El Comercio Electrónico principales amenazas
Transcripción
El Comercio Electrónico principales amenazas
Universidad Latinoamericana de Ciencia y Tecnología Facultad de Ingeniería Escuela de Ingeniería Informática Trabajo final para optar por el Grado de Licenciatura en Informática con Énfasis en Desarrollo Tema: El Comercio Electrónico: principales amenazas Estudiante: Denieci Moreno Azofeifa Cédula: 1-1017-0515 Profesor: Lic. Miguel Pérez Montero III Cuatrimestre 2007 Índice Resumen Ejecutivo............................................................................................................... 3 Palabras clave:..................................................................................................................... 3 Abstract ................................................................................................................................. 3 Keywords: .............................................................................................................................. 4 I. INTRODUCCIÓN............................................................................................................. 4 II. ¿Qué es comercio electrónico? ................................................................................ 5 a. Ventajas del comercio electrónico ...................................................................... 6 b. Tratamiento del comercio electrónico en Costa Rica ...................................... 7 Banco Nacional de Costa Rica.................................................................................. 7 BAC San José ................................................................................................................ 8 Abonos Agro de Costa Rica ....................................................................................... 8 Grupo TACA .................................................................................................................. 8 Café Britt ........................................................................................................................ 8 c. Asesoría sobre comercio electrónico ................................................................... 9 VirtualB............................................................................................................................ 9 COSTAQ ecommerce .................................................................................................. 9 d. Marco Regulatorio del Comercio Electrónico..................................................... 9 Ámbito nacional ........................................................................................................... 9 Ámbito internacional ................................................................................................. 10 e. Riesgos del comercio electrónico....................................................................... 10 1. El Phishing ............................................................................................................ 11 ¿Cómo podemos evitar ser víctimas del phishing?.................................................. 13 2. El Pharming.......................................................................................................... 15 ¿Cómo evitar el pharming? ....................................................................................... 16 3. El Spoofing........................................................................................................... 18 ¿Cómo protegernos?................................................................................................. 19 III. CONCLUSIONES....................................................................................................... 19 IV. REFERENCIAS BIBLIOGRÁFICAS .............................................................................. 20 2 El Comercio Electrónico: principales amenazas Denieci Moreno Azofeifa1 Resumen Ejecutivo El constante cambio de la tecnología nos impulsa a ser cada vez más dependientes del uso tecnológico. Actualmente, se promueve la compra y pago de servicios por Internet, haciendo un par de clics, sin necesidad de apersonarse al lugar; sin embargo, esta maravilla, también, está expuesta a grandes amenazas, los fraudes electrónicos, donde somos víctimas injustamente de los estafadores. Este artículo presenta, las principales amenazas que enfrentamos ante el comercio electrónico, así como una serie de recomendaciones que el lector puede considerar para no ser víctima de un fraude electrónico. El autor presenta definiciones necesarias para su comprensión, el posicionamiento del comercio electrónico en nuestro país, principales ventajas, el marco regulatorio en el ámbito nacional e internacional, empresas que promueven y brindan asesoría sobre el comercio electrónico, principales riesgos y amenazas como el phishing, el pharming y el spoofing, por último, recomendaciones para protegernos y actuar ante un malintencionado estafador. Palabras clave: Comercio electrónico, amenazas, phishing, pharming, spoofing. Abstract The constant change of technology leads us to be more and more dependent on technologic use. Presently, the purchase and payment of services through Internet is promoted through a pair of clicks with no need to come to the store. This wonder is also exposed to big threatening such as electronic frauds. In this sense we turn into the burglars’ unfair victims. This article shows the main threatening we face on e-commerce as well as a series of recommendations the reader may considerer to avoid been victim of e-fraud. The author shows the necessary definitions for the understanding, positioning of electronic commerce in our country, the main advantages, regulating framework at 1 Bachiller en Ingeniería Informática. Candidata a Licenciatura en Ingeniería Informática con Énfasis en Desarrollo, ULACIT. Correo electrónico: [email protected] 3 national and international