajero deja tu transacción

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
(cont.)
* Nunca aceptes ayuda o sugerencias de
extraños cuando uses el cajero
automático.
* Revisa a detalle tu estado de cuenta.
Verifica que el saldo corresponda al
consumo. Destruye tus estados de cuenta
antes de echarlos en la basura.
Igualmente destruye ofertas de crédito y
otra correspondencia que contenga
información de tus finanzas, porque estos
datos pueden usarse para el robo de
identidad.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
(cont.)
* Si no recibes tus estados de cuenta a
tiempo, llama a tu institución
financiera; puede ser indicación de que
alguien ha desviado la cuenta a otra
dirección.
* Si temes que te hayan robado el número
de cuenta, llama al emisor y pide que
pongan un "bloqueo" sobre la cuenta y
solicita una tarjeta nueva con otro
número.
* Antes de que pasen por segunda vez la
tarjeta en la máquina, pide que espere a

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Tarjetas Débito
(cont.)
* No entregues la tarjeta a desconocidos
y no des el número de tarjeta a nadie si
no eres tú quien inicia una compra. Ojo
con ofertas de premios. No des
información de tus cuentas por teléfono.
Muchos números de tarjeta son robados
así.
* No lleves más tarjetas en tu billetera
de las que uses normalmente, así limitas
los dolores de cabeza te robaran la
billetera. También evita llevar
documentos que tengan ese número.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing
¿Qué es el Phishing?
Es un término utilizado que denomina el
uso de un tipo de ingeniería social,
caracterizada por intentar adquirir
información confidencial de forma
fraudulenta, como puede ser una
contraseña o información detallada sobre
tarjeta de crédito u otra información
bancaria. El estafador, mejor conocido
como phisher se hace pasar por una
persona o empresa de confianza mediante
una comunicación electrónica falsa, por
lo común un email, algún sistema de
mensajería instantanea o incluso

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing
Técnicas de Phishing
La mayoría de los métodos de phishing
utilizan alguna forma técnica de engaño
en el diseño para mostrar que un enlace
en un correo electrónico parezca una
copia de la organización por la cual se
hace pasar. URLs mal escritas o el uso de
subdominios son trucos comúnmente usados
por phishers, como el ejemplo en esta
URL,
http://www.nombredetubanco.com.ejemplo.co
m/.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing
Caso: CitiBank (Perú)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing
Técnicas de Phishing (Cont.)
Otro método popular, el atacante utiliza
los propios códigos del banco contra la
víctima. Este tipo de ataque resulta
problemático, ya que dirigen al usuario a
iniciar sesión en la propia página del
banco o servicio, donde la URL y los
certificados de Seguridad parecen
correctos. Con este método de ataque
(conocido como Cross Site Scripting) se
recibe un mensaje diciendo que tienen que
"verificar" sus cuentas, seguido por un
enlace que parece la página web
auténtica; en realidad, el enlace está

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing
Caso: BCP

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing
Caso: CitiBank (Perú) IP Origen: Perú /
SMTP: Alemania: Web Falsa: Austria.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing
Mapa Mundial Phishing Ultimo Mes.
*www.antiphishing.org

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing
Recomendaciones:
* Solicite información a su banco acerca
de los productos y servicios bancarios
así como de las medidas de seguridad
implementadas y que se encuentran a su
disposición para poder usarlos con
seguridad.
* Revise periódicamente sus estados de
cuenta para detectar consumos no
reconocidos.
* Actualice el S.O y el Navegador,
siguiendo las instrucciones indicadas por

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing
Recomendaciones: (cont.)
* Mantenga su computadora libre de virus
informáticos y programas espías.
* No utilice computadoras públicas para
efectuar operaciones en la Banca
Electrónica.
* No anote ni comparta su Clave Secreta o
PIN.
* Verifique que la URL que aparece en la
parte superior de la página web
corresponda al banco. Si no puede verla o

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing
* Cuando utilice la banca por Internet y
requiera ingresar su código de usuario y
clave personal, verifique que se
encuentre en una zona segura presionando
el icono del candado que aparece en la
parte inferior de su navegador.
* Elija contraseñas fáciles de recordar,
pero difíciles de adivinar. No escriba
sus contraseñas ni las almacene en
archivos electrónicos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Phishing
* No abandone o desatienda su computadora
mientras no haya cerrado su sesión en la
Banca Electrónica.
* No preste o exponga la información de
su tarjeta.
* Nunca descargue archivos ni baje de
sitios desconocidos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Pharming
¿Qué es Pharming?
Pharming es la explotación de una
vulnerabilidad en el software de los
servidores DNS (Domain Name System), o en
el de los equipos de los usuarios, que
permite a un atacante redireccionar un
nombre de dominio a otra máquina
distinta.
De esta forma un usuario que introduzca
un determinado nombre de dominio, que
haya sido redireccionado, en su
explorador de internet, accederá a la
página web que el atacante haya

