PHISHING PARA JUECES Y ABOGADOS
Todo Abogado o Juez que se dedique a esta materia, debe
tener conocimiento
sobre la informática. No es que sea necesario
estudiar formalmente Sistemas o alguna
carrera relacionada, pero sí estar en
conocimiento sobre redes y seguridad
informática ya que de allí
se derivan los delitos de
tipo penal (hablando para aquellos países que distinguen
el delito civil del
delito penal.
Casi todo lo que nos rodea, en nuestra vida cotidiana, se
relaciona con Internet, que en sí,
es la red de redes.
Computadores, celulares y hasta algunos electrodomésticos,
traen de fábrica algo que los vincula al Internet.
Paralelamente a la evolución tecnológica de estas
últimas décadas, los delincuentes de cuello blanco
también se han visto en la necesidad de evolucionar y
mantenerse actualizados, sea porque el tema les interesa y se
dedican a ir de la mano con el avance de la tecnología o piensan
que el delito es rentable y subcontratan personas del Underground
para llevar a cabo sus planes.
¿Qué es el Phishing? Phishing no es más
que un fraude
electrónico que consiste en la unión de 2 técnicas:
·
Falsificación de un sitio web (web
spoofing) y
·
Falsificación de un correo
electrónico (e-mail spoof).
Hay varias maneras de llegar a un portal que actúa como
Phishing (o web spoof):
·
Enlaces (links) de webs
·
Recomendaciones de personas
·
Correos electrónicos. El más común de
todos.
Para comenzar, debemos entender que los sistemas
informáticos se rigen por dos (2) procesos
básicos:
·
Front-end: Interactúa con el usuario y
·
Back-end: Procesa las entradas desde el front-end.
En una web de Phishing podemos ver que el aspecto del website
es idéntico al original: estructura,
gráficos, etc. El delincuente de cuello
blanco sabe que la mayoría de los usuarios se fijan en el
aspecto gráfico pero no están pendientes o
entienden los procesos que se llevan detrás. Aunque el
sitio sea una copia idéntica a la original, ésta
sin embargo tiene insertado códigos que tienen como
función
tomar los datos necesitados
por los Phishers, que son las personas que se dedican a la
actividad del Phishing, para llevar a cabo su objetivo. La
finalidad y objetivo del Phisher consiste en tener acceso no
autorizado a un sistema y
después obtener su beneficio cometiendo fraude. Si
la falsificación (Phishing) se trata de un sistema de
banca-online, que
es el más común en la red de redes, su meta final
es la obtención de dinero
mediante la transferencia de fondos. Para dejar claro el concepto:
Phishing es comparable al hecho que alguien le copie la llave de
su casa, entre en ella sin su autorización y
finalmente lo robe.
La temática, entendiéndose por esto el diseño
y aspecto de la página web
que actúa como Phishing, va a depender de su creador, de
los motivos del Phisher y de lo que pretende obtener. Los
motivos más comunes suelen ser:
· Banca
on-line: Si se trata de banca-online, el objetivo final es la
transferencia de fondos (dinero)
·
Correo electrónico: Si se trata de correo
electrónico su objetivo es obtener acceso no autorizado a
los sistemas de e-mail
· Sitio
de servicio de
pago: Si su tema, es algún servicio pago el objetivo es
obtener el servicio gratis dicho servicio.
Ahora veamos cómo trabaja desde cero el Phisher y a tal
efecto se describe el proceso del
Phishing que en este caso llega por medio de un correo
electrónico, comúnmente conocido como e-mail.
Generalmente, el usuario recibe un e-mail para llevarlo al
portal falsificado hecho por un Phisher y el e-mail
se parecerá a la de la entidad que intenta simular el
Phisher. El siguiente ejemplo de un fraude de banca on-line
amplia el concepto
·
El banco, en este
caso, se llama Banco-online.
· El
Phisher hace un estudio de la dirección de correo electrónico que
usa el banco para comunicarse con sus clientes, que en
este caso es usted.
·
El Phisher le envía un e-mail simulando que el
remitente de la cuenta de correo es la del banco, por ejemplo:
gerencia[arroba]banco-online.com. y logra
engañarlo. Usted piensa y acepta que el e-mail realmente
proviene de su entidad bancaria.
· El
contenido del e-mail dirá cualquier motivo por el cual el
supuesto banco está enviando ese e-mail y se
adjuntará un hipervínculo (link), en el texto, que
simulara el link de su banco, por ejemplo:
https://secure.banco-online.com/login
·
Usted, creyendo que este es el link autentico del banco
hace click sobre él, iniciando la sesión,
pero…al hacer click en el link, éste lo enviara a
una página como: http://200.11.11.11/login con la finalidad de que
crea que es el sitio web oficial y autentico de su banco o
servicio. ¿Dónde entró? Entró en
la página falsificada creada por el Phisher y
a partir de ese momento usted le va a suministrar todos los
datos que necesita el Phisher para finalmente estafarlo. En el
inicio de sesión usted le suministra el
login (usuario) y el password (clave). En otras palabras,
usted le da al Phisher la llave de entrada y acceso pleno a su
cuenta bancaria.
Página siguiente |