sphere, companies that promote and provide advice on e-commerce, main risks and threatening such as the phishing, the pharming and the spoofing. Lastly, it contains recommendations for us to protect and take actions in case we face an ill-intentioned cheater. Keywords: E-commerce, threatening, phishing, pharming, spoofing. I. INTRODUCCIÓN El comercio ha estado presente a través del tiempo, desde que se dio el primer intercambio o trueque, el cual marcó de una u otra manera, el inicio de una modalidad que permitía adquirir cosas a cambio de otras; luego con el pasar de los años, este intercambio se convierte propiamente en el pago con dinero. Con la presencia continua de nuevas tecnologías, se tiene la Internet en la vanguardia, la que ha propuesto toda una revolución en el comercio mundial; dando lugar a lo que se conoce hoy día con el nombre de “comercio electrónico”. Sin embargo, cuando se habla del comercio electrónico, no se debe asociar de forma única y exclusiva con Internet, debido a que como transacción comercial, éste, también, se realizaba a través de mecanismos electrónicos, que existían antes de la llegada de Internet. Claro está, que Internet lo impulsó a desarrollarse en entornos más abiertos de comunicación, sin límite geográfico y tiempo. Con la presencia de Internet se rompen las barreras y se permite una comunicación abierta y sin límites, donde todo el que tenga acceso puede participar en él, sin la necesidad de conocer la parte con la que se está entablando comunicación. Esta funcionalidad, de comunicación abierta, además de presentar grandes ventajas, como la realización de tareas cotidianas; también, se convierte en un gran ajedrez para los estafadores en la red, lo que nos hace vulnerables ante las amenazas constantes, ya que diariamente con el avance tan acelerado de la tecnología, desconocemos las armas con las que podemos atacar y actuar, protegiéndonos de posibles fraudes informáticos. Uno de los objetivos más grandes de un estafador es sabotear y arruinar la existencia y credibilidad de las empresas o personas participantes del comercio electrónico, haciendo de este fenómeno comercial un arma de doble filo: una es la facilidad para el cliente y otra es la posibilidad de los estafadores de cometer sus delitos. 4 No se pretende alarmar y ni mucho menos mal informar tanto la estrategia como el manejo del comercio electrónico, sino crear conciencia de la importancia de mantenernos informados y como actuar ante una posible amenaza. Si bien es cierto, somos vulnerables, eso no nos limita en las acciones previas que su pueda tomar al respecto para que de alguna forma se pueda ir combatiendo las acciones malintencionadas de un estafador. A continuación, se presenta un breve análisis, cuyo objetivo primordial, es informar ante las amenazas que nos enfrentamos día a día. II. ¿Qué es comercio electrónico? El comercio electrónico puede definirse como cualquier actividad en la cual se vean implicadas empresas o comercios que realizan negocios electrónicos, ya sea que el negocio se realice entre empresas, empresa-cliente o en el mismo sistema administrativo de cada empresa. Otra manera, la cual se puede definir el comercio electrónico es hacer negocios on-line (en línea) para comprar o vender productos por medio de sitios Web especializados. Una de las características del comercio electrónico es que permite a cada empresa tener más eficiencia y flexibilidad en todas las acciones internas de ésta. En el comercio electrónico se desarrollan cuatro categorías, las cuales representan varias modalidades en este gran avance tecnológico: 1. Compañía- Compañía: se da cuando la empresa utiliza una red para poder realizar pedidos, recibir facturas, realizar pagos, entre otros, con otra empresa que posea la misma naturaleza de comercio electrónico. En esta categoría, se utiliza el Intercambio Electrónico de Datos EDI (Electronic Data Interchange). 2. Compañía-Cliente: esta categoría ha sido bien aceptada gracias a la Word Wide Web (WWW) ya que ésta le permite al cliente realizar las compras o trámites necesarios sin tener que ir a los comercios. 3. Compañía-Administración: esta categoría se da cuando la empresa envía documentos y realiza trámites con los diferentes organismos gubernamentales. 4. Cliente-Administración: esta categoría permite al cliente realizar pagos de servicios y trámites directos con los diferentes organismos gubernamentales. 5 Si comentamos acerca del comercio electrónico, es importante, también, exponer una síntesis de su historia. Con el intercambio electrónico, se originaron en Estados Unidos en los años sesentas, las primeras fases del comercio electrónico iniciando los diferentes sectores del ferrocarril, como por ejemplo: los negocios al detalle, verdulerías y por las fábricas de automóviles. Esta red de comercio electrónico, fue creada para mejorar la calidad de los datos que se intercambiaban entre distintos proveedores. En los años setentas, se dio la expansión del comercio electrónico, ya no solo lo utilizaban instituciones con finalidades financieras, sino también, con fines comerciales. Una vez que Internet obtuvo una cantidad importante de usuarios, se observa que se podía obtener un potencial muy grande para los negocios. a. Ventajas del comercio electrónico El comercio electrónico presenta múltiples ventajas para los clientes por citar: permite accesar y conocer mayor cantidad de información, realización de compras en cualquier parte del mundo, realización y comprobación de pagos, seguimiento a créditos, la reducción de costos, entre otros. En cuanto a las empresas, permite mejorar la distribución de mercaderías, ya que los pedidos pueden ser entregados más rápidamente. Además, se obtienen beneficios operacionales como la reducción de tiempo, disminución de errores y costos de promoción e implantación de productos. No existe límite de tiempo ni espacio geográfico, lo que corresponde una de las mayores ventajas, ya que las transacciones pueden realizarse 24 horas al día, los 365 días del año. A pesar del auge e impulso que ha tenido el comercio electrónico a nivel mundial, aún requiere madurar una serie de limitaciones que provocan la falta de aprovechamiento de esta tecnología informática. El medio empresarial y la tecnología cambiante hacen que tanto las empresas que impulsan y promueven el comercio electrónico, así como los usuarios, no den a vasto con el avance tecnológico. Por otra parte, la falta de seguridad y el exponer nuestra privacidad al exterior, provoca que los usuarios se sientan desconfiados al realizar transacciones virtuales, ya que no se tiene la certeza de que su información personal sea obtenida de manera ilícita por un estafador. 