12.3.- Guía Rápida Sobre El Fraude En Internet

HOAXES (burlas, engaños)

Suelen consistir en mensajes de solidaridad para ayudar a niños enfermos que no existen, falsas alertas de virus, dudosos métodos para hacerse millonario o ser beneficiario de un milagro. La realidad es que cualquier cadena es buena para recolectar direcciones de correo electrónico y posteriormente saturar los servidores de correo.

Hay otros que repiten el esquema de las antiguas cadenas de la suerte que recibíamos por correo postal, que te auguraban calamidades si cortabas la cadena y te prometían convertirte en millonario si la sigues. He recibido muchas cadenas en las que se decía "no sé si será cierto pero por las dudas yo lo reenvío". Para los temerosos, supersticiosos y magufos, la realidad es que yo he roto todas las cadenas que recibo y como es lógico no me ha sucedido nada.

Básicamente, podemos dividir los hoaxes en las siguientes categorías:

- Alertas sobre virus incurables

- Mensajes de temática religiosa

- Cadenas de solidaridad

- Cadenas de la suerte

- Leyendas urbanas

- Métodos para hacerse millonario

- Regalos de grandes compañías

- Otros

- Mensajes tomando el pelo a la gente que envía hoaxes.

Hay otros mensajes que no nacen como hoaxes pero pueden ser considerados como tales:

- Poemas y mensajes de amor y esperanza (suelen venir en un archivo de Power Point pesadísimo)

- Mensajes para unirte a programas de afiliados

- Chistes y fotos que circulan en cadena

SPAM (correo electrónico no solicitado)

Latas de SPAM

Todos los usuarios de correo electrónico estamos acostumbrados a recibir a diario varios mensajes publicitarios no solicitados. Esta práctica, aunque no es ilegal en muchos países, ya que no hay leyes que la prohiban, perjudica a todos los usuarios de internet, a veces inclusive a quienes la realizan. La fórmula comercial es sencilla, y consiste en pagar al creador del correo basura o spammer más dinero cuanto más correos no deseados envíe. Los spamfarmacéuticos, como los anuncios de Viagra (que habitualmente es falsa) o los métodos para alargar el pene, en algunos momentos han encabezado la clasificación de los correos no deseados con una cuota del 30 por ciento. Algunos datos (fuente Kaspersky Lab) sobre la situación en el año 2012:

- La cantidad promedio de spam en el tráfico de correo se mantuvo en un promedio anual del 72.1%.
- El porcentaje de mensajes phishing en el tráfico de correo alcanzó el 0.02%.
- El 3.4% de mensajes de correo contenía adjuntos maliciosos.
Spam email 2012


La cantidad de spam cayó durante el transcurso del año. A fin de año, el porcentaje de spam era 8,2% menos que en 2011.

Por lo general, las direcciones son robadas o compradas. Yo mismo recibo con frecuencia ofertas de bases de datos con millones de direcciones de email a precios tan módicos de 35 US$. Esta gente aclara, con gran "dignidad", que no copia ni vende software. También ponen en sus mensajes (que dicho sea de paso son spam porque no son solicitados) "no compre bases truchas, todas nuestras bases cuentan con direcciones reales y activas".

Aunque hay algunos spammers que te envían solamente un mensaje, también hay muchos que te bombardean todas las semanas con el mismo mensaje con archivos adjuntos, como por ejemplo, sobre la necesidad de filtrar el agua de la ducha con un análisis de varias páginas, que nadie lee. De todos modos, si cada persona que abre un sitio en internet te va a enviar un mail, el correo electrónico sería absolutamente inservible.

Tampoco es lógico que, por ejemplo, envíen un mensaje en formato HTML promocionando un nuevo servicio de distribución de videos, exclusivo para la ciudad de Lima, cuando yo vivo a miles de km de distancia. Esto, además de ofrecer una imagen negativa sobre la empresa que envía el spam, muestra la poca utilidad de las bases de datos compradas.

