{"id":13194,"date":"2016-12-30T10:12:17","date_gmt":"2016-12-30T14:12:17","guid":{"rendered":"http:\/\/www.debateplural.com\/?p=13194"},"modified":"2016-12-30T10:12:17","modified_gmt":"2016-12-30T14:12:17","slug":"phishing-republica-dominicana-una-realidad-oculta-sombras","status":"publish","type":"post","link":"https:\/\/debateplural.net\/site\/2016\/12\/30\/phishing-republica-dominicana-una-realidad-oculta-sombras\/","title":{"rendered":"El phishing en Rep\u00fablica Dominicana: una realidad oculta entre sombras"},"content":{"rendered":"

Juan M. Medina (D. Libre, 10-10-15)<\/strong><\/p>\n

 <\/p>\n

En la \u00faltima d\u00e9cada, la Rep\u00fablica Dominicana se ha convertido en presa f\u00e1cil para los delincuentes cibern\u00e9ticos que como finalidad principal buscan la apropiaci\u00f3n de la informaci\u00f3n bancaria de los usuarios de banca electr\u00f3nica; los cuales al final se convertir\u00e1n en v\u00edctimas del antiguo arte del enga\u00f1o.<\/p>\n

Los casos contabilizados de robo de datos bancarios a trav\u00e9s del uso de los medios electr\u00f3nicos y digitales en la Rep\u00fablica Dominicana para el a\u00f1o 2014, establecieron que existi\u00f3 una fuga de m\u00e1s de RD$120 millones; seg\u00fan lo establece la Asociaci\u00f3n de Bancos Comerciales de la Rep\u00fablica Dominicana en su resumen del mes de febrero del mismo a\u00f1o .<\/p>\n

Para abril del 2015, el procurador General de la Rep\u00fablica, Francisco Dom\u00ednguez Brito, revel\u00f3 que entre el a\u00f1o pasado y el que transcurre, el Ministerio P\u00fablico hab\u00eda resuelto aproximadamente 4,000 casos de cr\u00edmenes y delitos de alta tecnolog\u00eda; de los casos referidos, la cantidad m\u00e1s alta pertenece a la Suplantaci\u00f3n de Identidad, con un total de 963 casos recibidos; dichas cifras pertenecen al informe estad\u00edstico de la Procuradur\u00eda Especializada Contra Cr\u00edmenes y Delitos de Alta Tecnolog\u00eda (PEDATEC).<\/p>\n

Pero en realidad, el Phishing o Suplantaci\u00f3n de Identidad no es m\u00e1s que la captaci\u00f3n de los datos personales realizado de una manera il\u00edcita o fraudulenta por medio del uso de las herramientas tecnol\u00f3gicas como la internet. Esta es una palabra del ingl\u00e9s que se origin\u00f3 de su hom\u00f3fona Fishing, el cual su traducci\u00f3n fiel es Pesca; por ende el adjetivo del termino Phishing ser\u00eda el de Pescar datos, ejecutados directamente por el Phisher.<\/p>\n

Seg\u00fan uno de los asesores de seguridad inform\u00e1tica m\u00e1s famosos de la historia, Kevin David Mitnick, establece claramente que el m\u00e9todo m\u00e1s utilizado para la captaci\u00f3n de los datos personales, datos bancarios, cuentas de correo electr\u00f3nico y cuenta de redes sociales es por medio del uso de la t\u00e9cnica llamada \u201cIngenier\u00eda Social\u201d, algo que va m\u00e1s all\u00e1 de las t\u00e9cnicas del Hardware o del Software, que es la pr\u00e1ctica de obtener informaci\u00f3n confidencial a trav\u00e9s de la manipulaci\u00f3n de usuarios leg\u00edtimos; recolectar informaci\u00f3n vital a trav\u00e9s de cuentos, mentiras y enga\u00f1os; su teor\u00eda principal es que muchas veces son las personas y no las tecnolog\u00edas quienes presentan el punto d\u00e9bil en la seguridad de una compa\u00f1\u00eda o una plataforma.<\/p>\n

Los datos arrojan que el 80% de los ciber delitos pertenecen a los fraudes bancarios; en los \u00faltimos a\u00f1os, la Superintendencia de Bancos ha recibido m\u00e1s de diez mil reclamaciones de transacciones fraudulentas, en la mayor\u00eda de los casos esto no supone responsabilidad directa de las entidades bancarias; todo lo contrario, es directamente proporcional a la falta de atenci\u00f3n que tenemos como usuarios de los medios tecnol\u00f3gicos, el ejemplo m\u00e1s com\u00fan en la actualidad es el tema del phishing.<\/p>\n

