Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Abril Melgarejo

Derecho Informatico.Phishing.

Anuncio 
UNIVERSIDAD NACIONAL
AUTONÓMA DE MÉXICO
FACULTAD DE ESTUDIOS SUPERIORES
ACATLAN
LECENCIATURA DE DERECHO
DELITOS INFORMATICOS: PHISHING
POR: García Melgarejo Abril Alejandra
Infante Belmont Kevin Diego
Mendoza Santiago Luis Gerardo
Macias Nava Fabiola
Villanueva Ruiz Angelica
Méndez Rojo Itzel
Materia: Derecho Informático
Prof.: Morales Cortez Luis Ángel
04/05/19
1
Sumario

Introducción………………………………………………………….. Página 1

Historia del Phishing……………………………………………….. Páginas 2 a 4

Que es el Phishing………………………………………………… Páginas 5 a 8

Como opera el Phishing…………………………………………. Páginas 9 a 14

Marco legal en donde se establece el Phishing……………… Páginas 15 a 21

Conclusiones……………………………………………………. Página 22

Fuentes………………………………………………………….. Página 23
2
INTRODUCCIÓN
La presente investigación se refiere al delito cibernético conocido como
“PHISHING “, dado que los métodos utilizados por los delincuentes, es crear
falsos sitios web, enviar correos electrónicos, modificar un mensaje o falsificar
links, para así poder robar la información de la víctima, para hacer un mal uso
de sus datos, contraseñas, estados financieros e información bancaria.
Este delito trae muchas consecuencias económicas, dado que lo que presenten
los delincuentes con este tipo de delito es robar el dinero que tenga la víctima
en sus cuentas bancarias o hacer un uso ilegal de la información o los datos
que este tenga y sociales dado que ya no existe la confianza de los usuarios en
el momento de utilizar los diferentes sitios web porque temen que usen sus
datos o que le roben de sus cuentas.
Lo que se busca resaltar con esta investigación es que, en México a diferencia
de otros países, existe poca legislación sobre este tema, pero con el crecimiento
de este delito a nivel mundial y ver como se está generando y manejando las
diferentes estrategias de los países, nuestro país está firmando diversos
convenios para empezar a legislar más sobre este delito cibernético.
3
1. ¿QUÉ ES EL PHISHING?
El término phishing viene de la palabra en inglés "fishing" (pesca) haciendo alusión
al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este
modo obtener información financiera y contraseñas. También se dice que el término
"phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de
contraseñas).
“Phishing es utilizado para referirse a uno de los métodos más utilizados por
delincuentes cibernéticos para estafar y obtener información confidencial de forma
fraudulenta, como puede ser una contraseña, información bancaria u otra
información personal de la víctima.
El estafador, conocido como phisher, se vale de técnicas de ingeniería social,
haciéndose pasar por una persona o empresa de confianza en una aparente
comunicación oficial, por lo general utilizando el correo electrónico o mensajería
instantánea. Sin embargo, el canal de contacto para llevar a cabo estos delitos no
se limita exclusivamente al correo electrónico, sino que también es posible realizar
ataques de phishing a través de SMS, conocido como smishing, o de telefonía IP,
conocido como vishing.”
El impacto generado por un phishing conlleva pérdida de productividad y de
reputación, así como pérdidas económicas para los usuarios y las compañías.
Existe una amplia variedad de técnicas que los phishers utilizan para lograr la
obtención de información de sus víctimas. Aunque siempre hay indicadores y formas
de identificar los casos de phishing, muchas veces no es fácil discernir cuándo un
mensaje es legítimo y cuándo se trata de un phishing.
Tipos de Phishing en función del objetivo del ataque:
Phishing tradicional: Este tipo es el más común y empleado en campañas masivas,
además de ser el más sencillo de analizar. Normalmente está vinculado a la
falsificación de un sitio web conocido por la víctima. Cuando el usuario introduce las
4
credenciales en esta web falsa, estas son capturadas y enviadas al atacante. Este
tipo de phishing se envía al mayor número de personas posible. Aunque el
porcentaje de afectados es muy bajo en este tipo de ataques, el número de
afectados suele ser importante.
Spear Phishing: Este tipo se diferencia en estar dirigido a personas concretas o a
grupos reducidos. De esta manera las campañas son mucho más personalizadas y
dirigidas, aumentando el número de víctimas. Esta metodología, en conjunto con la
ingeniería social y un estudio previo de las víctimas, da como resultado una sólida
técnica con la que muy fácilmente se podría comprometer un sistema o red
corporativa.
Whale Phishing / Whaling: Esta clase de phishing tiene como objetivo los altos
cargos de las empresas, incluyendo a los directores financieros, directores de
operaciones, etc. Al igual que en el spear phishing, se requiere de un estudio previo
de la víctima y de una elaboración aún más sofisticada del mensaje para lograr una
apariencia creíble y confiable.
“Siendo los países más atacados mediante cifras de Kaspersky Lab, al segundo
trimestre de 2018:
Brasil es la nación con mayor proporción de usuarios atacados con el 15.51%; le