Por otro lado los spammers invocan una supuesta ley por la cual el mensaje que están enviando no puede ser considerado spam si tiene una forma de ser eliminado en sus bases de datos. Lo cual es falso, esa ley no existe. Además, la mayoría de las veces si uno contesta el correo pidiendo ser eliminado de la lista, lo único que hace es confirmar que la dirección existe. Por lo tanto, es conveniente no responder nunca a un mensaje no solicitado.

Lo mejor es aplicar filtros o reglas de mensaje para evitar recibir mensajes de esas direcciones, un programa para el entorno Windows, gratuíto y muy bueno, es K9. Otra opción, es quejarse al postmaster del que envía el spam.

Lo más peligroso de muchos correos no solicitados, es que pueden incluir archivos con virus o troyanos, y ser activados ya sea de forma involuntaria al intentar leerlos o incluso si se tiene un programa de correo como Outlook (de Microsoft) que entonces se activan automaticamente.

Es imprescindible el tener siempre un programa antivirus y otro que detecte los troyanos, el detector de troyanos (o programas espía) más completo y gratuito es Ad-Aware ( documentación sobre puesta en marcha y funcionamiento disponible en español), que se puede descargar de Lavasoft. Se ha de tener mucho cuidado con este tipo de programas, pues algunos eliminan los troyanos, pero ellos son otros troyanos.

Por ejemplo, un troyano, Whiter.F, está diseñado para eliminar todos los archivos del disco duro. Se propaga mediante correo electrónico, redes P2P, canales de IRC o transferencias FTP. EL usuario ve un mensaje que dice "cometiste un acto de pirateria, te lo mereces" y seguidamente borra los ficheros del disco duro.

La proliferación de filtros y virus se esta convirtiendo en un problema para los spammers profesionales. Resulta que muchos proveedores de internet impiden que los mensajes comerciales no solicitados llegen a los buzones de los usuarios. Por supuesto que no están dispuestos a ver como ese millonario negocio se derrumba y ahora han centrado sus esfuerzos en bombardear a los usuarios de otras aplicaciones.

En noviembre de 2008 en EE.UU. las autoridades procedieron al cierre de la empresa Mc Colo Corp y como consecuencia el tráfico mundial de spam cayó hasta menos de 10 mensajes por segundo, aproximadamante tres veces menos que los días previos, lo cual indica que son pocas las empresas que se dedican al spam.

PHISHING

En los últimos años se han popularizado los ataques phishing. Es una estafa que utiliza mecanismos electrónicos, como puede ser un mensaje de correo o una página web, para convencer al usuario que revele información sensible, que va desde datos personales y privados hasta las claves de acceso a servicios, como por ejemplo las claves de una cuenta bancaria.

Los ataques phishing son posibles por la combinación de unos mecanismos débiles de protección de acceso que generalmente no son otra cosa que una simple combinación de usuario y contraseña, y la capacidad innata de las personas a revelar cualquier información a quien nos la pregunte, sin apenas cuestionar la seguridad.

El método utilizado con más frecuencia en los casos de phishing masivo consiste en el envío de mensajes que simulan ser enviados por alguien sobre quien en teoría confiamos (habitualmente bancos) y donde se nos informe que, por cualquier circunstancia, es preciso revelar nuestra contraseña de usuario o bien "verificar" nuestros datos rellenando un formulario. La experiencia demuestra que la mayoría de las personas simplemente actúa de buena fe y se cree cualquier petición de datos privados.

