INSTITUTO POLITECNICO NACIONAL

INSTITUTO POLITECNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERIA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS PHISHING; AMENAZA Y FACTOR DE RIESGO EN LAS TECNOLOGÍAS DE LA INFORMACIÓN DEL MUNDO EMPRESARIAL T E S I N A Q U E P A R A O B T E N E R E L T Í T U L O D E : L I C E N C I A D O E. N C I E N C I A S D E L A I N F O R M Á T I C A P R E S E N T A N : E D U A R D O A L E J A N D R O C A M P U Z A N O A G U I L A R A N A L I L I A C U A M A T Z I S A U C E D O J E S Ú S E D U A R D O S Á N C H E Z L Ó P E Z Q U E P A R A O B T E N E R E L T Í T U L O D E : I N G E N I E R O E N I N F O R M Á T I C A P R E S E N T A N : P A L O M A C R U Z G A L I N D O Y U N U E N I S M E N E G A R C Í A S A N M I G U E L México DF 2009

Agradecimiento... Desde el primer día que vi la luz, vi a una persona muy especial que me ha acompañado a lo largo de 23 años: Mi Mamá. Agradezco todo el apoyo que me ha brindado para poder ser mejor persona cada uno de los días de mi existencia, y por subir conmigo un escalón mas en el camino de mi vida. Que mejor compañía y fuente de inspiración para lograr todos mis objetivos y metas que mi familia: tan singulares seres humanos que han sido testigos de mis éxitos y mis fallos. Agradezco a mi familia por nunca dejarme sólo en las diferentes situaciones a las que me he enfrentado a lo largo de estos años. A todos ellos, simplemente Gracias! Eduardo Alejandro Campuzano Aguilar

Emprender Un Camino No Es Una Tarea Sencilla, Forjar El Camino De Alguien Más Lo Es Aún Menos; A MIS PADRES: Quienes con su ejemplo me han enseñado el valor del compromiso, honestidad, responsabilidad y profesionalismo; pero sobre todo me han apoyado y estimulado a emprender mi propio camino, a no temer cometer errores y a siempre decir lo que pienso. Gracias por entregarme su amor, su esfuerzo, su tiempo y su vida; por dejarme tener mis propios ideales y sueños y éste es uno de ellos. Hoy nos toca compartir este logro que es fruto de muchos años de esfuerzo y trabajo en conjunto el cual, sin su orientación y apoyo no hubiera sido posible lograrlo. MAMÁ: Eres la bendición más grande que tengo y todo lo que he hecho es gracias a ti, te debo la vida y todo lo que soy: te adoro. PAPÁ: Gracias por enseñarme que no existen pretextos para no hacer las cosas, pero sobretodo por ser una fuente de inspiración porque a pesar de que las circunstancias estén en contra, siempre has visto por nosotras, no tengo palabras para agradecer todo lo que has hecho por mí. A MIS ABUELITOS: Quienes han estado a mi lado compartiendo sueños, logros y metas realizadas; gracias por estar ahí guiándome como si fueran mis padres, por reforzar los valores inculcados y en ocasiones, por ser el refugio que solapa las travesuras realizadas, ustedes me han enseñado que la unión y la armonía son posibles. ABUELITO: Muchas gracias por ser un ejemplo de vida y demostrarme que no hay pretextos para no trabajar y dejar cumplir con las obligaciones. Pero principalmente, gracias a la vida que me está dando la oportunidad de vivir esta experiencia. Ana Lilia Cuamatzi Saucedo

