El Phishing

Mi entrada de hoy es sobre un tipo de delito informático denominado Phishing, término que deviene del ingles fishing (pesca) que hace referencia al intento, por parte de los hackers, de hacer que los usuarios "piquen en el anzuelo” (de la supuesta caña de pescar “informática”), de cuentas de miembros de diversas compañías, etc.. Es decir, que un eunuco (estafador o phisher) te quiere enganchar haciéndote el supuesto verso (El cuento del tío, mejor dicho) de que es tu banco de confianza o la compañía en que trabajas o que vos conoces o determinada persona, etc. y en una aparente comunicación oficial electrónica te informa que tienes que ingresar (vos como usuario) determinados datos para poder acceder a la dirección de una página Web, o mediante enlaces fraudulentos, esas ‘páginas paralelas’ (copias de la original), mensajes de correo electrónico (e-mail), etc.; pero en realidad te redirige a un servidor que tiene el mismo aspecto que el de tu servicio bancario, y enviará todos los datos que suministraste a los atacantes.

Tuve en consideración para ello un Fallo “G. R. Y OTRO S/PROCESAMIENTO” (CAUSA 39.779) RESUELTA el 3/8/2010, de la Sala VI Juzgado de Instrucción Nº 2 de la Cámara Nacional de Apelaciones en lo Criminal y Correccional de la Capital Federal.

En este fallo, la Sala 6 confirma el procesamiento de los dos imputados como coautores (R. M. G. G. y M. J. R.) del delito de defraudación previsto en el artículo 173 inciso 16 del Código Penal Argentino, bajo la modalidad manipulación de datos informáticos (Phishing) a través de una ‘página paralela’ por medio de la cual obtuvieron los datos necesarios (información confidencial) de manera fraudulenta como: el código de transferencia y número de tarjeta de crédito para poder operar en las cuentas bancarias del damnificado (E. R. R.), efectuando dos transferencias de $ 780 y $ 770 desde la cuenta de caja de ahorro y cuenta corriente de la víctima, a la cuenta caja de ahorro de uno de los imputados (G.), todas en el mismo Banco X.

Para poder comprender sobre lo expuesto, el Código Penal Argentino tipifica esta figura de la siguiente manera:

ARTICULO 173.- Sin perjuicio de la disposición general del artículo precedente, se considerarán casos especiales de defraudación y sufrirán la pena que él establece:

Inciso 16. El que defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos. (Inciso incorporado por art. 9° de la Ley N° 26.388, B. O. 25/6/2008).

¿A que se quiere refiere el Código Penal con esto?:

Se refiere que el que defraude (entendiendo a esto como engañar o exponer a otra persona por cualquier medio informático a una afirmación falsa haciéndola pasar por verdadera, infundiéndole un actuar errado) será castigado como indica la ley, es decir, a lo Doña Rosa: quien quiera meterles el perro haciéndose pasar por el Banco, compañía, etc., va a ir preso.

¿Como sucedieron los hechos de este fallo?:

Según lo manifestado por E. R. R., es decir la victima, el día ocho de septiembre del año dos mil nueve, mientras la misma verificaba el estado su cuenta que posee en el Banco X apareció, en su computadora vía Internet, una pantalla paralela que le indicaba que ingresara su número de tarjeta de débito y código de transferencia, lo que realizó porque ello supuestamente le daría una mejor atención y seguridad en la operación bancaria.

Agregó el damnificado que el día nueve de septiembre, al intentar extraer a través del sistema de cajero automático de una sucursal de su Banco, dinero de su cuenta advirtió que le faltaba el mismo en su cuenta corriente y caja de ahorro, y realizó con los datos que pudo obtener el reclamo formal en su Banco y la correspondiente denuncia penal.

También dijo la victima que no conocía a ninguno de los imputados (R. M. G. G. y M. J. R.), ni tampoco a quien le ‘habría’ adquirido una ‘supuesta camiseta de football’ a través de una página de Internet (Facebook, más concretamente) o sea M. B., manifestando que no adquirió camiseta alguna, como dijeron los imputados en su descargo ante la fiscalía.

