UNIVERSIDAD TECNICA DE AMBATO

FACULTAD DE INGENIERIA EN SISTEMAS,ELECTRONICA E INDUSTRIAL

TEMA:

GUIA DE SEGURIDADES PARA EVITAR EL ROBO DE LAINFORMACION POR MEDIO DEL PHISHING EN LA

COOPERATIVA DE AHORRO Y CREDITO 10 DE AGOSTO DELA CIUDAD DE AMBATO

Trabajo de graduacion modalidad: SEMINARIO DEGRADUACION,presentado como requisito previo a la obtencion del

Tıtulo de Ingeniero en Sistemas Computacionales e Informaticos.

AUTOR: Luis P. AnaluizaTUTOR: Ing. Clay Aldas

AMBATO - ECUADOR2011

Indice

1. INTRODUCCION 11.1. PHISHING . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.2. Definicion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.3. Origen de la palabra Phishing . . . . . . . . . . . . . . . . . . . . . 31.4. Tipos de Phinshing . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.5. Funcionamiento del Phishing . . . . . . . . . . . . . . . . . . . . . 41.6. El Phishing en el Ecuador . . . . . . . . . . . . . . . . . . . . . . . 41.7. Maneras de evitar el Phishing . . . . . . . . . . . . . . . . . . . . . 5

2. ANTECEDENTES 5

3. TRABAJOS RELACIONADOS 5

4. PROPUESTA 6

5. APLICACION 6

6. RESULTADOS 8

7. AGRADECIMIENTO 9

2

Resumen

En el presente trabajo se analiza elcomportamiento y funcionamiento delphishing en el Ecuador y particularmen-te en la Cooperativa de Ahorro y Credi-to 10 de Agosto del centro del paıs, atraves del empleo de tecnicas estadısti-cas, utilizando como fuente la informa-cion generada en los bancos privados delcentro del paıs, evaluando para estos fi-nes variables tales como: montos totalesde robos realizados por medio del inter-net, total de vıctimas de estos robos ymontos sustraidos de cada usuario.

En su primera parte se exponen algu-nos principios fundamentales del phis-hing que permitiran conocer su funcio-namiento y modo de operar, a fin de es-tablecer las bases teoricas sobre las quesustentan el robo bancario por medio delphishing.

Luego se presenta un resumen de los ro-bos realizados en las cuentas bancariasde otros paıses en el ultimo ano a travesde indicadores estadısticos con la finali-dad de contar con un marco de referen-cia que nos permita conocer el estado deconocimiento de las personas sobre estamanera de fraude electronico en nuestropaıs.

1. INTRODUCCION

En las sociedades modernas los servi-cios para el bienestar de la poblacion y

el desarrollo economico de los paıses sesustentan en la utilizacion de serviciostecnologicos que mejoran la calidad devida y facilitan las labores cotidianasde las personas y de las organizaciones.

En los paıses subdesarrollados comoel Ecuador, el uso de las tecnologıasesta creciendo significativamente, yaque un estudio realizado a nivel mundialrevela que en el ano 2008 el Ecuadorocupaba el puesto 107 del desarrollotecnologico mundial[1], pero desde eseentonces hasta la fecha nuestro paıs hadesarrollado mucho el nivel tecnologicodebido a que se tiene mayor accesibili-dad a la tecnologıa como por ejemploel internet que es la mayor fuente deinformacion y comunicacion en todo elmundo.

Sin embargo, la tecnologıa presentaimportantes desafıos frente a la necesi-dad de proteger la informacion de laspersonas y organizaciones, esto se daa la creciente presencia de amenazasque invaden Internet con el objetivode obtener informacion confidencialde las personas para cometer delitosinformaticos, danar los sistemas ope-rativos o aplicaciones, o para hacernegocio y que el consumidor final sigacomprando herramientas informaticaspara contra restar dichas amenazas[2].

Conscientes del avance tecnologico quese va dando constantemente en el areainformatica y el impacto de esta ennuestra sociedad, se torna necesario

1

que las entidades bancarias indepen-dientemente de los servicios que estasofrezcan a la sociedad implementenmedidas de seguridad ya pues debidoal crecimiento en la adquisicion detecnologıas se incrementa la posibilidadque de alguna manera seamos vıctimasde algun tipo de fraude[3].

