Policía Local de Migueltrra: Página de Inicio
En Recomendar: Haga saber a sus conocidos, en dos pasos, de la existencia de nuetra web. ...y mucho más...

TIMOS: INTERNET

    FRAUDE FINANCIERO A TRAVÉS DE INTERNET

    Hoy por hoy es utópico pensar que el trabajo o la navegación a través de Internet sean seguros al 100%, sencillamente resulta imposible crear software que garantice eso. Siempre existirán vulnerabilidades de explotación mediante las cuales se pueda forzar al software para que realice tareas o funciones no previstas inicialmente.

    La legislación española establece a través del artículo 248 del Código Penal la definición de fraude informático en el que se indica:

    Se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.

    Afortunadamente, en el caso de las entidades financieras que operan en nuestro país a través de Internet, por el momento, no se están detectando casos alarmantes de fraude. Aunque no ocurre así en países como USA, GB, AUS y BR, donde el incremento de estos casos a lo largo de los últimos meses comienza a preocupar seriamente a todos los actores que de una u otra forma intervienen o son utilizados para la comisión de estos delitos.

    Por ello, queremos presentaros los tipos de fraude mas conocidos que se cometen sobre todo tipo de entidades financieras y de pago, en las que se requiere la introducción de datos de acceso a cuentas bancarias o datos de tarjetas de crédito, con objeto de prevenir en la medida de lo posible este tipo de amenazas que tanto perjuicio pueden causar.

    TÉCNICAS:

    Hay multitud de técnicas para perpetrar fraudes financieros a través de Internet, pero sin duda, una de las técnicas que está obteniendo importantes índices de crecimiento en la red, es la suplantación de páginas y/o sitios de Internet, mas conocida como "phishing" , que permite el robo de datos privados de acceso personal a sitios de confianza.

    Uno de los principios básicos del "phishing" es la utilización de mensajes con una fuerte carga de Ingeniería Social (técnicas que se aprovechan de las debilidades de las personas) con los que intentarán mostrarse cada vez más verosímiles aprovechando por un lado, el temor de los usuarios y la confianza depositada en su entidad financiera, y por otro su desconocimiento técnico en informática e Internet.

    Los mensajes enviados utilizarán todo tipo de ingeniosos argumentos relacionados con la seguridad de la entidad, para justificar la necesidad de introducir sus datos de acceso. Un ejemplo de los más comunes pueden ser los siguientes:

    Problemas de carácter técnico.

    Recientes detecciones de fraude y urge un incremento del nivel de seguridad.

    Nuevas recomendaciones de seguridad para prevención del fraude.

    Cambios en la política de seguridad de la entidad.

    También podrán intentarlo mediante mensajes relacionados con:

    Promoción de nuevos productos de la entidad.

    Premios o regalos por ser buen cliente o por sorteos.

    Además, intentarán forzar al usuario a tomar una decisión casi de forma inmediata con amenazas de que si no realiza los cambios solicitados, en pocas horas o días su acceso quedará deshabilitado.

    Sin duda el correo electrónico es actualmente la técnica más utilizada en este tipo de fraude, tal vez porque resulte el más efectivo a corto plazo para el atacante.

    Junto a la Ingeniería Social, el Spam es el otro gran aliado para el "phishing" debido a lo sencillo y barato que resulta para llegar hasta millones de usuarios con mensajes similares al siguiente:

    Estimado cliente; El departamento de seguridad del banco ha detectado en las últimas fechas diversos tipos de técnicas fraudulentas en Internet, por medio de las cuales es posible que las claves de acceso de algunos de nuestros clientes hayan sido capturadas para, haciendo un uso ilegal de las mismas, acceder a su cuenta y operar en ella como si fuese usted mismo quien realice las operaciones. Debido a ello, el banco ha decidido renovar las claves de acceso de todos los clientes como medida de protección que garantice la seguridad y evite el fraude.

    El único lugar donde podrá realizar el cambio de claves se encuentra tras el siguiente enlace: https://xxxxx.xx.xxxxx.. donde quedará disponible hasta el próximo día XX-XX-XXXX momento a partir del cual, se procederá a la cancelación de los accesos de todos aquellos usuarios que no hayan realizado el cambio de sus claves. Agradecemos su colaboraci&oacn y la confianza depositada en nuestra entidad.

    Fdo: Director Entidad Bancaria: Departamento de seguridad

    En estos mensajes, la dirección del remitente estará falsificada siendo muy parecida o incluso podrá coincidir con alguna cuenta legítima de la entidad en cuestión. No importa. El objetivo es, que alguno de los millones de receptores de ese correo sea cliente de esa entidad y pulse sobre el enlace propuesto para realizar el cambio o confirmación de sus claves.