sigue China con el 14.77%; Georgia con 14.44%; Kyrgyztan con 13.60%; Rusia con
13.27%; Venezuela con el 13.26%; Argentina con el 10.91%; Chile con el 10.22%;
Perú con el 10.97% y Guatemala con el 10.41%
En estas cifras México está lejos de esos niveles de ataques reflejando un 7.50%”
5
7,50%
10,41%
10,97%
10,22%
10,91%
13,26%
13,27%
13,60%
14,44%
14,77%
15,51%
Cabe resaltar que en México hay una ausencia casi absoluta de normas penales
que castiguen el delito de phishing o captura de datos personales, especialmente
de tipo financiero, mediante técnicas de ingeniería social, con el objeto obtener
beneficios patrimoniales en contra de los intereses económicos de la víctima.
Desde el punto de vista jurídico, podría calificarse tal conducta como una forma de
defraudación tradicional (aunque no es estafa informática pues ésta requiere de
otras precisiones) donde concurren ciertos elementos que son comunes a ambas
figuras. Así, tenemos que los elementos básicos de la estafa son el engaño a la
víctima y el traspaso patrimonial. Si alguno de estos dos elementos está ausente,
no podríamos decir que estamos ante un delito.
Resumiendo el Phishing en un tipo de delito encuadrado dentro del ámbito de las
estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social
caracterizado por intentar adquirir información confidencial de forma fraudulenta
(como puede ser una contraseña o información detallada sobre tarjetas de crédito
u otra información bancaria). El estafador, conocido como phisher, se hace pasar
por una persona o empresa de confianza en una aparente comunicación oficial
6
electrónica, por lo común un correo electrónico, o algún sistema de mensajería
instantánea o incluso utilizando también llamadas telefónicas.
2. HISTORIA.
Para empezar a hablar de este tema es importante acotar que es relativamente “
joven”, pues surgió como fenómeno electrónico hace poco más de veinte años y
solo los países de primer mundo y algunos en nuestro continente lo regulan en una
legislación en específico . “Si bien la ingeniería social lleva tiempo siendo una de las
armas de los atacantes, los primeros casos de ataques de phishing tal y como los
conocemos en la actualidad tuvieron lugar a mediados de los 90 y fueron dirigidos
a America Online (AOL). Los atacantes solían utilizar el correo electrónico o la
mensajería instantánea para conseguir que los usuarios divulgaran sus contraseñas
de AOL. Las víctimas proporcionaban esa información a los atacantes y estos, a su
vez, la aprovechaban para tomar el control de sus cuentas de AOL. Esas cuentas
se podían utilizar para enviar spam y realizar otras actividades similares”.*
Otros elementos por los cuales se valían los “fisher’s” eran algoritmos con cuentas
falsas que generaban números de tarjetas de crédito, estas cuentas podían durar
semanas e incluso meses antes de que una nueva fuera requerida. Eventualmente,
AOL tomó medidas tardíamente en 1995 para prevenir esto, de modo que los
crackers recurrieron al PHISHING para obtener cuentas legítimas en AOL.*
Ya se comentó que este delito informático es reciente si lo comparamos con lo que
conocemos habitualmente como delitos tradicionales. Es pertinente catalogar a este
delito como uno de “cuello blanco” dado que rompe con el estereotipo del
delincuente pobre y violento toda vez que para realizar tan solo el grado de tentativa
del mismo se requiere de cierta preparación académica, intelectual y estatus social
, pues si faltara uno de estos elemento difícilmente se podría llegar a la consumación
o éxito del mismo.
7
Para situarnos en un mejor contexto histórico hablaremos brevemente de una
perspectiva más de la historia de este fenómeno informático atípico en nuestra
legislación.
Corría el año de 1997 cuando se utilizó el término por primera vez por un grupo de
noticias para hackers “Alt 2600”, sin embargo desde el año de 1987 un grupo de
usuarios de HP (Interex) aunque de esto no existe referencia, únicamente se cuenta
con esta información. , para referirse a la técnica de ingeniería social que usaban
para robar la información de las tarjetas de crédito de las cuentas de AOL, con el fin
de crear nuevas cuentas o suplantar al legítimo propietario.*
Su popularidad fue en aumento y millones de personas se conectaban a esta red.
Por este motivo fue el punto de ataque de los phishers, que en primer lugar
comercializaban software pirata, constituyendo así, la comunidad WAREZ
(Comunidad que distribuye material bajo copyright vulnerando los derechos de
autor). Esta fue la que comenzó con los ataques de phishing. Antes del año 1995
era muy sencilla la apertura de una de estas cuentas utilizando números de tarjeta
falsos o regenerados. Creaban un algoritmo donde se creaban números de cuenta
totalmente falsos y aleatorios. Esto trajo como consecuencia una gran pérdida
económica para AOL. La empresa al percatarse de esta situación tomó medidas
drásticas. Además creo AOHell para la lucha contra estas estafas*.
Así que con estas bases ya podemos plantear un panorama histórico de ¿cómo
nació el Phishing?, ¿de dónde lo hizo?, ¿hacia a dónde va?