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Pharming
¿Cómo funciona?
Los ataques mediante pharming pueden
realizarse de dos formas:
* Directamente a los servidores DNS, con
lo que todos los usuarios se verían
afectados.
* O bien atacando a ordenadores
concretos, mediante la modificación del
fichero "hosts" presente en cualquier
equipo que funcione bajo Microsoft
Windows o sistemas Unix.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Pharming
¿Cómo funciona? (cont.)
La técnica de pharming se utiliza
normalmente para realizar ataques
phishing, redireccionando el nombre de
dominio de una entidad de confianza a una
página web, en apariencia idéntica, pero
que en realidad ha sido creada por el
atacante para obtener los datos privados
del usuario, generalmente datos
bancarios.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Pharming
¿Cómo funciona?

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Pharming
Anti Pharming:
* Utilización de software especializado,
protección DNS y addons para los
exploradores web, como por ejemplo
toolbars.
* Software especializado es utilizado en
los servidores empresas para proteger a
los usuarios de posibles ataques de
pharming y phising.
* La protección DNS permite evitar que
los propios servidores DNS sean hackeados
para realizar ataques pharming.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero digital y Lavado de dinero
Dinero Electrónico
Dinero electrónico (también conocido como
dinero digital), se refiere a dinero el
cual es intercambiado solo de manera
electrónica. Típicamente, involucra el
uso de redes de computadoras, internet y
sistemas de almacenamiento digitales.
Transferencia Electrónica de Depósitos
(EFT) y depósitos directos son ejemplos
de dinero electrónico. También, es un
termino colectivo de criptografía
financiera y tecnologías relacionadas.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero Electrónico
Ventajas:
* Con la introducción a internet / Banca
en Línea, tarjetas de débito, pagos de
dinero en línea y negocios en internet,
el dinero de papel se esta volviendo cosa
del pasado.
* Los bancos ofrecen servicios donde el
cliente puede transferir fondos, comprar,
aportar para sus planes de retiro, y
ofrecer una variedad de otros servicios
sin tener que manipular dinero físico.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero Electrónico
Ventajas: (cont.)
* Las tarjetas de débito o pagos
en línea permiten transferir
inmediatamente fondos desde la
cuenta personal a la cuenta de la
empresa sin tener un documento
de transferencia o dinero.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero Electrónico
Desventajas:
* Hacking en cuentas de bancos, obtención
ilegal de registros bancarios, la
exposición de invasión a la privacidad y
una inclinación al robo de identidad.
* Fallas del fluido eléctrico, perdida de
registros y software inadecuado causan en
espaldarazo a promocionar la tecnología.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero Electrónico
Desventajas: (Cont.)
* Existe un temor al uso de tarjetas de
débito y a la creación por parte de la
industria bancaria a un sistema de
rastreo global. Algunas personas están
trabajando un dinero
electrónico anónimo para
solucionar este asunto.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero Electrónico
Lavado de Dinero:
También conocido como lavado de
capitales, lavado de activos, blanqueo de
dinero o blanqueo de capitales, es el
proceso a mediante el cual es encubierto
el origen de los fondos generados
mediante el ejercicio de algunas
actividades ilegales o criminales
(tráfico de drogas, contrabando de armas,
corrupción, desfalco, fraude, crímenes
blancos, malversación pública, extorsión,
trabajo ilegal y últimamente terrorismo).

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero Electrónico
Lavado de Dinero: (cont.)
El objetivo de la operación, que
generalmente se realiza en varios
niveles, consiste en hacer que los fondos
o activos obtenidos a través de
actividades ilícitas aparezcan como el
fruto de actividades legítimas
y circulen sin problema en el
sistema financiero.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero Electrónico
Lavado de Dinero: Modalidades
Ingresar gandes sumas en efectivo en
una cuenta, con el fin de efectuar
inmediatamente una transferencia
electrónica a otra cuenta.
Smurfing: numerosos depósitos de
pequeñas cantidades, situadas por debajo
de la obligación de declarar y en varias
cuentas, desde las que se efectúan
transferencias a otra cuenta,
generalmente en el extranjero.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero Electrónico
Lavado de Dinero: Modalidades (cont.)
Uso de identidades falsas, testaferros
y sociedades pantalla, constituidas en
otra jurisdicción y utilizando cuentas
puente para dificultar la identificación
del verdadero origen de la transferencia.
Uso de entidades offshore y abogados
que protegen a su cliente mediante la
figura del secreto profesional.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero Electrónico
Introducción de personas de confianza
en pequeñas entidades financieras o en
delegaciones.
Cuentas de colecta o recaudación: Un
número importante de inmigrantes hacen
pequeños ingresos sucesivos que se envían
al exterior de forma agrupada.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero Electrónico
Depósito en una cuenta extranjera de
una cantidad que actúa como garantía de
un préstamo es enviada al país de origen
como operación legítima que justifica la
recepción de ese capital.
Las transferencias electrónicas son el
principal instrumento para el blanqueo de
dinero, debido a su rapidez de la
transferencia a través de diversas
jurisdicciones. la Unión Soviética y