Luego de identificar el grave problemaque presentan muchas institucionesfinancieras y personas que utilizamos elinternet como medio de comunicacion,investigacion y de negocios, siendovıctimas de fraudes informaticos comopor ejemplo estafas, suplantacion deidentidades, saqueo de las cuentasbancarias, etc., surge la necesidad debuscar una solucion rapida a dichosproblemas.

Uno de estos problemas o amenazasson los robos bancarios mediante lautilizacion del phishing el cual ennuestro paıs esta en constante creci-miento como pudimos observar en elultimo ano cuando se robaron dinerosde las cuentas bancarias del Banco delPichincha haciendo uso de la clonacionde la pagina oficial del Banco y redireccionando hacia otro servidor locual permitio realizar el delito[4], por loque se ha visto la necesidad de realizarun estudio exhaustivo de las formas derobos bancarios y estafas mediante elinternet para ası tener los fundamentosnecesarios para realizar la creacion deuna guıa de seguridades para evitar elrobo bancario mediante el internet.

La guıa de seguridades tiene comoprincipal objetivo evitar o disminuirlas estafas y los robos bancarios,ademas se busca reducir el ındice dedelitos informaticos y aumentar el nivelcultural de las personas sobre el usocorrecto de la tecnologıa y sobre todode la buena navegacion y las medidasde seguridades que se debe tomar almomento de navegar en la web yaque muchas de las veces manejamosinformacion confidencial y personal enlas paginas de internet.

El articulo tiene como objetivo prin-cipal realizar un estudio amplio acercade los robos bancarios y las estafasrealizadas por medio del internet yespecıficamente mediante la utilizaciondel Phishing para lo cual se hara men-cion a definiciones del Phishing, origende la palabra Phishing, tipos de Phis-hing que existen, funcionamiento delPhishing, el Phishing en el Ecuador ymaneras de evitar el Phishing.

1.1. PHISHING

1.2. Definicion

”Phishing es un termino informaticoque denomina un tipo de delito encua-drado dentro del ambito de las estafasciberneticas, y que se comete median-te el uso de un tipo de ingenierıa so-cial caracterizado por intentar adquiririnformacion confidencial de forma frau-dulenta, como puede ser una contrasenao informacion detallada sobre tarjetasde credito u otra informacion bancaria.El estafador, conocido como phisher, sehace pasar por una persona o empresa

2

de confianza en una aparente comuni-cacion oficial electronica, por lo comunun correo electronico, o algun sistema demensajerıa instantanea o incluso utili-zando tambien llamadas telefonicas”[5].

1.3. Origen de la palabraPhishing

“El termino phishing proviene de lapalabra inglesa ”fishing”(pesca), hacien-do alusion al intento de hacer que losusuarios ”piquen en el anzuelo”. A quienlo practica se le llama phisher. Tam-bien se dice que el termino ”phishing.es

la contraccion de ”password harves-ting fishing”(cosecha y pesca de contra-senas), aunque esto probablemente esun acronimo retroactivo, dado que la es-critura ’ph es comunmente utilizada porhackers para sustituir la f, como raız dela antigua forma de hacking telefonicoconocida como phreaking”[5].

1.4. Tipos de Phinshing

Cartas Nigerianas: Este tipo dephishing se caracteriza por un co-

rreo electronico que recibe el usua-rio donde se le ofrece el acceso auna gran suma de dinero que se en-cuentra en una divisa extranjera opaıs en conflicto[6], la estafa se dacuando el phisher le dice que paraacceder a esta suma de dinero tie-ne que el beneficiario depositar unacierta suma de dinero en una cuen-ta bancaria que le proporciona elphisher.

Estafa Piramidal: El usuario re-cibe una oferta de empleo en su co-rreo electronico, basada en la pro-mocion de productos y en la capta-cion de nuevos empleados[6], la es-tafa es similar a las cartas nigeria-nas ya que para acceder a ese em-pleo el beneficiario debe depositaruna cierta suma de dinero en unacuenta bancaria que le proporcionael phisher.

Mulas: este timo es grave, ya quepuede suponer la carcel para el quecaiga en el, al tratarse de un delitode blanqueo de dinero[6],el phisherenvıa un mail comunicandole a lavıctima que se va a ganar un dineroextra realizando una transferenciade una gran suma de dinero a otracuenta.

