DELITOS INFORMATICOS
Imagen
DELITOS INFORMATICOS
DELITOS INFORMATICOS
ENLACES
PRODUCTOS Y SERVICIOS
Los delitos informáticos ocupan cada vez más el quehacer de las autoridades
En 2005, más de 150 investigaciones en proceso y cerca de 1.800 millones de pesos robados por Internet a personas naturales y empresas.

Eso asegura la Dirección Central de Policía Judicial (Dijín), que también advierte que la mayoría de casos ocurre en los café internet.

Sin disparar un solo tiro y sin conocer personalmente a las víctimas, estos delincuentes acceden a varios cientos de millones de pesos mensualmente, armados con novedosas herramientas de cómputo para espiar y robar información por la Red.


"Hemos detectado estructuras delincuenciales dedicadas al robo continuado a través de Internet, que tienen el conocimiento técnico suficiente para capturar información financiera", explica el capitán Freddy Bautista, director de la unidad de delitos informáticos de la Dijín.

La gravedad de lo que está ocurriendo con la delincuencia digital se demostró el pasado fin de semana, cuando, con una técnica distinta a la del Internet tras clonar cientos de tarjetas de crédito, los ladrones saquearon las cuentas bancarias de más de 120 personas de Valledupar y Guajira.


Así operan


Básicamente, el objetivo de estas organizaciones es interceptar los datos financieros de sus víctimas (nombre, números de cuenta, contraseñas, saldos, etc.) para luego crear cuentas bancarias fantasma a las que mueven el dinero.


Las herramientas que usan para ello son programas espías que instalan en computadores públicos o que envían a sus víctimas por correo electrónico, disfrazados como fotos u otro tipo de archivos.


Este software se autoinstala a escondidas, sin que el dueño del PC lo note, y luego comienza a enviar al delincuente imágenes de lo que se despliega en la pantalla del computador o registros de todo lo que la persona escribe mediante el teclado.


Una vez tienen los datos necesarios, los ladrones inician las transferencias electrónicas de dinero entre cuentas.


"Esto lo hacen en pequeñas cantidades para evitar sospechas", afirma Bautista.


Hace unas semanas, la Dijín capturó en Bogotá a un hombre acusado de robar más de 1.000 millones de pesos a terceros mediante transacciones ilegales por Internet.


Ricardo Alfonso fue detenido en un café Internet del centro de la ciudad en pleno acto delictivo.


"En estos lugares públicos es donde más se presentan los casos de robos. No hay que estigmatizarlos, pero sí es importante que la ciudadanía use el sentido común y aplique ciertas normas básicas de seguridad cuando visita un sitio de estos", señala Bautista.


Tales precauciones giran en torno a proteger la información personal, especialmente cuando se usan computadores en lugares públicos.


Además, según la Dijín, también es importante 'armarse' en el hogar con los programas necesarios para limpiar el computador de virus y programas espía.
Precauciones en el café internet

Según la Dijín, es importante que tenga en cuenta las siguientes recomendaciones al usar computadores en lugares públicos como los cafés Internet:

Prefiera siempre un sitio conocido y de tradición.
Nunca efectúe transacciones comerciales o financieras desde un café Internet.
No 'dé papaya': deje siempre cerradas sus sesiones de correo electrónico, chat e Internet, para que el siguiente usuario no pueda acceder –por descuido suyo– a su información personal.
Denuncie; la unidad de delitos informáticos de la Dijín es una de las ofici-nas encargadas de investigar este tipo de ilícitos. Puede reportar estos casos en el teléfono 426-6301, de Bogotá, o en el correo electrónico delitosinformaticos@dijin.policia.gov.co.
Espíe y no confíe