Para la Cámara el descargo de los imputados no resulta creíble, ya que no presentaron prueba alguna para avalar la transacción comercial ( es decir, la compra) que ellos alegan como determinante de la transferencia de fondos y por otra parte se advierte que es por demás elevado el monto supuestamente abonado en relación al producto enajenado (una suma de $1.400 fijado como precio de la camiseta y convinieron por gastos de envío la suma de $ 150); todo ello sin perjuicio de que hasta el momento no se localizó todavía a M. B. (el supuesto comprador). El hecho que no se hayan verificado, en este caso, todos los pasos del procedimiento del "Phishing" (como alega tan insistentemente la asistencia técnica de G.) o que no se haya determinado de qué computadora se realizó las transferencias, no altera los graves indicios cargosos contra ellos. Es más y teniendo en consideración y evaluación del  contexto y circunstancias en que el dinero de la victima (R.) haya ingresado en la cuenta de uno de los imputados (G.) justo al día siguiente y mediante una manipulación informática (por medio página paralela) obtuvo los datos (código de transferencia y número de tarjeta de débito), es suficiente indicio la materialidad del hecho y la intervención de los imputados como para agravar la situación procesal de los imputados; los datos de las cuentas en las que ingresó el dinero y los resúmenes de quien aparece como el damnificado fueron aportados por el Banco.

La Cámara resolvió confirmar los puntos que fueran materia de recurso y que las pruebas sugeridas por la defensa resultan conducentes y útiles para agotar la pesquisa; restando solamente consignar la dinámica  del fraude informático ("Phishing") y que uno de los imputados (G.) es perito mercantil con orientación en computación como lo certifica la copia del diploma que otorgó.

¿Frente a casos como este, que acciones pueden llevarse a cabo para no ser víctima del "phishing" o en su caso estar alerta para evitarlo?:

• Lo primero que hay que saber es que estos tipos de ataques, son cada vez más sofisticados: nos dicen que tenemos que cambiar las contraseñas, que tienen que verificar nuestra cuenta, etc. es decir, que la forma de intentar engañarnos cambia día a día, más lo que no cambia es que siempre nos pedirán nuestros datos; pero estos ataques aciertan por casualidad como si se tratara de una ruleta, envían miles y miles de correos electrónicos, y siempre se camuflan detrás un Banco conocido, de una empresa o compañía reconocida, etc... Lo que  seguramente mucha gente que reciba esos e-mails, sean clientes del Banco, compañía, etc., teniendo los phisher una garantía de que a alguien van a ‘enganchar’ (estafar); con esto me estoy refiriendo a que nosotros, como usuarios, no tenemos que dejarnos estar o descuidarnos, ya que la mayoría de ataques Phishing producidos en Internet son por esas causales.
• Debemos fijarnos en la dirección exacta del remitente (o sea quien nos lo envía), independientemente del nombre que nos salga y si sospechamos o desconfiamos del mensaje (vía e-mail, cadenas de nombres, enlaces, etc.), por que nos piden datos confidenciales (como información personal, información financiera, nombres de usuario, contraseñas, números de tarjeta de crédito, etc.), no debemos abrirlos, ni le demos ningún tipo de dato ya que en casi todos los casos... se enmascaran en direcciones falsas, por una dirección Web o interfaz de confianza de los usuarios. Si fuere ese el caso, puede llamar al número telefónico de la entidad bancaria que supuestamente le ha enviado el correo electrónico para que le confirmen si ese correo electrónico es o no de la entidad.

La dirección del ataque de phishing siempre tratará de emular la dirección de nuestro Banco de confianza, si la Web Site de nuestro Banco es www.caixa.com, por ejemplo, la página phishing serán parecidas:

1. www.micaixa.com
2. www.micaija.com
3. www.lacaixa.com
4. www.lacaija.com
5. www.caija.com
6. etc.

• Si le parece que la dirección de Internet es un poco extraña, y sospecha que se trata de un ataque de phishing, reitero 'si sospecha'... llame al número telefónico del  Banco y pregunte si han modificado su Web Site  y que le confirmen si es o no de la entidad; para poder asegurarnos de que conectamos con un servidor Web seguro, compruebe en la barra de direcciones del navegador, que la URL comienza por "https://".

Asimismo cuando navegue por la Web y haga uso de la misma (accediendo a las cuentas de correos, compras online, su Banco vía online, etc.), es sumamente importante tener instalados programas de seguridad especializados como Anti-Phishing, Antivirus, etc. ( ya que es común la proliferación de gusanos, troyanos, todos destinados a robar los datos de los usuarios) para ello, mantenga su sistema actualizado, el operativo y el resto de aplicaciones poniendo especial atención al navegador de Internet.

También puede guardar en favoritos las Web Sites de acceso a correos electrónicos, del Banco, redes sociales (como por ejemplo Facebook), etc.; pero nada quita la conveniencia de consultar sus cuentas periódicamente revisando u observando el estado de éstas y sus movimientos con el fin de localizar algún posible caso de estafa.

