Introduccin

En el siguiente trabajo se presenta la investigacin de tres temas de importancia,

los medios de pago/dinero electrnico o digital, cmo se utilizan, cules son los
proveedores que hay en Internet, las modalidades o denominacin del formato, etc.
Tambin se investig la publicidad en Internet, se presentan los tipos de publicidad
que existen, los mecanismos utilizados, costos de la publicidad y los beneficios que
la publicidad da. Y por ltimo se investig las caractersticas, tecnologas y Software
de PC zombie, Spim, Ramsomware, Spam, Phishing y Scam.

Medios de pago/dinero electrnico o digital:

Qu es y cmo se utiliza?
Se refiere a dinero que se intercambia slo de forma electrnica. Tpicamente, esto
requiere la utilizacin de una red de ordenadores, la Internet y sistemas de valores
digitalmente almacenados. Las transferencias electrnicas de fondos (EFT) y los
depsitos directos son ejemplos de dinero electrnico. Asimismo, es un trmino
colectivo para criptografa financiera y tecnologas que los permitan.
Proveedor en Internet:
Entre algunos de los proveedores ms reconocidos cabe mencionar a Cyber Cash,
desarrollado en 1994 por Cyber Cash Corporation, constituye un mecanismo de
pago muy similar a SET, que ofrece a los comerciantes una solucin rpida y segura
para procesar los pagos contarjeta de crdito a travs de Internet.
Al igual que en SET, el usuario necesita utilizar un software de cartera que reside
permanentemente en su mquina, como en el caso de Microsoft de carteras
propietarias de casas de medios de pago o bancos, o bien residen en el servidor de
Cyber
Cash,
como
la
cartera
de
InstaBuy.
Modalidad o denominacin del formato:
El proceso de pago con Cyber Cash, que implica al consumidor, al comerciante, el
banco
emisor
y
el
banco
del
comerciante,
es
como
sigue:
1. El usuario recorre la tienda virtual hasta que decide comprar un artculo. Entonces
se le presenta una pgina detallando el precio de venta del artculo, gastos de envo
y otras condiciones.
2. El consumidor acepta las condiciones al pulsar el botn de pago con Cyber Cash.
En este momento se lanza la aplicacin de cartera, en la cual el usuario puede
seleccionar la tarjeta con la que pagar. Toda la informacin del usuario se enva al
servidor del comerciante cifrada y firmada, de manera que no resulte accesible ni
manipulable por el comerciante.
3. El comerciante se queda con los datos de envo y de los productos comprados, y
enva firmada al servidor de Cyber Cash la informacin de pago del cliente, que al
estar cifrada por la cartera no ha podido leer.

4. El servidor de Cyber Cash recibe la peticin de transaccin y, detrs de su corta

fuegos y desconectado de Internet, obtiene del paquete de datos la informacin de
pago del consumidor. Verifica la integridad del pedido recibido del comerciante,
verifica la identidaddel consumidor y del comerciante, extrae el nmero de tarjeta
del cliente y si todo est en orden, reexpide la transaccin al banco del comerciante
a travs de lneas dedicadas.

5. El banco del comerciante enva una peticin de autorizacin al banco emisor a

travs de los canales de comunicacin tradicionales de las redes de medios de
pago, y retransmite a Cyber Cash la respuesta, afirmativa o negativa del banco del
cliente, que autoriza o no el cargo en funcin del monto de la compra, el crdito
disponible y dispuesto, y alguna otra informacin, como por ejemplo si existen
informes de que la tarjeta haya sido robada.

6. Cyber Cash pasa al comerciante la respuesta del banco, de manera que si es

afirmativa, el banco del comerciante recibe el pago del emisor, mientras que si es
negativa, se anula la compra, sin riesgo para el comerciante.

Publicidad en Internet:
Tipos de publicidad:

* Banners
* Websites
* Promociones
* Publicidad va e-mail
Mecanismos utilizados:
* Posicionamiento en buscadores
* Intercambio de links
* Publicidad en boletines
* Firmas digitales
* Contratar publicidad en otros sitios
* Dar algo gratis y de calidad

Costos y beneficios:

VENTAJAS:
* Se ahorra mucho tiempo.
* Bajos costos y mayores beneficios
* Mayor audiencia
DESVENTAJAS:
* Detectada por la competencia
* Evitan publicidad constantemente
* Nuevas pginas y nuevos sitios
Programas afiliados:
* El mundo
* Infocamping
* Apemese.org
*Visualdisco
* Buscando
* Sadave
* Sport online

Software:
PRINCIPALES CARACTERSTICAS:

Trazado de Orgenes. Nuestra herramienta traza para usted los orgenes de los
visitantes que recibe su web corporativa o microsite promocional, es decir, dominios,
creatividades,
consultas,
horarios,
ip,
navegadores,
etc.
2.- Sencillez de Uso. Gracias a que lleva incorporado un potente entorno de gestin
WYSIWYG usted podr de manera sencilla utilizar la aplicacin.
3.- No necesita invertir en nuevas actualizaciones. Todos los aos actualizamos los
productos software contratados por los clientes sin que stos deban desembolsar
importes adicionales.