Hoax: Se trata de timos que enmuchos casos se utilizan para sen-sibilizar al usuario para que reali-ce aportaciones economicas[6]. Elphisher utiliza los desastres natu-rales, la conciencia religiosa pararealizar este delito ya que se pi-de sumas de dinero para ayudas dedamnificados de terremotos o ayu-das a personas de escasos recursoseconomicos.

3

Vishing: El usuario recibe un co-rreo electronico o mensaje SMS enel que se le dice que tiene que llamara un numero de telefono para reci-bir una informacion o un regalo[6],la victima realiza la llamada al nu-mero proporcionado y le respodendiciendo que va hacer acreedor a unregalo o suma de dinero pero tieneque dar los datos personales y sunumero de cuenta y contrasenas.

1.5. Funcionamiento delPhishing

La Planificacion.- en esta etapael phisher prepara el ataque y fi-ja el objetivo al cual va atacar[7],el phisher realiza una investigaciondel estado de situacion del paıs yasea la tasa de desempleo o a su vezla situacion economica y emocionalen las que se encuentran las perso-nas de dicho paıs.

La Preparacion.- el phisher pre-para el correo fraudulento para en-viar a las vıctimas[7]. El correoes preparado minusiosamente paraque tenga una efectividad mayor.

Ataque.- El phisher envıa el correohacia las vıctimas[7].Este correo esenviado a todas las personas que enla etapa anterior investigo y supues-tamente son las mas vulnerables.

Recoleccion.- El usuario luego deseguir los pasos del correo recibidopor parte de phisher realiza el en-vio de su informacion confidencialhacia el phisher[7], esta informacionpuede ser datos personales, contra-senas, cuentas bancarias etc.

Fraude.- El phisher utiliza la in-formacion que le fue proporciona-

do para realizar todo tipo de fraudeque puede[7], como por ejemplo: lasuplantacion de identidad para de-linquir, tambien para realizar el sa-queo de la cuenta bancaria o pararealizar un blanqueo de dinero.

Blanqueo de dinero.- el phisherutiliza la informacion de las victi-mas para hacer el dinero optenidoilegalmente en dinero legal a eso sele llama blanqueo de dinero[7].

1.6. El Phishing en el Ecua-dor

El caso mas conocido de Phishingen el Ecuador es el caso del Banco delpichincha, el cual fue muy comentadoen nuestro paıs, debido a las numerosasvıctimas de este tipo de delito.En nuestro paıs a partir del ano 2009al 2010 ha sufrido un pequeno peroconsiderable crecimiento en los delitosinformaticos, como lo demuestra lassiguientes estadısticas:[4]

4

1.7. Maneras de evitar elPhishing

[8]

Verificar la fuente de la informacion

Escribir uno mismo la direccion enel navegador de Internet.

Reforzar la seguridad.

Comprobar que la pagina web en laque se ha entrado es una direccionsegura.

Hacer doble clic sobre el candadopara tener acceso al certificado di-gital.

Revisar periodicamente las cuentasde correos.

2. ANTECEDENTES

La navegacion por medio de la webes una de las facilidades que brinda laCooperativa de Ahorro y Credito 10 deAgosto y los beneficios que se tiene son

muchos y variados; esto deberıa provo-car que los empleados y clientes de lacooperativa tomen las debidas precau-ciones y seguridades al momento de na-vegar en la web, pero esto realmenteno sucede debido a la poca informacionacerca de los peligros que rodean a laweb como por ejemplo el ingreso aparen-temente a la pagina oficial de la Coope-rativa de Ahorro y Credito 10 de Agostoque no es mas que una pagina clonadaque sirve para robar informacion de lacooperativa o de sus clientes, ademas losatacantes externos pueden robar correoselectronicos de los clientes de la coopera-tiva y ası obtener informacion personalde cada uno de los clientes por lo cualse ha visto la necesidad de realizar unaguıa de seguridades para evitar el robode la informacion mediante el Phishing.