Quiero agradecer a cada una de las personas que me apoyaron en conseguir este sueño: A DIOS: Por darme vida y salud para lograr este importante paso en mi vida, por darme la sabiduría para entender que los momentos difíciles son parte de la vida, todo te lo debo a ti. A MIS PADRES: Esta tesis esta dedicada a mis padres: Felisa y Jesús; quienes de corazón me ofrecieron su apoyo incondicional para lograrlo; hoy finalmente se ven reflejado tantos años de esfuerzo, trabajo y sacrificios; no tengo palabras para agradecerles todo lo que han hecho por mi, por darme valores, principios, educación; a inculcarme a nunca darme por vencido y luchar por mis sueños con todas mis fuerzas espero poder regresarles todo lo que han hecho por mí, saben que siempre pienso en ustedes. A MI ABUELA AMALIA : Una de las personas mas queridas en mi vida, te agradezco profundamente todo el apoyo brindado durante tantos años y, a pesar de que ya no te encuentres físicamente entre nosotros, esta meta hoy lograda no hubiera sido posible sin ti; gracias por la disciplina y el carácter que forjaste en mi. Te extraño. A MI HERMANA: Gracias por todo tu apoyo incondicional Diana, sin duda eres una de las personas mas inteligentes que conozco, junto a ti me ha tocado compartir alegrías, tristezas, buenos y malos momentos; sin duda eres un ejemplo de lucha y tenacidad. A MIS AMIGOS: Gracias a aquellas personas que yo considero mis amigos y con las cuales conviví durante muchos años; compartimos las alegrías y sinsabores de la vida, gracias por todo su apoyo; me ayudaron a crecer y madurar como persona; sin duda la vida me dio los mejores amigos. A UPIICSA: Agradezco a esta institución por haberme formado como profesionista y ser humano; por darme valores, ética profesional y conocimientos; los cuales son el cimiento para conseguir mis metas. A todos aquellos profesores que me compartieron sus enseñanzas a lo largo de tantos años. Finalmente, puedo decir que me siento muy orgulloso por haberlo logrado, fueron años de mucho esfuerzo y sacrificio siempre con metas claras; este es el primer peldaño y debo seguir adelante,

sin duda el camino apenas empieza y luchar día a día con disciplina y entusiasmo para lograr mis sueños. Jesús Eduardo Sánchez López TU DEBILIDAD ES MI FORTALEZA, MI DEBILIDAD ES TU FORTALEZA AHORA DIME QUIEN ES MAS DEBIL EL QUE ES ETERNO O EL INMORTAL, PORQUE SER COMO YO ES DIFICIL INTENTAR SER YO IMPOSIBLE... AGRADECIMIENTOS: A DIOS: Gracias por darme la oportunidad de estar aquí en este tiempo y en este lugar A MIS PADRES: Gracias a mi amiga, madre y confidente por siempre estar en mis buenos y malos momentos, porque a pesar de mis errores siempre está conmigo apoyándome y cuidándome de hacer siempre lo mejor para mi realización Gracias a mi padre y amigo por darme la oportunidad dada y confianza, gracias por darme la oportunidad de tomar mis decisiones y apoyarme en mis proyectos Gracias por concejos de sabiduría y alegrías otorgadas por ustedes, por ello ahora soy la persona titulada y satisfecha de mis metas logradas. A MI HERMANA: Sabes que no soy muy buena con las palabras, pero no encuentro las mejores para expresarte todo esto, pero con el día a día somos mejores y más unidas tu y yo una misma sangre y las mejores amigas por siempre, alguien en quien sé que nunca me faltara Paloma Cruz Galindo

A mi familia por el apoyo incondicional y el impulso que me dan para seguir adelante. A mi director de tesis el Maestro Francisco Javier Álvarez Solís por la oportunidad brindada y su experiencia profesional compartida a lo largo de este tiempo. Al Maestro Alejandro Cerezo por su paciencia e interés para con sus alumnos. A la vida por permitirme vivir estos momentos de sabiduría. Yunuen Ismene García San Miguel.

