lunes, 14 de noviembre de 2011

Cibercrimen Peruano y el Mercado de Datos Robados de Tarjetas de Crédito



Antes que todo hagamos una pequeña introducción en lo que consiste Cibercrimen Bancario Peruano.
El sistema consiste en que el ciberdelincuente le hace llegar a las victimas mediante diferentes medios (generalmente el correo electrónico) un virus o malware el cual trata de hacérselo instalar mediante engaños.

*Correo electrónico que simula una promoción telefónica

Luego de instalado el virus o malware, este procede a hacer una modificación del sistema de la computadora de la victima, para que cuando la victima pretenda entrar al banco del cual es cliente, la computadora le indique a su navegador web que debe entrar a una pagina bancaria falsa.

*Correo electrónico que simula una promoción telefónica

Después de esto, la victima ingresa sus datos bancarios de acceso y listo, el robo esta consumado. El ciberdelincuente ya tiene en su poder los datos de acceso bancario de la victima y procede a hacer transferencias a terceras cuentas (creadas o no para tal fin) y como paso final el dinero es retirado del banco. No hay mucha vuelta que darle al asunto después de esto.

*Correo electrónico que se aprovecha de un tema coyuntural

Esta manera de actuar puede variar, por ejemplo pueden ser mas las personas involucradas, puede que no envíen ningún virus o malware, sino que en ves de eso, envíen un correo simulando ser del mismo banco induciendo a acceder a un link de la pagina web bancaria falsa, etc.


Datos Robados de Tarjetas de Crédito Peruanas
Siguiendo con el tema del titular de este post, punto aparte de los métodos nacionales, qué pasa con los datos de tarjetas de crédito de bancos peruanos? Están siendo robadas también?


La respuesta tiene un SI y NO.
NO porque no se a detectado o encontrado (al menos quién habla) paginas falsas de e-commerce en las que se induzca a entregar los datos de la tarjeta de crédito, ademas de la poca expansión del e-commerce aun.

SI (y esta explicación se va a extender hasta el final del post) porque si bien no se da desde dentro de nuestras fronteras, sí se da desde fuera de ellas. Ya en esto entramos a hablar de mercado negro de cibercrimen internacional.

En el cibercrimen internacional, la metodología de infección de las computadoras de la victima también es similar a los cibercriminales peruanos, pero lamentablemente no es el único método. Aquí ya podemos incluir diferentes métodos de infección automatizados que pueden ir desde el solo hecho de visitar una web de desconocida reputación, una pagina web que sí tiene reputación buena pero que a sido comprometida  (comúnmente se dice "hackeda"), visualizar diferentes documentos modificados de manera maliciosa para realizar la infección automatizada (un pdf malisioso por ejemplo), etc.
En este caso el virus o malware instalado que difiere del nacional, no modifica el sistema para enviarnos a una pagina bancaria o de e-commerce falsa, sino todo lo contrario. Roba los datos que son ingresados en paginas webs de transacciones electrónicas legítimas.
Si bien los métodos de los bancos nacionales para defenderse del cibercrimen nacional, pueden ser por ejemplo denunciar la pagina web fraudulenta para que sea clausurada y hacer lo propio ante la policía nacional, el caso de la industria cibercriminal externa es mas compleja ya que en muchos casos, como se dijo anteriormente, no depende de una web fraudulenta a la que se pueda denunciar para dar de baja, sino que el problema radica en el equipo infectado de la victima que envía los datos robados monitoreando las transacciones electrónicas bancarias en webs legítimas, y tampoco se requiere retirar el dinero directamente del banco (como en el caso nacional), sino que se pueden hacer transacciones electrónicas fraudulentas desde el anonimato del Internet lo cual dificulta su rastreo.

Sería un tema interesante saber cuáles son las medidas de respuesta que tienen o piensan implementar los bancos nacionales ante estas amenazas. (sobre todo los que no son filiales de bancos internacionales y que no necesariamente tendrían un know how externo del cual alimentarse)

A continuación tenemos una presentación de la oferta de datos de tarjetas de crédito peruanas en el mercado de cibercrimen internacional.