Windows XP blindado. Instale la actualización más reciente para Windows XP (llamada SP2), que se puede bajar gratis de Internet. Incluye varias mejoras de seguridad, como un firewall (un programa que controla todo lo que entra y sale del PC por Internet) y un bloqueador de ventanas emergentes (a través de esas ventanas se puede inducir a los usuarios a activar software malicioso). El SP2 está disponible para todos en la dirección www.microsoft.com/latam/windowsxp/sp2/default.mspx.
Antivirus. Instale en su computador personal un programa antivirus y manténgalo actualizado; algunos programas espía son detectados por los programas antivirus. Puede bajar gratis el antivirus AVG versión 7.0 desde la dirección free.grisoft.com/freeweb.php.
Antispyware. El spyware es un tipo de programa que se instala clandestinamente en el PC para monitorear los hábitos de navegación del usuario (con el fin de enviarle publicidad personalizada), pero que también se puede emplear para robar datos personales, como contraseñas. Para evitarlo, instale un antispyware como Ad-Aware, que se consigue gratis en www.lavasoftusa.com/default.shtml.es.
Sea desconfiado. Borre el correo electrónico sospechoso; por ejemplo, mensajes sugestivos que lo invitan a abrir un archivo adjunto o a visitar una dirección web. Por otra parte, nunca entregue sus datos personales o información comercial por correo electrónico (ningún banco le pedirá esos datos por correo electrónico).
JOSÉ CARLOS GARCÍA R.
Redactor de EL TIEMPO

Imagen
La Seguridad Informática, el cibercrimen y la ley

Los crímenes informáticos pueden ser castigados si se cuenta con sistemas de seguridad apropiados y las pruebas son recaudadas de manera adecuada .
En abril de este año, la policía española detuvo a una banda presuntamente implicada en 102 estafas bancarias llevadas a cabo a través de Internet cuyo monto superaría los 200.000 euros. Mediante un e-mail supuestamente enviado por diversas entidades bancarias, los hackers conseguían los datos de los clientes para poder hacer los respetivos traslados a sus cuentas de donde luego era retirado el dinero. Tres de los detenidos ingresaron a prisión y el cabecilla del grupo de tan sólo 15 años fue puesto a disposición de la Fiscalía de Menores.
Sin embargo; esto no es sorprendente, con la penetración del Internet acciones como estas se han hecho frecuentes; las compañías se ven afectadas por diversas amenazas que incluyen los ataques a la red, la intrusión y el envío de virus y gusanos entre otros, los cuales afectan o detienen la operación ocasionando pérdidas económicas.
Estos crímenes conocidos como delitos informáticos utilizan Internet para atacar bienes informáticos o valerse de ellos para cometer otro tipo de crimen como hurto, estafa o fraude. Son penalizables siempre y cuando se denuncien y las pruebas, en este caso la evidencia digital , haya sido debidamente recaudada, administrada y presentada ante el juez.
Por lo general, estos crímenes no son denunciados a las autoridades, anulando la posibilidad de adelantar una acción penal o recuperar las pérdidas mediante una acción civil.