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Dinero Electrónico
A pesar de la mejora en los sistemas de
identificación de los clientes de un
banco, sigue habiendo problemas para
conocer la identidad del que ordena
transferencia desde determinados paises.
En este campo serán muy útiles los
acuerdos relativos a autoridades de
certificación.
El problema de la identificación del
ordenante de una transferencia se acentúa

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
¿Qué es una Firma digital?
Antes de responder a esta pregunta
debemos de revisar algunos conceptos:

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
Criptografía;
La finalidad de la criptografía es, en
primer lugar, garantizar el secreto en la
comunicación entre dos entidades
(personas, organizaciones, etc.) y, en
segundo lugar, asegurar que la
información que se envía es auténtica en
un doble sentido: que el remitente sea
realmente quien dice ser y que el
contenido del mensaje enviado,
habitualmente denominado criptograma, no
haya sido modificado en su tránsito.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
Criptografía (cont.)
Criptografía Simétrica:
Método criptográfico que usa una misma
clave para cifrar y para descifrar
mensajes. Las dos partes que se comunican
han de ponerse de acuerdo de antemano
sobre la clave a usar. Una vez ambas
tienen acceso a esta clave, el remitente
cifra un mensaje usándola, lo envía al
destinatario, y éste lo descifra con la
misma.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
Criptografía Simétrica:
http://www.textoscientificos.com

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
Criptografía (cont.)
Criptografía Asimétrica:
Método criptográfico que usa un par de
claves para el envío de mensajes. Las 2
claves pertenecen a la persona que ha
enviado el mensaje. Una clave es pública
y se puede entregar a cualquier persona.
La otra clave es privada y el propietario
debe guardarla de modo que nadie tenga
acceso. El remitente usa la clave pública
del destinatario para cifrar el mensaje,
una vez cifrado, sólo la clave privada
del destinatario podrá descifrarlo.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
Criptografía Asimétrica:
http://www.textoscientificos.com

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
PKI (Infraestrcutura de clave pública)
En criptografía, una infraestructura de
clave pública (o, en inglés, PKI, Public
Key Infrastructure) es una combinación de
hardware y software, políticas y
procedimientos de seguridad que permiten
la ejecución con garantías de operaciones
criptográficas como
el cifrado, la firma digital
o el no repudio de
transacciones electrónicas.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
PKI (cont)
Propósito:
La tecnología PKI permite a los usuarios
autenticarse frente a otros usuarios y
usar la información de los certificados
de identidad (por ejemplo, las claves
públicas de otros usuarios) para cifrar y
descifrar mensajes, firmar digitalmente
información, garantizar el no repudio de
un envío, y otros usos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
PKI (cont)
Funcionalidad:
* Un usuario iniciador de la operación
* Unos sistemas servidores que dan fe de
la ocurrencia de la operación y
garantizan la validez de los certificados
implicados en la operación (autoridad de
certificación, Autoridad de registro y
sistema de Sellado de tiempo)
* Un destinatario de los datos
cifrados /firmados /enviados
garantizadamente por parte del usuario
iniciador de la operación (puede ser él

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
PKI (cont)
Usos:
* Autenticación de usuarios y sistemas
(login)
* Identificación del interlocutor
* Cifrado de datos digitales
* Firmado digital de datos (documentos,
software, etc.)
* Securización de las comunicaciones
* Garantía de no repudio (negar que
cierta transacción tuvo lugar)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
PKI (cont)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
PKI (cont)
Tipos de certificados:
*Certificado personal, que acredita la
identidad del titular.
* Certificado de pertenencia a empresa,
que además de la identidad del titular
acredita su vinculación con la entidad
para la que trabaja.
* Certificado de representante, que
además de la pertenencia a empresa
acredita también los poderes de
representación que el titular tiene sobre
la misma.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
PKI (cont)
Tipos de certificados: (cont.)
* De persona jurídica, que identifica una
empresa o sociedad como tal a la hora de
realizar trámites ante las
administraciones o instituciones.
* Certificado de servidor seguro,
utilizado en los servidores web que
quieren proteger ante terceros el
intercambio de información con los
usuarios.
* Certificado de firma de código, para
garantizar la autoría y la no