Los precios van desde los 3 dolares, 8 dolares hasta los 20 - 25 dolares dependiendo del tipo de tarjeta de crédito sustraída. Obviamente haciendo un estudio de lo bancos involucrados, podemos ver que a pesar de ser apenas una lista corta (para esta exposición), hay toda una mixtura de bancos involucrados:
INTERBANK, CITIBANK, SCOTIABANK, BCP, BANCO DE CREDITO (OFICINA MIAMI), BANCO CONTINENTAL.
y tipos de tarjetas:
PLATIMUN, BUSINESS, GOLD, CLASSIC, SIGNATURE.


Los métodos de pago para la comercialización de estos datos robados por los cibercriminales internacionales también tiene su punto fuerte, ya que se utiliza sistemas de pago ubicados en naciones offshore o paraísos fiscales, con los beneficios que ello implica.





Bonus fuera de tema: Aparte del cibercrimen también se comercializa los materiales necesarios para clonar tarjetas. Aunque eso ya se sabe por los casos de clonadores que vemos a veces en las noticias, pero siempre es bueno estar enterado del tema de como se mueven las cosas ;)



martes, 8 de noviembre de 2011

Denuncia de Jorge Mufarech a José Alejandro Godoy (Análisis tecnico)

Resulta que hace poco vi en el facebook y twitter un tema del cual ya me había olvidado. La demanda que le interpuso Jorge Mufarech al Bachiller en Derecho José Alejandro Godoy y su posterior sentencia. Temita que ya había echo su ruido en su momento y que despertó mi interés (y creo que el de algunos) debido a que se trataba (o al menos así se publicitó) de la primera demanda contra un blogger que se da en el país. Personalmente no me agrada la idea de que se ponga el grito en el cielo cuando se toma alguna medida contra un blogger, facebookcero, twiterstar o amixer dando la idea que dichas personas son inimputables, extraterestres o algún tipo de especie diferente a la que está prohibido tocar, so pena de recibir un apedreamiento virtual o ser atropellado por una crazy combi.



Y bueno, en este post vamos a hacer un pequeño análisis tratando de dar un punto de vista técnico. Quedará a juicio del lector ver quién tiene la razón y quién no. Obviamente algún comentario técnico que ayude a sumar a este post va a ser mas que bienvenido.

El post que desencadena todo el problema es este:
desdeeltercerpiso.com/2009/04/jorge-mufarech-amenaza-asesor-parlamentario-por-caso-rospigliosi/

y al parecer el párrafo que genera la denuncia es este:
Una de las mayores joyas políticas de la primera parte de esta década es Jorge Mufarech Nemy. Ex Ministro de Trabajo con Fujimori y ex parlamentario de Perú Posible, este político tres grandes perlas durante su gestión: evasión tributaria por la compra de un Jaguar, impulsar medidas arancelarias para favorecer a sus empresas, gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s y, por supuesto, su persecusión contra Fernando Rospigliosi.

El texto incluye 3 links que citan a terceras fuentes. Estos son:

3. gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s

Como mencionamos anteriormente, estos son links (también llamados enlaces, hiperenlaces o hipervínculos). Pero hagamos una pausa para explicar de manera fácil el aspecto técnico de cuales son los componentes de los links.

Los componentes técnicos del link que entran en juego aquí son:

link title (título del link)
link target (URL) (destino)o (ubicación)


El primer elemento, "título del link" es el texto del link (el que aparece generalmente en color azul) y el segundo, "destino o ubicación" es la dirección url/web de destino a la que nos lleva nuestro navegador web cuando le damos clic a dicho link.

Ahora, como podemos concluir, el "destino o ubicación" no lo podemos editar ni cambiar en algún aspecto (ni siquiera alguna letra) ya que si hacemos esto, la web a la que nos llevaría el link al hacerle click simplemente nos llevaría a otra pagina web diferente o errónea.