SMISHING

El SMiShing es como se denomina a un nuevo tipo de delito usando técnicas de ingeniería social empleado mensajes de texto dirigidos a los usuarios de telefonía móvil celular. Las víctimas reciben mensajes cortos de texto con contenido similar a este: "Estamos confirmando que se ha dado de alta para un servicio de citas. Se le cobrarán 2 euros al día a menos que cancele su petición: www.?????.com", cuando visitamos la dirección web, las víctimas son incitados o incluso forzados a descargar algún programa que en su mayoría suele ser un troyano y si operamos bajo Windows es fácil que se instale en el ordenador. Otras veces el mensaje señala un número para anular el servicio y una grabación pedirá datos personales, entre ellos un número de cuenta bancaria o tarjeta de crédito. Hay otros que avisan de que hemos recibido una foto, premio, video, tarjeta de felicitación, etc, con el mismo resultado final de ser víctima de un fraude.

SITIOS FALSOS DE RECARGAS

- Es una variante del phishing que solo busca un propósito, robar datos bancarios a los usuarios. Detrás de llamativas ofertas prometiendo recargas más económicas (habitualmente de telefonía móvil celular) se puede esconder una estafa, que lo único que busca es hacerse con información del usuario.

-Este tipo de fraude puede ser algunas veces mas peligroso que el tradicional phishing, el ataque no es directo, se encuentra en los anuncios de los enlaces patrocinadores de buscadores de internet.

OFERTA FALSA DE TRABAJO SCAM O PHISHING LABORAL / MULERO

-¿Qué es el SCAM?

El scam es la captación de personas por medio de correos electrónicos, anuncios en web de trabajo, chats, irc, etc... donde empresas ficticias ofrecen trabajar cómodamente desde casa y cobrando unos beneficios muy altos. Sin saberlo, la víctima esta blanqueando dinero obtenido por medio del phishing (procedente de estafas bancarias).

- Siempre piden que se disponga o abra una cuenta bancaria.

- Su trabajo consiste en recibir transferencias bancarias a su cuenta bancaria, sacar este dinero posteriormente para enviarlo a países extranjeros por medio de empresas remesadoras como Western Union o Money Gram.

- Frases para captar a victimas:

¿Esta usted en paro y tiene ganas de trabajar?

¿Quiere obtener un dinero extra?

¿Quiere trabajar cómodamente desde casa?

¿Quiere tener beneficios de forma rápida?.- Nos mandan un contrato (falso) para hacer más creíble la oferta.Una vez obtenidos los datos de la víctima, si no colabora será amenazada.

PHISHING-CAR - OFERTAS FALSAS DE VEHÍCULOS

¿Qué es el phishing-car?

Captación de compradores de coches a un coste muy bajo, la venta nunca se efectúa, esta persona realiza un pago como señal, se queda sin dinero y sin coche.

- ¿Como se produce y en que consiste?

Se producen por medio de llamativas ofertas en vehículos lujosos, incluso tienen web trampas con nombre de dominios muy similares a empresas con mucho prestigio que se dedican a la venta de vehículos de ocasión, pero todas los fraudes tienen algo en común:

- El pago se realiza por medio de empresas de envió de dinero a otros países (Western Union, Money Gram).

- El vendedor le oferta la entrega a domicilio.

- En un 90% el vehículo que venden esta fuera de su país, de esta manera usted solo puede verlo en fotos.

- Le piden primero el 30% o el 40% del precio ofertado como primera señal.

- Captan a las victimas por medio de anuncios en web de venta de coches o de segunda mano y por supuesto la recepción de correos electrónicos.

- Muchas veces el vendedor dice que es un español que vive en Gran Bretaña y por motivos laborales de estancia en el país ingles, tiene que cambiar de forma urgente de coche por que se conduce por la izquierda y su coche al estar matriculado en España el volante esta al lado contrario y no se adapta, por este motivo vende el coche de forma muy económica, te enseñan un coche matriculado en España.

- La mayoría de los estafados enviaron el dinero a Reino Unido, esto no quiere decir que cambien.