LA LEY EN COLOMBIA

La legislación colombiana brinda algunas herramientas para poder combatir ese flagelo. "Aunque nuestro Código Penal no hace una referencia suficiente en el tema de delitos informáticos, salvo algunos casos puntuales, por lo general los delitos informáticos se pueden encuadrar en las definiciones de los delitos tradicionales", afirma Carlos S. Alvárez Cabrera, abogado en Derecho Informático y Propiedad Intelectual.
"En Colombia el acceso abusivo a un sistema informático se castiga con multa, la violación ilícita de comunicación o correspondencia oficial con 3 a 6 años de cárcel, la utilización ilícita de equipos transmisores o receptores (WiFi) se penaliza con 1 a 3 años, la violación ilícita de comunicaciones con 2 a 4 años en el peor escenario y el delito de sabotaje con uno a seis años y multa de 5 a 20 salarios mínimos", afirma el experto.
De acuerdo con el abogado, las penas en nuestro país son muy bajas comparadas con otros países. "En la actualidad hay proyectos que buscan incrementar las penas y sancionar hechos que hoy no están contemplados en la ley", comenta. Para ilustrar mejor el tema, el abogado explica un caso real que ocurrió en Estados Unidos a la compañía Netline Services Inc.
"Peter Borghhard, exempleado de Netline Services, Inc., una empresa de Internet que provee varios servicios de banda ancha e email, reclamó un pago de un salario que según él le era adeudado. El pago le fue negado. La empresa fue víctima de dos ataques posteriormente; el primero resultó en el borrado profundo (wiped) de toda la información y la desconfiguración completa de doce máquinas. Adicionalmente, los clientes de Netline estuvieron sin servicio de email por 15 horas. 10 días después, luego de haber asegurado esas máquinas fue víctima de otro ataque dirigido contra otras máquinas, con efectos similares. La empresa registró pérdidas por US$118.000. El atacante fue detectado, la evidencia fue recolectada y presentada en debida forma; el acusado, frente a la fuerza de las pruebas, confesó haber cometido el delito, fue condenado a pagar US$118.030 y condenado a prisión."
"Por otro lado, si esto hubiera pasado en nuestro país, seguramente no habría habido una condena. No por falta de capacidad de las autoridades investigadoras, sino porque las empresas, por un erróneo tabú, prefieren esconder toda la información relativa a los ataques de que son víctimas. Pocas son las que denuncian y refuerzan los procesos contra esta clase de delincuentes. La Dijín y el DAS cuentan con unidades de delitos informáticos que tienen buena tecnología, un nivel de conocimiento en incremento y un muy conveniente apoyo extranjero", afirmó Alvarez Cabrera.
En nuestro país hay libertad de medios de prueba y, aprovechandola, es fundamental ser concientes de la importancia de la evidencia digital.
"Un ejemplo sencillo de cómo debe abordarse en nuestro país el tema de la evidencia digital, tomado de la experiencia norteamericana: si en una empresa se detecta que está ocurriendo hack, y solamente desde que la alarma se disparó se empieza la labor de guardar los logs de la actividad en línea en la red que está siendo accedida ilegalmente, esa evidencia será rechazada por el juez al que se presente el caso. Para que la acepte, los logs de actividad debieron guardarse, no como una respuesta posterior al hack, sino como la actividad normal de operaciones de la empresa; solamente así esa evidencia podrá sustentar la demanda presentada contra el hacker.
Para Alvarez Cabrera es importante que las empresas desarrollen buenas prácticas en seguridad que incluyan planes de respuesta a incidentes que definan los procedimientos que se deben usar en caso de ocurrir un incidente para asegurarse de no dañar la evidencia porque "toda inversión que se haga en seguridad se va a la caneca si no resulta en que se pueda levantar un proceso judicial, con pruebas irrefutables, contra quien haya generado el incidente".
Por otro lado, estas prácticas deben incluir matrices de niveles críticos, áreas afectadas y responsables. Este plan debería ser desarrollado por la cabeza oficial de seguridad en las empresas y los directores de cada área crítica de la compañía.

El cibercrimen y las empresas según las encuestas

El porcentaje del presupuesto de IT (Tecnologías de la Información) dedicado a la Seguridad por las empresas en Estados Unidos oscila entre 1 y 5% , de acuerdo con una encuesta "Computer Crime and Security" realizada por el CSI –Computer Security Institute- con la colaboración de la Brigada de Intrusión por Computador del FBI _Federal Bureau Investigation- entre 494 ejecutivos encargados de la seguridad de empresas de diferentes sectores públicos y privados.

Según la encuesta , el 46% de las empresas asignan a aspectos de seguridad entre un 1% y 5% del presupuesto total de IT; un 16% indicaron que la seguridad recibía menos del 1% y el 23% que recibía más del 5%.

La encuesta indica que para justificar y evaluar las inversiones en seguridad, la mayoría de las organizaciones realizan algún tipo de evaluación económica con el fin de cuantificar los costos/beneficios teniendo como métrica el Valor Presente Neto (NPV), el Retorno de la Inversión (ROI) o la Tasa Interna de Retorno (IRR). El 55% de las compañías utilizan el ROI, un 28% emplea el IRR y un 25% el NPV.

