Amenazas al

comercio
electrónico

Cibercrimen

0
Amenazas al comercio
electrónico
Ante las grandes amenazas que se encuentran el e-commerce, es
importante que conozcamos ante qué debemos estar prevenidos si
queremos comprar o extraer dinero de cuentas online o a través de cajeros
automáticos (ATM).

Tipologías delictivas
Como bien venimos estudiando a lo largo de este módulo, aquí el foco es el
comercio electrónico o e-commerce, donde hoy en día pasa el mundo de
las operaciones que cada usuario realiza a través de la World Wide Web.
Así, debemos hablar de ciertas amenazas que cada día se acrecientan con
motivo de la falta de información y de políticas de concientización por
parte de las empresas involucradas en el sector. Por otra parte, tenemos al
consumidor, el cual cuenta hoy en día con una personalización de la
compra mucho más visible a través de la red de redes, que implica
claramente riesgos. Además, hay que sumarle a todo ello el hecho de que
actualmente el objetivo de la empresa no se trata solo de maximizar, sino
también de ir cambiando las formas de interacción con el consumidor.

Es por esto que todo cambio trae sus consecuencias; en este caso, mayores
amenazas y ciberataques, por lo que la clave es conocer cuáles son esas
amenazas que de manera directa o indirecta incumben en el campo del
comercio electrónico, como el phishing, smishing, pharming, carding,
skimming o ransomware, entre otros.

Phishing

Dentro de los ciberdelitos, el que mayor incidencia tiene en América Latina

y el resto del mundo es el denominado phishing, también llamado pesca de
información, el cual se la puede definir como aquella práctica de
manipulación que consiste en el envío de correos electrónicos que simulan
originarse en fuentes de buena reputación con el objetivo de influir u
obtener información personal de la víctima.

Como se lee, es una técnica que requiere cierto ardid para lograr inducir y
llevar al error a la víctima. Generalmente, se utiliza a través de correos
electrónicos. Este método consiste en contactar a un sinnúmero de
personas, sea directa o indirectamente, simulando ser parte de una

1
entidad bancaria o de una organización prestigiosa (imitando cuerpo de
mail, logos y mail). Luego de realizar una presentación formal como si fuese
el mismo banco, se le dice al usuario final que, debido a problemas
técnicos, deberá actualizar ciertos datos sensibles, los cuales tiene que
ingresar a un enlace que es provisto en el mismo correo por el
ciberdelincuente. En estos casos, la víctima ingresa al enlace referenciado y
da con el sitio del banco, que en realidad es un montaje de un servidor que
aloja la página falsa preparado por el mismo ciberdelincuente para obtener
datos personales y bancarios de las víctimas.

En efecto, luego de ingresar datos como usuario, contraseña, clave de

seguridad, tarjeta de coordenadas u otros datos de interés, al hacer clic en
Aceptar, si se tratara de una entidad bancaria, la página se actualizaría y lo
derivaría a la página oficial. En ese momento deberá poner nuevamente los
datos de usuario, contraseña y clave de seguridad, y efectivamente
ingresará de forma real a su homebanking. Como se puede ver, lo primero
que el ciberdelincuente logró es captar la atención en el mensaje, debido a
que provenía, según su estructura e imagen, de una fuente real. Por otra
parte, siguiendo con la atención en el mensaje, la alerta ante el problema
técnico y el miedo a perder el dinero, la víctima no se percata de que el
banco nunca, bajo ninguna forma, pedirá actualizar datos del
homebanking. Asimismo, otra de las formas en que logró aprovecharse de
la víctima es cuando esta ingresa al enlace que le envió, es decir, su
confianza seguía intacta y se confirma al ingresar a un sitio exactamente
igual al de su banco, con lo cual nunca se despertó sospecha de nada.

Otro de los detalles es que luego de ingresar todos los datos, sigue sin
sospechar del timo, ya que el sitio se actualiza, pero muestra la misma
imagen. Luego, al intentar de nuevo, finalmente logra acceder a su cuenta.
Lo particular de todo esto es que el delincuente cibernético nunca va a
realizar una operación inmediatamente luego de lograr obtener los datos
sobre la cuenta de la víctima, sino que lo hace generalmente a las horas.
Por lo cual, es a partir de ese momento que comienza el fraude, por
ejemplo, utilizando la información de la víctima para realizar operaciones
bancarias como transferencias o pagos online, entre otras (ver Figura 1).

2
Figura 1: Un caso de phishing

Fuente: Luque Guerrero, 2005, https://goo.gl/MPEQRi

Por otra parte, este tipo de estafas online puede realizarse también a
través de mensajes de texto, lo que lleva el nombre de smishing. Esta se
define como una práctica de manipulación que consiste en el envío de
mensajes de texto, los cuales simulan originarse en números de personas
reales y de buena reputación con el objetivo de influir u obtener
información personal de la víctima.