*Phishing,pescandoincautos en Internet,8 enero, 2016 https://itercriminis.com/phishing-pescando-incautos-en-internet/
*El Phishing Trabajo Final De Grado. Grado En Criminología Y
Seguridadhttp://repositori.uji.es/xmlui/bitstream/handle/10234/127507/TFG_Leguizam%F3n_Mayra.pdf;jsessionid=7FBC8AB9F69A045
1067515D2CFA73850?sequence=1
8
3. ¿DE QUÉ MANERA OPERA EL PHISHING?
Este tipo de delito informático tiene un mecanismo habitual, que se basa en
la generación de un correo electrónico falso que simule proceder de una
determinada compañía. El mensaje enviado por este medio contendrá enlaces que
apuntan a una o varias páginas web que simulan el aspecto y funcionalidad de la
empresa con la cual pretender engañar al receptor de dicho mensaje, con lo que se
espera mantengan una relación comercial. Si el receptor confía en que
efectivamente, el mensaje proviene de determinada empresa, pude acabar
introduciendo información sensible en un falso formulario ubicado en uno de esos
sitios web.
Habrá que distinguir el phishing del spam, ya que aunque el spam son correos no
deseados, provienen de páginas web auténticas, mientras que en el phishing dichas
páginas son falsificadas.
Existen algunas condiciones y aspectos que generalmente son utilizados en los
casos de phishing y que debemos como sociedad, tener en consideración. Y ellas
son:
a) Los mensajes de phisihing no están dirigidos de manera personal,
normalmente hacen referencia a un usuario genérico como “cliente”,
“usuario”, o términos similares, o bien, aparecen ocultos los destinatarios del
mensaje.
b) Suelen contener errores graves de ortografía y de redacción por ser
traducidos con herramientas automáticas del software.
c) Debido a que el objetivo es obtener información de los usuarios, en los
mensajes y paginas suplantadas se solicita al usuario sus datos de acceso a
cuentas, números de cuentas bancarias o tarjetas de crédito, entre otros
datos.
d) Las páginas web a las que enlazan a través de los correos electrónicos, las
cuales piden los datos susceptibles de las personas, pueden identificarse
dando especial atención a la forma de escritura del link.
9
Algunas de estas evidencias pueden otórganos sospechas de que está operando
un caso de phishing.
Es necesario, además conocer y tener una visión amplia de la diversidad de técnicas
en que operan y se sirven los phishers, que son quienes cometen este delito
informático, para llegar a sus víctimas y cumplir con su objetivo, incrementando el
nivel de sofisticación y credibilidad.
3.1. Técnica de Ingeniería Social.
Es la primera y más utilizada en cada uno de los casos de phishing. “A través de
ella el phisher pretende engañar a la potencial víctima haciéndole creer que el
mensaje es legítimo mientras se hace pasar por otra persona o entidad”1
3.2. Técnica del texto urgente y alarmante.
En la mayoría de casos, encontramos que el atacante pretende crear sensación de
urgencia o alarma en la víctima, para que esta no preste atención a los detalles que
pueden delatar la comisión del delito que se pretende realizar, y de esta manera
acceda a los liks proporcionados e introduzca rápidamente su información, sin
pensarlo demasiado.
3.3. Técnica de falsificación del remitente.
El campo “De” de los e mails muestra la dirección desde la que se envía el correo
electrónico. Este campo es modificable por el remitente en el momento de enviar el
e mail, pudiendo así ser falsificada.
3.4. Técnica código HTML en el cuerpo del mensaje.
Los emails permiten la utilización de código HTML y CSS para dotar al cuerpo del
mensaje de un aspecto visual más enriquecido que el texto plano, permitiendo
incluso la inserción de imágenes por URL, como hace cualquier página web normal.
Esto permite crear las páginas web con la apariencia adecuada para imitar las
1
AndaluciaCERT, “Informe de divulgación”, México, 0, 6/10/2017, páginas 6-9,
https://www.seguridad.andaluciaesdigital.es/documents/410971/1437699/phising+2017/01950ce7-731f48a6-821a-79388e571bff
10
realizadas por empresas auténticas, insertando logotipos o imágenes de la empresa
utilizando la misma forma de expresión, llevándolo a un lenguaje profesional.
3.5. Técnica formularios en el mensaje
Se puede incluir en los correos un formulario HTML en el que se solicita la
información que se pretende robar, la victima al contestar el formulario y enviarlo
está contribuyendo a proporcionar la información al atacante.
3.6. Técnica de links falsificados.
Los enlaces presentes en los mensajes suelen estar falsificados. Esto es posible
porque “en los links de HTML la dirección URL a la que redirige es distinta al texto
que muestra el link. A veces encontraremos en los mensajes de phishing que un
enlace tiene un aspecto legítimo: http://www.empresa.es; pero al hacer clic nos lleva
a otra URL http://www.paginaphisher.com/. Normalmente al pasar el ratón por
encima del enlace nos mostraría la URL a la que redirige el link en la barra de estado
del navegador o del cliente de correo.”2
4. CONSECUENCIAS DE LA COMISIÓN DEL PHISHING
En general, las consecuencias a las que puede llevar la comisión de este delito
una vez concluido son:

Robo de dinero de la cuenta bancaria.

Uso indebido de la tarjeta de crédito.

Uso de los datos para realizar suplantación de identidad.

Venta de datos personales.
Además de los mencionados puede tener grandes consecuencias en el ámbito
económico y social. Económicamente puede hablarse de una consecuencia tanto a
un particular como a una empresa, mientras que la consecuencia social afecta sobre
22
AndaluciaCERT, “Informe de divulgación”, México, 0, 6/10/2017, páginas 6-9,
https://www.seguridad.andaluciaesdigital.es/documents/410971/1437699/phising+2017/01950ce7-731f48a6-821a-79388e571bff
11
todo por medio de las empresas ya que, los clientes de estas pierden la confianza
en ellas y tienen menos fiabilidad.
4.1 CONSECUENCIA ECONÓMICA.
Debido a que estamos hablando de un delito del que podría decirse que es nuevo,
hay pocas estadísticas sobre su impacto, si bien se puede decir que por cada fraude
exitoso, la pérdida económica a nivel mundial tiene una media de 593€12 . En
España estos fraudes no tienen tanto beneficio, siendo la media inferior a los 400€.
Lo anterior está relacionado con un motivo que, según el código penal español, para
que una estafa pueda ser concebida como un delito, lo defraudado debe superar los
400€, en caso contrario, se estaría hablando de una falta. Por tanto, a los
estafadores les es más rentable cometer más ataques phishing de menor ganancia
económica pero que sea constitutivo de falta y no de delito.
En EE.UU, un estudio determina que las pérdidas económicas por este delito son
mayores que cualquier otro tipo de fraude, rozando los 1,5 millones de dólares,
mientras que por otros delitos son pérdidas que rondan los 2400 dólares. Por tanto
llegamos a la conclusión de que a pesar de que los ataques por virus son más
dañinos porque llegan a una colectividad mayor, el impacto económico por phishing
es considerablemente mayor.
En nuestro país, el impacto también es bastante considerable. Se han analizado los
datos obtenidos en los últimos años ofrecidos por diferentes instituciones, llegando
a la conclusión de que este tipo de ataque ha pasado de 293 ataques anuales a
1.184.
Cada fraude no tiene una gran ganancia. Pero si se multiplica la ganancia de cada
fraude con todos aquellos exitosos al año, la dimensión del problema se hace
mayor.
4.2 CONSECUENCIA SOCIAL.
El principal impacto social se refleja en la afectación que tiene en la confianza de
los usuarios en realizar operaciones en internet, sobre todo en realizar
transferencias o transacciones.
12
El phishing es un fenómeno en aumento, al igual que la tecnología, pero ambos
aumentan a la misma velocidad y por tanto la confianza de los usuarios de internet
para realizar diferentes operaciones va disminuyendo. El miedo de ser una víctima
se nota sobre todo en las plataformas de compra y venta online. Cada vez más
personas tienen menos fiabilidad a los sistemas de seguridad en la red. Una de las
cuestiones que más interesa a un usuario es su privacidad, se siente más seguro
en páginas web que conoce y que le aportan mayor fiabilidad y tranquilidad. Una
cantidad importante de usuarios determina que no realiza compras por internet por
temor a ser estafado.
Además, la desconfianza que crea en los usuarios que una empresa sea suplantada
frena el uso de las mismas plataformas. La pérdida de seguridad de los usuarios en
una empresa le causa perjuicios ya que su imagen pública se ve dañada y por tanto,
cada vez menos usuarios confiaran en ellas.
Las afectaciones del phishing pueden recaer en cualquier persona individual o
formando parte de una empresa o institución, y todos pueden ser atacados en el
mismo nivel. Algunos agentes más vulnerables para la ser atacados con esta
modalidad de delito informático son: Las entidades financieras y empresas
prestadoras de servicios, bancos o cajas de ahorro y usuario individual.
13
5. MARCO LEGAL NACIONAL E INTERNACIONAL
5.1 A NIVEL TÉCNICO-LOCAL:
En la actualidad, debido a la alza y novedad de este delito en particular; tanto a nivel