ÍNDICE RESUMEN....... i INTRODUCCIÓN..... iii CAPÍTULO I. MARCO METODOLÓGICO... 1 1.1 Planteamiento del problema. 1 1.2 Objetivo.. 2 1.2.1 Objetivos específicos 2 1.3 Técnicas e instrumentos de medición. 2 1.4 Universo y/o muestra..... 3 1.5 Justificación... 3 CAPÍTULO II. MARCO TEÓRICO.... 5 2.1 Phishing 5 2.1.1 Origen del phishing 7 2.1.2 Variantes del phishing... 9 2.2 Phisher. 15 2.3 Anti - Phishing Working Group. 16 2.4 Seguridad informática.. 16 2.4.1 Definición de seguridad informática. 17 2.5 Ingeniería social. 17 2.6 Ataque de phishing suplantando envió de correos. 19 2.7 Ataques de phishing suplantando páginas web 23 2.7.1 Control de equipos remotos 23 2.7.2 Apariencia de sitios web.. 24 2.7.3 Ventanas emergentes 26 2.7.4 Alteración de la barra de direcciones... 26 2.7.5 Modificación de URL. 28 2.7.6 Certificados de phishing.. 28

2.7.7 Complicidad de instituciones bancarias.. 29 CAPÍTULO III: ANÁLISIS DE LA PROBLEMÁTICA... 31 3.1 Problemática en la actualidad por el phishing 31 3.2 Análisis de la problemática histórica y actual en México.. 37 CAPÍTULO IV: LEGISLACION Y MEJORES PRÁCTICAS... 41 4.1 Acciones legales en contra del phishing.. 41 4.1.1 Situación internacional. 42 4.1.2 Situación nacional. 44 4.2 Mejores prácticas.. 49 4.2.1 COBIT 49 4.2.2 ISO 27002. 52 4.3 Enfoque empresarial ante la problemática del phishing. 54 4.3.1 Perspectiva de seguridad de Symantec. 55 4.3.2 Perspectiva de seguridad de Microsoft. 58 CAPÍTULO V: GENERACIÓN DE UNA GUÍA PRÁCTICA QUE CONTRIBUYA A PREVENIR Y DISMINUIR EL GRADO DE IMPACTO POR ATAQUE DE PHISHING. 60 5.1 Descripción del modelo... 60 5.2 Recomendaciones a las instituciones. 62 5.2.1 Recomendaciones para la legislación del phishing. 62 5.2.2 Recomendación para la creación de dependencias gubernamentales. 63 5.3 Recomendaciones al sector empresarial 63 5.3.1 Recomendaciones de políticas empresariales.. 65 5.3.2 Recomendaciones para evaluación y monitoreo.. 65 5.3.3 Recomendaciones para la formación de una cultura organizacional.. 66 5.4 Recomendaciones a usuarios 67 5.4.1 Recomendaciones de configuración de navegadores en sus equipos de cómputo. 75 5.4.2 Recomendaciones para su correo electrónico.. 78

5.4.3 Recomendaciones para sus cuentas bancarias (banca electrónica9. 79 5.4.4 Recomendaciones para miembros de redes sociales. 80 5.4.5 Recomendaciones generales. 80 5.4.6 Recomendaciones para sus contraseñas 81 5.4.7 Recomendaciones para evitar los virus (mensajería instantánea)... 82 5.5 Qué hacer en caso de ser víctimas de ataques de phishing?... 83 5.6 Solución del cuestionario de evaluación de conocimiento de phishing.....85 CAPITULO VI: CASO PRÁCTICO.... 86 6.1 Análisis a nivel corporativo del modelo propuesto... 86 6.2 Análisis a nivel personal del modelo propuesto... 88 6.2.2 Resumen de los cuestionamientos anteriores presentados en las gráficas...97 CONCLUSIONES. 98 BIBLIOGRAFÍA.. 99 GLOSARIO.... 102 ANEXOS...105