PHARMING
Es una técnica para llevar a cabo estafas online, aunque en muchos medios comentan que no es necesario usar ingeniería social esta definición no es totalmente cierta ya que es necesario que nuestra máquina o la remota "sea manipulada". El pharmingconsiste en manipular las direcciones DNS que utiliza el usuario, con el objetivo de engañarle y conseguir que las páginas que visite el usuario no sean realmente originales aunque su aspecto sea idéntico.
Resumiendo desvía el tráfico de internet de un sitio web hacia otro sitio de apariencia similar, con la finalidad de engañar a los usuarios para obtener sus nombres y contraseñas de acceso, que se registrarán en la base de datos del un sitio falso que fue creando antes y donde simula a la web que suplantan.

- Hay gusanos y troyanos que realizan esta función.

- La víctima se entera cuando detecta un movimiento extraño de dinero en sus cuentas.

LOTERIAS FALSAS

Falso premio de loterías, el usuario recibe un correo electrónico donde le notifican que tiene un premio de loteria, si un usuario contesta a este correo le solicitaran a continuación todos datos bancarios para un falso ingreso del premio.

En otros casos se le solicita un parte del premio que tendrá que enviarlo a un país para poder cobrar el premio completo.

En todos los casos el premio es falso.

Botnet

Una botnet, o red robot, consiste en cierto número de ordenadores que, sin el conocimiento de sus propietarios, han sido infectados por código malicioso y están siendo manipulados para enviar programas maliciosos, como spam y spyware, hacia otras computadoras en internet. Tales ordenadores, llamados bots en el argot informático, operan bajo el control de un solo hacker (o un pequeño grupo de ellos) conocido como botmaster.

Una vez que el botmaster ha creado la botnet, los ataques pueden ocurrir de diferentes maneras: denegación de servicio distribuido Negación del Servicio (DDoS, Distributed Denial of Service), spam, keyloggers que son programas espías que capturan la actividad del teclado de los usuarios o ataques remotos.

Una de las principales estrategias de captación de atención de esta amenaza se basa en la ingeniería social. Por ejemplo, a través del envío de un mail cuyo título indica: " Check out this picture! (¡Mira esta foto!)". Así, en un archivo adjunto infectado que simula ser una imagen .jpg, los hackers pueden inspeccionar en búsqueda de vulnerabilidades dentro del sistema operativo o navegador. En cuestión de segundos, la red puede quedar infectada.

Los síntomas que puede detectar el usuario para determinar si su red ha sido infectada son:

- Lentitud anormal en su sistema.

- Aumento en el consumo de ancho de banda.

- Mensajes emergentes extraños.


SEXTING

Sexting (contracción de sex y texting) es un anglicismo para referirse al envío de contenidos eróticos o pornográficos a través de dispositivos móviles. En su origen (en países anglosajone, en el año 2005)hacía referencia al envío de mesnajes de texto (SMS) de naturaleza sexual. Es una práctica común entre jóvenes, y cada vez más entre adolescentes. También se usa en español la palabra sexteo, como sustantivo, y sextear como verbo.

Engaño de identidad por internet

Se ha señalado al sexting como causante de ciertas consecuencias imprevistas y graves. Se ha relacionado con situaciones tan embarazosas, tras haberse pasado fotos a terceros, que han conducido al suicidio del remitente original. Asimismo, ha sido señalada como una actividad que puede exponer a los menores de edad al grooming (un adulto se hace pasar por adolescente, o niño en peores casos, y comienza a entablar conversaciones con diferentes jóvenes. A partir del engaño, se entabla una relación de amistad entre víctima y victimario, el último procede a hacer propuestas sexuales) y al acoso escolar (cyberbullying), como medio de presión y ridiculización contra la persona fotografiada.

Es un delito, los adolescentes deben saber que en España, Estados Unidos y muchos otros países, el envío de imágenes de menores desnudos o con contenido sexual se considera pornografía infantil, un delito muy grave. Y se considera que un adolescente menor de edad está cometiendo ese delito si recibe o envía, incluso aunque sean de sí mismo, imágenes sexualmente explícitas.

Previous page
« 12.2.- Análisis De Riesgos

Next page
13.- Criptografía »