6 Los asuntos sociales, legales y políticos, también, son factores que aún requieren más apoyo; por ejemplo, la protección a la propiedad intelectual, la falta de implementación de la firma digital y la definición de leyes y causas penales que apoyen el mal uso de esta tecnología, provocan gran desconfianza para continuar utilizando el comercio electrónico. En la medida en que el comercio electrónico obtenga más presencia en el mundo, se hace necesaria una definición de la legislación, situación que resulta difícil teniendo en cuenta las diferencias ya existentes en lo que se refiere a la normativa. Ante la falta de conocimiento por parte de los usuarios sobre la regulación legislativa existente, los delitos informáticos seguirán creciendo y adquiriendo poder, por ello, se puede combatir dichas estafas manteniéndonos informados y tomando medidas necesarias para afrontar tal situación. b. Tratamiento del comercio electrónico en Costa Rica El comercio electrónico en Costa Rica, se dio por primera vez en el año 1991, con el lanzamiento del sistema electrónico de subastas de la Bolsa Nacional de Valores, la cual es una aplicación Web que permitía la captación de dos grandes emisores de títulos valores: el Banco Central de Costa Rica y el Ministerio de Hacienda, significando en nuestro país, el inicio de una nueva etapa tecnológica. Después de 1995, se logra integrar la Bolsa electrónica a la Bolsa Nacional de Valores; en el año 2000, entra en vigencia el sistema de intercambio electrónico de acciones, promoviendo la negociación de títulos valores mediante un esquema de seguridad propicio en el sector accionario. Luego, en 1996, se dio a conocer la cuenta maestra empresarial del Banco Banex; desde el éxito que presentaron estas dos empresas costarricenses, otras se unieron al cambio e innovaron con una nueva visión del comercio en Internet. En nuestro país existe gran variedad de empresas gubernamentales y no gubernamentales que ofrecen sus servicios por medio de aplicaciones Web, las cuales se hace mención de algunas de ellas: Banco Nacional de Costa Rica El Banco Nacional de Costa Rica tiene a disposición de sus clientes la aplicación Web BN-Internet Banking, la cual corresponde a una de las mejores páginas que utiliza el comercio electrónico cuyos protocolos de seguridad han sido verificados con el fin de proteger a los usuarios de cualquier tipo de estafa o fraude. Los usuarios, tienen la facilidad de realizar transacciones en tiempo real, ya que las alianzas del Banco Nacional con otros centros, facilitan la cancelación 7 de servicios de diversas índoles. El Banco Nacional cuenta con las certificaciones de seguridad emitidas por la firma Vering Sing, las cuales garantizan el cumplimiento de todos los estándares de calidad y de aseguramiento de la información confidencial. BAC San José El BAC San José, es una empresa que también les ofrece a sus clientes la opción de realizar todas las transacciones necesarias por medio de Internet. También, cuenta con todos los estándares emitidos en el aseguramiento de la información. Abonos Agro de Costa Rica La empresa de Abonos Agro de Costa Rica, presenta, también, un comercio electrónico con diferencia a las páginas del sector bancario, ya que ésta ofrece la realización de pedidos desde la aplicación Web y ver materiales que ofrece la empresa por medio de catálogos. La empresa le brinda la opción de poder registrarse y así, poder recibir en la comodidad de su hogar las promociones que brinda, así como información de ferias y muchas facilidades más. Cuenta con un protocolo de seguridad que garantiza la protección de información confidencial. Grupo TACA El grupo de la aerolínea TACA, es otra empresa que tiene en el país la opción de realizar consultas y reservaciones de vuelos por medio de Internet; la empresa sabe la importancia de mantener los datos de sus clientes seguros, por lo tanto, ha creado diferentes mecanismos de seguridad para ofrecer un buen servicio. Entre ellos están la codificación de datos previa a ser transferidos, cierre automático de la sesión y el bloqueo automático de acceso no autorizado mediante la configuración de los muros de fuego o lo que se conoce como firewalls, encargados de asegurar la confiabilidad de la red privada. Además; no se guarda la información de tarjetas de crédito de los clientes, esto por motivos de extrema seguridad, por otra parte, cuenta con un sistema de PIN que le permite a sus usuarios ver el estado de las cuentas aunque se encuentren a larga distancia. Café Britt La empresa Café Britt pone a disposición una aplicación Web que permite la revisión de productos por medio de catálogo, la continuidad de pedidos solicitados por un cliente, así como la realización de pedidos en línea; utiliza protocolos de seguridad que codifican los datos antes de ser enviados a los servidores, y cuenta con la facilidad de que si el usuario no desea incluir los datos de la tarjeta de crédito puede realizarlo vía telefónica o por fax. 8 c. Asesoría sobre comercio electrónico A continuación y de manera general, se mencionan dos de las empresas que brindan asesoría para el establecimiento del comercio electrónico. VirtualB Constituye un grupo de