4.- Preparada para trazar buscadores, publicidad web, acciones email marketing,
etc. Nuestro equipo trabaja en sucesivos desarrollos de la aplicacin con objeto de
poder trazar de la manera ms completa los comportamientos de los usuarios en
Internet.
5.- Solucin Profesional. til tanto para agencia de publicidad que gestiones
campaas de sus clientes como para el cliente final que gestiona directamente sus
campaas en Internet.
6.- Formacin sobre el uso de la plataforma. Entrenamos a nuestros clientes para
que puedan sacar el mejor provecho de la aplicacin.

HERRAMIENTAS:
Trazado de los Orgenes de las Campaas. Nuestra herramienta traza para usted
los orgenes de los visitantes que recibe su web corporativa o microsite promocional
desde las distintas campaas activas, es decir, dominios, creatividades, consultas,
horarios, ip, navegadores, etc. Trazado de Solicitudes.En una campaa de
marketing por resultados cada solicitud recibida es un tesoro y as es tratada por la
aplicacin. Se trazan y operan todos los datos que pueden ser relevantes para el
estudio de los factores que optimizan el esfuerzo publicitario necesario para la
consecucin de solicitudes de informacin de productos o servicios. Gestin de
Creatividades.
La herramienta posibilita le permite determinar que son las creatividades que mejor
le funcionan y cuales peor. Esto le resultar fundamental a la hora de optimizar la
cadena de ventas. Ratios de eficiencia. La aplicacin le sirve los datos de campaa
relativos a la eficiencia de la publicidad. Esto le servir de manera decisiva en la
toma de decisiones. Generacin de Informes.

Usted puede generar mltiples informes de evolucin de las campaas:

comportamiento de las creatividades, peso de los dominios en la conversin,
consultas relevantes, consultas ms habituales, etc. Gestin de Clientes. Si usted
no es un cliente final sino una agencia de publicidad que gestiona las campaas en
Internet de diferentes cuentas dispone en la herramienta de un entorno que le
facilitar dicha gestin.

PC Zombies
Equipos comprometidos. Mediante virus informticos que sirven de llave a
programas creados a tal propsito, el ordenador director se infiltra secretamente en
el ordenador de su vctima y lo usa para actividades ilegales. El usuario
normalmente no sabe que su ordenador est comprometido y lo puede seguir
usando, aunque pueda notar que su rendimiento ha bajado considerablemente.
Sealquila a otros delincuentes o empresas poco escrupulosas. Los directores viven
cmodamente gracias a los ingresos que obtienen con el alquiler de su red de
esclavos a otros ciberdelincuentes. Para extender sus tentculos, pueden esconder
virus de tipo troyano en archivos atractivos en redes P2P o portales de descarga
directa gratuitos, por ejemplo. Tampoco hace falta ser un gran experto informtico:
Se compra el programa en el mercado negro y se administra desde casa.
El ordenador zombie comienza a enviar una gran cantidad de mensajes spam o
ataques a pginas Web y se convierte en punto central de investigaciones de estar
cometiendo actividades ilegales. El usuario se puede encontrar que su ISP
(proveedor de servicios de Internet), ha cancelado su conexin a la red o puede
estar investigado por la polica especializada en delitos informticos. Mientras tanto,
el hacker que ha ocasionado el problema, se lamenta de la prdida de uno de sus
zombies pero sin darle mucha importancia porque tiene muchos ms. Algunas
veces tiene una gran cantidad de ellos, de hecho una investigacin consigui
averiguar en una ocasin, que un solo hacker haba conseguido el control de un
milln y medio de ordenadores, utilizndolos como plataforma para sus ataques.
Grupos organizados pueden llegar a controlar grupos de decenas de miles de
computadores infectados, que pueden usar para generar grandes cantidades de
trfico proveniente de multitud de fuentes en Internet, dirigido a una sola red o
servidor. Esto genera lo que se conoce como un DistributedDenial of
Service o DDoS por sus siglas. Esto suele ser usado para chantajear a las vctimas,
que deben pagar una suerte de peaje para mantener sus servicios en la red.
Otro uso frecuente de los zombies es el envo de spam. Lo coordinado del envo
que puede observarse, en el que una mquina sucede a la otra en los intentos de
entrega con pocos segundos de diferencia, sugiere la existencia de sofisticadas
estructuras de comando y control informticos gobernando la operacin de estos
equipos.
Evitar convertirse en Zombie: No navegar de forma abierta buscando ficheros de
informacin ldica, entornos no profesionales y de empresas desconocidas, ya que
es fcil acabar en una web contaminada que nos haga descargar, sin darnos cuenta,
programas que se ejecutarn en nuestro ordenador. Adems, activar todos los
mecanismos de seguridad del PC (antivirus, antispam, cortafuegos, copias de
seguridad, etc.) y actualizarlos frecuentemente, tener dos particiones en el disco

