El Phishing en RD: Una realidad oculta entre sombras.
Por Juan Manuel Medina Acosta. M.A.
[email protected]
@medinaacosta
En la última década, la Republica Dominicana se ha convertido en presa fácil para los delincuentes cibernéticos que como finalidad principal buscan la apropiación de la información bancaria de los usuarios de banca electrónica; los cuales al final se convertirán en victimas del antiguo arte del engaño.
Los casos contabilizados de robo de datos bancarios a través del uso de los medios electrónicos y digitales en la Republica Dominicana para el año 2014, establecieron que existió una fuga de más de RD$120 millones; según lo establece la Asociación de Bancos Comerciales de la Republica Dominicana en su resumen del mes de febrero del mismo año .
Para el mes de abril del 2015 el procurador general de la república, Francisco Domínguez Brito revelo que entre el año pasado y el que transcurre el Ministerio Publico había resuelto aproximadamente 4,000 casos de crímenes y delitos de alta tecnología; de los casos referidos la cantidad más alta pertenece a la Suplantación de Identidad con un total de 963 casos recibidos; dichas cifras pertenecen al informe estadístico de la Procuraduría Especializada Contra Crímenes y Delitos de Alta Tecnología (PEDATEC).
Pero en realidad el Phishing o Suplantación de Identidad no es más que la captación de los datos personales realizado de una manera ilícita o fraudulenta por medio del uso de las herramientas tecnológicas como la internet.
Esta es una palabra del inglés que se originó de su homófona Fishing, el cual su traducción fiel es Pesca; por ende el adjetivo del termino Phishing sería el de Pescar datos, ejecutados directamente por el Phisher.
Según uno de los asesores de seguridad informática más famosos de la historia Kevin David Mitnick, establece claramente que el método más utilizado para la captación de los datos personales, datos bancarios, cuentas de correo electrónico y cuenta de redes sociales es por medio del uso de la técnica llamada “Ingeniería Social”, algo que va más allá de las técnicas del Hardware o del Software, que es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos; recolectar información vital a través de cuentos, mentiras y engaños; su teoría principal es que muchas veces son las personas y no las tecnologías quienes presentan el punto débil en la seguridad de una compañía o una plataforma.
Los datos arrojan que el 80% de los ciber delitos pertenecen a los fraudes bancarios; en los últimos años la Superintendencia de Bancos ha recibido más de diez mil reclamaciones de transacciones fraudulentas, en la mayoría de los casos esto no supone responsabilidad directa de las entidades bancarias; todo lo contrario, es directamente proporcional a la falta de atención que tenemos como usuarios de los medios tecnológicos, el ejemplo más común en la actualidad es el tema del phising.
El mes de agosto pasado uno de los bancos comerciales de mayor incidencia en república dominicana y poseedores de una extensa cartera fue víctima de lo que llamamos Phishing o Suplantación de Identidad; su portal Web fue copiado de manera íntegra y subido a un servidor que solo cabio su extensión; lo peor del caso es que al momento de hacer una búsqueda en cualquiera de los buscadores más utilizados, como por ejemplo Google; el primer vinculo que nos mostraba era el de la Pagina clonada, el usuario al ver los resultados de la búsqueda solo daba click al mismo y el portal era una copia fiel del original.
Posteriormente se solicitaba la cedula, pasaporte o usuario para acceder a la cuenta del usuario confirmándolo con el pin; al momento que el usuario introducía los datos, automáticamente quedaba guardado en la base de datos del Phisher, teniendo de esa manera el acceso real a la página legitima de la entidad bancaria.
Luego al acceder a la página falsa se le solicitaba confirmar la cuenta por medio de una de las tarjetas, pidiendo ingresar el número la misma que está impreso en el plástico, fecha de expiración y el código CVC o CVV que es el código de seguridad que posee cada plástico; mientras el usuario avanzaba le requería sincronizar la Tarjeta de Clave Dinámica, siendo esta la tarjeta de códigos que otorga la entidad bancaria como medida de seguridad para confirmar ciertos procesos de la misma, ya sean transferencias o cualquier otro proceso de la banca electrónica.