Pero ahora vamos al otro componente del link: el "título". El título (el texto azul) obviamente podemos editarlo a discreción cuando escribimos en un blog, pagina web, etc.

Podemos por ejemplo linkear a google con diferentes títulos sin ningún problema (y bajo nuestra responsabilidad).
my google
tu google
Skynet!

Ahora, aquí podemos hacer una afirmación. Obviamente el título del link al ser editable y al poder nosotros poner lo que nos de la gana, somos dueños y (sobre todo) responsables de lo que pongamos allí. Es nuestro contenido y somos responsables de él de llegar a darse el caso, como cualquier otro texto por si nos ponemos a escribir cualquier cosa contra terceras personas en Internet.

Por ejemplo en el caso del primer link del párrafo en discusión entre Jorge Mufarech y el blogger  José Alejandro Godoy la cosa es así:

El Título que el blogger le pone a su link es el siguiente:
"evasión tributaria por la compra de un Jaguar"

El link nos lleva a la siguiente pagina:
http://www.agenciaperu.com/investigacion/2004/oct/mufa_jaguar.htm
cuyo titulo principal una ves que entramos a dicho link es:
"Nuevos documentos demostrarían evasión tributaria de Mufarech"

Como vemos, no hay ninguna concordancia entre el titulo original de la web destino a donde nos lleva el link, con el titulo que le pone a su link el bloggero acusado por Jorge Mufarech.

Los títulos de los otros 2 link restantes son:

http://www.agenciaperu.com/reportes/2004/jun/salvaguardas.htm
Titulo: Mufarech, salvaguardas e intereses ocultos
(Título que pone el blogger denunciado en su link impulsar medidas arancelarias para favorecer a sus empresas)


http://web.archive.org/web/20030605100208/http://www.agenciaperu.com/actualidad/2003/may/un_mufarech.htm
Titulo: Presentan acusación constitucional contra Mufarech
(Título que pone el blogger denunciado en su link :  gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s


Ahora, si ya terminamos de ver estos 3 títulos originales, que como vemos, no concuerdan (ni se asemejan en sentido) con los títulos que el blogger les pone a sus links ( evasión tributaria por la compra de un Jaguar, impulsar medidas arancelarias para favorecer a sus empresas, gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s), y como explicamos anteriormente, cada uno es dueño y responsable de ellos al poder poner a discreción lo que mejor le parezca, podemos preguntarnos si es que efectivamente se limitó a solamente linkear?

Los títulos de los links del blogger los veo diferentes a los títulos de las webs a donde nos envía cuando les damos clic, y si a eso le sumamos que en dichas webs se habla generalmente en condicional (inclusive los contenidos de esos links), contrariamente a los títulos que pone el blogger que mas parecen acusatorios, podríamos formularnos las siguientes preguntas: quién tiene la razón? quién es responsable de los títulos de los links? y por último, quién tiene las de ganar?

Ahora, una ultima pregunta, ¿Cuál es el alcance de publicar algo en Internet así sea positivo o negativo (como al parecer es en este caso)? Yo pienso que el alcance es global (mundial) y peor aún si la "perlita" sale entre los 10 primeros resultados del buscador web mas utilizado como lo Google, afectando tu reputación a ese nivel.

Actualización 1:
Para quienes quieran leer algo del tema desde el punto de vista legal, les recomiendo visitar el siguiente link
El craso Godoy (De la libertad, las leyes y otros éxitos del pop)

Vean que el título que le pongo a este link es el mismo que la pagina web de destino. No me invento un nuevo título para el link ni nada parecido como se discute en este post. Podría decirse que yo si estoy solamente linkeando.

Actualización 2:
Otro post interesante, también desde el punto de vista legal sobre la sentencia al blogger Godoy.
Comentario a la Sentencia Godoy. La sentencia es sobre la responsabilidad de contenidos publicados no por linkear.