En cuando a las pérdidas económicas causadas por incidentes de seguridad computacional el año pasado fue de US $141.496.560. Las mayores pérdidas fueron causadas por denegación del servicio (US $26.064.050), robo de información propietaria (US $11.460.000), abuso interno de la red (US $10.601.055) abuso de red inalámbrica (US$10.159.250) y fraude financiero (US $7.670.500).

Aunque la frecuencia de ataques a computadores declinó este año, el porcentaje de personas que respondieron que sus compañías experimentaron entre 6 y 10 incidentes de seguridad se mantuvo en un 20%, mientras que el porcentaje que dijo haber experimentado entre 1 y 5 ataques creció a un 47%. Solo un 12% estimó que el año pasado enfrentaron más de 10 ataques.

Los ataques a los sistemas han ido decreciendo especialmente los relacionados con sistemas de penetración, abuso interno y robo de propiedad de información. Sin embargo; este año la encuesta reportó un 15 % de abuso de redes inalámbricas, un 7% desfiguración del sitio en Internet y un 10% reportó un mal empleo de las aplicaciones de sitios públicos. Por otro lado, todas las organizaciones cubiertas por la encuesta experimentaron este año algún incidentes en sus sitios web. El 89% de los encuestados sufrió este año entre 1 y 5 incidentes en sus sitios web, mientras que sólo un 5% experimento más de 10 incidentes.

Según la encuesta entre los tipos de sistemas de seguridad usados para defenderse contra ataques en las redes en sus organizaciones se encuentran el más común es el uso de antivirus (99%). El 98% además reportó el uso de firewalls, el 68% de las organizaciones comenzó a usar sistemas de detección de intrusión. Otros sistemas tienen que ver con el control de acceso, el 71% usan listas de control de acceso al servidor, el 56% usa claves para establecer conexión, uso de tarjetas inteligentes 35%, sistemas biométricos 11%. Entre las medidas para proteger la información se incluyen la encriptación de datos en transito es usado por un 64% de los encuestados.

El 90% de las organizaciones que experimentaron alguna intrusión utilizaron parches de seguridad para enfrentar la acción y solamente el 50% compartió información con las autoridades.

Finalmente, la encuesta indagó lo efectos producidos por el Acto Legislativo Sarbanes-Oxley en materia de seguridad. En este punto las empresas de los sectores financieros, servicios públicos y telecomunicaciones consideran que el este ha tenido un impacto alto en la seguridad de la información de sus compañías. En contraste, las empresas de tecnología y las entidades de gobierno consideran que Sarbanes-Oxley no representó ningún cambio para sus empresas .
______________
Autor: CHANNEL PLANET


RESUMEN DE LA LEY DE DELITOS INFORMÁTICOS DE VENEZUELA

Recientemente se publicó la Ley sobre Delitos Informáticos ("la Ley"), cuyo objetivo es proteger los sistemas que utilicen tecnologías de información, así como prevenir y sancionar los delitos cometidos contra o mediante el uso de tales tecnologías (Gaceta Oficial N° 37.313 del 30 de octubre de 2001). Se trata de una ley especial que descodifica el Código Penal y profundiza aún más la incoherencia y falta de sistematicidad de la legislación penal, con el consecuente deterioro de la seguridad jurídica.

La Ley define los términos tecnología de la información, sistema, data, documento, computadora, hardware, firmware, software, programa, procesamiento de datos o de información, seguridad, virus, tarjeta inteligente, contraseña y mensaje de datos.

La ley presenta varias deficiencias y problemas, entre los que podemos mencionar los siguientes:
(i) Utiliza términos en el idioma inglés, cuando la Constitución solo autoriza el uso del castellano o lenguas indígenas en documentos oficiales;
(ii) No tipifica delito alguno relativo a la seguridad e integridad de la firma electrónica y a su registro;
(iii) La terminología utilizada es diferente a la de la Ley de Mensaje de Datos y Firmas Electrónicas, tal como se observa en la definición que hace del mensaje de datos con lo que se propicia un desorden conceptual de la legislación en materia electrónica;
(iv) Repite delitos ya existentes en el Código Penal y en otras leyes penales, a los cuales les agrega el medio empleado y la naturaleza intangible del bien afectado;
(v) Tutela los sistemas de información sin referirse a su contenido ni sus aplicaciones;
(vi) No tutela el uso debido de Internet; y
(vii) Establece principios generales diferentes a los establecidos en el libro primero del Código Penal, con lo cual empeora la descodificación.