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
PKI (cont)
Componentes:
* La autoridad de certificación (o, en
inglés, CA, Certificate Authority): es la
encargada de emitir y revocar
certificados. Es la entidad de confianza
que da legitimidad a la relación de una
clave pública con la identidad de un
usuario o servicio.
* La autoridad de registro (o, en inglés,
RA, Registration Authority): es la
responsable de verificar el enlace entre
los certificados (concretamente, entre la
clave pública del certificado) y la

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
PKI (cont)
Componentes:
* Los repositorios: son las estructuras
encargadas de almacenar la información
relativa a la PKI. Los dos repositorios
más importantes son el repositorio de
certificados y el repositorio de listas
de revocación de certificados. En una
lista de revocación de certificados (o,
en inglés, CRL, Certificate Revocation
List) se incluyen todos aquellos
certificados que por algún motivo han
dejado de ser válidos antes de la fecha
establecida dentro del mismo certificado.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
PKI (cont)
Componentes: (cont.)
* La autoridad de validación (o, en
inglés, VA, Validation Authority): es la
encargada de comprobar la validez de los
certificados digitales.
* La autoridad de sellado de tiempo (o,
en inglés, TSA, TimeStamp Authority): es
la encargada de firmar documentos con la
finalidad de probar que existían antes de
un determinado instante de tiempo.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
PKI (cont)
Componentes: (cont.)
* Los usuarios y entidades finales son
aquellos que poseen un par de claves
(pública y privada) y un certificado
asociado a su clave pública. Utilizan un
conjunto de aplicaciones que hacen uso de
la tecnología PKI (para validar firmar
digitales, cifrar documentos para otros
usuarios, etc.)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
Ahora si respondemos a la pregunta:
¿Qué es la Firma Digital?
La firma digital es, en la transmisión de
mensajes telemáticos y en la gestión de
documentos electrónicos, un método
criptográfico que asegura la identidad
del remitente. En función del tipo de
firma, puede, además, asegurar la
integridad del documento o mensaje.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
La Ley: La Ley de Firma Electrónica, que
puede ser diferente en cada país, define
tres tipos de firma:
* Simple. Incluye un método de
identificar al firmante
* Avanzada. Además de identificar al
firmante permite garantizar la integridad
del documento. Se emplean técnicas de PKI
* Reconocida. Es la firma avanzada
ejecutada con un DSCF (dispositivo seguro
de creación de firma) y amparada por un
certificado reconocido (certificado que
se otorga tras la verificación presencial
de la identidad del firmante)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
La Teoría:
La firma digital de un documento es el
resultado de aplicar cierto algoritmo
matemático, denominado función hash, a su
contenido, y seguidamente aplicar el
algoritmo de firma (en el que se emplea
una clave privada) al resultado de la
operación anterior, generando la firma
electrónica o digital.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
La Teoría: (cont.)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
La Teoría: (cont)
La función hash asocia un valor dentro de
un conjunto finito (generalmente los
números naturales) a su entrada. Cuando
la entrada es un documento, el resultado
de la función es un número que identifica
casi unívocamente al texto. Si se adjunta
este número al texto, el destinatario
puede aplicar de nuevo la función y
comprobar su resultado con el que ha
recibido. No obstante esto presenta
algunas dificultades para el consumidor.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
Un algoritmo efectivo debe hacer uso de
un sistema de clave pública para cifrar
sólo la firma. En particular, el valor
"hash" se cifra mediante el uso de la
clave privada del firmante, de modo que
cualquiera pueda comprobar la firma
usando la clave pública correspondiente.
El documento firmado se puede enviar
usando cualquier otro algoritmo de
cifrado, o incluso ninguno si es un
documento público. Si el documento se
modifica, la comprobación de la firma
fallará, pero esto es precisamente lo que
la verificación se supone que debe
descubrir.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
El Digital Signature Algorithm es un
algoritmo de firmado de clave pública que
funciona como hemos descrito. DSA es el
algoritmo principal de firmado que se usa
en GnuPG