• Cuando creen una contraseña, elijan siempre cadenas compuestas de por lo menos ocho o más caracteres, alternando combinaciones de letras y números, cuanto mas complicado lo realicen mejor para ustedes y peor para los phisher, está de más decirles que deben hacerlo de manera tal, que no les dificulten el acordarse de la contraseña creada. Recuerden: no usar datos obvios (como  nombre de un familiar cercano, fechas de nacimiento, etc.), porque muchas veces esas suplantaciones de identidad  provienen de personas que obtienen los datos de las redes sociales, perfiles, etc., así es mejor que no les hagan las cosas más fáciles para ellos. Pero diéramos el caso de que algún motivo han sido víctimas de un robo de algunos de sus datos (Phishing), lo que deben hacer, es  cambiar la contraseña de aquel registro que ha sido hackeado; mas, es también aplicable a todos los que aún no han sufrido un ataque como estos, porque de esta forma estaremos todos seguros al bloquear la posibilidad de que algún amigo de lo ajeno lo esté usando o esté interviniendo nuestras conversaciones, correos, perfiles, etc... Le recomiendo que usen diferentes contraseñas para distintas cuentas de correos, redes sociales, etc., así si llegasen a ser hackeados algunas de sus contraseñas, el resto de datos importantes estarán libres de cualquier intento de este tipo de defraudación.

• Deben prestarle bastante atención al ícono (por ejemplo: un candado cerrado o un ícono similar), que debe aparecer en la barra de estado inferior del navegador, informando de que estamos conectados con un servidor Web seguro; pero pueden  asegurarse haciendo Doble Chick sobre el ícono  y podrán visualizar el certificado de seguridad y comprobar su validez. 

Bueno, espero que con este pequeño desarrollo de esta entrada les haya servido, aunque mas no sea, para conocer un poco mas sobre este tipo de delito informático; les dejo para que vean un video de Youtube, que tiene un lindo resúmen y es más gráfico. Mis Saludos. Gracias.

Fuentes:

Fallo "G. R. Y OTRO S/PROCESAMIENTO” (CAUSA 39.779)

Video explicativo sobre Phishing en Youtube (Configurar Equipos)

Código Penal Argentino

Fallos P. J. N. R. A.

Wikipedia - Phishing

Wikipedia - Fishing

http://www.delitosinformaticos.com.ar/

http://www.configurarequipos.com/

 

http://www.microsoft.com/latam/

http://www.laflecha.net/

http://www.milbits.com/

http://utsupra.com/

 

En Santa Fe,Por Orden Judicial,Quitaron Un perfil Falso De Facebook(1)

Autosatisfacen a Facebook

Por n.altamira | Publicado: 17 Agosto 2010

Un Juez de Rafaela, Santa Fe, le ordenó a Facebook, Inc. eliminar de su plataforma el perfil de un supuesto usuario que estaba usurpando la identidad de una persona y a su vez injuriándola al manifestar hechos y circunstancias que eran mentiras. ¿Cuántas órdenes judiciales recibirá Facebook de jueces de muy diversas ciudades del mundo?

La noticia cuenta que a un señor oriundo de Sunchales le usurparon la identidad, le crearon una cuenta en la red social Facebook, le atribuyeron preferencias e inclinaciones sexuales diferentes a las reales, lo que le ocasionó un grave conflicto en el ámbito familiar y laboral, por lo que acudió al Juzgado de Primera Instancia en lo Civil, Comercial y Laboral de la Cuarta Nominación de la ciudad de Rafaela para requerir una medida autosatisfactiva que ordene a Facebook, Inc. dar de baja a ese usuario específico.

La orden dictada por la jueza Susana M. Rebaudengo se basó en lo resuelto por la Justicia de Rosario, en el caso “Bartomioli Jorge Alberto c/Facebook Inc. s/Medida Autosatisfactiva”, donde el actor -en representación y ejercicio de la patria potestad de su hijo menor de edad- promovió la Medida Autosatisfactiva para que Facebook Inc., disponga la inmediata eliminación de los sitios individualizados con precisión en la demanda, y se abstenga en el futuro de habilitar el uso de enlaces, blogs, foros, grupos, sitios de fans, o cualquier otro espacio web de Facebook.com en los que injurie, ofenda, agreda, vulnere, menoscabe o afecte de cualquier manera, el nombre, el honor, la imagen, la intimidad y/o la integridad del menor Dante Bartomioli.