RESUMEN En la presente investigación se toma como campo de estudio la problemática que aqueja cotidianamente al sector empresarial de manera relevante en todo el mundo, el phishing, concepto poco conocido y recurrentemente efectuado, gracias al auge de la banca electrónica, las transacciones en línea, redes sociales, etc., avances tecnológicos que sin duda han revolucionado la manera de vivir y también la forma de delinquir, estafar o engañar, trayendo como consecuencia pérdidas económicas importantes para las víctimas de este delito informático. A la técnica de fraude que busca suplantar e imitar la identidad de una persona o entidad usando generalmente para ello enlaces web aparentando ser los reales, utilizando formas de persuasión ó técnicas de ingeniería social, con el objetivo de extraer información confidencial se le llama phishing. Esta tesina se realiza con el objetivo de generar una guía práctica que contribuya a prevenir y disminuir el grado de impacto por ataque de phishing en el mundo empresarial, institucional y personal, pues el mantener la seguridad, disponibilidad e integridad de la información son para toda empresa aspectos fundamentales a tomar en cuenta y que no se deben pasar por alto. Para lograr el objetivo, se crea una propuesta práctica y aplicable que contribuya a prevenir y disminuir el grado de impacto del ataque de phishing tomando como puntos de referencia, leyes, políticas, estándares y procedimientos establecidos por parte de las instituciones y empresas responsables de la seguridad informática. Se han recabado los testimonios actuales que Symantec y Microsoft tienen al respecto a este tipo de estafa, quienes compartieron para el enriquecimiento de esta investigación, los avances tecnológicos que como empresas dedicadas a la seguridad han desarrollado, aceptando que no son suficientes si el servicio otorgado por el proveedor que ofrece al usuario y/o empresa, es utilizado sin la responsabilidad y el conocimiento necesarios tomando en consideración las consecuencias que esto implica. Además se han identificado los principales problemas presentados en las empresas a partir de la aparición del phishing y las consecuencias a través de la historia, provocadas por este delito. Así mismo, se dan a conocer las formas de penalización del phishing a nivel mundial y nacional. Posteriormente se realiza un análisis de los puntos vulnerables que fueron aprovechados en la mayoría de los ataques realizados donde, el uso de las redes sociales por phishers es cada vez más común. i

Es por ello que se propone un modelo divido en tres niveles para la generación de la guía práctica que ayude a prevenir y disminuir los ataques de phishing, donde en el nivel Institucional se presentan recomendaciones para legislar este delito y crear una dependencia gubernamental, el nivel Empresarial muestra recomendaciones para crear políticas con el propósito de combatir el phishing, así mismo se recomienda monitorear los eventos y crear una cultura informática relacionada a este tipo de estafa y por último, el nivel personal se divide en tres subniveles: en el primero se encuentran los navegadores y correo electrónico, el segundo son los sitios atacados y el tercero el medio por el cual atacan; cada subnivel representa un grado de profundidad y mayor riesgo para la realización del ataque. Es así como el análisis permite conocer los beneficios obtenidos con el desarrollo de esta propuesta, experimentando mediante 2 cuestionarios, a una muestra del 50% del total de la población de Materiales Refractarios S.A., es decir, 40 personas, quienes de acuerdo a los resultados arrojados en cada una de las evaluaciones, se vieron beneficiadas en aspectos, tales como: el conocimiento que adquirieron para tomar decisiones con mayor responsabilidad al utilizar Internet, los lugares adecuados para realizar operaciones bancarias y las medidas de seguridad identificables en los sitios web. Lo que permite llegar a las siguientes conclusiones: la guía práctica ayuda en gran medida a prevenir y disminuir los ataques de phishing de manera satisfactoria, demostrando con los resultados obtenidos de las encuestas realizadas, logrando también conocer los testimonios de actualidad relacionados a este tipo de fraude electrónico, identificar la problemática presente en el sector empresarial a escala mundial y nacional, conocer lo que hay en materia de leyes en México y el mundo, analizar las vulnerabilidades del sector empresarial y los puntos que aún faltan por trabajarse para optimizar la seguridad informática en contra de esta amenaza. Por lo anterior hemos concluido con la aceptación de nuestra hipótesis y que logramos cooperar para dar a conocer medidas y poder así contribuir en la disminución de ataques de phishing en sus diferentes modalidades a menos personas que van tomando precauciones en su trabajo y en su hogar. ii