La Ley, que pretende ser un Código Penal en miniatura, pero carece de la sistematicidad y exhaustividad propias de tal instrumento, elabora cinco clases de delitos:
1) Contra los sistemas que utilizan tecnologías de información;
2) Contra la propiedad;
3) Contra la privacidad de las personas y de las comunicaciones;
4) Contra niños y adolescentes y;
5) Contra el orden económico.

1) Los delitos contra los sistemas que utilizan tecnología de información son los siguientes:
a) El acceso indebido a un sistema, penado con prisión de uno a cinco años y multa de 10 a 50 unidades tributarias (UT);
b) El sabotaje o daño a sistemas, incluyendo cualquier acto que altere su funcionamiento, penado con prisión de cuatro a ocho años y multa de 400 a 800 UT, que aumentará a prisión de cinco a diez años y multa de 500 a 1.000 UT si para su comisión se utiliza un virus o medio análogo. Si se trata de sabotaje o daño culposo, la pena se reduce entre la mitad y dos tercios. Si se trata de sabotaje o acceso indebido a sistemas protegidos, la pena aumenta entre la tercera parte y la mitad;
c) La posesión de equipos o prestación de servicios para actividades de sabotaje, penado con prisión de tres a seis años y multa de 300 a 600 UT;
d) El espionaje informático, que incluye la obtención, difusión y revelación de información, hechos o conceptos contenidos en un sistema, penado con prisión de tres a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para sí o para otro, la pena aumenta entre un tercio y la mitad. El aumento será de la mitad a dos tercios si se pone en peligro la seguridad del Estado, la confiabilidad de la operación de las personas afectadas o si como resultado de la revelación alguna persona sufre un daño; y
e) La falsificación de documentos mediante el uso de tecnologías de información o la creación, modificación o alteración de datos en un documento, penado con prisión de tres a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para sí o para otro, la pena aumenta entre un tercio y la mitad. Si el hecho resulta en un perjuicio para otro, el aumento será de la mitad a dos tercios

2) Delitos contra la propiedad: La técnica legislativa utilizada en este caso es incorrecta, pues a delitos ya previstos en la codificación penal se les crea una supuesta independencia, cuando la única diferencia existente es el medio utilizado (electrónico en lugar de mecánico o material) y la naturaleza del bien tutelado, que en este caso es intangible, mientras que en los bienes muebles es física. En esta clase se incluyen:
a) El hurto, que consiste básicamente en apoderarse de un bien o valor tangible o intangible de carácter patrimonial, sustrayéndolo a su tenedor mediante el acceso, interceptación, interferencia, manipulación o uso de un sistema que utilice tecnologías de información, penado con prisión de dos a seis años y multa de 200 a 600 UT;
b) El fraude realizado mediante el uso indebido de tecnologías de información, penado con prisión de tres a siete años y multa de 300 a 700 UT;
c) La obtención indebida de bienes o servicios mediante el uso de tarjetas inteligentes (tarjetas de crédito, de débito o de identificación que garanticen el acceso a un sistema reservado u otras similares, penado con prisión de dos a seis años y multa de 200 a 600 UT;
d) El manejo fraudulento de tarjetas inteligentes, o la creación, duplicación o incorporación indebida de datos a registros, listas de consumo o similares, penado con prisión de cinco a diez años y multa de 500 a 1.000 UT. La misma pena será impuesta a quienes sin tomar parte en los hechos descritos se beneficien de resultados obtenidos;
e) La apropiación indebida de tarjetas inteligentes, penado con prisión de uno a cinco años y multa de 10 a 50 UT. La misma pena se impondrá a quien reciba o adquiera dichas tarjetas
f) Provisión indebida de bienes o servicios utilizando una tarjeta inteligente, a sabiendas de que dicho instrumento ha sido falsificado, está vencido o ha sido alterado, penado con prisión de dos a seis años y multa de 200 a 600 UT; y
g) La posesión de equipos para falsificaciones, penado con prisión de tres a seis años y multa de 300 a 600 UT.