    Obviamente, la página enlazada también será falsa y estará controlada por los estafadores quienes habrán cuidado hasta el más mínimo detalle, en replicar con toda fidelidad la imagen, logotipos, colores y formatos de las páginas legítimas de la entidad. En la página, se pedirán todos los datos necesarios para poder realizar operaciones en las cuentas de la entidad; Nombre de usuario, clave de acceso y clave personal o firma.

    Una vez que sean confirmados los cambios, los estafadores tendrán a su disposición toda la información necesaria para acceder a las cuentas de aquellos usuarios que hayan caído en el engaño.

    CÓMO PROTEGERSE:

    Al igual que ocurre con el Spam y los virus, la prudencia y cierta desconfianza inicial, son las medidas que mejor pueden protegerle contra el fraude financiero en Internet.

    Detección/Reconocimiento de mensajes falsos.

    Resulta de vital importancia reconocer a tiempo este tipo de mensajes. Por norma, las entidades financieras, de crédito, etc. nunca pedirán los datos de acceso a ningún cliente por medio de mensajes de correo electrónico. En su lugar, deberán dirigirse a usted a través de su teléfono particular con los mecanismos de reconocimiento de voz activados, o por correo postal ordinario, incluso certificado, o como el caso de algunas entidades de pago, los correos que Vd. reciba, deberán estar personalizados con su nombre y apellidos y llevarán asociada la identificación de su cuenta.

    Sin duda, la mejor de las protecciones, será la colaboración de clientes y usuarios de estos servicios para poder interceptar a tiempo los lugares desde donde se emiten estos mensajes o donde se reciben los datos capturados. Si en algún momento usted detecta alguno, o sospecha de la falsa identidad del remitente:

    No responda nunca a este tipo de mensajes salvo que tenga las máximas garantías de que provienen de la fuente correcta.

    Póngase lo antes posible en contacto con los servicios de atención al cliente de la entidad referida.

    Realice un seguimiento diario de los movimientos de su cuenta durante los días posteriores.

    Tenga en cuenta que por el simple hecho de recibir ese tipo de correos, sus datos personales no se encuentran en peligro.

    Recomendaciones Genéricas para su seguridad en Internet.

    En general, siga las siguientes recomendaciones para mantener su seguridad durante la navegación en Internet.

    No revele nunca sus claves, nunca las 3 juntas, usuario:clave:firma

    Antes de realizar una transacción verifique los datos de su saldo y compruebe las fechas de las últimas operaciones.

    Manténgase regularmente informado del estado de sus cuentas

    Mantenga correctamente actualizado su antivirus y vigile los registros de seguridad de su firewall.

    Desactive las funciones de almacenamiento de claves en la caché del sistema.

    ...

    En caso de que la información le sea solicitada telefónicamente, procure asegurarse de que el interlocutor pertenece de forma legítima a la entidad referida:

    Inicialmente intente ser usted mismo quien realice la llamada al número habitual del servicio de atención al cliente de la entidad.

    Pida que se identifique de forma clara y correcta.

    Como empleado de la entidad, y ya que nos está pidiendo información personal, solicite que le amplíe mayores detalles sobre sus propios datos:

    D.N.I, domicilio, número de cuenta

    Saldo disponible en la actualidad

    Datos de la última operación o apunte en su cuenta.

    En general, cualquier información que no pueda estar disponible fácilmente salvo para empleados de la entidad.

    Recomendaciones sobre Técnicas básicas de seguridad.

    "Recomendaciones de su entidad":

     Procure seguir las recomendaciones de seguridad establecidas por la entidad a la que está accediendo. Todas ellas disponen de páginas de seguridad donde explican con detalle las medidas a tener en cuenta para proteger su acceso. Al final de la página puede encontrar los enlaces a las páginas de seguridad de las entidades más representativas en nuestro país.

    "HTTP (S)":

    En general, casi todos los sitios Internet relacionados con bancos, entidades financieras o de crédito, le dirigirán hacia un servidor seguro durante el proceso de introducción de sus datos de identificación personal.

     La dirección debe comenzar con http S : en lugar de solo http: (note la "s" al final).

    Un sitio con una URL "https:" es un sitio seguro, aunque:

    https por sí solo no garantiza en ningún caso que el sitio al que se ha conectado pertenece realmente a quien dice pertenecer.

    "Certificados":

    Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo justo a la derecha del navegador (en la version 7 de Internet Explorer).

    

    Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad que debe coincidir con el nombre de la entidad a la que hemos solicitado su página, además de estar vigente y ser válido.

    

    La conjunción de los dos elementos anteriores, https + certificado válido , aunque no llegue a ser al 100%, si se puede considerar como una garantía suficientemente aceptable de que el lugar en el que se encuentra es auténtico, es decir, pertenece a la entidad representada.

    Agradecemos la colaboración de:

    D. Luis Miguel Muñoz

    Delegación Educación y Ciencia Ciudad Real

    Dpto. Informática