profesionales en la implementación del comercio electrónico, asesorando a los clientes en cuanto a la obtención de un nuevo canal de ventas, mejorando la atención del servicio al cliente, manejo eficiente en la gestión de inventarios, definición previa del proyecto, desarrollo, implementación y mantenimiento del comercio electrónico. Las soluciones integrales son propuestas desde un ambiente de software de licencia pública o GNU, que corresponde a una facilidad para el cliente, ya que la inversión va en miras de seguridad y no en la adquisición de software que limita de una u otra manera la inversión inicial pretendida para el proyecto. COSTAQ ecommerce Cuenta con un grupo de profesionales, complementado por administradores de negocios, desarrolladores de software, diseñadores gráficos, administradores contables, y expertos en diversas áreas que manejan negocios en Internet, brindando asesorías a los clientes que cumplen con los requisitos y tienen la capacidad para incursionar en el comercio electrónico. d. Marco Regulatorio del Comercio Electrónico Ámbito nacional Los diputados que integran la Asamblea Legislativa, tomaron una decisión entre los años 2005 y 2006 de enviar a la Comisión Permanente de Asuntos Jurídicos, un nuevo proyecto denominado “Ley de Comercio Electrónico”, para que se le haga un debido análisis. Los diputados son conscientes de que estamos viviendo en mundo globalizado y con mucha tecnología. Estos avances tecnológicos, hacen que las empresas se integren al nuevo mercado del comercio electrónico. En la actualidad, existe la Ley No. 8454 del 30 de agosto del 2005 que decreta “Ley de Certificados, Firmas Digitales y Documentos Electrónicos”, donde se faculta al Estado y todas las entidades públicas a la utilización de certificados, firmas digitales y documentos electrónicos; el reconocimiento de la equivalencia funcional, el alcance, la suspensión o revocación de certificados digitales, sanciones, amonestaciones y multas emitidas a los certificadores que incumplan con dicha normativa. 9 Analistas de la Comisión Permanente de Asuntos Jurídicos, aseguran que si una ley se va a crear, se tiene que tener claro la realidad a la cual esta ley o proyecto va dirigido. Con este nuevo proyecto, lo que se pretende lograr es sancionar a todas las personas que utilizan la Internet para cometer actos delictivos que dañen la moral, infieran en alguna investigación penal, realicen discriminación por color, religión, género, entre otros y así crear un comercio electrónico más seguro en el país. Además existe la Ley No. 8148, la cual decreta la adición de los artículos 196 BIS, 217 BIS y 229 BIS al Código Penal Ley No. 4573, para reprimir y sancionar los delitos informáticos; esta ley define que las personas que cometan violaciones de comunicaciones electrónicas serán reprimidas de seis meses a dos años de prisión, las que comentan fraudes informáticos de uno a diez años de prisión, los que alteren datos y realicen sabotaje informático recibirán una pena de uno a cuatro años de prisión. Ámbito internacional Nuestro país ha logrado establecer el comercio electrónico en el Tratado de Libre Comercio Costa Rica- Canadá y Costa Rica-Estados Unidos; así como la participación activa con la Organización Mundial del Comercio (OMC). La Organización Mundial del Comercio (OMC) es la única organización internacional que se ocupa de las normas globales que rigen el comercio entre los países. Su principal función es garantizar que las corrientes comerciales circulen con la máxima fluidez, previsibilidad y libertad posibles, cuyo objetivo es mejorar el nivel de bienestar de la población de los países miembros (p.1-2). e. Riesgos del comercio electrónico Al haber expuesto, en un nivel general, las facilidades y ventajas del comercio electrónico, también, estamos en la obligación de exponer los riesgos que enfrentamos ante su uso; ya que han surgido una gran cantidad de prácticas ilegales que hasta la fecha, gran mayoría de usuarios desconoce. El tema del comercio electrónico aún es innovador en nuestro país, ya que las personas vienen empapándose de las ventajas que tiene y la emoción de facilitar la vida a través de un clic; pero no saben que detrás de tanta facilidad y exhibición electrónica, nos esperan grandes artimañas delictivas que son netamente desconocidas por nosotros. 10 El objetivo principal es informar, claramente a los usuarios, cuales son algunas de las tecnologías que optan los estafadores para cometer sus delitos, así como identificar cuando se está frente a una posible amenaza electrónica. Se insta a que una vez leído este artículo informe a otras personas y autoridades superiores con fin de iniciar una guerra justificada, que estaríamos perdiendo si no nos comprometemos a conocer y detener sus acciones. Actualmente en la red, existe una gran cantidad de riesgos al establecer comercio electrónico, sin embargo, me enfocará en tres tecnologías utilizadas para estafar a un cliente potencial, las cuales son el phishing, el pharming y el spoofing. 1. El Phishing Actualmente tanto las empresas que promueven como los usuarios que utilizan el comercio electrónico están expuestos a un posible fraude informático, el phishing, que corresponde a una simulación casi exacta de una página Web, ya que identificar una copia de una original requiere malicia, observación y conocimiento previo sobre el tema de seguridad en Internet. El phishing pretende adquirir información confidencial de una persona mediante el engaño y la simulación de una situación real, este tipo de fraude no sólo sucede en el ámbito de la tecnología informática, sino que también, podría darse mediante el uso de mensajería corta SMS o inclusive por medio de una llamada telefónica, sin embargo, el término phishing es aplicado para el área de informática específicamente. El término phishing surge de la palabra pescando en inglés fishing y la contracción de password harvesting fishing (cosecha y pesca de contraseñas), ya que es el acto de "pescar" la información clasificada y confidencial de un usuario indefenso mediante señuelos y engaños que hacen que el usuario resulte víctima de esta anomalía y entregue dicha información con facilidad al estafador o por su nombre en inglés phisher. Lo más común documentado por la Asociación Anti-Phishing Working Group, industria y asociación que aplica la ley contra las prácticas de phishing, es el envío de correos electrónicos en apariencia provenientes de sitios Web reconocidos o de confianza, donde se le solicita al usuario llene un formulario con información confidencial y envíe el mismo o bien, mediante un vínculo falso que lo lleva a una copia idéntica de la página Web de la empresa; es aquí, donde la víctima se le hace creer que es legítima y por falta de conocimiento cae con facilidad cediendo ante tal estafa. 