nacional como a nivel internacional existe poca legislación que ataque estas
actividades ilícitas que cada vez más van en auge. Sin embrago, se ha firmado
convenios y tratados en varios países como Inglaterra, Alemania, entre otros; que
se han propuesto regular este tipo de conductas que afectan la esfera jurídicaeconómica tanto de empresas e instrucciones de crédito como de personas físicas
pero es bien conocido que una de las cosas que caracteriza a estas conductas
antijuridicas, es el complicado rastreo del delito y del sujeto activo, es por eso que
ha nivel local han tenido que implementar tácticas para identificar y combatir este
tipo de delitos.
Una estrategia para combatir el phishing adoptada por algunas empresas es la de
entrenar a los empleados de modo que puedan reconocer posibles ataques. Una
nueva táctica de phishing donde se envían correos electrónicos de tipo phishing a
una compañía determinada, conocido como “spear phishing”, ha motivado al
entrenamiento de usuarios en varias localidades, incluyendo la Academia Militar de
West
Point
en
los Estados
Unidos.
En
un
experimento
realizado
en junio del 2004 con spear phishing, el 80% de los 500 cadetes de West Point a
los que se les envió un correo electrónico falso fueron engañados y procedieron a
dar información personal.3
Hay varios programas informáticos anti-phishing disponibles. La mayoría de estos
programas trabajan identificando contenidos phishing en sitios web y correos
electrónicos; algunos software anti-phishing pueden por ejemplo, integrarse con
los navegadores web y clientes de correo electrónico como una barra de
herramientas que muestra el dominio real del sitio visitado. Los filtros
de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen
3
Bank, David, (17 de agosto de 2005).Spear Phishing' Tests Educate People About Online Scams . The Wall Street Journal.
Recuperado de https://www.wsj.com/articles/SB112424042313615131.
14
el número de correos electrónicos relacionados con los phishing recibidos por el
usuario.
Muchas organizaciones han introducido la característica denominada «pregunta
secreta», en la que se pregunta información que sólo debe ser conocida por el
usuario y la organización. Las páginas de Internet también han añadido
herramientas de verificación que permite a los usuarios ver imágenes secretas que
los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces
el sitio no es legítimo.4
Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques
de phishing, servicios de monitoreo continuos, analizando y utilizando medios
legales para cerrar páginas con contenido phishing. También han surgido
soluciones que utilizan el teléfono móvil5 (smartphone) como un segundo canal de
verificación y autorización de transacciones bancarias.
5.2 A NIVEL INTERNACIONAL
Estados Unidos es el único país que se ha propuesto de manera contundente a
regular este delito y su penalidad en su legislación, Veintitrés estados tienen leyes
dirigidas específicamente a los planes de phishing (LAS LEYES ESTATALES DE
SPYWARE Y LOS ESTATUTOS DE DELITOS INFORMÁTICOS ). Otros países
tienen leyes que abordan los delitos informáticos, las prácticas fraudulentas o
engañosas o el robo de identidad, que también podrían aplicarse a los delitos de
phishing.
4
5
The Associated Press. (14 de julio de 2005). Security: Bank to Require More Than Passwords. CNN.
Scotiabank S.A. (16 de noviembre de 2017). Verificación y autorización de transacciones con el Smartphone”,
15
Tabla 1.
Leyes informáticas en EUA.
Estado
Alabama
Citación legal
Código
de
Ala.
Arkansas
Código de Arca 111-102, 4-111-103
Arizona
Ariz. Rev. Stat. §§ 18-541 a -544
California
13A-8-114
California. Código de autobús y prof. §§ 22948 a
22948.3
Connecticut
Conn. Gen. Stat. § 53-454
Florida
Fla. Stat. §§ 668.701-.705
Georgia
Código de Ga. § 16-9-109.1
Illinois
740 ILCS §§ 7/1 - 7/15
Kentucky
Ky. Rev. § Stat. 434.697
Luisiana
La. Rev. Stat. §§ 51: 2021 et seq.
Michigan
MCL § 445.67a
Minnesota
Minn. Stat. § 609.527, subd. 5a
Montana
Mont. Código Ann. §§ 30-14-1712 , 33-19-410