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
Formato:
* Firma básica. Incluye el resultado de
operación de hash y clave privada,
identificando los algoritmos utilizados y
el certificado asociado a la clave
privada del firmante. A su vez puede ser
"attached" o "detached", "enveloped" y
"enveloping"
* Firma fechada. A la firma básica se
añade un sello de tiempo calculado a
partir del hash del documento firmado por
una TSA (Time Stamping Authority)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
Formato:
* Firma validada o firma completa. A la
firma fechada se añade información sobre
la validez del certificado procedente de
una consulta de CRL o de OCSP realizada a
la Autoridad de Certificación.
La firma completa libera al receptor de
la firma del problema de ubicar al
Prestador de Servicios de Certificación y
determinar los procedimientos de
validación disponibles.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Firma Digital
Ley de Firmas y Certificados Digitales
del Perú
http://www2.congreso.gob.pe/ccd/leyes/cro
nos/2000/ley27269.htm

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Elaboración de Documentos
La falsificación de documentos es una
práctica que se ha multiplicado en los
últimos años. La criminalidad está
aumentando y las redes internacionales
han adquirido tal maestría que cada vez
resulta más difícil detectarlos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

La especialización que se necesita para
falsificar pasaportes, carnets de
identidad, permisos de residencia, de
trabajo, visados o hasta carnés de
conducir, ha llevado a los delincuentes
que se dedican a ello a crear enormes
entramados en los que trabajan desde
químicos, impresores a
informáticos que
utilizan las técnicas
más avanzadas en la
elaboración de estos
documentos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

La falsificación de documentos se realiza
mediante la utilización de programas de
computadora o alguna técnica informática.
Estos productos se ofertan de manera
directa, como también mediante internet.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Entre estos tipos de actos; podemos
citar; alteraciones fraudulentas de
firmas, textos y documentos. Creación de
la imagen de su firma por computadora.
Retoques. Levantamiento de firma
superpuesta a textos de igual y distinto
valor cromático. Elementos formales y
estructurales de los grafismos. Sus
modificaciones
por computadora. Composición
de un documento con texto,
logotipos sellos y firmas.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

¿Cómo se hace?
Generalmente se realiza mediante el
escaneo de documentos verdaderos
utilizando para ello equipos de cómputo;
y mediante la utilización de diversos
programas de retoque fotográfico o
tratamiento de imagenes;
se insertan los datos,
relevantes del documento
a falsificar, como la firma,
huella o la fotografía del
cliente.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

¿Qué es lo que se utiliza?
Computadoras
Impresoras
Impresoras de ID
Escáners
Software (Programas)
Materiales para Plastificación
Plastificadora
Sellos
etc.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Computadoras

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Impresoras

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Impresoras de ID

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Escáners

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Software (Programas)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

¿Qué es lo que falsifica?
Cheques
Documentos de Identidad, Inmigración.
Certificaciones
Carnet Universitario, Sanidad, de
Bomberos
Títulos Universitarios
Pasaportes
Cédulas
Certificados de Nacionalización
Documentos Contables
Billetes

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

¿Qué es lo que falsifica? (cont.)
Cheques

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Documentos de Identidad, Inmigración.
Carnet Universitario, Sanidad, de
Bomberos

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Títulos Universitarios
Pasaportes

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Cédulas
Billetes

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Caso:
Impresoras laser incluyen código secreto
2004 / 2005
Las impresoras láser color 'marcan' cada
una de las páginas que imprimen con
pequeños puntos de color amarillo, no
detectables a simple vista, y esas marcas
'invisibles' pueden ser usadas para
'seguir' la pista de cualquier documento
desde el momento de su impresión.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Caso:
Impresoras laser incluyen código secreto
2004 / 2005
Las impresoras láser color 'marcan' cada
una de las páginas que imprimen con
pequeños puntos de color amarillo, no
detectables a simple vista, y esas marcas
'invisibles' pueden ser usadas para
'seguir' la pista de cualquier documento
desde el momento de su impresión.
http://www.eff.org/Privacy/printers/docucolor/
http://www.pcworld.com/article/id,118664-page,1/article.html

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

Caso: Impresoras laser incluyen código
secreto
http://www.eff.org/Privacy/printers/docucolor/

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

R
e
Y
D
e
S

MODULO 1
SEGURIDAD DEL SISTEMA
OPERATIVO

Nuevas técnicas aplicadas contra el fraude documental con soporte Físico y Electrónico

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (10)

Destaque

Destaque (7)

Semelhante a Nuevas técnicas aplicadas contra el fraude documental con soporte Físico y Electrónico

Semelhante a Nuevas técnicas aplicadas contra el fraude documental con soporte Físico y Electrónico (20)

Mais de Alonso Caballero

Mais de Alonso Caballero (20)

Último

Último (10)

Nuevas técnicas aplicadas contra el fraude documental con soporte Físico y Electrónico