INTRODUCCIÓN En México las tecnologías informáticas han generado un impacto muy grande tanto en el ambiente empresarial como en el social. Día a día las tecnologías informáticas revolucionan los procesos informáticos de las industrias y con ello; las diferentes maneras de manipular la información. Estas nuevas tecnologías que son desarrolladas en todo el mundo tienen sus propias ventajas y desventajas. Gente profesional busca minimizar tiempos de procesamiento de datos y disponibilidad de información, así como también aspectos de seguridad como la integridad de la misma. En contraparte, gente malintencionada abusa de estas técnicas informáticas para hacer daño a las empresas y a la sociedad en general. Finalmente, estos daños son traducidos en pérdidas de datos, pérdidas monetarias, un incorrecto manejo de la información, entre otros. A lo anterior, lo definimos como delito informático, cuyo significado lo asimilamos mejor al robo de información sensible de las empresas, robo de cuentas de usuarios y contraseñas, saturación de los sistemas de información, entre otros; sin autorización de los propietarios. La presente tesina, se enfoca a la atención a un delito informático que ha ido creciendo de manera importante en los últimos tiempos: el phishing (suplantación de identidad). En la actualidad esta modalidad de delito informático ha generado una revuelta entre los usuarios de bancas electrónicas, usuarios que tienen cuentas de correo electrónico y más recientemente en usuarios de redes sociales quienes se han convertido en el blanco predilecto para aquellos que cometen este ilícito. Lamentablemente los usuarios llegan a consumarse como víctimas de fraudes informáticos debido a que no existe información suficiente sobre este tema para poder identificar de manera sencilla; aquellos puntos clave que el usuario podría reconocer de forma oportuna y así evitar con una mayor probabilidad algún abuso que pudiera perjudicarlo. Por tal motivo, el objetivo de esta investigación es generar una guía práctica que contribuya a prevenir y disminuir el grado de impacto por ataque de phishing en el mundo empresarial. Para ésta intención, se emplean diferentes técnicas con el fin de enriquecer el contenido de la misma; las cuales, consisten en primera instancia, de la documentación de la problemática y posteriormente de una entrevista a dos de las empresas más importantes a nivel mundial en cuanto a seguridad informática se refiere. Con base en el planteamiento mencionado, el trabajo de investigación está desarrollado de la siguiente manera: iii

En el capítulo I Marco metodológico; se describe el planteamiento de la problemática a tratar, la justificación, el objetivo de la investigación así como las técnicas de investigación a emplear y el caso práctico con el que se corrobora la eficacia de la guía. Por tal motivo, en el capítulo II Marco Teórico; se mencionan los conceptos generales referentes al phishing, se detallan las formas en las que los ciberdelincuentes llevan a cabo sus propósitos; fijando como objetivo principal de este apartado el establecer las bases teóricas de esta investigación. En el capítulo III Análisis de la problemática; se hace una recopilación de los ataques de phishing más representativos ocurridos tanto a nivel mundial como en México desde sus inicios hasta la actualidad así como el impacto que han ocasionado. En el capítulo IV Legislación y Mejores prácticas; se estudian temas que giran en torno al phishing como la legislación que hay en México y en el mundo, las mejores prácticas internacionales y los apartados que tienen relación con el phishing. Es decir, conceptos sustanciales para poder entender toda la problemática, así mismo se muestran las entrevistas realizadas a dos de las empresas más importantes de seguridad informática Microsoft y Symantec donde se explica la perspectiva que tienen de ésta problemática. En el capítulo V Generación de una Guía Práctica que Contribuya a Prevenir y Disminuir el grado de Impacto por Ataque de Phishing; se expone la guía desarrollada con base en la investigación realizada, en la que se muestran recomendaciones para las instituciones, las entidades corporativas y para los usuarios finales; a fin de combatir éste delito. Y por último en el capítulo VI Caso práctico; se pone a prueba la funcionalidad de la guía elaborada, para ello se muestra el caso experimental desarrollado en la empresa Materiales Refractarios S.A, el cual consiste en una serie de cuestionamientos a los empleados para de ésta forma corroborar el nivel de eficacia del apartado correspondiente a recomendaciones a usuarios. Finalmente se exponen las conclusiones de los beneficios generados por la guía en los empleados de ésta empresa. iv