Ambos casos tienen como denominadores comunes los siguientes: 1) jueces de Tribunales Ordinarios de ciudades argentinas imponen órdenes a una empresa extranjera con presencia en Argentina sólo vía Internet; 2) las empresas extranjeras objetan la competencia del juez para juzgarlas, pero al final cumplen la medida; 3) los afectados reconocen que no son las culpables pero sí las responsables de su difusión; y 4) el domicilio fijado en Nic.Ar sirve para notificar.

El primer aspecto es importante para evacuar las dudas sobre si un juez puede o no decidir sobre cuestiones que suceden únicamente en Internet y cuyos datos no están alojados en su jurisdicción. La respuesta es contundente: sí, puede.

El segundo aspecto está vinculado a la pregunta inicial y vale destacar que Facebook a julio de 2010 cuenta con 500 millones de miembros y traducciones en 70 idiomas, lo que incrementa exponencialmente las posibilidades de recibir órdenes judiciales de cientos de miles de lugares del mundo por cuestiones similares que deberá cumplir, como lo hizo en estos casos comentados.

En el tercer aspecto, los damnificados buscan una solución inmediata -“eliminar esa información perjudicial”- y otra mediata -encontrar al autor, que deberá canalizarse por otra acción distinta a la medida autosatisfactiva que se agota con la eliminación-.

El último aspecto es esencial para que todo estos procesos sean efectivos, ya que si no se pudiera notificar en Argentina, la orden judicial tendría que pasar por Cancillería, buscar un Jjez en California para llegar finalmente a Facebook, lo que desvirtuaría la inminencia del proceso judicial.

En Santa Fe,Por Orden Judicial,Quitaron Un perfil Falso De Facebook(2)

Lo dispuso una jueza de Rafaela, Santa Fe. Fue ante la presentación de una persona, que había denunciado la existencia de una cuenta en esa red social con su nombre, que él no había creado y cuyo contenido afectaba su imagen e intimidad.

La jueza Susana Rebaudengo, a cargo del Juzgado Civil, Comercial y Laboral Tercera Nominación de Rafaela, Santa Fe, ordenó a Facebook Inc. de Argentina quitar un perfil de esa red social.

Fue en una causa iniciada por una persona, luego de ésta que tomara conocimiento de la existencia de un perfil falso en Facebook con su nombre y sus datos personales, y en donde se incluían detalles sobre su orientación sexual.

En la resolución, la magistrada asegura que “existiendo un alto grado de certeza que alcanza una evidencia tal que no admite, prima facie, posibilidad de discusión como asimismo entendiendo que nos encontramos ante una situación de urgencia como se está generando un perjuicio irreparable, previa la constitución de fianza por la suma de $ 30.000, con justificación de solvencia, ofíciese a Facebook Inc. de Argentina a los fines de que dentro del término de tres días procesa a bloquear y cancelar la cuenta existente en la red social Facebook a nombre del actor y se abstenga en adelante de habilitar el uso de enlaces, blog, foros, grupos, sitios de fans en los que se menoscabe u ofenda la imagen e intimidad del actor”.

Asimismo, envió oficio a los buscadores de Internet Google, Yahoo! y Bing, para que “realicen los actos necesarios para la eliminación del nombre e imagen del actor de los resultados de búsqueda con los sitios detallados en autos”.

Fuente: CIJ

CERVEZA DE MALTA - MALZBIER - BELEZA!!!!!!!

MALZBIER - O MAIS RICA DO MUNDO:

Para los cerveceros entre ustedes, seguro un sacrilegio, para los que lo somos menos y nos va lo (muy) dulce, la combinación perfecta. No es en vano que en Alemania se la conoce también por la "cerveza para niños" aunque, al igual que ocurre con la mayoría de cervezas sin alcohol, sí que lo tiene. Los azúcares caramelizados añadidos le dan el color oscuro y el sabor característico que recuerda mucho alsirope de remolacha.

El proceso de elaboración es muy similar al de la cerveza, la diferencia es que la levadura se añade a una temperatura muy baja, casi de 0 ºC, por lo que apenas se produce fermentación alcohólica. También lleva gas y azúcares añadidos.

Guerra de las cervezas

Popularmente conocida como cerveza de malta, pasó a llamarse Malztrunk o "bebida de malta" en 1960 tras la que se llamó "guerra de las cervezas dulces". En Baviera está prohibido producir cerveza de malta con azúcar añadido, y entonces llegaron a confiscarse las importaciones a la región. Finalmente el Tribunal Supremo dictó una sentencia salomónica por la que la hasta entonces conocida Malzbier pasaba a denominarse Malztrunk quedando así solucionado el problema del añadido de azúcar. ELB