3) Los delitos contra la privacidad de las personas y las comunicaciones son los siguientes:
a) La violación de la privacidad de la data o información de carácter personal que se encuentre en un sistema que use tecnologías de información, penado con prisión de dos a seis años y multa de 200 a 600 UT. Esta pena se aumentara de un tercio a la mitad si como consecuencia del delito descrito resulta un perjuicio para el titular de la información o para un tercero;
b) La violación de la privacidad de las comunicaciones, penado con prisión de dos a seis años de prisión y una multa de 200 a 600 UT; y
c) La revelación indebida de datos o información obtenidos por los medios descritos en los literales a) o b) anteriores, penado con prisión de dos a seis años y multa de 200 a 600 UT. Esta pena se aumentara de un tercio a la mitad si el delito se cometió con fines de lucro o si resulta en un perjuicio para otro.

El tema de la privacidad ha sido uno de los mas discutidos en los ordenamientos jurídicos extranjeros, debido a los derechos humanos. Principalmente, en cuanto a los dos primeros puntos. Las discusiones se han concentrado, básicamente, en la posibilidad de que el empleador revise las conversaciones y envío de datos de los empleados que utilizan como medio el sistema del empleador, así como la propiedad de la información contenida en del sistema del empleador. Con relación al tercer punto, el tema se ha centrado en la posibilidad de que el dueño de un sistema venda información personal de los usuarios del sistema con fines de comercialización.

4) Los delitos contra niños y adolescentes son los siguientes:
a) La difusión o exhibición de material pornográfico sin la debida advertencia para que se restrinja el acceso a menores de edad, penado con prisión de dos a seis años y multa de 200 a 600 UT; y
b) La exhibición pornográfica de niños o adolescentes, penado con prisión de cuatro a ocho años y multa de 400 a 800 UT.

5) El último tipo contempla los delitos contra el orden económico, que son los siguientes:
a) La apropiación indebida de propiedad intelectual mediante la reproducción, divulgación, modificación o copia de un software, penado con prisión de uno a cinco años y multa de 100 a 500 UT; y
b) La oferta engañosa de bienes o servicios mediante la utilización de tecnologías de la información, penado con prisión de uno a cinco años y multa de 100 a 500 UT, sin perjuicio de la comisión de un delito más grave.

Además de las penas principales indicadas anteriormente, se impondrán, sin perjuicio de las establecidas en el Código Penal, las siguientes penas accesorias:
(i) El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y cualquier otro objeto que haya sido utilizado para la comisión de los delitos previstos en los artículos 10 y 19 de la Ley (posesión de equipos o prestación de servicios de sabotaje y posesión de equipos para falsificaciones).
(ii) Trabajo comunitario por el término de hasta tres años en los casos de los delitos previstos los artículos 6 y 8 de la Ley (acceso indebido y favorecimiento culposo del sabotaje o daño).
(iii) La inhabilitación para el ejercicio de funciones o empleos públicos; para el ejercicio de la profesión, arte o industria; o para laborar en instituciones o empresas del ramo por un período de hasta tres años después de cumplida o conmutada la sanción principal, cuando el delito se haya cometido con abuso de la posición de acceso a data o información reservadas, o al conocimiento privilegiado de contraseñas, en razón del ejercicio de un cargo o función público, del ejercicio privado de una profesión u oficio, o del desempeño en una institución o empresa privada.
(iv) La suspensión del permiso, registro o autorización para operar o para ejercer cargos directivos y de representación de personas jurídicas vinculadas con el uso de tecnologías de información, hasta por el período de tres años después de cumplida o conmutada la sanción principal, si para cometer el delito el agente se valió de o hizo figurar a una persona jurídica.
(v) Además, el tribunal podrá disponer la publicación o difusión de la sentencia condenatoria por el medio que considere más idóneo.