Nuevo
Mexico
NM Stat. § 30-16-24.1
Nueva York
NY Gen. Bus. § 390-b
Oklahoma
Okla. Stat. teta. 15, §§ 776.8 - 776.12
Oregón
Ore.
Rev.
Stat. §
646.A.808
16
Estado
Citación legal
Rhode Island RI Gen. Laws §§ 11-52.1-1 a -5
Tennesse
Texas
Código de Tennessee §§ 47-18-5201 a 47-18-5205
Código de Negocios y Comercio de Texas §§ 325.001
- .006
Utah
Código de Utah §§ 13-40-201 a -204 , -401
Virginia
Código de Virginia Ann. § 18.2-152.5: 1
Washington
Wash. Rev. Code §§ 19.190.080 -090 -100
Guam
5 GCA §§ 32703, 32704 (h)
Esta tabla muestra las diferentes legislaciones en los diferentes Estados de EUA en donde
se regula el delito de “Phishing”
5.2.1 CASOS PRACTICOS.
El 26 de enero de 2004, la FTC (Federal Trade Commission, la Comisión Federal
de Comercio) de Estados Unidos llevó a juicio el primer caso contra
un phisher sospechoso. El acusado, un adolescente de California, supuestamente
creó y utilizó una página web con un diseño que aparentaba ser la página
de America
Online para
poder
robar
números
de
tarjetas
de
crédito. 26
Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando y
arrestando a presuntos phishers. A finales de marzo de 2005, un hombre estonio de
24 años fue arrestado utilizando una backdoor, a partir de que las víctimas visitaron
su sitio web falso, en el que incluía un keylogger que le permitía monitorear lo que
los usuarios tecleaban.6 Del mismo modo, las autoridades arrestaron al denominado
phisher kingpin,
Valdir
Paulo
de
Almeida,
líder
de
una
de
las
más
grandes redes de phishing que en dos años había robado entre $18 a $37 millones
de dólares
estadounidenses.7
En junio del 2005 las
autoridades
del Reino
Unido arrestaron a dos hombres por la práctica del phishing, en un caso conectado
6
7
Leyden, John. (04 de abril de 2005). Trojan phishing suspect hauled in. The Register.
Leyden, John. (21 de marzo de 2005). Brazilian cops net 'phishing kingpin. The Register.
17
a la denominada «Operation Firewall» del Servicio Secreto de los Estados Unidos,
que buscaba sitios web notorios que practicaban el phishing.8
La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing.
El 31 de marzo del 2005, Microsoft llevó a la Corte del Distrito de Washington 117
pleitos federales. En algunos de ellos se acusó al denominado phisher "John Doe"
por utilizar varios métodos para obtener contraseñas e información confidencial.
Microsoft espera desenmascarar con estos casos a varios operadores de phishing
de gran envergadura. En marzo del 2005 también se consideró la asociación entre
Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que
permitirían combatir varios crímenes cibernéticos, incluyendo el phishing.31
En cuanto a la regulación legal del fenómeno en estudio, existe un convenio
a nivel internacional: Convenio de Ciberdelincuencia del Consejo de Europa. El
Convenio sobre Cibercriminalidad, también conocido como el Convenio de
Budapest sobre el Cibercrimen o simplemente como Convenio de Budapest, es el
primer tratado internacional que busca hacer frente a los delitos informáticos y los
delitos en Internet mediante la armonización de leyes nacionales, la mejora de las
técnicas de investigación y el aumento de la cooperación entre las naciones. Fue
elaborado por el Consejo de Europa en Estrasburgo, con la participación activa de
los estados observadores de Canadá, Japón y China.
El 1 de marzo de 2006, el Protocolo Adicional a la Convención sobre Cibercriminal
entró en vigor. Los estados que han ratificado el Protocolo Adicional consideran
necesario penalizar la difusión de propaganda, así como de las amenazas racistas
y xenófobas e insultos a través de los sistemas informáticos.
5.3 A NIVEL NACIONAL
Normas regulatorias En México se han dictado diversas leyes para regular y
castigar este tipo de delitos, entre las principales se encuentran:
8
Borghello Cristian, Temperini Marcelo. Cruzada por la Identidad Digital.Marzo 2012.
18
El Código Penal Federal en su Título Noveno referente a la Revelación de secretos
y acceso ilícito a sistemas y equipos de informática:

Artículo 211 bis 1. Al que sin autorización modifique, destruya o provoque
pérdida de información contenida en sistemas o equipos de informática
protegidos por algún mecanismo de seguridad, se le impondrán de seis
meses a dos años de prisión y de cien a trescientos días multa. Al que sin
autorización conozca o copie información contenida en sistemas o equipos
de informática protegidos por algún mecanismo de seguridad, se le
impondrán de tres meses a un año de prisión y de cincuenta a ciento
cincuenta días multa. (CPF,1931, art.211)9

Artículo 211 bis 2 a bis 5 se en listan los delitos, y correspondientes
condenas, cometidos en equipos informáticos propiedad del Estado, materia
de seguridad pública e instituciones que integran el sistema financiero.
(CPF,1931, art.211 bis2a bis 5)10
Otra regulación existente se encuentra en el Código Penal para el Estado de
Sinaloa en su artículo CELERINET ENERO-JUNIO 2013 INVESTIGACIÓN/
SEGURIDAD EN TI (CPS,1992, art. 270)11; Delitos informáticos: su clasificación
y una visión general de las medidas de acción para combatirlo 48 217,
mencionado anteriormente, se establece que al responsable de delito
informático se le impondrá una pena de seis meses a dos años de prisión y de
noventa a trescientos días multa.
Por último, se mencionará del Código Penal De la Ciudad de México en su
Título Décimo Quinto - Capítulo III referente al Fraude:
Artículo 231. XIV. Para obtener algún beneficio para sí o para un tercero, por
cualquier medio accese, entre o se introduzca a los sistemas o programas de
informática
del sistema financiero
e
indebidamente
realice
operaciones,
9
Código Penal Federal, 1931, México
Opt. cit.; p.458
11 Código Penal de Sinaloa, 1992, México
10
19
transferencias o movimientos de dinero o valores, independientemente de que los
recursos no salgan de la Institución. (CPF,2002, art.231)12
6. Conclusiones:
Este es el tercer informe con estadísticas de phishing de América Latina, con datos
sobre la cantidad de casos, países y entidades afectadas además de las técnicas
de propagación utilizadas.
En base a las denuncias recibidas por Segu-Info en los últimos siete años, el
phishing es uno de los engaños y formas de manipulación de usuarios que más ha
crecido en América Latina, y aun así, lamentablemente, no se puede decir que se
configure como delito en alguno de los países de la región.
En base a la clasificación de cada correo, se descartaron aquellos casos que no
fueran representativos para el presente informe: scam, correos dañados o los que
contienen publicidad, lo que permite considerar un total de 806 denuncias
correspondientes a phishing, que pretendían obtener información sensible del
usuario y que podían o no contener archivos adjuntos.
Debido al alza de los casos que sean presentado estas son algunas
recomendaciones que damos para protegerse e identificar el phishing:
1. Evite el correo basura (SPAM) ya que es el principal medio de distribución de mensajes engañosos.
Los mensajes de phishing se distribuyen mediante el correo electrónico de la misma forma que los
mensajes de correo basura.
2. Ninguna entidad responsable le solicitará datos confidenciales por correo electrónico, teléfono
o fax.. Todo mensaje en el que se solicite su clave de acceso es falso y constituye un engaño al
usuario.
3. Verifique la fuente de la información. No conteste correos que soliciten información personal o
financiera. Si duda, comuníquese telefónicamente con la empresa en cuestión.
12
Código Penal de la Ciudad de México, 2002, México
20
Bibliografía