3. TRABAJOS RELA-CIONADOS

Autor: Ing. Hugo Marcelo DalgoProanoTema: Analisis de los factores queobligan a proteger los datos en los ne-gocios realizados a traves del comercioelectronico – caso ecuador, 2010Reposa en: repositorio.iaen.edu.ecDireccion electronica:http://repositorio.iaen.edu.ec:9090/bitstream/123456789/58/1/IAEN-012-2007.pdfHIPOTESISEncontrandonos en el siglo 21, acep-tando el proceso de globalizacion al quenos encontramos expuestos, en donde elavance de la tecnologıa se ha desarrolla-do enormemente, facilitando el convivirde las personas y la humanidad, nacela posibilidad de hacer negocios, y tras-mitir informacion a traves de medios

5

electronicos, para dar facilidades a laspersonas, tambien puede conllevar auna serie de problemas en los ambitoscomerciales, economicos y legales, porlo que se hace necesario salvaguardarla integridad de la informacion enbeneficio del usuario, sea este emisor,proveedor de servicio electronico o des-tinatario. Un marco jurıdico acorde a laproteccion de datos, permitira que lastransacciones electronicas y el comercioelectronico se desarrollen en el Ecuador.

Con reglas y procedimientos claros enrelacion a las obligaciones y responsa-bilidades que tiene cada uno de los in-tervinientes en una relacion de comer-cio por vıa electronica se puede fomen-tar el desarrollo electronico comercial.El insertar los principios de integridad,autenticidad y confidencialidad en lastransacciones de comercio electronico,permitira aumentar la confianza en elservicio. La conformacion de procedi-mientos, controles y seguridades permi-tira satisfacer los niveles de seguridadque los usuarios necesitan.

4. PROPUESTA

La propuesta para este artıculo esel diseno y creacion de una guıa deseguridades para evitar el robo bancarioy las estafas por medio del Phishingen internet , para lo cual crearemosun Phishing o paginas web clonadasde bancos del centro del paıs y re di-reccionaremos a un servidor local paraobtener informacion confidencial de losusuarios de las entidades bancarias yasi obtener una muestra de usuariosvulnerables a este tipo de ataquesinformaticos para luego realizar unanalisis estadıstico del nivel cultural enla que se encuentra nuestra sociedad a

nivel tecnologico.

5. APLICACION

Se va ha realizar unas ecuentas al losclientes de la cooperativo y al jefe desistemas para lo cual se va aplicar lossiguientes cuestionarios:

Para los clientesUNIVERSIDAD TECNICA DEAMBATO FACULTAD DE INGE-NIERIA EN SISITEMAS, ELEC-TRONICA E INDUSTRIAL CIU-DAD DE AMBATOOBJETIVO DE LA ENCUESTALa encuesta tiene como objetivo ob-servar que tipos seguridades utili-zan los usuarios de entidades ban-carias al momento de navegar en laweb. Senores, su veracidad en lasrespuestas permitira al grupo inves-tigador desarrollar un trabajo realy efectivo. Agradecemos su colabo-racion y garantizamos absoluta re-serva de su informacion.Cuestionario1. ¿Que niveles de seguridades tomausted al momento de navegar en laweb?

• Herramientas Informaticas

• Ayuda de un experto

• Ninguno

2. ¿Que tipo de sitios web son losque mas visita?

• Financieras

• Descargas

• Videos

6

• Redes Sociales

• Otros

3. ¿Como identifica usted paginasweb seguras?

• Herramientas

• Candado de seguridad

• Certificados

• Ninguno

4. ¿Que tipo de navegador utiliza almomento de navegar en internet?

• Firefox Mozilla

• Internet Explorer

• Otros

5. ¿Que tipo de servidor de correosutiliza usted para en el internet?

• Hotmail

• Gmail

• Yahoo

• Otros

Gracias por su colaboracion. Fechade aplicacion:

Para el jefe de sistemas

UNIVERSIDAD TECNICA DEAMBATO FACULTAD DE INGE-NIERIA EN SISITEMAS, ELEC-TRONICA E INDUSTRIAL CIU-DAD DE AMBATOOBJETIVO DE LA ENCUESTALa encuesta tiene como objetivoanalizar las seguridades que utili-zan las entidades bancarias parabrindar el servicio web a los usua-rios. Senores, su veracidad en lasrespuestas permitira al grupo inves-tigador desarrollar un trabajo real

y efectivo. Agradecemos su colabo-racion y garantizamos absoluta re-serva de su informacion.Cuestionario1. ¿Que tipo de proveedor de inter-net utiliza la entidad bancaria?

• CNT

• El Portal

• Otros

2. ¿Que tipos de ataques lanzan loshackers a la entidad bancaria?

• Phishing

• Vishing

• Hoax

• Otros

3. ¿Que tipo de informacion es masvulnerable a ser atacada en la enti-dad bancaria?