CAPÍTULO I. MARCO METODOLÓGICO En este primer capítulo, se realiza inicialmente el planteamiento del problema a investigar, es decir, se muestra una perspectiva general de la situación actual del tema central de este proyecto, es decir; el phishing. Posteriormente, se define el objetivo principal del trabajo; el desarrollo de una guía práctica y sustentable que contribuya a disminuir el grado de impacto que actualmente tiene esta amenaza. Así mismo, mediante la definición de los objetivos específicos, se plantean las diferentes actividades a realizar para la consecución del objetivo general. Además, en este mismo capítulo se especifican las diversas técnicas y métodos de investigación utilizados para la recopilación de información suficiente y oportuna, parte fundamental de nuestra investigación. Para concluir, se establecen la justificación de la investigación, en el que se exponen de forma clara y detallada el motivo por el que se decide llevar a cabo este proyecto. 1.1 Planteamiento del problema La tecnología informática ha evolucionado de manera potencial en los últimos años en el ámbito empresarial, empleando el internet como factor elemental de crecimiento y expansión de mercado, logrando con esto una mayor competitividad al tener la posibilidad de ofrecer información, servicios y transacciones en línea. Sin embargo, éste importante avance tecnológico está rodeado de amenazas que afectan sustancialmente la confiabilidad e integridad de los datos, trayendo consigo el desarrollo de nuevas técnicas de fraude, siendo una de las más importantes por su grado de impacto el phishing; un tipo de ataque que mediante el envió de correos electrónicos y páginas web falsas, trata de obtener números de cuenta y claves confidenciales para realizar operaciones fraudulentas, perjudicando de sobremanera a los legítimos dueños de la información. El mundo empresarial no puede ser indiferente ante esta situación, por consecuencia es preciso establecer medidas de control para combatir este tipo de ataque y para lograrlo, es necesario realizar un esfuerzo conjunto por parte de los proveedores de tecnología así como de las empresas. 1

Debido a esta problemática, el presente proyecto toma como base de estudio a las empresas que tienen como objetivo mantener la seguridad, disponibilidad e integridad de la información, con la finalidad de evaluar e identificar las formas más comunes de ataque y de esta manera minimizar su impacto económico y social. 1.2 Objetivo Generar una guía práctica que contribuya a prevenir y disminuir el grado de impacto por ataque de phishing en el mundo empresarial. 1.2.1 Objetivos específicos 1. Diseñar una propuesta práctica y aplicable que contribuya a prevenir y disminuir el grado de impacto del ataque de phishing tomando como puntos de referencia, políticas, estándares y procedimientos establecidos por parte de las compañías responsables de la seguridad informática a nivel mundial. 2. Obtener testimonios actuales de los sucesos relevantes a los que las empresas de seguridad en informática, se han enfrentado para combatir el phishing. 3. Identificar los principales problemas que se han presentado en las empresas a partir de la aparición del phishing a nivel mundial y las consecuencias que esto ha generado. 4. Dar a conocer como ha sido penalizado este tipo de delito informático. 5. Realizar un análisis de los puntos vulnerables que han sido detectados en la mayoría de estas empresas. 1.3 Técnicas e instrumentos de medición Las investigaciones para que en un proyecto sea factible deben de tener un apoyo ya sea de tipo documental, campo o incluir ambos, en este caso se desarrollan de la siguiente manera: Documentales: Se realizará un investigación en Internet, revistas y libros que nos ayuden en la obtención de información veraz, oportuna y suficiente para el cumplimiento de nuestros objetivos. De Campo: Entrevistas: Se realizarán al personal de las empresas de seguridad informática que están contribuyendo en el desarrollo de nuestra investigación, con el propósito de conocer la visión de ésta problemática, las acciones que están 2

