PHISHING PARA JUECES Y ABOGADOS
Todo Abogado o Juez que se dedique a esta materia, debe tener conocimiento sobre la informática. No es que sea necesario estudiar formalmente Sistemas o alguna carrera relacionada, pero sí estar en conocimiento sobre redes y seguridad informática ya que de allí se derivan los delitos de tipo penal (hablando para aquellos países que distinguen el delito civil del delito penal.
Casi todo lo que nos rodea, en nuestra vida cotidiana, se relaciona con Internet, que en sí, es la red de redes. Computadores, celulares y hasta algunos electrodomésticos, traen de fábrica algo que los vincula al Internet. Paralelamente a la evolución tecnológica de estas últimas décadas, los delincuentes de cuello blanco también se han visto en la necesidad de evolucionar y mantenerse actualizados, sea porque el tema les interesa y se dedican a ir de la mano con el avance de la tecnología o piensan que el delito es rentable y subcontratan personas del Underground para llevar a cabo sus planes.
¿Qué es el Phishing? Phishing no es más que un fraude electrónico que consiste en la unión de 2 técnicas:
· Falsificación de un sitio web (web spoofing) y
· Falsificación de un correo electrónico (e-mail spoof).
Hay varias maneras de llegar a un portal que actúa como Phishing (o web spoof):
· Enlaces (links) de webs
· Recomendaciones de personas
· Correos electrónicos. El más común de todos.
Para comenzar, debemos entender que los sistemas informáticos se rigen por dos (2) procesos básicos:
· Front-end: Interactúa con el usuario y
· Back-end: Procesa las entradas desde el front-end.
En una web de Phishing podemos ver que el aspecto del website es idéntico al original: estructura, gráficos, etc. El delincuente de cuello blanco sabe que la mayoría de los usuarios se fijan en el aspecto gráfico pero no están pendientes o entienden los procesos que se llevan detrás. Aunque el sitio sea una copia idéntica a la original, ésta sin embargo tiene insertado códigos que tienen como función tomar los datos necesitados por los Phishers, que son las personas que se dedican a la actividad del Phishing, para llevar a cabo su objetivo. La finalidad y objetivo del Phisher consiste en tener acceso no autorizado a un sistema y después obtener su beneficio cometiendo fraude. Si la falsificación (Phishing) se trata de un sistema de banca-online, que es el más común en la red de redes, su meta final es la obtención de dinero mediante la transferencia de fondos. Para dejar claro el concepto: Phishing es comparable al hecho que alguien le copie la llave de su casa, entre en ella sin su autorización y finalmente lo robe.
La temática, entendiéndose por esto el diseño y aspecto de la página web que actúa como Phishing, va a depender de su creador, de los motivos del Phisher y de lo que pretende obtener. Los motivos más comunes suelen ser:
· Banca on-line: Si se trata de banca-online, el objetivo final es la transferencia de fondos (dinero)
· Correo electrónico: Si se trata de correo electrónico su objetivo es obtener acceso no autorizado a los sistemas de e-mail
· Sitio de servicio de pago: Si su tema, es algún servicio pago el objetivo es obtener el servicio gratis dicho servicio.
Ahora veamos cómo trabaja desde cero el Phisher y a tal efecto se describe el proceso del Phishing que en este caso llega por medio de un correo electrónico, comúnmente conocido como e-mail.
Generalmente, el usuario recibe un e-mail para llevarlo al portal falsificado hecho por un Phisher y el e-mail se parecerá a la de la entidad que intenta simular el Phisher. El siguiente ejemplo de un fraude de banca on-line amplia el concepto
· El banco, en este caso, se llama Banco-online.
· El Phisher hace un estudio de la dirección de correo electrónico que usa el banco para comunicarse con sus clientes, que en este caso es usted.
· El Phisher le envía un e-mail simulando que el remitente de la cuenta de correo es la del banco, por ejemplo: gerencia[arroba]banco-online.com. y logra engañarlo. Usted piensa y acepta que el e-mail realmente proviene de su entidad bancaria.
· El contenido del e-mail dirá cualquier motivo por el cual el supuesto banco está enviando ese e-mail y se adjuntará un hipervínculo (link), en el texto, que simulara el link de su banco, por ejemplo: https://secure.banco-online.com/login
· Usted, creyendo que este es el link autentico del banco hace click sobre él, iniciando la sesión, pero…al hacer click en el link, éste lo enviara a una página como: http://200.11.11.11/login con la finalidad de que crea que es el sitio web oficial y autentico de su banco o servicio. ¿Dónde entró? Entró en la página falsificada creada por el Phisher y a partir de ese momento usted le va a suministrar todos los datos que necesita el Phisher para finalmente estafarlo. En el inicio de sesión usted le suministra el login (usuario) y el password (clave). En otras palabras, usted le da al Phisher la llave de entrada y acceso pleno a su cuenta bancaria.
Página siguiente |