Red Peruana contra la Pornografía Infantil

Asociación Civil sin fines de lucro, que busca la erradicación de las redes de productores, distribuidores y consumidores de pornografía infantil en el Perú y Latinoamérica, principalmente de aquella que se ejecuta vía Internet. Asimismo, lucha contra la Trata de Personas, la Explotación Sexual Comercial Infantil y el Tráfico de niños, niñas y adolescentes, trabajando en coordinación con otras instituciones que persiguen similares fines.

miércoles, 10 de octubre de 2007

Phishing: Modelo más común de robo de identidad en el ciberespacio

Hoy en día, la Internet se ha convertido, sin lugar a dudas, en la mejor fuente de información y comunicación en el mundo. No obstante, el mal uso de esta herramienta, ya sea por desconocimiento, equivocación o descuido, pone en riesgo el bienestar personal, familiar, social o financiero del usuario internauta. La aparición de nuevas tecnologías, entre ellas la red de redes, ha traído consigo nuevas formas de engaño, de abuso, de extorsión y de amenaza. Todas ellas se han convertido en un medio para el desarrollo de innumerables patologías y delitos que afectan particularmente a la población infantil y juvenil usuaria de la Internet.
En Septiembre del 2003, hablar del delito de Phishing era casi como hablar en arameo (lengua antigua hablada por Jesús), sólo unos cuantos especialistas en la materia podían conocer del tema. Un año después, se había convertido en la mayor amenaza emergente de todos los tiempos, con índices de crecimiento y proyección de daños muy superiores a cualquier virus conocido en la toda la historia. En lo que va del año 2007, este delito ya supera todos los niveles imaginables de estafa, mediante el robo de identidad, vía Internet.

¿Qué es el "Phishing"?

La palabra "phishing" puede traducirse como "pesca", y eso es justamente lo que hace, lanza un anzuelo en la Internet, en espera de captar a un usuario distraido, casi siempre utilizando como medios delictivos el envío de correo masivo (SPAM) o las ventanas emergentes (PopUp). Su objetivo es conseguir los datos personales, claves secretas, número de cuentas bancarias, números de tarjeta de crédito, dirección, etc, es decir, toda la identidad de un usuario. Una vez que ya ha obtenido todos los datos posibles" de su víctima, usa dicha información para realizar operaciones y transacciones fraudulentas.

¿En que consiste este delito?

En la mayoría de casos, se suplanta la imagen de una empresa o entidad publica (casi siempre es una entidad financiera), y se envía miles de correos electrónicos (correo no deseado) a un sinnúmero de cuentas personales, solicitando en ellos la renovación o actualización de los datos personales del usuario que recibe dicho correo, haciéndole "creer" a la potencial víctima que realmente los datos solicitados por dicha entidad, provienen del sitio "oficial" cuando en realidad no es así.

¿Qué sucede con este correo o mensaje no deseado?

Dado que los mensajes y los sitios o enlaces Web que envían estos delincuentes parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales.
Para que estos mensajes parezcan aun más reales, el estafador suele incluir un vínculo o enlace falso que parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario está en uno de estos sitios Web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad.

Formas de phishing

El phishing puede producirse de varias formas, desde un simple mensaje de texto a un teléfono móvil, una llamada telefónica, una Web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico

Los más comunes son:

  • SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos personales.
  • Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con una Agencia Tributaria española, ésta advirtió que algunas personas están llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios.
  • Página Web o ventana emergente; Este método es muy clásico y bastante usado. En ella se suplanta visualmente la imagen de una entidad oficial, empresas financieras, etc pareciendo ser las oficiales, con el objeto de captar los datos del usuario-víctima.

Cómo se presenta el phishing en los correos electrónicos

En prácticamente todos los casos, la potencial víctima recibe en su cuenta personal un correo electrónico con títulos muy comunes, como por ejemplo: "información importante", "renovación de cuenta", "actualización de datos", "su cuenta ha sido bloqueada - información de desbloqueo", etc. Todos estos correos tienen un único objetivo: buscar engañar al usuario y lograr el robo de sus datos personales.