llevando a cabo para atacar dicha amenaza, así como las medidas que toman de manera interna para evitar que sus usuarios seas víctimas de éste tipo de estafas. Cuestionarios: Se elaborarán y aplicarán para conocer e identificar las características generales de las herramientas de seguridad informática. 1.4 Universo y/o muestra El análisis del beneficio que conlleva la generación de una guía que ayude a prevenir y disminuir el grado de impacto por ataque de phishing se lleva a cabo a través de la elaboración de dos cuestionarios donde se realiza un contraste entre la forma de reaccionar de los usuarios ante esta amenaza antes y después de haber revisado la guía. Las personas que representan el universo para esta investigación son los empleados de Materiales Refractarios S.A., quienes suman un total de 80 personas. Para la definición de la muestra se toma como base a aquellos individuos pertenecientes a diversas áreas, con el propósito de contar con sujetos con actividades diversas tal como sucede en el mundo real. Para ello, se eligió una muestra de 40 personas que representan el 50% total de la población, la forma en la que se desarrolla ésta investigación es: La aplicación de un primer cuestionario que tiene como objetivo conocer en primera instancia, el grado de conocimiento que los usuarios tienen sobre la seguridad informática y de forma concreta, del phishing. Posteriormente, se difundirá la guía para combatir el phishing a los mismos usuarios, y mediante la aplicación de un segundo cuestionario en donde se exponen posibles ataques de phishing, una vez habiendo revisado las recomendaciones elaboradas, los usuarios deben de ser capaces de identificar las posibles anomalías y como consecuencia evitar convertirse en posibles víctimas de esta estafa. 1.5 Justificación Los fraudes y estafas financieras a través de Internet han aumentado de manera importante en los últimos años, siendo el phishing una de las amenazas más representativas, este tipo de delito informático busca obtener de manera ilícita información confidencial suplantando la identidad de alguna empresa ó entidad pública, sacando provecho de la confianza que los usuarios tienen depositada en las entidades de las que son clientes y la falta de información referente a la 3

amenaza del phishing, para posteriormente realizar operaciones fraudulentas con la información obtenida. Según una encuesta realizada por la empresa de seguridad Symantec, durante 2004 esta técnica le costó a los bancos y emisores de tarjetas de crédito 930 millones de euros en daños por operaciones fraudulentas. La fundación APWG dedicada al combate de phishing, informa en su reporte generado en Enero de 2008, un incremento de más de 3600 reportes de phishing con respecto al informe generado el mes pasado. Tomando como base de estudio las acciones y testimonios de las empresas líderes en el ámbito de seguridad informática, se podrá tener una visión más amplia sobre la realidad de esta problemática, dando como resultado la generación de un modelo de solución que sirva como punto de referencia para las empresas, con la finalidad de disminuir los riesgos financieros al asegurar la integridad de su información, creando una cultura informática práctica y funcional, en la medida en que éste sea difundido. 4