11 Es importante recalcar que las empresas que formalizan el comercio electrónico no son responsables de las posibles estafas que podemos ser víctimas, los únicos responsables somos nosotros mismos, la mejor manera de combatir el phishing, es mantenerse informado, ya que día a día se presentan casos más especializados. Además, existe una serie de recomendaciones emitidas por los medios de comunicación y las empresas involucradas; sin embargo, como usuarios finales no prestamos atención ante esta divulgación de información por nuestra actitud confiada y de buena fe ante posibles amenazas y fraudes. La imagen que a continuación se muestra es un ejemplo de un correo electrónico enviado a un cliente del Banco CAJA MADRID donde se solicita la confirmación de los datos de la cuenta. El caso expuesto anteriormente, sucede todos los días no solo en nuestro país sino a través del mundo; de 20 correos electrónicos enviados indiscriminadamente un usuario cae en la trampa y remite al estafador con un solo clic información muy valiosa. Imagen 1. Ejemplo de correo electrónico. Tomada de http://www.delitosinformaticos.com/ noticias/111209172188299.shtml Según un estudio publicado por la Asociación Anti-Phishing Working Group, en julio del 2007, los laboratorios de seguridad de la Web (Websense Security Labs), observaron que China está situada en el primer lugar de los 10 países con el índice más alto de alojamiento de sitios Web dedicados al phishing, con un 23.74%, seguido por los Estados Unidos con un 22.93%, Japón 6.24%, Tailandia 4.44%, Venezuela 4.37%, Brasil 3.74%, Rusia 3.42%, Francia 3.25%, Reino Unido 2.68% y Alemania con 2.38%. A continuación, se muestra un gráfico representativo de la información anterior. 12 Imagen 2. Los diez países con el índice más alto de alojamiento de sitio Web dedicados al phishing. Tomado de: Phishing Activity Trends, Julio 2007. Algunas características que presentan estos correos electrónicos con intenciones fraudulentas son el uso de nombres de compañías ya existentes adoptando la imagen corporativa, el uso del nombre de algún funcionario de la empresa y las instrucciones emitidas van en función de la pérdida económica, el cierre de una cuenta bancaria, el cierre de un crédito, entre otros; además, de un plazo límite que provoca la distracción del usuario, sin darse cuenta que está frente a un posible fraude. Otro ejemplo, es cuando dentro del correo electrónico enviado se incluye un enlace para confirmar los datos solicitados, sin embargo, éste es “puente” que hace conexión con el servidor del estafador y no a la página Web acreditada por la empresa prestigiosa; donde inclusive se muestran los certificados de seguridad confundiendo más a la víctima. ¿Cómo podemos evitar ser víctimas del phishing? • Manténgase informado tanto con los protocolos de seguridad emitidos por las entidades que involucran el comercio electrónico, los medios de comunicación y las tendencias actuales del fraude electrónico. • Sea malicioso. • Consulte ejemplos recientes de fraudes electrónicos, para ello, puede accesar a http://www.antiphishing.org/phishing_archive.htm. • Consulte las leyes, políticas, ejemplos y prevenciones contra el phishing emitidas por la asociación de industrias de Estados Unidos por la Asociación Anti-phishing Working Group, (http://www.apwg.com) 13 • Nunca responda correos electrónicos donde se solicite información confidencial como claves electrónicas, PIN, números de cuenta, entre otros datos personales, ya que las empresas de prestigio como los bancos por políticas de seguridad exigen que cualquier trámite sea realizado personalmente y no así, solicitando información de los clientes vía telefónica o electrónica. • Nunca accese al o los enlaces incluidos dentro del correo electrónico donde se solicite la confirmación de su información personal, ya que podría estar frente a una simulación de un sitio web seguro y a un posible fraude electrónico. • Para los dos casos anteriores verifique la veracidad del correo electrónico poniéndose en contacto con la entidad involucrada. • Ante la sospecha de un correo electrónico de dudosa procedencia, elimínelo de inmediato tanto de la bandeja de entrada como del buzón de elementos eliminados. • Introduzca la dirección URL en la barra de direcciones del navegador, nunca mediante enlace de un correo electrónico o página Web. Además debe iniciar con el acrónimo https2 y no http3. Donde la s clasifica al sitio como un sitio Web seguro. • Asegúrese de que está ingresando a un sitio Web cifrado. El navegador Internet Explorer utiliza un icono amarillo (candado) ubicado en la barra de estado (barra inferior de la ventana). Si el candado está cerrado corresponde a un sitio Web cifrado para proteger su información personal. • Verifique la legitimidad del certificado de seguridad del sitio Web cifrado. Dé doble clic sobre el ícono de candado, el nombre que aparece en Enviado a debe ser el mismo del sitio Web donde se encuentra navegando. • En la barra de direcciones del navegador la dirección URL debe ser el protocolo https y no http. • Mantenga actualizado regularmente el software del navegador, ya que estos constantemente están incluyendo nuevos cambios y protecciones ante posibles fraudes y cada vez, es más difícil falsificar la barra de 2 https: Hipertext Transfer Protocol Secure. Protocolo Seguro de Transferencia de Hipertexto 3 http: Hipertext Transfer Protocol. Protocolo de Transferencia de Hipertexto. 