Ahora bien; al momento que el usuario legitimo otorgaba dichas informaciones para supuestamente validar sus datos; automáticamente entregaba el acceso total a sus cuentas registradas y el ciber delincuente podía efectuar las transferencias de los fondos de dichas cuentas como a él o a ellos se les antojara.
Ley Sancionadora:
El Departamento de Crímenes y Delitos de Alta Tecnología (DICAT), es una entidad subordinada a la Dirección Central de Investigaciones Criminales (DICRIM) de la policía Nacional, se encarga de dar apoyo en las investigaciones de casos y sometimientos ante la justicia por crimines y delitos relacionados con la Tecnología, en conjunto con el Ministerio Publico han resuelto 709 casos de Suplantación de Identidad en los últimos dos años; la Ley 53-07 de Crímenes y delitos de Alta Tecnología establecen sanciones claras a las personas que delinquen utilizando los medios electrónicos como herramientas para cometer los mismos; esta ley prevé sanciones privativas de libertas y económicas.
Objetivos del ataque:
Las informaciones que son solicitadas de manera regular por los atacantes o Phisher a los usuarios legítimos son las siguientes:
– Los Usuarios y sus contraseñas.
– Información de las Tarjetas de Crédito y/o Debito.
– Datos del Token de Seguridad.
– Números de Sincronización de la Tarjeta Dinámica.
– Entre otras.
Medios de ataque:
Los correos que se reciben que pertenecientes a el envío masivo para la recolección de datos de usuarios es, en muchas ocasiones; geo focalizada, con esto queremos dejar claro que los usuarios por medio de sus exploradores o el uso de su correo electrónico poseen una dirección Ip que determina su localización geográfica y los Phisher utilizan esa herramienta para poder ejecutar en una zona específica el ataque y se pueden valer con las herramientas del envío de correo electrónico de las siguientes entidades:
– Web mails.
– Redes Sociales.
– Bancos
– Sitios de Compras en Línea.
– Otro tipo de empresas (Ofertas de empleo)
– Juegos de Computadoras.
Características del ataque:
Las características de ataque que poseen en común los ciber delincuentes de este tipo de delito tecnológico son las siguientes:
– Pueden ser Informaciones por correo Electrónico, Páginas Web, Malware, Ventanas Emergentes, Redes Sociales, Llamadas Telefónicas, SMS y Páginas Web en motores de Búsqueda.
– Siempre se presentan como un problema de carácter técnico en una de las cuentas del Usuario Legitimo.
– En ocasiones Informan que es para actualizar la información del usuario por recientes detecciones de fraude y un incremento en el nivel de seguridad.
– Recomendaciones de seguridad para la prevención del fraude.
– Cambios en la Política de seguridad de la entidad.
– Promoción de Nuevos Productos.
– Premios, Regalos o Ingresos económicos inesperados.
– Accesos o usos anómalos a la cuenta.
– Desactivación inminente de los servicios o algún servicio.
– Falsas ofertas de empleo.
– Entre muchos otros.
Recomendaciones:
Las recomendaciones que hay que tomar muy en cuenta para no ser víctimas del Phishing son las siguientes:
– Siempre confirmar que los portales web a los cuales accedemos son los oficiales de las entidades bancarias.
– Observar en la Barra de direcciones que la url (dirección) pertenece a la entidad a la cual pensamos acceder y que la misma tiene un acceso seguro.
– No acceder a las peticiones de solicitud de información. Al momento de tener alguna duda, debemos consultar directamente a la empresa o servicio a trasvés de los mecanismo oficiales que facilitan en su página web oficial.
– En ninguno de los casos contestar o responder a ninguna solicitud de información solicitada por medio de los correos electrónicos de procedencia dudosa o por medio de vínculos adjuntados a los mismos.
– No se debe, por ninguna situación, instalar aplicaciones que vengan adjuntas a correos de procedencia dudosa o que se descarguen por algún vínculo agregado al contenido del mismo.
– Conocer al remitente o autor de la publicación.
– Si entiendes que alguna página, correo o archivo que recibes por algún medio electrónico es un posible medio para captar información legítima; denúncialo a Departamento de Crímenes y Delitos de Alta Tecnología. @Dicat_PN