Facultad de ciencias fsicas y matemticas

TEMA:
Delito Informtico: Phishing
INTEGRANTES:
Minchn Benites, Flix Eduardo
Ortega Contreras, Juan Carlos
Pinco Cabanillas, Brandon Kristofer
CURSO:
tica para Profesionales en Informtica
PROFERSORA:
Yenny Sifuentes Daz
CICLO:
VIII

TRUJILLO, PER

1
 INDICE

1.- INTRODUCCION. 3
2.- DEFINICION. 4
3.- HISTORIA DEL PHISHING... 4
3.1.- ORIGEN DEL TERMINO. 4
3.2.- PHISHING EN AOL... 4
4.- FUNCIONAMIENTO DEL PHISHING. 5
5.- PROCEDIMIENTO PARA LA PROTECCION 6
PASO 1.. 6
PASO 2.. 6
PASO 3.. 6
PASO 4.. 6
PASO 5.. 7
6.- CASOS DE PHISHING 8
CASO 1.. 8
CASO 2.. 8
CASO 3.. 9
7.- PHISHING EN EL CODIGO PENAL 11
8.- CONCLUSIONES. 12
9.- BIBLIOGRAFIA... 12

INDICE DE FIGURAS
FIG. N01.- CORREO FALSO BANCO BBVA.. 9
FIG. N02.- DIRECCION FALSA TARJETA VISA.. 10
FIG. N03.- FORMULARIO FALSO TARJETA VISA. 11

2
1.- Introduccin

Para nadie es un secreto, que el mundo en sus afanes de globalizacin y de expansin de

polticas de todo tipo, se ve inmerso en una gran ola de tecnologa y aplicativos que le
ayuda a hacer su vida un poco ms fcil. Igualmente, como se dan adelantos para
nuestro beneficio, tambin existen mentes perversas dedicadas a desarrollar tecnologa
maliciosa para sacarse provecho de personas ingenuas que poco o nada conocen de ello.
Este es el caso de la Internet, una herramienta que tiene sus comienzos en la de dcada
de los 60 cuando el cientfico londinense Tim Berners-Lee diseo el lenguaje HTML
(HiperText Markup Lenguage), lenguaje que permiti hacer ms cmoda la
transferencia de datos a travs de la WWW (World Wide Web), herramienta que
utilizaban los norteamericanos para diferentes proyectos de defensa; un origen muy
noble si se tiene en cuenta los fines para los cuales fue creada, pero la forma como se ha
utilizado para robo de identidades, de informacin, de dinero, en fin, para gran cantidad
de delitos a nivel mundial es preocupante.

En este proyecto, trabajaremos lo relacionado con una de esas formas de fraude, EL

PHISHING, que en su significacin lo denominamos La Pesca, y se le llama as
debido a que los delincuentes constantemente estn tirando sus anzuelos para ver que
pez pueden atrapar y as de esta forma, eviscerarlos y dejarlos en la calle.

Esperamos que esta informacin que les brindaremos sea de gran utilidad para todos los
usuarios, para que aprendan a conocer la forma en como se les pretende engaar para
hacerles dao.

3
2.- Definicin
Es la capacidad de duplicar una pgina web para hacer creer al visitante que se
encuentra en la pgina original en lugar de la copiada. Normalmente se utiliza con fines
delictivos duplicando pginas web de bancos conocidos y enviando
indiscriminadamente correos para que se acceda a esta pgina a actualizar los datos de
acceso al banco.
En ocasiones, el trmino "phishing" se dice que es la contraccin de "password
harvesting fishing" (cosecha y pesca de contraseas), aunque esto probablemente es un
acrnimo retroactivo.
De forma ms general, el nombre phishing tambin se aplica al acto de adquirir, de
forma fraudulenta y a travs de engao, informacin personal como contraseas o
detalles de una tarjeta de crdito, hacindose pasar por alguien digno de confianza con
una necesidad verdadera de tal informacin en un e-mail parecido al oficial, un mensaje
instantneo o cualquier otra forma de comunicacin. Es una forma de ataque de
la ingeniera social.