14 direcciones, por lo que es una buena opción inclusive realizarla de manera automática cuando se conecte a Internet. • Mantenga actualizado su software antivirus. • Verifique con regularidad sus estados de cuenta bancarios, créditos, entre otros, con el fin de monitorear los movimientos realizados. • Cuando sienta la presencia de un posible fraude electrónico, proceda a remitir detalles del estafador, al Centro de Denuncias De Fraude En Internet, al enlace http://www.ifccfbi.gov; este centro opera en todo el mundo cuyo fin principal es el de clausurar e identificar los responsables del fraude electrónico. • Instale un software antivirus que contenga definiciones anti-phishing tales como: Bitdefender Antivirus, Panda Antivirus 2007, McAfee Virusscan Plus, PC-Cillin Internet Security 2006, Norton Antivirus 360. • Si su navegador es Internet Explorer obtenga gratuitamente el filtro de phishing diseñado para bloquear y proteger potencialmente los sitios Web mientras navega, los cuales están disponibles la versión de Internet Explorer 7 para Windows XP y Windows Vista; para aquellos usuarios con un sistema operativo inferior está disponible la barra de herramientas Windows. Pueden encontrarlos en la página http://www.microsoft.com. • Verifique las recomendaciones emitidas por Microsoft Corporation, en cuanto al establecimiento de seguridad en su navegador. Diríjase a http://www.microsoft.com/windows/ie/ie6/using/securityandprivacy/default.m spx 2. El Pharming El pharming, corresponde a una nueva técnica de fraude informático, mucho más sofisticada, compleja y silenciosa, que hace a los usuarios de Internet más vulnerables, debido a la dificultad que presenta para su identificación en nuestros equipos. Esta tecnología consiste en modificar la resolución de nombres de dominio mediante código malicioso conduciendo al usuario a una página Web falsa. Esta resolución se conoce con el nombre en inglés de Domain Name Service o por su acrónimo DNS (Servicio de nombre de dominio). Pero, ¿a qué se refiere resolución de nombres de dominio? Es cuando un usuario ingresa la dirección de un sitio Web, y ésta es convertida internamente a 15 un valor numérico conocido como dirección IP; esta conversión corresponde a la resolución de nombre de dominio; ya que es más fácil recordar una palabra para un sitio Web en particular que una combinación numérica. Por ejemplo, cuando escribimos http://www.servitecdigital.com el DNS lo convierte a 194.70.254.56. Los servidores DNS son los encargados de conectar al usuario a la página Web que desea ver, pero a través del pharming, los estafadores o pharmers por su nombre en inglés, logran que el usuario sea dirigido a sitios Web que no son auténticos. Otro tipo de pharming más efectivo, es el que se realiza a nivel local en nuestra computadora, me imagino que se preguntará, ¿cómo hace un estafador para modificar la configuración de una computadora? El estafador aloja un software con código malicioso en la computadora, por ejemplo, mientras estamos navegando por el ciberespacio, al descargar un software gratuito o de prueba, mientras descargamos un archivo de música, al abrir un correo electrónico de dudosa procedencia, y podría mencionar muchos más, este software se conoce como malware. Una vez alojado este software, se procede a cambiar de manera silenciosa la configuración de un archivo llamado hosts, que contiene cualquier computadora bajo el sistema operativo Windows y el navegador Internet Explorer, donde se alojan las direcciones IP y los nombres de servidores que más suele utilizar el usuario. Lo invitamos para que busque este archivo y lo abra con el Bloc de notas de Windows, ahí podrá observar una o más direcciones IP y sus correspondientes nombres de servidores, normalmente, aparece en primera instancia 127.0.0.1 localhost, que corresponde a la dirección y nombre de nuestra computadora. ¿Cómo evitar el pharming? La mejor manera de evitar el pharming es asegurarnos de que la página Web que estamos visitando sea la correcta, siguiendo algunas de las recomendaciones citadas anteriormente y por otra parte, no permitir que se instale un software malicioso en nuestro equipo. Pero, nos imaginamos, que también, se preguntará si no existiese un mecanismo más sencillo de verificar la dirección real del sitio Web donde ésta navegando. Para ello, tenemos una recomendación que puede serle útil. Efectivamente, sí existe un truco fácil de realizar y que cumple con su objetivo, el de mostrar la dirección exacta donde está navegando. Escriba en la barra de direcciones del explorador una página Web; luego, ahí mismo en la barra de direcciones del explorador escriba lo siguiente: 16 javascript:alert(“Sitio Web:”+location.protocol + “//” + location.hostname + “/”) A continuación, se mostrará una ventana donde aparece el protocolo que está utilizando, los más comunes http (hipertexto o páginas web) o https (sitios Web seguros), y el nombre del servidor donde está actualmente. Imagen 3. Comprobación de dirección de un sitio Web. Fuente: Elaboración propia. Pero, no necesariamente cada vez que esté navegando tiene que escribir el código anterior; proceda a realizar los siguientes pasos, así cada vez que quiera comprobar el nombre del sitio Web donde está navegando, podrá realizarlo con un clic. Una vez que escribe el código anterior, vaya al menú de navegación y seleccione la opción “Favoritos” (Favorites), de un clic “Agregar a Favoritos” (Add a Favorite), a continuación, se desplegará un cuadro de diálogo solicitando el nombre, asigne un nombre que siempre recordará, por ejemplo: “CONTRA ROBOS”, a partir de este momento, podrá corroborar el nombre real de la página Web donde se encuentre. Podría inclusive, agregar el botón en la barra de vínculos de Internet Explorer, para que se encuentre siempre a la vista. Para aquellos que inician, con la administración y establecimiento de seguridad en la red, cambie la contraseña predeterminada de los ruteadores4, ésta debe cumplir con los estándares de seguridad establecidas para el manejo de contraseñas. Ruteador: encargado de transferir información a través de una red desde un origen hasta un destino. Merilee Ford, H. Kim Lew, Steven Span, Tim Stevens. Tecnologias de Interconectividad de Redes. Prentice Hall, 1998. 