https://www.seguridad.andaluciaesdigital.es/documents/410971/1437699/ph
ising+2017

https://www.gob.mx/policiafederal/articulos/conoces-que-es-el-phishing

http://www.ordenjuridico.gob.mx/Congreso/2doCongresoNac/pdf/PinaLibien.
pdf

*Una retrospectiva, https://www.websecurity.symantec.com/es/es/securitytopics/brief-history-phishing-part-1
 Phishing, ¿que es? Su historia y modo de operar,
https://proyectophishing.wordpress.com/2006/08/10/phishing-%C2%BFquees-su-historia-y-modo-de-operar/

Mayra Sheila Mariana Leguizamón, “El phishing”, Grado en Criminología y
Seguridad,
página
25-27,
http://repositori.uji.es/xmlui/bitstream/handle/10234/127507/TFG_Leguizam
%F3n_Mayra.pdf;jsessionid=453EA9464067B2CEA578A1C5F5EC051B?se
quence=1

Moya Reyes, Raúl, “Delitos informáticos”, Universidad de JAEN, 2013,
página 24, http://ns2.elhacker.net/phishing.pdf

Centre Seguretat de la Comunitat Valenciana, “Como identificar phishing”,
página
4-6,
https://concienciat.gva.es/wp-
content/uploads/2018/03/infor_como_identificar_phishing.pdf

AndaluciaCERT, “Informe de divulgación”, México, 0, 2017, páginas 6-9,
https://www.seguridad.andaluciaesdigital.es/documents/410971/1437699/ph
ising+2017/01950ce7-731f-48a6-821a-79388e571bff

Leyden, John. (04 de abril de 2005). Trojan phishing suspect hauled in. The
Register.
Retomado
de
https://web.archive.org/web/20060408102656/http://www.cnn.com/2003/TE
CH/internet/07/21/phishing.scam/index.html
21

Leyden, John. (21 de marzo de 2005). Brazilian cops net 'phishing kingpin.
The
Register.
Retomado
de
https://www.theregister.co.uk/2005/03/21/brazil_phishing_arrest/

Borghello
Cristian,
Temperini
Marcelo. Cruzada
por
la
Identidad
Digital.Marzo 2012.

The Associated Press. (14 de julio de 2005). Security: Bank to Require More
Than
Passwords.
CNN.
Retomado
de
https://web.archive.org/web/20060218155519/http://www.cnn.com/2005/TE
CH/ptech/07/

Scotiabank S.A. (16 de noviembre de 2017). Verificación y autorización de
transacciones con el Smartphone”, Retomado de https://safesigner.com/

Bank, David, (17 de agosto de 2005).Spear Phishing' Tests Educate People
About
Online
Scams
. The
Wall
Street
Journal.
Recuperado
de
https://www.wsj.com/articles/SB112424042313615131.

Código Penal Federal, 1931, México

Código Penal de Sinaloa, 1992, México

Código Penal de la Ciudad de México, 2002, México
22
Documentos relacionados
Phishing: el fraude que intenta robar nuestros datos personales y
Phishing: el fraude que intenta robar nuestros datos personales y
que es internet[1]+lore
que es internet[1]+lore
nuevos métodos para robar datos personales
nuevos métodos para robar datos personales
la expectativa de recuperacion de activos en casos de phishing
la expectativa de recuperacion de activos en casos de phishing
¿Cómo funciona un phishing?
¿Cómo funciona un phishing?
Phishing es un término informático que denomina un tipo de delito
Phishing es un término informático que denomina un tipo de delito
SEGURIDAD DE LA INFORMACIÓN RECOMENDACIONES 1
SEGURIDAD DE LA INFORMACIÓN RECOMENDACIONES 1
Phishing - Banco Los Andes ProCredit
Phishing - Banco Los Andes ProCredit
DICCIONARIO DE TÉRMINOS TÉCNICOS.pdf
DICCIONARIO DE TÉRMINOS TÉCNICOS.pdf
Qué es el phishing y cómo protegerse
Qué es el phishing y cómo protegerse
Descargar
Anuncio
Anuncio