3.- Historia del phishing

3.1.- Origen del trmino:
El trmino phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusin al
intento de hacer que los usuarios "muerdan el anzuelo". A quien lo practica se le llama
phisher. Tambin se dice que el trmino phishing es la contraccin de password
harvesting fishing (cosecha y pesca de contraseas), aunque esto probablemente es un
acrnimo retroactivo, dado que la escritura 'ph es comnmente utilizada por hackers
para sustituir la f, como raz de la antigua forma de hacking telefnico conocida como
phreaking. La primera mencin del trmino phishing data de enero de 1996. Se dio en el
grupo de noticias de hackers alt.2600, aunque es posible que el trmino ya hubiera
aparecido anteriormente en la edicin impresa del boletn de noticias hacker 2600
Magazine. El trmino phishing fue adoptado por quienes intentaban "pescar" cuentas de
miembros de AOL.

3.2.- Phishing en AOL:

Quienes comenzaron a hacer phishing en AOL durante los aos 1990 solan obtener
cuentas para usar los servicios de esa compaa a travs de nmeros de tarjetas de
crdito vlidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso
a AOL podan durar semanas e incluso meses. En 1995 AOL tom medidas para
prevenir este uso fraudulento de sus servicios, de modo que los crackers recurrieron al
phishing para obtener cuentas legtimas en AOL. El phishing en AOL estaba
estrechamente relacionado con la comunidad de warez que intercambiaba software
falsificado. Un cracker se haca pasar como un empleado de AOL y enviaba un mensaje
instantneo a una vctima potencial. Para poder engaar a la vctima de modo que diera
informacin confidencial, el mensaje poda contener textos como "verificando cuenta" o
"confirmando informacin de factura". Una vez el usuario enviaba su contrasea, el
atacante poda tener acceso a la cuenta de la vctima y utilizarla para varios propsitos
criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requeran
generalmente el uso de programas escritos por crackers, como el AOLHell. En 1997
AOL reforz su poltica respecto al phishing y los warez fueron terminantemente

4
expulsados de los servidores de AOL. Durante ese tiempo el phishing era tan frecuente
en AOL que decidieron aadir en su sistema de mensajera instantnea, una lnea de
texto que indicaba: no one working at AOL will ask for your password or billing
information (nadie que trabaje en AOL le pedir a usted su contrasea o informacin
de facturacin). Simultneamente AOL desarroll un sistema que desactivaba de
forma automtica una cuenta involucrada en phishing, normalmente antes de que la
vctima pudiera responder. Los phishers se trasladaron de forma temporal al sistema de
mensajera instantneo de AOL (AIM), debido a que no podan ser expulsados del
servidor de AIM. El cierre obligado de la escena de warez en AOL caus que muchos
phishers dejaran el servicio, y en consecuencia la prctica.

4.- Funcionamiento del Phishing

En esta modalidad de fraude, el usuario malintencionado enva millones de mensajes
falsos que parecen provenir de sitios Web reconocidos o de su confianza, como su
banco o la empresa de su tarjeta de crdito.
Dado que los mensajes y los sitios Web que envan estos usuarios parecen oficiales,
logran engaar a muchas personas hacindoles creer que son legtimos. La gente
confiada normalmente responde a estas solicitudes de correo electrnico con sus
nmeros de tarjeta de crdito, contraseas, informacin de cuentas u otros datos
personales.
Para que estos mensajes parezcan an ms reales, el estafador suele incluir un vnculo
falso que parece dirigir al sitio Web legtimo, pero en realidad lleva a un sitio falso o
incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio
Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario
est en uno de estos sitios Web, introduce informacin personal sin saber que se
transmitir directamente al delincuente, que la utilizar para realizar compras, solicitar
una nueva tarjeta de crdito o robar su identidad.

Primeramente nosotros debemos entender que los sistemas informticos se rigen por dos
procesos bsicos:

Front-end: Interacta con el usuario.

Back-end: Procesa las entradas desde el front-end.