El mes de agosto pasado uno de los bancos comerciales de mayor incidencia en rep\u00fablica dominicana y poseedores de una extensa cartera fue v\u00edctima de lo que llamamos Phishing o Suplantaci\u00f3n de Identidad; su portal Web fue copiado de manera \u00edntegra y subido a un servidor que s\u00f3lo cambi\u00f3 su extensi\u00f3n; lo peor del caso es que al momento de hacer una b\u00fasqueda en cualquiera de los buscadores m\u00e1s utilizados, como por ejemplo Google; el primer v\u00ednculo que nos mostraba era el de la p\u00e1gina clonada, el usuario, al ver los resultados de la b\u00fasqueda, s\u00f3lo daba click al mismo y el portal era una copia fiel del original.<\/p>\n

Posteriormente se solicitaba la c\u00e9dula, pasaporte o usuario para acceder a la cuenta del usuario confirm\u00e1ndolo con el pin; al momento que el usuario introduc\u00eda los datos, autom\u00e1ticamente quedaba guardado en la base de datos del Phisher, teniendo de esa manera el acceso real a la p\u00e1gina leg\u00edtima de la entidad bancaria.<\/p>\n

Luego, al acceder a la p\u00e1gina falsa se le solicitaba confirmar la cuenta por medio de una de las tarjetas, pidiendo ingresar el n\u00famero la misma que est\u00e1 impreso en el pl\u00e1stico, fecha de expiraci\u00f3n y el c\u00f3digo CVC o CVV, que es el c\u00f3digo de seguridad que posee cada pl\u00e1stico; mientras el usuario avanzaba, le requer\u00eda sincronizar la Tarjeta de Clave Din\u00e1mica, siendo esta la tarjeta de c\u00f3digos que otorga la entidad bancaria como medida de seguridad para confirmar ciertos procesos de la misma, ya sean transferencias o cualquier otro proceso de la banca electr\u00f3nica.<\/p>\n

Ahora bien; al momento que el usuario leg\u00edtimo otorgaba dichas informaciones para supuestamente validar sus datos; autom\u00e1ticamente entregaba el acceso total a sus cuentas registradas y el ciber delincuente pod\u00eda efectuar las transferencias de los fondos de dichas cuentas como a \u00e9l o a ellos se les antojara.<\/p>\n

Ley Sancionadora: El Departamento de Cr\u00edmenes y Delitos de Alta Tecnolog\u00eda (DICAT), es una entidad subordinada a la Direcci\u00f3n Central de Investigaciones Criminales (DICRIM) de la Polic\u00eda Nacional, se encarga de dar apoyo en las investigaciones de casos y sometimientos ante la justicia por cr\u00edmenes y delitos relacionados con la Tecnolog\u00eda, en conjunto con el Ministerio P\u00fablico han resuelto 709 casos de Suplantaci\u00f3n de Identidad en los \u00faltimos dos a\u00f1os; la Ley 53-07 de Cr\u00edmenes y delitos de Alta Tecnolog\u00eda establecen sanciones claras a las personas que delinquen utilizando los medios electr\u00f3nicos como herramientas para cometer los mismos; esta ley prev\u00e9 sanciones privativas de libertas y econ\u00f3micas.<\/p>\n

Objetivos del ataque: Las informaciones que son solicitadas de manera regular por los atacantes o Phisher a los usuarios leg\u00edtimos son las siguientes: Los Usuarios y sus contrase\u00f1as; Informaci\u00f3n de las Tarjetas de Cr\u00e9dito y\/o Debito; Datos del Token de Seguridad; N\u00fameros de Sincronizaci\u00f3n de la Tarjeta Din\u00e1mica… Entre otras.<\/p>\n

Medios de ataque: Los correos que se reciben que pertenecientes a el env\u00edo masivo para la recolecci\u00f3n de datos de usuarios es, en muchas ocasiones; geo focalizada, con esto queremos dejar claro que los usuarios por medio de sus exploradores o el uso de su correo electr\u00f3nico poseen una direcci\u00f3n Ip que determina su localizaci\u00f3n geogr\u00e1fica y los Phisher utilizan esa herramienta para poder ejecutar en una zona espec\u00edfica el ataque y se pueden valer con las herramientas del env\u00edo de correo electr\u00f3nico de las siguientes entidades: Web mails; Redes Sociales; Bancos; Sitios de Compras en L\u00ednea; Otro tipo de empresas (Ofertas de empleo) y Juegos de Computadoras.<\/p>\n