duro, una para el sistema operativo y los programas y otra para los documentos.
El pasado 23 de diciembre de 2009 en una accin coordinada de la Guardia Civil,
el FBI y varias empresas de seguridad informtica, se consigui desactivar en
Espaa una red zombi de 13 millones de ordenadores infectados (200.000 en
Espaa) aunque, das ms tarde, los detenidos consiguieron recuperar el control y
lanzaron un ataque de represalia contra Defence Intelligence, dejando no operativos
sus servidores. La Guardia Civil opt entonces por poner el caso en conocimiento
de la AudienciaNacional, que orden la detencin de los tres responsables,
espaoles que controlaban supuestamente la mayor red de ordenadores zombi
desmantelada en el mundo, segn la Guardia Civil. La trama haba logrado robar
datos personales y bancarios de ms de 800.000 usuarios e infectar ordenadores
de 500 grandes empresas y ms de 40 entidades bancarias. La red Mariposa,
desarticulada por el Grupo de Delitos Telemticos del instituto armado en
colaboracin con el FBI y la empresa Panda Security, tena capacidad para
perpetrar ataques de ciberterrorismo mucho ms virulentos que los sufridos por
Estonia y Georgia, cuya supuesta autora fue atribuida a Rusia.
Reclutarn tu ordenador sin que te des cuenta, y lo programarn para hacer lo que
ellos quieran.
Los zombies son PC invadidos por software maligno (malware) que permite a los
delincuentes manejarlos a su antojo desde un sitio remoto, y usarlos para distribuir
virus, enviar spam o atacar sitios web.
El ejercito de PC's zombies est creciendo da a da, y tu ordenador puede ser uno
de ellos.
Hay redes de delincuentes que venden el acceso no autorizado a miles de
ordenadores a los spammers (empresas dedicadas al envo de correo no deseado
de modo masivo) y a quienes organizan ataques contra sitios web.
El hecho de que existan estas redes de zombies es la razn por la cual ahora mucho
del correo basura proviene de direcciones de personas naturales. Todo ese spam
est siendo bombeado desde los PC de usuarios de Internet que no se han dado
cuenta de que su equipo est siendo manipulado de formaremota.
COMO LOS RECLUTAN
Por medio de la distribucin por Internet de malware (software con cdigo
malicioso).

Cuando uno de estos programas consiguen entrar en los Pcs vulnerables (por
ejemplo, sin actualizaciones de seguridad....) , toman control del equipo y se quedan
a la espera de recibir ordenes por parte del intruso. Cuando la orden llega por
internet, el PC zombie despierta y lanza un ataque o empieza a mandar spam.
As se usan -gratis y sin que el usuario lo sepa el poder de cmputo de los equipos
y su capacidad para conectarse a internet.
Cuando un PC tiene fallos no corregidos en Windows o Internet Explorer, el malware
penetra automticamente. Basta con que el usuario est conectado a Internet unos
cuantos segundos, ya que ese software recorre constantemente la Red en busca
de
ordenadores
vulnerables
(algunos
virus
entran
igual).
Adems otros modos de entrar en el ordenador pueden ser cuando se da clic en
una ventana emergente, cuando se abre un archivo anexo recibido por correo
electrnico o al bajar programas de sitios poco confiables.