En conclusión, la Ley llena parcialmente un vacío legislativo en una materia de mucha importancia. Sin embargo, múltiples deficiencias y problemas en la técnica legislativa empleada y los conceptos usados, así como diversas lagunas y contradicciones, la hacen insuficiente como complemento del resto de la legislación, por lo que será necesario hacer una nueva tipificación de forma sistemática y exhaustiva, en el nuevo Código Penal que se adelanta en la Asamblea Nacional.


‘Hackers buenos’ crean páginas para atacar a los ‘malos’


Crearon páginas falsas de Internet para bloquear los sitios desde donde se cometen fraudes contra los usuarios.

Cansados del creciente número de fraudes por Internet, un grupo de "vigilantes" virtuales tomó la justicia en sus propias manos y comenzó a "hackear" sitios sospechosos de ser una trampa para los usuarios.

Estos hackers apuntan sobre todo a sitios falsos construidos para parecerse a portales de bancos o instituciones financieras, desactivándolos y/o insertando en ellos mensajes tales como "Cuidado - Este sitio era una estafa", o "Este banco era fraudulento y ha sido eliminado".

La acción de los autoproclamados "héroes hackers" aparece en medio de nuevos sistemas de fraude por Internet -conocidos como "phishing"- que tratan de llevar a sus víctimas hacia sitios falsos para sacarles datos personales.

El "phishing" consiste en el envío de cadenas de email en las que se dice ser un banco, una tarjeta de crédito o cualquier otra empresa y se pide "confirmar" o "poner al día" datos personales e información financiera. Las personas que caen en el engaño dan información que luego es usada para delinquir.

Los analistas dicen que con estos métodos se llega a robar hasta un millón de dólares por día en todo el mundo, en delitos que incluyen hasta el robo de identidad.

La empresa de seguridad británica Netcraft fue de las primeras en ocuparse de estas actividades, descubriendo sitios creados para robarle las palabras clave y los login a los usuarios de los sitios web de pago Paypal (E.U.) y NatWest Bank (Gran Bretaña).

"Mientras que el 'phishing' es indudablemente una actividad ilegal, la legalidad de destruir sitios de 'phishing' es también bastante cuestionable, aunque en los casos observados por Netcraft hasta ahora es razonable asumir que sólo los propios estafadores resultaron afectados", dijo la empresa.

Algunos de estos hackers 'buenos' salieron a explicar su caso.

"Sólo atacamos a bancos falsos, nada más. Nuestros blancos son los ilegales y los dominios que no sacan a los sitios ilegales", dice un mensaje puesto en el sitio SecurityFocus por el grupo británico "The Lad Wrecking Crew".

Debate por el método

Otros grupos similares describen su actividad como un servicio público.

"Se arrastran por Internet como cucarachas, robando, engañando y mintiendo. Le roban a cualquiera, no tienen moral, usan tarjetas de crédito robadas, hacen falsos pedidos para recibir ayuda, quieren todo lo que puedan obtener gratis", dice el mensaje.

Una particularidad de esta metodología es que puede ser realizada desde países donde no se pueden poner en práctica acciones legales.

"Las leyes no pueden hacer nada contra ellos. ¡Pero nosotros sí!", agrega el mensaje.

Si bien estos 'hackers buenos' lograron parar a una gran cantidad de sitios dedicados al fraude, los expertos en seguridad tienen dudas respecto a sus métodos.

"¿El fin que buscan es bueno? Sin dudas. ¿Sus métodos se justifican? No lo sé", dijo Cory Altheide, del SANS Internet Storm Center, una asociación de expertos en seguridad.

"Todo lo que sé es que las historias de vigilantes que terminan bien son muy pocas", remató.



 
CONTACTANOS
Para más información