En una web de Phishing podemos ver que el aspecto del website es idntico al
original: estructura, grficos, etc. El delincuente de cuello blanco sabe que la mayora de
los usuarios se fijan en el aspecto grfico pero no estn pendientes o entienden los
procesos que se llevan detrs. Aunque el sitio sea una copia idntica a la original, sta
sin embargo tiene insertado cdigos que tienen como funcin tomar
los datos necesitados por los Phishers, que son las personas que se dedican a la
actividad del Phishing, para llevar a cabo su objetivo. La finalidad y objetivo del
Phisher consiste en tener acceso no autorizado a un sistema y despus obtener su
beneficio cometiendo fraude. Si la falsificacin (Phishing) se trata de un sistema
de banca-online, que es el ms comn en la red de redes, su meta final es la obtencin
de dinero mediante la transferencia de fondos. Para dejar claro el concepto: Phishing es
comparable al hecho que alguien le copie la llave de su casa, entre en ella sin su
autorizacin y finalmente lo robe.

5
La temtica, entendindose por esto el diseo y aspecto de la pgina web que acta
como Phishing, va a depender de su creador, de los motivos del Phisher y de lo que
pretende obtener. Los motivos ms comunes suelen ser:

Banca on-line: Si se trata de banca-online, el objetivo final es la transferencia de

fondos (dinero)
Correo electrnico: Si se trata de correo electrnico su objetivo es obtener
acceso no autorizado a los sistemas de e-mail
Sitio de servicio de pago: Si su tema, es algn servicio pago el objetivo es
obtener el servicio gratis dicho servicio.

Ahora veamos cmo trabaja desde cero el Phisher y a tal efecto se describe
el proceso del Phishing que en este caso llega por medio de un correo electrnico,
comnmente conocido como e-mail.
Generalmente, el usuario recibe un e-mail para llevarlo al portal falsificado
hecho por un Phisher y el e-mail se parecer a la de la entidad que intenta simular el
Phisher. El siguiente ejemplo de un fraude de banca on-line amplia el concepto

El banco, en este caso, se llama Banco-online.

El Phisher hace un estudio de la direccin de correo electrnico que usa el banco
para comunicarse con sus clientes, que en este caso es usted.
El Phisher le enva un e-mail simulando que el remitente de la cuenta de correo
es la del banco, por ejemplo: gerencia@banco-online.com. y logra engaarlo.
Usted piensa y acepta que el e-mail realmente proviene de su entidad bancaria.
El contenido del e-mail dir cualquier motivo por el cual el supuesto banco est
enviando ese e-mail y se adjuntar un hipervnculo (link), en el texto, que
simulara el link de su banco, por ejemplo: https://secure.banco-online.com/login
Usted, creyendo que este es el link autentico del banco hace click sobre l,
iniciando la sesin, pero al hacer click en el link, ste lo enviara a una pgina
como: http://200.11.11.11/login con la finalidad de que crea que es el sitio web
oficial y autentico de su banco o servicio.
Dnde entr?
Entr en la pgina falsificada creada por el Phisher y a partir de ese momento
usted le va a suministrar todos los datos que necesita el Phisher para finalmente
estafarlo. En el inicio de sesin usted le suministra el login (usuario) y el
password (clave). En otras palabras, usted le da al Phisher la llave de entrada y
acceso pleno a su cuenta bancaria.
Resultado: Lo estafaron. El Phisher transfiere los fondos de su cuenta (su dinero)
a otra cuenta como si usted mismo lo hubiera hecho.

5.- Procedimiento para la proteccin

Al igual que en el mundo fsico, los estafadores continan desarrollando nuevas y ms
siniestras formas de engaar a travs de Internet. Si seguimos estos cinco sencillos
pasos podremos protegernos y preservar la privacidad de nuestra informacin.

6
 Nunca responda a solicitudes de informacin personal a travs de correo
electrnico. Si tiene alguna duda, pngase en contacto con la entidad que
supuestamente le ha enviado el mensaje.
Para visitar sitios Web, introduzca la direccin URL en la barra de direcciones.
Asegrese de que el sitio Web utiliza cifrado.
Consulte frecuentemente los saldos bancarios y de sus tarjetas de crdito.
Comunique los posibles delitos relacionados con su informacin personal a las
autoridades competentes.

Paso 1: Nunca responda a solicitudes de informacin personal a travs de correo

electrnico.

Las empresas de prestigio nunca solicitan contraseas, nmeros de tarjeta de crdito u

otro tipo de informacin personal por correo electrnico. Si recibe un mensaje que le
solicita este tipo de informacin, no responda.
Si piensa que el mensaje es legtimo, comunquese con la empresa por telfono o a
travs de su sitio Web para confirmar la informacin recibida.