CMO PROTEGERSE
Aqu tienes unos puntos a seguir para intentar proteger tu pc:
* Mantener actualizado el sistema operativo, el navegador y otros programas de
Microsoft (mediante la herramienta Windows Update de ese sistema).
* Crear diferentes cuentas de usuario en el sistema Windows XP, y asignar a ciertos
usuarios privilegios limitados para navegar. Con ello se evita que los nios abran la
puerta, mediante sus hbitos de navegacin, al software maligno.
* No abrir mensajes de origen dudoso o desconocido.
* No visitar sitios para adultos, sobre todo aquellos con contenido gratuito.
* No participar en cadenas de correo
* Instalar o activar un firewall: Windows XP incluye uno bsico y hay bastantes
gratuitos en la Red (es recomendable tener solo uno activo a la vez).
* Mantener un programa antivirus actualizado.

Spim
Adems del spam, ha surgido una nueva vertiente de este tipo de ataque ciberntico
denominado SPIM, que es un tipo de spam pero que en vez de atacar a travs de
correos electrnicos, lo hace a travs de la mensajera instantnea.

Spam over Instant Messaging), una forma de correo basura que llega a travs de
los populares programas de mensajera instantnea, tambin conocidos como chats
(MSN de Microsoft, Yahoo! Messenger o AOL Messenger, entre otros).
Un informe del sitio espaol Consumer.es revel que, para filtrar el spim, como
ocurre con el spam, se utilizan programas robot que rastrean listas de direcciones
o agendas de los usuarios de mensajera instantnea. Una vez localizadas las
direcciones donde enviar la propaganda, la tcnica consiste en hacerse pasar por
una persona real, e inducir al incauto usuario a visitar pginas de publicidad a travs
del envo de un mensaje que contiene un enlace. Este mensaje suele ser del tipo:
Hola, soy fulano de tal, te acuerdas de m? Agrgame a tu lista de contactos y
hablamos!. Si el usuario acepta, habr sido vctima del spim.
Claro que el spim, segn los expertos, an no alcanza las proporciones bblicas
desu hermano mayor, pero es mucho ms molesto e intrusivo porque los mensajes
basura surgen automticamente en forma de ventanas emergentes (pop up)
mientras el usuario est conectado. Esto provoca que sea ms difcil de ignorar y
convierte a esta tcnica en algo muy atractivo para los spammers (generadores de
correo basura), ltimamente acorralados por los programas antispam.
Los programas de mensajera instantnea tambin estn disponibles en el mercado
para dispositivos de mano y telfonos mviles. Al igual que ocurre con el correo, el
hardware porttil permite el intercambio de imgenes y de archivos, por lo que
tambin opera como un colador de basura, virus y dems cdigos maliciosos.
Protegerse de estos ataques es clave. Prudencia, sentido comn y algunas
herramientas de seguridad permiten minimizar los riesgos. Estos son algunos
consejos:
* Instalar todas las actualizaciones. Todos los programas de mensajera instantnea
continan mejorando las medidas de seguridad de sus productos, por lo que vale la
pena
descargar
los
parches
y
actualizaciones
disponibles.
* No se deben activar enlaces ni abrir ficheros que resulten sospechosos. Esta es
la principal va de entrada de los spim.
* Usar filtros para virus y spam. Algunas empresas ya han comenzado a
comercializarlos.
* Utilizar una contrasea de cuentas segura. Hay que cambiarla frecuentemente.
* No enviar informacin sensible por mensajera instantnea como el nmero de las
tarjetas de crdito o el de la Seguridad Social.
* Desconfiar de loscomportamientos extraos. Si una persona de la lista de amigos
autorizados enva mensajes extraos, es mejor finalizar la sesin y contactar al
amigo por telfono o correo electrnico.

* Usar una lista de amigos. La Buddy list, que es como se la conoce, alerta de los
envos de desconocidos y es una forma comn y extendida de bloquear los
mensajes no deseados. Se cree, no obstante, que los spimmers podran estar
creando ya una herramienta con cdigo malicioso para enviar los temibles spim a
toda su lista de amigos.

Ramsonware
Esta modalidad vrica, que ya exista hace aos, ha vuelto a salir ltimamente a la
luz como un medio ilegal de enriquecer a creadores de virus, mediante el 'secuestro'
de
archivos
y
el
pedir
un
dinero
de
'rescate'.
|
Dicho de otro modo, el virus en si (Como el CryZip, por ejemplo) basan su modus
operandi en encriptar los documentos ofimticos del ordenador eliminando el
original, para luego poner un aviso de instrucciones de que, si se quiere recuperar
el contenido del documento, se ha de dar una suma de dinero en una cuenta
bancaria determinada.