Caracter\u00edsticas del ataque: Las caracter\u00edsticas de ataque que poseen en com\u00fan los ciber delincuentes de este tipo de delito tecnol\u00f3gico son las siguientes: Pueden ser Informaciones por correo Electr\u00f3nico, P\u00e1ginas Web, Malware, Ventanas Emergentes, Redes Sociales, Llamadas Telef\u00f3nicas, SMS y P\u00e1ginas Web en motores de B\u00fasqueda.<\/p>\n

Siempre se presentan como un problema de car\u00e1cter t\u00e9cnico en una de las cuentas del Usuario leg\u00edtimo. En ocasiones informan que es para actualizar la informaci\u00f3n del usuario por recientes detecciones de fraude y un incremento en el nivel de seguridad.<\/p>\n

Recomendaciones de seguridad para la prevenci\u00f3n del fraude: Cambios en la Pol\u00edtica de seguridad de la entidad; Promoci\u00f3n de Nuevos Productos; Premios, Regalos o Ingresos econ\u00f3micos inesperados; Accesos o usos an\u00f3malos a la cuenta; Desactivaci\u00f3n inminente de los servicios o alg\u00fan servicio; Falsas ofertas de empleo, entre muchos otros.<\/p>\n

Recomendaciones: Las recomendaciones que hay que tomar muy en cuenta para no ser v\u00edctimas del Phishing son las siguientes: Siempre confirmar que los portales web a los cuales accedemos son los oficiales de las entidades bancarias; Observar en la Barra de direcciones que la url (direcci\u00f3n) pertenece a la entidad a la cual pensamos acceder y que la misma tiene un acceso seguro; No acceder a las peticiones de solicitud de informaci\u00f3n. Al momento de tener alguna duda, debemos consultar directamente a la empresa o servicio a trav\u00e9s de los mecanismo oficiales que facilitan en su p\u00e1gina web oficial; En ninguno de los casos contestar o responder a ninguna solicitud de informaci\u00f3n solicitada por medio de los correos electr\u00f3nicos de procedencia dudosa o por medio de v\u00ednculos adjuntados a los mismos; No se debe, por ninguna situaci\u00f3n, instalar aplicaciones que vengan adjuntas a correos de procedencia dudosa o que se descarguen por alg\u00fan v\u00ednculo agregado al contenido del mismo; Conocer al remitente o autor de la publicaci\u00f3n. Si entiendes que alguna p\u00e1gina, correo o archivo que recibes por alg\u00fan medio electr\u00f3nico es un posible medio para captar informaci\u00f3n leg\u00edtima; den\u00fancialo a Departamento de Cr\u00edmenes y Delitos de Alta Tecnolog\u00eda. @Dicat_PN<\/p>\n","protected":false},"excerpt":{"rendered":"

Juan M. Medina (D. Libre, 10-10-15)   En la \u00faltima d\u00e9cada, la Rep\u00fablica Dominicana se ha convertido en presa f\u00e1cil para los delincuentes cibern\u00e9ticos que como finalidad principal buscan la apropiaci\u00f3n de la informaci\u00f3n bancaria de los usuarios de banca electr\u00f3nica; los cuales al final se convertir\u00e1n en v\u00edctimas del antiguo arte del enga\u00f1o. Los […]<\/p>\n","protected":false},"author":1,"featured_media":13195,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,17],"tags":[],"class_list":["post-13194","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nacionales","category-sociedad"],"_links":{"self":[{"href":"https:\/\/debateplural.net\/site\/wp-json\/wp\/v2\/posts\/13194"}],"collection":[{"href":"https:\/\/debateplural.net\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/debateplural.net\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/debateplural.net\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/debateplural.net\/site\/wp-json\/wp\/v2\/comments?post=13194"}],"version-history":[{"count":1,"href":"https:\/\/debateplural.net\/site\/wp-json\/wp\/v2\/posts\/13194\/revisions"}],"predecessor-version":[{"id":13196,"href":"https:\/\/debateplural.net\/site\/wp-json\/wp\/v2\/posts\/13194\/revisions\/13196"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/debateplural.net\/site\/wp-json\/wp\/v2\/media\/13195"}],"wp:attachment":[{"href":"https:\/\/debateplural.net\/site\/wp-json\/wp\/v2\/media?parent=13194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/debateplural.net\/site\/wp-json\/wp\/v2\/categories?post=13194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/debateplural.net\/site\/wp-json\/wp\/v2\/tags?post=13194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}