La página clonada o sitio Web falso

En este caso el correo electrónico, supuestamente proveniente del área comercial de la entidad financiera, explica que por diferentes causas (todas falsas), dicha institución, en la cual el usuario tiene su dinero, requiere la "confirmación" de toda su información confidencial, pidiéndole para ello que visite un sitio en donde se le mostrará un formato para que pueda fácilmente escribir sus datos tales como: Número de Cuenta, Nombre de Usuario, Contraseñas, etc. Indica además que, en caso de no realizar dicha operación sus cuentas podrían ser bloqueadas o suspendidas. Ello causa temor en el usuario-víctima, el cual comúnmente accede y brinda la información solicitada.
Casi siempre incluyen un link o enlace para 'facilitarle' las cosas a su víctima, pues con hacer clic sobre ella será llevado al sitio falso donde le pedirán que coloque toda su información. Algunos esquemas más avanzados logran llevar a la víctima a estos sitios con sólo hacer clic sobre cualquier parte del texto del correo, no necesariamente sobre en link en cuestión. (Esto se logra ya que el texto completo del correo es en realidad una sola imagen).
Lo sorprendente en todos los casos es que el usuario-víctima es llevado a una página exactamente igual a la de la entidad financiera, es decir, a una página Web clonada muy profesionalmente. Ello hace que el usuario-víctima no sospeche y esté siempre confiado, pues en dicho portal (que es totalmente falso) puede ver los logos, las campañas, los anuncios y hasta las frases típicas de dicha entidad.
Al final, una vez que el usuario-víctima ha colocado todos sus datos en una base de datos falsa, el delincuente dispone de su Identidad Electrónica, y puede con ello entrar a sus cuentas, ver sus saldos, ordenar traspasos, comprar productos, y hacer todo lo que uno mismo haría sin que la institución financiera tenga forma de saber que no es precisamente el titular real el que las está haciendo.

¿Cómo puede usted protegerse?

1. La forma más segura para estar tranquilo y no ser estafado, es que NUNCA responda a NINGUNA solicitud de información personal a través de correo electrónico, llamada telefónica o mensaje corto (SMS).
2.- Las entidades u organismos NUNCA le solicitan contraseñas, números de tarjeta de crédito o cualquier información personal por correo electrónico, por teléfono o SMS. Ellos ya tienen sus datos, en todo caso es usted el que los puede solicitar por olvido o pérdida y ellos se lo facilitarán. Ellos NUNCA se lo van a solicitar porque ya los tienen, es de sentido común.
3.- Para visitar sitios Web, teclee la dirección URL (el dominio) en la barra de direcciones. NUNCA POR ENLACES PROCEDENTES DE CUALQUIER SITIO. Las entidades bancarias contienen certificados de seguridad y cifrados seguros NO TENGA MIEDO al uso de la banca por Internet.

¿Dónde se puede denunciar el Phishing?

  • En España: Enviando un correo a la Brigada de Investigación Tecnológica (BIT) del Cuerpo Nacional de Policía. La dirección es fraudeinternet@policia.es
  • En Perú: Enviando un correo a la División de Investigación de Delitos de Alta Tecnología (DIVINDAT) de la Policía Nacional del Perú. La dirección es fraudeinformatico@policiainformatica.gob.pe
  • En Latinoamérica: Enviando un correo a la organización "Asociación de Internautas", los cuales, aunque tienen su sede en España, pueden canalizar su denuncia a nivel de todos los países de habla hispana. La dirección es phishing@internautas.org

Nota final:

Para mayor información sobre éste y otros delitos relacionados con el incorrecto uso de la Internet (grooming, choking game, etc.), favor comuniquese con la RCPI - Perú a los correos que se indican en este portal.