4 17 Pero, también es importante que realice algunas acciones para evitar que en su computadora se aloje un malware. Le recomendamos que realice lo siguiente: 1. Nunca abra archivos adjuntos de correos electrónicos de dudosa procedencia 2. Descargue las actualizaciones del software antivirus, actualmente, todos solicitan una actualización automática cada cierto tiempo. 3. Verifique el estado de su computadora, ejecutando el escaneo de virus, antiphishing y antipharming de su antivirus. 4. Utilice un firewall. Podría utilizar el que trae Windows por predeterminado o bien adquirir otro con mayor seguridad. 5. Lo más importante es que muchas veces por el temor a no conocer no se realizan las recomendaciones anteriores, para ello, utilizamos estas dos frases muy comunes “echando a perder se aprende” y “nadie nace aprendido”, ya que no necesita ser ingeniero informático para actuar, con solo la disponibilidad es un gran paso para iniciar a protegerse de las malas intenciones de un estafador. 3. El Spoofing Corresponde a otra técnica utilizada por un estafador o spoofer para obtener un canal abierto de acceso a una o más computadoras de la red. Sin embargo, esta amenaza es la más técnica de describir y por esta razón, limitamos su definición y protección, debido a que el manejo y los mecanismos para actuar, son ejecutados de forma directa por Administradores de Red y especialistas en comunicación, se pretende aminorar su importancia ni tampoco confundir al lector; sino fomentar una inquietud para el cuidado y establecimiento de mecanismos de seguridad para la protección de accesos indeseados a la red de comunicación. La frase conocida popularmente “la caja fuerte más segura del mundo se abre de la manera más sencilla”, expone en pocas palabras, lo que realiza la técnica de spoofing a una red vulnerable. El spoofing hace un envío de paquetes tipo broadcast, que corresponde a la transmisión de información de un destino a una multitud de receptores dentro de la red y obtiene de la computadora que responde al llamado, indicios de puertos abiertos o algún tipo de vulnerabilidad en el software de la computadora o el ruteador. Ejemplos: 18 1. A finales de 1990, Citibank experimentó un ataque de spoofing, ya que un intruso (en inglés hacker) descubre que una de las computadoras utilizaba un módem para realizar su conexión a Internet con la contraseña 123, lo suficientemente vulnerable para ser identificada fácilmente; dicha acción provocó grandes pérdidas económicas y sociales. 2. La empresa Microsoft Corporation introdujo el sistema operativo Windows 2000, el cual tenía abierto el puerto 443, provocando un acceso indeseado a cualquier computadora por parte de un intruso, quien instaló un virus que borraba el sector de arranque del disco duro. ¿Cómo protegernos? La protección que recomendamos, es muy escueta y generalizada, esto por la complejidad del tema y con el fin de no crear confusión al lector, sino más bien, a manera de guía por donde iniciar. 1. Mantenga actualizado su sistema operativo con el más reciente Service Pack. 2. Si está utilizando una plataforma Linux, cierre los puertos de acceso y evite que el servidor responda a las solicitudes broadcast generados desde Internet. 3. En el caso de las redes, instale un software que escanée las vulnerabilidades de la red, éstos abarcan desde computadoras personales hasta ruteadores y firewalls, el cual puede mantenerse en ejecución las 24 horas sin perjudicar la transferencia y la comunicación en la red. Dos ejemplos de este software, pueden ser Observer Suite de la empresa NetWork Instruments y FoundStone de McAffee. III. CONCLUSIONES El comercio electrónico, con el avance tecnológico, ha dado un giro trascendental, rompiendo las barreras tradicionales del comercio, ya no es necesario hacer una transacción con horario establecido y tampoco apersonarse a realizarla. La presencia del comercio electrónico en nuestro país, ha tenido que enfrentarse, principalmente, a múltiples situaciones, entre ellas, la cultura tradicional del consumidor costarricense y el temor a ser estafados. Día a día, las denuncias por fraudes electrónicos, provocan la desconfianza de utilizar dicho medio, limitando a las empresas con deseos de comercializar sus productos y servicios, además del temor del consumidor. 19 El objetivo de este artículo, es informar a los usuarios de las ventajas del comercio electrónico y alertarlos de las principales amenazas a las que estamos expuestos. Además, recalcar, que se cuenta con un marco regulatorio tanto a nivel internacional como a nivel nacional. Una de las debilidades encontradas a través de este estudio, fue la falta de información y atención por parte de la mayoría de los usuarios, ya que no se cuenta con esa malicia informática de que mientras estamos navegando puede existir alguna persona malintencionada induciéndonos a caer en su trampa, para cometer su delito. Por lo anterior, no se trata de dejar de utilizar el comercio electrónico y sus grandes ventajas, sino concienciar, al usuario en su uso y prevención ante posibles fraudes. Las principales amenazas que enfrentamos son el phishing, el pharming y el spoofing; sin embargo, el autor presenta una serie de recomendaciones por seguir para protegernos de éstas. Sin