Paso 2: para visitar sitios Web, introduzca la direccin URL en la barra de

direcciones.

Si sospecha de la legitimidad de un mensaje de correo electrnico de la empresa de su

tarjeta de crdito, banco o servicio de pagos electrnicos, no siga los enlaces que lo
llevarn al sitio Web desde el que se envi el mensaje.
Estos enlaces pueden conducirlo a un sitio falso que enviar toda la informacin
ingresada al estafador que lo ha creado.
Aunque la barra de direcciones muestre la direccin correcta, no se arriesgue a que lo
engaen. Los piratas conocen muchas formas para mostrar una direccin URL falsa en
la barra de direcciones del navegador. Las nuevas versiones de los navegadores hacen
ms difcil falsificar la barra de direcciones.

Paso 3: Asegrese de que el sitio Web utiliza cifrado

Si no se puede confiar en un sitio Web por su barra de direcciones, cmo se sabe que
ser seguro? Existen varias formas: En primer lugar, antes de ingresar cualquier tipo de
informacin personal, compruebe si el sitio Web utiliza cifrado para transmitir la
informacin personal. En los navegadores puede comprobarlo con el icono
de color amarillo situado en la barra de estado. Este smbolo significa que el sitio Web
utiliza cifrado para proteger la informacin personal que introduzca: nmeros de tarjetas
de crdito, nmero de la seguridad social o detalles de pagos.

Paso 4: Consulte frecuentemente los saldos bancarios y de sus tarjetas de crdito

Incluso si sigue los tres pasos anteriores, puede convertirse en vctima de las
usurpaciones de identidad. Si consulta sus saldos bancarios y de sus tarjetas de crdito
al menos una vez al mes, podr sorprender al estafador y detenerlo antes de que
provoque daos significativos.

7
Paso 5: Comunique los posibles delitos relacionados con su informacin personal a
las autoridades competentes

Si cree que ha sido vctima de "phishing", proceda del siguiente modo:

Informe inmediatamente del fraude a la empresa afectada. Si no est seguro de cmo
comunicarse con la empresa, visite su sitio Web para obtener la informacin de contacto
adecuada. Algunas empresas tienen una direccin de correo electrnico especial para
informar de este tipo de delitos.
Recuerde que no debe seguir ningn vnculo que se ofrezca en el correo electrnico
recibido. Debe introducir la direccin del sitio Web conocida de la compaa
directamente en la barra de direcciones del navegador de Internet.
Proporcione los detalles del estafador, como los mensajes recibidos, a
la autoridad competente a travs del Centro de denuncias de fraude en Internet. Este
centro trabaja en todo el mundo en colaboracin con las autoridades legales para
clausurar con celeridad los sitios Web fraudulentos e identificar a los responsables del
fraude.

6.- Casos

6.1.- El 26 de enero de 2004, la FTC (Federal Trade Commission, la Comisin Federal

de Comercio) de Estados Unidos llev a juicio el primer caso contra un phisher
sospechoso. El acusado, un adolescente de California, supuestamente cre y utiliz una
pgina web con un diseo que aparentaba ser la pgina de Amrica Online para poder
robar nmeros de tarjetas de crdito. Tanto Europa como Brasil siguieron la prctica de
los Estados Unidos, rastreando y arrestando a presuntos phishers. A finales de marzo de
2005, un hombre estonio de 24 aos fue arrestado utilizando una backdoor, a partir de
que las vctimas visitaron su sitio web falso, en el que inclua un keylogger que le
permita monitorear lo que los usuarios tecleaban. Del mismo modo, las autoridades
arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, lder de una de las
ms grandes redes de phishing que en dos aos haba robado entre $18 a $37 millones
de dlares estadounidenses. En junio del 2005 las autoridades del Reino Unido
arrestaron a dos hombres por la prctica del phishing, en un caso conectado a la
denominada Operation Firewall del Servicio Secreto de los Estados Unidos, que
buscaba sitios web notorios que practicaban el phishing.