• Contrasenas

• Informacion Personal

• Cuentas Bancarias

4. ¿Que paginas son las mas falsifi-cadas en internet?

• Bancarias

• Paginas de redes Sociales

• Correos

• Otros

Gracias por su colaboracion. Fechade aplicacion:

7

6. RESULTADOS

Los clientes de la Cooperativa de Aho-rro y Credito 10 de Agosto no poseenmucho conocimiento acerca de los nive-les de seguridad que deben tomarse almomento de navegar en la web asi lodemuestra la encuensta realizada a 20clientes ya que la mayoria de personasrespondieron que no toman ningun tipode seguridad para navegar en el internet.

Los sitios mas visitados por los clien-tes de la cooperativa son las paginas fi-nancieras debido a que por medio deellas pueden tener acceso rapido a losestados de cuenta de cada uno de losusuarios.

Los clientes de la cooperativa no po-seen herramientas para identificar pagi-nas web seguras asi lo indican las esta-disticas de la encuesta realizada.

Para los clientes de la cooperativa el

8

navegador mas comun de utilizar es elfirefox el motivo el cual lo utilizan esporque la mayoria de personas lo utili-zan.

Los clientes de la cooperativa utilizanpor igual los servidores de correos notienen uno en preferencia.

La encuesta al jefe de sistemas selo realizo unicamnete al jefe de sistemasde la cooperativa 10 de Agosto por loque no tenemos mas encuestas realiza-das.

CONCLUSIONES

La guıa de seguridades nos permi-tira reducir el ındice de delitos in-formaticos.

Se concientizara a los usuarios decuentas electronicas a mejorar la se-guridad de la informacion.

La guıa permitira educar tecnologi-camente a las personas a una mejornavegacion por la web.

El Phishing sera descubierto encuanto a su funcionalidad y severa las vulnerabilidades que poseeel phishing ası como tambien vere-mos como podemos protegernos deeste tipo de ataques.

7. AGRADECIMIENTO

Este es el momento propicio paraexpresar mi mas profundo agrade-cimiento a Dios y a mis Padres, porguiar mis pasos en toda mi forma-cion profesional y a la Cooperativade Ahorro y Credito 10 de Agostopor el apoyo, confianza y colabora-cion brindada.

Referencias

[1] Desarrollo Tecnologico,“Extraıdo el dıa 7 deOctubre”,http://www.eluniverso.com/2008/04/09/0001/9/F6818ADB15634D6C9D15993CDF479F90.html,2011

[2] Robos y frudesinformaticos, “Extraıdoel dıa 28 de Octubre”,http://www.slideshare.net/guest0b9717/robos-y-fraudes-informticos-presentation,2011

[3] Como evitar el phishing,“Extraıdo el dıa 28 deSeptiembre”,http://www.taringa.net/posts/taringa/9949868/Como-evitar-el-phishing-roba-cuentas.html,2011

9

[4] Fraudes bancarios en elEcuador, “Extraıdo el dıa5 de Octubre”,http://bitscloud.com/2011/04/el-fraude-bancario-en-ecuador-un-tema-en-auge/,2011

[5] El Phishing, “Extraıdo eldıa 7 de Octubre”,http://es.wikipedia.org/wiki/Phishing,2011

[6] Diferentes tipos dephishing, “Extraıdo el dıa4 de Octubre”,http://es.paperblog.com/diferentes-tipos-de-phishing-timos-en-la-red-81585/,2011

[7] Las profundidades delphishing, “GonzaloAlvarez Maranon”,http://www.iec.csic.es/gonzalo/descar-gas/phishing.pdf,2011

[8] phishing. tipos deamenazas, “Extraıdo eldıa 6 de Octubre”,http://www.pandasecurity.com/spain/enterprise/security-info/types-malware/phishing/,2011

[9] Fraudes por e-mail,“Extraıdo el dıa 6 deOctubre”,http://www.informatica-hoy.com.ar/internet/Tipos-de-fraudes-por-e-mail.php,2011

[10] Intelligent phishingdetection system fore-banking using fuzzy

data mining, “MaherAburrous a,*, M.A.Hossain a, Keshav Dahala, Fadi Thabtah b”,2011

[11] Anti Phishing, “Extraidoel dia 7 de octubre”,http://www.wisedatasecurity.com/phishing.html,2011

10