embargo, no basta con seguir las recomendaciones y tener malicia a la hora de realizar una transacción, sino el mantenernos informados constantemente de otras técnicas utilizadas así como las recomendaciones para no ser víctimas de los estafadores. Para finalizar, todos estamos expuestos, desde grandes corporaciones hasta los usuarios que navegan desde la comodidad de su hogar, a posibles accesos y manipulaciones indebidas, pero eso no quiere decir que somos totalmente vulnerables, ya que si actualizamos nuestros equipos con software antivirus, antiphishing y antipharming, con la utilización de firewalls, el establecimiento de mecanismos de seguridad, y lo más importante mantenernos informados y tomar las acciones correctivas, podremos minorizar el número de estafas electrónicas. Recuerde que el fraude electrónico no es responsabilidad única y exclusiva de la empresa, sino de nosotros mismos. IV. REFERENCIAS BIBLIOGRÁFICAS Asociación Anti-Phishing Working Group. Recuperado el 26 de agosto del 2007, de http://www.apwg.com Baquia. Pharming Nueva Técnica De Fraude. Recuperado el 11 de noviembre del 2007, de http://www.baquia.com/noticias.php?id=9414 20 Blogalaxia. Spoofing. Recuperado el 16 de agosto del 2007, de http://mexico.blogalaxia.com/busca/spoofing Condenado Por Un Caso De Phishing, Pharming, Troyano. Recuperado el 16 de agosto del 2007, de http://inza.wordpress.com/2006/07/11/condenado-por-uncaso-de-phishing-pharming-troyano Definición De IP Spoofing ¿Qué Es Ip Spoofing?. Recuperado el 12 de agosto del 2007, de http://www.alegsa.com.ar/Dic/ip%20spoofing.php Definición De Spoofing. Recuperado el 15 de octubre del 2007, de http://www.descargar-antivirus-gratis.com/spoofing.php Delitos Informáticos. Recuperado el 23 de agosto del 2007, de http://www.delitosinformaticos.com Diccionario De Hacking (Parte 2). Recuperado el 10 de octubre del 2007, de http://www.biografica.info/redei/diccionario-de-hacking-25.php?split=1 El Rincón De Javier. El Ip Spoofing Y Cómo Evitarlo. Recuperado el 11 de noviembre del 2007, de http://www.elrincondejavier.net/html/index.php?name=News&file=article&sid=2 08 Infospyware. Qué Es El Phishing Pharming. Recuperado el 16 de agosto del 2007, de http://www.infospyware.com/phishing_pharming.htm Jsilvestb. Pharming. Recuperado el 16 de agosto del 2007, de http://jsilvestretb.wordpress.com/2007/07/17/pharming Ley No. 8148, Decreta la Adición de los Artículos 196 BIS, 217 BIS y 229 BIS al Código Penal Ley No. 4573, para Reprimir y Sancionar los Delitos Informáticos, Asamblea Legislativa. Costa Rica. Ley No. 8454-“Ley de Certificados, Firmas Digitales y Documentos Electrónicos”-, 30 de agosto del 2005, Asamblea Legislativa. Costa Rica. Merilee, F., Kim, L., Steven, S., Stevens, T.(1998). Tecnologías de Interconectividad de Redes. Prentice Hall. Microsoft Corporation. El Pharming, Otro Nuevo Fraude Cibernético. Recuperado el 16 de agosto del 2007, de http://www.microsoft.com/spain/empresas/legal/pharming.mspx 21 Microsoft Corporation. Pharming ¿Es Su Sitio Web De Confianza. O Una Buena Falsificación?. Recuperado el 16 de agosto del 2007, de http://www.microsoft.com/spain/athome/security/privacy/pharming.mspx Miginside.Net. El Pharming Y La Manipulación Del Tráfico De Internet. Recuperado el 16 de agosto del 2007, de http://www.miginside.com/hck/?q=node/424 NetMedia. Ataque De Pharming Golpea 65 Objetivos Financieros. Recuperado el 16 de agosto del 2007, de http://netmedia.info/articulo-31-6793-1.html Nueva Técnica De Fraude: El Pharming. Recuperado el 10 de octubre del 2007, de http://www.belt.es/noticias/2005/abril/01/pahrming.htm Organización Mundial del comercio. Recuperado el 16 de agosto del 2007, de http://www.wto.org/spanish/news_s/pres98_s/pr096_s.htm Panda Segurity. Phishing. Tipo De Amenazas. Recuperado el 16 de agosto del 2007, de http://www.pandasecurity.com/spain/homeusers/security-info/typesmalware/phishing Picado, M. Comercio Electrónico: Oportunidades y Retos en el Entorno Internacional Proyecto de Ley No.16081-“Ley Comercio Electrónico”-La Gaceta 108-6 JUN2006, Asamblea Legislativa. Costa Rica. ¿Qué Es El Pharming?. Recuperado el 16 de agosto del 2007, de http://www.techfaq.com/lang/es/pharming.shtml Recovery Labs. Pharming. Recuperado el 16 de agosto del 2007, de http://www.recoverylabs.com/informes/Recovery_Labs_pharming.pdf Retronet. Introducción Al IP Spoofing. Recuperado el 16 de agosto del 2007, de http://www.retronet.com.ar/node/81 Seguridad Básica En Un Sistema Linux.: Seguridad Y Red. Recuperado el 10 de octubre del 2007 de http://david.f.v.free.fr/ponencias/Seguridad_Basica_en_Linux/seguridad-5.html Seguridad Informática Básica. Tipos De Ataque. Recuperado el 12 de octubre del 2007, De Http://Foro.El-Hacker.Com/Index.Php/Topic,24573.0.Html Seguridad Informática Básica. Tipos De Ataques. Recuperado el 13 de octubre del 2007, de http://www.foromsn.com/Version_Imprimible.php?Id=236729 22 Softonic.Com. Como Funciona Un Ataque De Negación De Servicio?. Recuperado el 13 de agosto del 2007, de http://foros.softonic.com/showthread.phtml?t=53527 Spoofing. Recuperado el 16 de agosto del 2007, de http://www.ibiblio.org/pub/linux/docs/LuCaS/Manuales-LuCAS/docunixsec/unixsec-html/node274.html Wikilearning. ¿Cómo Funciona El Ip Spoofing?. Recuperado el 16 de agosto del 2007, de http://www.wikilearning.com/como_funciona_el_ip_spoofing-wkccp175-4.htm Wikilibros. Hacks Para Unix-Like: Tipos De Ataques Remotos. Recuperado el 10 de octubre del 2007, de http://es.wikibooks.org/wiki/Hacks_para_Unixlike:Tipos_de_ataques_remotos Wikipedia, La Enciclopedia Libre. Spoofing. Recuperado el 12 de octubre del 2007, de http://es.wikipedia.org/wiki/Spoofing Wikipedia, The Free Enciclopedia. Ip Adress Soofing. Recuperado el 5 de octubre del 2007, de http://en.wikipedia.org/wiki/IP_address_spoofing Wikipedia, The Free Encyclopedia. Spoofing Attack. Recuperado el 11 de noviembre del 2007, de http://en.wikipedia.org/wiki/Spoofing_attack 23