6.2.- Phishing BBVA: En septiembre de 2009 se advierten un nuevo caso de phishing, a

travs, del correo. En el verano se detectaron dos tipos:
El primero consita en la llegada de un correo electrnico que aperentemente era
oficial de BBVA. Este correo tena avisos de seguridad pidiendo al remitente que
siguiese el enlace mostrado. En la pgina te aparece un formulario que debes
rellenar con tus datos, esta pgina obviamente es falsa y los datos se los queda el
hacker.
El segundo de los correos, era exactamente igual (oficial de BBVA) la nica
diferencia era su tema. En el correo te decan que habas ganado dinero y que para
meterlo en tu nmina pincharas en el enlace y rellenases el formulario, el resto del
proceso es igual.
Y el actual correo es as:

8
 FIG. N01.- CORREO FALSO BANCO BBVA

Este correo es similar a los anteriores y como se puede apreciar en la barra inferior, el
enlace al que te diriga no era de BBVA era una pgina creada por alguien para robarte
las contraseas bancarias.

6.3.- El tercer caso de phishing que vamos a mencionar es un caso muy reciente (octubre
2010). La estafa se produca en las tarjetas VISA.
A los usuarios de dichas tarjetas les llegaba un mensaje aparentemente de VISA, que trae
de tema t seguridad y la de tu tarjeta y que por este motivo han desactivado tu cuenta, al
reformar el sistema. El mensaje, por supuesto te da una opcin, de pinchar en un enlace.
Dicho enlace te decan que era la pgina a la que debas dirigirte para poner tus datos y
reactivar la cuenta cuanto antes.
El correo dice venir de mensajes.visahome@visa.com.ar, lo que es mentira. Si el
usuario presta atencin a los errores de ortografa y de formato, podrn descubrir la
falsedad del correo.

A continuacin se muestra la imagen del correo con la direccin web a la que les manda:

9
 FIG. N02.- DIRECCION FALSA TARJETA VISA
Como se puede ver la direccin a la que te enva no es la de VISA.Y el enlace, del correo,
te enva a esta pgina:

10
 FIG. N03.- FORMULARIO FALSO TARJETA VISA

Hay que mencionar que, en cualquiera de los dos casos u otros. Los bancos, cualquier red
social, etc. no envan este tipo de correos, por lo que lo recomendable es que no se haga caso
del correo y que no de ningn dato de este tipo.

7.- El Phishing en el cdigo penal Peruano

Para efectos de hablar de phishing especficamente nuestro cdigo penal peruano no

acoge la figura del delito informtico como tal, pues no establece una definicin
genrica del mismo, ms bien lo conceptualiza de una forma tpica como: Las conductas
tpicas, antijurdicas y culpables, en que se tienen a las computadoras como instrumento
o fin.

Artculo 207-A.- Delito Informtico Cdigo Penal Peruano

El que utiliza o ingresa indebidamente a una base de datos, sistema o red de

computadoras o cualquier parte de la misma, para disear, ejecutar o alterar un esquema
u otro similar, o para interferir, interceptar, acceder o copiar informacin en trnsito o
contenida en una base de datos, ser reprimido con pena privativa de libertad no mayor
de dos aos o con prestacin de servicios comunitarios de cincuenta y dos a ciento cuatro
jornadas.
Si el agente actu con el fin de obtener un beneficio econmico, ser reprimido con pena
privativa de libertad no mayor de tres aos o con prestacin de servicios comunitarios
no menor de ciento cuatro jornadas.
Entonces el phishing puede ser considerado un delito informtico impropio lo que el Dr.
Rafael Changaray Segura menciona que son aquellos delitos que no se encuentran
comprendidos dentro de los alcances de los artculos 207-A, 207-B y 207-C. del Cdigo
Penal, pero que implica la utilizacin de medios informticos para su comisin.

11
En el Per La ley 27309 (del 26 de junio de 2000) que incorpora los delitos
informticos al Cdigo Penal, establece penas de hasta cinco aos de crcel e incluso la
prestacin de servicios comunitarios para los autores de estos delitos.