CAPÍTULO II. MARCO TEÓRICO La importancia de conocer el significado de los conceptos actuales en el ámbito de la seguridad informática tanto a nivel personal como a nivel empresarial, es fundamental para adentrarse en la creciente problemática que hoy en día acontece con mayor frecuencia. Se trata del phishing, uno de los tantos modos de operar de cibernautas dedicados a engañar al usuario con la finalidad de suplantar su identidad, conocer a sus contactos para obtener información valiosa o conseguir datos clave para efectuar transacciones bancarias, acciones mal intencionadas que traen como consecuencia, daños económicos que afectan indudablemente al ingreso personal y en los mismos términos a nivel empresarial el impacto resulta de mayor relevancia. A pesar del surgimiento de diversos grupos anti-phishing para contrarrestar el incremento de este tipo de fraude, dicho esfuerzo no ha sido suficiente es por ello que es necesario aplicar lo que hay en materia legal, tema apenas tratado por las leyes nacionales y en un grado mayor por las extranjeras, siendo éstas últimas, aplicables para casos particulares en países como Alemania, Austria, Francia y Estados Unidos. En consecuencia, este primer capítulo establece las bases cognitivas empleadas a lo largo de ésta investigación, estableciendo en un papel protagónico a la seguridad informática quien tiene como objetivo principal la disponibilidad, integridad, confidencialidad y recuperación de la información; sabiendo que la ingeniería social conforma el papel antagónico, buscando estrategias para evitar que el objetivo plateado se consuma. 2.1 Phishing El phishing es una modalidad de delito informático que mediante la suplantación de páginas web y el envió de correo electrónico que, aparentando provenir de fuentes fiables, busca obtener de un usuario sus datos personales como son: claves de acceso, cuentas bancarias, número de tarjetas de crédito, etc.; para posteriormente, realizar operaciones fraudulentas con esta información. En términos más coloquiales, podemos entender el phishing como pescando datos o pesca de datos, al asimilar la fonética de la palabra phishing con el gerundio fishing (pescando). 1 1 http://www.microsoft.com/spain/empresas/legal/phishing.mspx 5

Modo de funcionamiento La técnica del phishing utiliza como medio de difusión el correo electrónico para ponerse en contacto con los usuarios, utilizando mensajes que imitan casi a la perfección; el formato y la imagen de entidades bancarias/financieras y que siempre incluyen una petición final en la que solicita a los usuarios la confirmación de determinados datos personales por distintos razones: problemas técnicos, cambio de política de seguridad, fraudes, etc. Así mismo, es importante mencionar que estos mensajes de correo electrónico siempre incluyen enlaces que conducen aparentemente a las páginas web oficiales de las distintas entidades financieras, cuando en realidad remiten a páginas web piratas que copian casi a la perfección dicha página web, siendo su finalidad principal captar datos de los usuarios. Por lo tanto, debido a la confianza que los usuarios tienen en las entidades de las que son clientes, por desconocimiento y falta de interés en la seguridad de su información, acceden a dichas páginas web fraudulentas, facilitando al defraudador o delincuente informático, obtener los datos o claves de acceso personales. Los expertos calculan que en cada ataque de phishing se lanzan unos 6 millones de correos electrónicos, de los que entre 2,400 y 6,000 consiguen su objetivo. 2 También se debe considerar dentro del phishing a la difusión de correos electrónicos con ofertas engañosas, así como la publicación de noticias falsas en diversos foros o grupos de noticias, con distintas intenciones, como afectar la imagen y el valor de las acciones de una empresa. Existen diversas técnicas de phishing, un ejemplo de esto es, el engañar a los usuarios al alterar la configuración de su navegador web para que muestre el icono del candado de seguridad al acceder a determinados sitios web maliciosos. Para ello, los autores de este tipo de páginas recurren a certificados digitales auto-firmados para poder hacer uso del protocolo HTTPS y de esta forma mostrar el candado de seguridad en el navegador. Por otra parte, en Mayo de 2006 una empresa de seguridad de San Francisco detecto que un grupo de phishers estaba utilizando la telefonía IP para crear contestadores automáticos que supuestamente pertenecían a bancos u otras entidades financieras. De este modo, los estafadores procedían a enviar mensajes de correo electrónico falsos a sus víctimas, advirtiendo un problema detectado con la cuenta del usuario y solicitando que este se pusiera en contacto con un número de teléfono IP de su banco. 3 2 Gómez Vieites, Álvaro, Enciclopedia de la seguridad Informática Pág. 235 3 Gómez Vieites, Álvaro, Enciclopedia de la seguridad Informática Pág. 538. 6