·
Resultado: Lo estafaron. El Phisher transfiere los fondos de su
cuenta (su dinero) a otra
cuenta como si usted mismo lo hubiera hecho.
Para hacer la réplica del sitio objetivo, o
sea de una página
web, basta solo con que haga la siguiente prueba:
·
Ubique cualquier sitio que pida algún inicio de
sesión, puede probar con un sistema de e-mail
por ejemplo
·
Estando en el website, en el explorador abra el menú
archivo y
seleccione guardar.
Efectúe los siguientes pasos para ver lo simple que es
hacer la replica de la página.
1.- Abra el website
2.- Haga click en la página y posteriormente seleccione
guardar como…
3.- En la ventana colocamos cualquier nombre y tipo como que
se muestra en el
gráfico.
Con estos tres (3) pasos el Phisher obtiene de forma sencilla
la estructura
gráfica para hacer idéntico su sitio al sitio que
desea suplantar. Ahora solo tiene que modificar el código
para que cuando un usuario coloque sus datos y
presioné aceptar, los datos suministrados por
éste le sean enviados y así podrá usarlos
posteriormente.
Los expertos en seguridad le
dirían que este es un Phishing básico, ya hay
técnicas que lo pueden hacer más
eficiente llevándolo a un nivel más sofisticado
empleando:
·
Técnicas de pharming (atacar los DNS, el
pharming se describirá en el siguiente articulo).
·
Infectar el Navegador del usuario con controladores ActiveX para
que cuando entre a la web real sobre
ponga un iframe en el lugar de los campos de inicio de
sesión originales.
Cada país tiene su respectiva ley que sanciona
este tipo de delito. Lo
importante es que como abogados veamos como el delito se hace y
como funciona, para poder entender
este tipo de conducta criminal
y en que parte de nuestro sistema legal encaja.
En Venezuela
existe la Ley contra Delitos
Informáticos, y en el artículo 2 de esta ley se
identifican dieciséis (16) conceptos informáticos
que abarcan desde hardware (el equipo
físico), software (aplicaciones),
tecnología
de información y otros.
Podemos observar en varios artículos cómo encaja
el Phishing.
Artículos 6 y 9: Señalan el acceso indebido de
personas que sin tener la debida autorización obtengan
acceso a un sistema. El objetivo principal del Phishing es la
obtención del acceso SIN permiso de la otra persona.
El artículo 7: Se refiere al sabotaje de sistemas. Si el
Phishing trabaja con técnicas de pharming esto significa
que se está modificando el funcionamiento del protocolo DNS que
es el responsable de hacer que cuando se escribe dominio.com se
vaya a un servidor
determinado en Internet (esto se
explicará mas adelante).
El artículo 10: Se refiere a la prestación de
servicio. Si
el delincuente de cuello blanco contrata a otra persona para que
le haga toda la infraestructura para hacer el Phishing, esa
persona está cometiendo un delito informático.
El artículo 11: Se refiere al espionaje
informático. El delincuente de cuello blanco, al tener
acceso a los datos críticos de un usuario, que son
esencialmente el nombre de usuario y la clave, tendrá
acceso SIN restricciones para entrar al sistema verdadero del
usuario y su vez acceso a toda la data o información del usuario. Este
artículo establece que con el solo hecho de obtener
indebidamente información de un usuario se está
cometiendo el delito de espionaje informático.
El artículo 12: Se refiere a la falsificación de
documentos. En
esto no hay mucho que ahondar, siendo que el Phishing es
precisamente la falsificación de un website y que
claramente encaja en este articulo.
El artículo 13: Se refiere al hurto. Corresponde
perfectamente con los objetivos
finales de un Phishing que son la obtención de dinero,
obtención gratuita de un servicio, etc.. Estos actos son
sancionados en este artículo.
El artículo 14: Se refiere al fraude. Al igual
que el artículo anterior todas las características
principales de un Phishing (manipulación, inserción
de instrucciones falsas, etc.) encajan perfectamente en este
artículo.
Autor:
Rafael Maita
Venezuela
 Página anterior | Volver al principio del trabajo | Página siguiente  |