Grupo 6 – MAD

Arminda Moreno

David Olmo

Miguel ángel Naranjo

Uso y Aplicación de las TIC

Grado de Derecho IUOC

1. Definición2. Proceso del ataque3. Técnicas del phishing (I y II) 4. Rápido desarrollo5. Principales ataques6. Legislación7. Jurisprudencia8. Soluciones9. Conclusiones10. Cuestiones

2

Indice

1. Definición

• Estafas bancarias internautas: En inglés phishing, consiste en utilizar ingeniería social (engaño vulgar, hablando llanamente), de forma que los delincuentes consigan simular ser parte de alguna entidad bancaria y obtener de ese modo datos suficientes que les permita acceder a la cuenta del crédulo ciudadano y

apropiarse de las cantidades posibles.

3

4

2. Proceso del ataque

1.Envío de e-mail

2.Hosting

3.Creación web fraudulenta

4.Ataque

5.Posible venta a redes del

crimen organizado

Inicios • A mediados de los 90): el atacante se hacía pasar por

empleado de AOL solicitando el usuario y contraseña de la víctima.

Hoy en día • Creación de una web igual que la de una entidad bancaria.• Man-in-the-middle: crear una web situada entre el cliente

y el banco con el objetivo de capturar las contraseñas de un solo uso. Fácil de detectar y desactivar.

• Troyanos: de diferentes técnicas, difíciles de detectar, aún con un antivirus actualizado y siguiendo las normas de seguridad

3. Técnicas de phishing (I)

5

3. Técnicas de phishing (y II)

Phishing telefónico: • Debido a la nueva función de navegación a

través del móvil (smishing), a través de descargas gratuitas. Este tipo de ataques es el que tiene tendencia a aumentar.

• Dando un número de teléfono que solicita información bancaria con alguna excusa.

Scam: Engañar a alguien con ofertas de empleo desde casa, blanqueando dinero procedente de phishing.

6

7

4. Rápido desarrollo

8

5. Principales ataques

EEUU, China, Canadá, Rusia, ESPAÑA, Dinamarca…

6. Legislación

• En la legislación Española, aún existen vacios en su ordenamiento de algunos de los actos considerados como delito por las instituciones Internacionales, sin embargo, en el caso concreto del Phishing está considerado “Estafa” según la LO 10/1995 del Código Penal.

•LO 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas

9

7. Jurisprudencia• Europea: Dictamen del Comité Económico y Social

Europeo sobre la Comunicación de la Comisión al Consejo y al Parlamento Europeo relativa a un nuevo marco jurídico para los pagos en el mercado interior

• Española: AP Burgos (Sección 1ª), sentencia núm. 40/2007 de 14 diciembre

10

8. Soluciones• Se ha creado una Comisión que participa activamente en los

foros y las estructuras de cooperación internacionales, en particular en el Grupo de Lyón-Roma del G8, sobre la delincuencia de alta tecnología, y en los proyectos gestionados por INTERPOL.

• La tarjeta de coordenadas, en un intento de One Time Password (OTP), hace más difícil el phishing, aunque no imposible.

• Multifactor de autentificación y autentificación por biometría / reconocimiento de voz.

• Barra antiphishing.• FORMACIÓN a usuarios de internet y dispositivos móviles

11

• Mejorar y facilitar la coordinación y la cooperación entre las unidades especializadas en detectar los delitos en la red, Internacional.

• Desarrollar un marco político coherente, en colaboración con los Estados miembros y las organizaciones y partes interesadas a escala internacional y de la UE, en materia de lucha contra la ciberdelincuencia.

• Apoyar la investigación que contribuya a la lucha contra la ciberdelincuencia. Las instituciones públicas y el sector privado deben cooperar en esta dirección. Los dos sectores, el público y el privado deben seguir sensibilizando a la población, en especial a los consumidores, sobre los costes y peligros que entrañan los delitos cometidos en la red.

• A nivel de empresa privada, incluso de usuario, existe un amplio abanico de software destinado a la prevención de delitos informáticos. Esto, junto con la información que proporcionan los medios de comunicación, debe frenar potencialmente este tipo de delitos.

• Intentar educar unos buenos hábitos de seguridad electrónica y de fiabilidad en los usuarios de estas técnicas.

9. Conclusiones

12

10. Cuestiones• 1.- En la Red las identidades no son tan claras

como fuera, las barreras tampoco lo son y las fronteras menos aún, ¿de qué forma la ley puede conseguir actuar con todo su peso en este caso de delitos?

• 2.- ¿Qué pruebas se requerirán en apoyo a la reclamación o denuncia?

• 3.- ¿Existe la posibilidad de obtener una indemnización con cargo al Estado o a un organismo público?

13