En innumerables casos hemos visto recibir mensajes de desconocidos que

nos dicen que hemos ganado un premio y debemos contestar para seguir
los detalles. Como verás, en esta tipología pueden darse 2 situaciones: o
buscar obtener datos personales de la víctima o, a través de utilización de
técnicas avanzadas, obtener crédito del operador de telefonía celular para
que sea transferido a números que utilizan los ciberdelincuentes para
cometer hechos delictivos. También esta forma de fraude se ve con
llamadas telefónicas (ver Figura 2).

Figura 2: Caso típico de smishing

3
Fuente: Banco del Pacífico, 2016, https://goo.gl/ecLRiR

Otra de las técnicas utilizadas se denomina vishing: es una práctica que

tiene como fin obtener información o pretender influir en la acción a través
del uso telefónico. La presente es una técnica muy utilizada por los
ciberdelincuentes para lograr obtener información que la propia víctima ni
siquiera pensaba que iba a poder dar, con base en técnicas de
manipulación que hemos visto en otros módulos (ver Figura 3).

Figura 3: Tips del vishing

Fuente: Cibernética Hidalgo, 2017, https://goo.gl/PcTcQr

En otro costado, contamos con la técnica conocida como pharming, es

decir, aquella práctica que consiste en redirigir un nombre de dominio de

4
otro con el objeto de inducir al error a la víctima. Un caso típico es aquel en
el que un usuario, al tratar de ingresar al navegador una dirección del
dominio del banco, por ejemplo, sin darse cuenta accede a una página falsa
creada por el ciberdelincuente, que va aparentar ser la verdadera. Es decir,
que el delincuente se aprovecha de la vulnerabilidad en el servidor DNS del
sitio para redireccionar a la víctima hacia su propio destino con el objeto de
obtener información (ver Figura 4).

Figura 4: Proceso del pharming

Fuente: BustaThief, 2012, https://goo.gl/ArgMSB

Como se puede ver, son todas técnicas de engaño con la finalidad de

obtener el dinero de los clientes.

Por otra parte, contamos con el carding y skimming, que son técnicas muy
conocidas. Skimming es el proceso que consiste en obtener
ilegítimamente, a través de técnicas especiales, la información que posee la
banda magnética de una tarjeta provista por una entidad u organismo. El
concepto consiste en utilizar dispositivos que permitan el copiado de la
banda magnética, la cual contiene información sensible, sea bancaria o de
otro organismo, y cuya finalidad es obtenerla para luego realizar lo que se
denomina carding, es decir, duplicar esa información en otra tarjeta, que
se denomina blanca. Dichas modalidades permiten realizar compras online,
compras físicas o ser vendidas en mercados negros para obtener grandes
réditos económicos (ver figuras 5 y 6).

5
Figura 5: Un skimming en cajeros automáticos

Fuente: Alerta Surco, 2014, https://goo.gl/1PS8AK

Figura 6: Proceso para clonación

Fuente: El Heraldo, 2016, https://goo.gl/58ZUWe

Por último, vamos hablar de una de las amenazas más conocidas el

ransomware, también llamado rescate de información, el cual es una
técnica que consiste en utilizar un malware diseñado para lograr restringir
el acceso al equipo o dispositivo de un usuario, con la contraprestación de

6
pedir dinero a cambio de dejar sin efecto tal restricción. Puede afectar
archivos o determinadas particiones, dependiendo de si la información se
encuentra alojada en un disco rígido o en un servidor. Es una técnica muy
utilizada hoy en día por los ciberdelincuentes, ya que, de esta manera, no
solo logran réditos económicos, sino información confidencial que puede
ser comercializada en el mercado negro (ver Figura 7).

Figura 7: Ejemplo de un ransomware Wanacry

Fuente: Zaharia, 2017, https://goo.gl/s0KnwQ

En conclusión, a lo largo de esta unidad hemos visto las diferentes

amenazas con que se cuenta en el mundo del e-commerce y cómo, de una
u otra forma, los usuarios deben estar prevenidos, ya que son posibles
víctimas de ciberdelitos.

7
Bibliografía de referencias
Alerta Surco. (2014). Técnicas del “skimming” en cajeros automáticos
[imagen]. Recuperado de
https://pbs.twimg.com/media/Bj5l5QDCMAASK0Z.jpg

Banco del Pacífico. (2016). [Imagen sin título sobre smishing]. Recuperado
de http://www.prensabancopacifico.ec/que-es-smishing/

BustaThief. (2012). [Imagen sin título sobre pharming]. Recuperado de

http://www.bustathief.com/what-is-pharming-dns-poisoning/

Cibernética Hidalgo. (2017). Vishing [imagen]. Recuperado de

https://pbs.twimg.com/media/DKCVc2CU8AAe0U3.jpg

El Heraldo. (2016). Infografía: Así es el proceso de clonación de tarjetas

[imagen]. Recuperado de https://www.elheraldo.co/infografias/infografia-
asi-es-el-proceso-de-clonacion-de-tarjetas-284324

Luque Guerrero, J. M. (2008). [Imagen sin título sobre phishing].

Recuperado de https://seguridad.internautas.org/html/451.html

Zaharia, A. (2017). [Imagen sin título sobre ransomware]. Recuperado de

https://heimdalsecurity.com/blog/what-is-ransomware-protection/