8.- Conclusiones

1.- Al cobrar tanta importancia en los ltimos aos el uso de internet, se abrieron las
puertas para que tambin sea un medio donde se pueden cometer diferentes delitos.
Podramos decir pues, que todas estas ventajas que nos trajo la evolucin, tambin tiene
su parte negativa, y es que en internet y en la red se producen casi tantos delitos como
en la vida real. Incluso muchos de ellos con mayores prdidas econmicas haciendo que
el avance de la tecnologa se convierta en una herramienta para los delincuentes para
poder perpetrar los delitos.

2.- Una vez que ya hemos conocido lo que es el phishing, aparte de saber su existencia y
significado, tambin gracias a este trabajo pudimos conocer un procedimiento para
protegernos de caer en esta trampa, que sabemos que puede traer consecuencias muy
negativas, como la entrega de datos personales, nmeros de tarjetas de crditos con
demasiadas consecuencias negativas para el propietario y adems la prdida de
privacidad.

3.- La sociedad no est concientizada que estos tipos de delitos causan serios perjuicios,
a veces lo tomamos como algo normal y dada la universalidad de su uso, lo dejamos
pasar, por lo cual se hace necesario difundir meditica y colectivamente, sobre esta
clase de delitos virtuales e incluso establecer y difundir actos de prevencin.

4.- Los delitos informticos ya dejaron de ser problemas nacionales, el uso de los
medios informticos ha traspasado las fronteras, e incluso se usa para fines policiales,
judiciales, diplomticos, etc., en consecuencia, debe recrearse mecanismos ms
efectivos para la puesta en vigor de instrumentos de cooperacin internacional para
contrarrestar eficazmente la incidencia de la criminalidad informtica.

9.- Referencias
Tan, Koon. Phishing and Spamming via IM (SPIM).|Internet Storm Center.
(http://isc.sans.org/diary.php?storyid=1905)/]. 5 de diciembre de 2010
(http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1193304,00.html).
Ed Skoudis. Phone phishing: The role of VoIP in phishing attacks. 13 de junio
de 2006
Suplantacin o robo de identidad
(phishing)(http://www.ri5.com.ar/ayudaphishing.php)
Stutz, Michael AOL: A Cracker's Paradise? (http://wired-
vig.wired.com/news/technology/0,1282,9932,00.html/) 29 de enero de 1998
"phishing, n." OED Online, March 2006, Oxford University Press. Oxford
English Dictionary Online. (http://dictionary.oed.com/cgi/ entry/30004304/). 9
de agosto de 2006

12
 "phish, v." OED Online, March 2006, Oxford University Press. Oxford English
Dictionary Online. http://dictionary.oed.com/cgi/entry/ 30004303/9 de agosto de
2006
Ollmann, Gunter. Phishing Guide: Understanding and Preventing Phishing
Attacks. Technical Info. (http://www.technicalinfo.net/papers/ Phishing.html).
10 de julio de 2006.
AOL: A Cracker's Paradise? (http://wired-
vig.wired.com/news/technology/0,1282,9932,00.html/). Michael Stutz. Wired
News. 29 de enero de 1998
History of AOL Warez
(http://www.rajuabju.com/warezirc/historyofaolwarez.htm). 28 de septiembre de
2006.
Legon, Jeordan: 'Phishing' scams reel in your identity
(http://www.cnn.com/2003/TECH/internet/07/21/phishing.scam/index.html/ ),
CNN, 26 de enero de 2004.
Leyden, John: Trojan phishing suspect hauled in
(http://www.cnn.com/2003/TECH/internet/07/21/phishing.scam/index.html/),
The Register, 4 de abril de 2005.
Leyden, John: Brazilian cops net 'phishing kingpin'
(http://www.channelregister.co.uk/2005/03/21/brazil_phishing_arrest/), The
Register, 21 de marzo de 2005.
UK Phishers Caught, Packed Away,
(http://www.eweek.com/article2/0,1895,1831960,00.asp/) eWEEK, junio 27 de
2005.
Nineteen Individuals Indicted in Internet 'Carding' Conspiracy.
(http://www.cybercrime.gov/mantovaniIndict.htm/) 20 de noviembre del 2005
http://claseinformatica2010-11.blogspot.pe/2010/11/casos-reales-de-
phishing.html
LEGUA HERRERA, Pablo Alejandro. (31 de Octubre del 2016). El Phishing
en el Per. Recuperado de //www.pablolegua.com/2016/10/phishing-peru.html

13