Una vez el usuario desea recuperar el documento (que pueden ser documentos
importantes) se ve en la obligacin de pagar ese dinero, y los creadores del virus le
envan una contrasea para que pueda desencriptarlo.

El que una gran cantidad de usuarios pague el dinero especificado anima a estas
personas a crear este tipo de virus y a mejorarlos, para evitar que las claves puedan
ser desencriptadas sin pagar o bien evitar que rastreen su cuenta bancaria,motivo
por el cual todava no se ha extendido esta prctica ilegal, por la relativa sencillez
de recuperar la clave y rastrear el uso de esa cuenta bancaria proporcionada |
Una de las posibles amenazas in crescendo para este ao 2006 es posiblemente
la consolidacin de las tcnicas y herramientas orientadas a la generacin
deransonware. Muchos os preguntaris que es eso del ransomware, as que lo
explicar brevemente.

El trmino procede del vocablo sajn ransom, que viene a significar el pago de
cantidades monetarias para restituir la libertad de un ser u objeto determinado. Por
ejemplo, cuando alguien secuestra a alguien y demanda dinero a cambio de su

liberacin, se produce una extorsin que sera definible perfectamente en lengua

inglesa como la peticin de un ransom money.

Cuando lo que se secuestra, o lo que se priva de libertad o funcionalidad es un

componente determinado a travs de otros componentes software, entran en juego
los mecanismos de secuestro conocidos como ransomware. ya que el empleo
de ransomware pretende:
* Secuestrar informacin
* Impedir la liberacin por parte del usuario afectado mediante tcnicas
Criptogrficas
* Solicitar dinero a cambio de la liberacin

Existen otras acepciones para el ramsonware, pero orientadas al establecimiento

de un modelo en el que una obra intelectual determinada comienza su andadura
con trminos de copyright intensivos que una vez alcancen un hito temporal o un
volumen de ingreso, pasan a ser obras libres. No es objeto de este comentario ese
modelo SPAM
Se llama spam, correo basura o sms basura a los mensajes no solicitados, no
deseados o de remitente desconocido, habitualmente de tipo publicitario, enviados
en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras
al receptor. La accin de enviar dichos mensajes se denomina spamming.
Aunque se puede hacer por distintas vas, la ms utilizada entre el pblico en
general es la basada en el correo electrnico.
Otras tecnologas de internet que han sido objeto de correo basura incluyen grupos
de noticias, usenet, motores de bsqueda, wikis, foros, blogs, tambin a travs
de popups y todo tipo de imgenes y textos en la web.
El correo basura tambin puede tener como objetivo los telfonos mviles (a travs
de mensajes de texto) y los sistemas de mensajera instantnea como por
ejemplo Outlook, Lotus Notes, etc.
Tambin se llama spam a los virus sueltos en la red y pginas filtradas (casino,
sorteos, premios, viajes y pornografa), se activa mediante el ingreso a pginas de
comunidades o grupos o acceder a links en diversas pginas.

Obtencin de direcciones de correo

Los spammers (individuos o empresas que envan spam) utilizan diversas tcnicas
para conseguir las largas listas de direcciones de correo que necesitan para su
actividad, generalmente a travs de robots o programas automticos que recorren
internet en busca de direcciones. Algunas de las principales fuentes de direcciones
para luego enviar el spam son:
* Las propias pginas web, que con frecuencia contienen la direccin de sucreador,
o de sus visitantes (en foros, blogs, etc.).
* Los grupos de noticias de usenet, cuyos mensajes suelen incluir la direccin del
remitente.
* Listas de correo: les basta con apuntarse e ir anotando las direcciones de sus
usuarios.
* Correos electrnicos con chistes, cadenas, etc. que los usuarios de internet suelen
reenviar sin ocultar las direcciones, y que pueden llegar a acumular docenas de
direcciones en el cuerpo del mensaje, pudiendo ser capturadas por un troyano o,
ms raramente, por un usuario malicioso.
* Pginas en las que se solicita tu direccin de correo (o la de "tus amigos" para
enviarles la pgina en un correo) para acceder a un determinado servicio o
descarga.
* Compra de bases de datos de direcciones de correo a empresas o particulares
(ilegal en la mayor parte de los pases).
* Entrada ilegal en servidores.

Envo de los mensajes

Una vez que tienen una gran cantidad de direcciones de correo vlidas (en el
sentido de que existen), los spammers utilizan programas que recorren la lista
enviando el mismo mensaje a todas las direcciones. Esto supone un costo mnimo
para ellos, pero perjudica al receptor (prdidas econmicas y de tiempo) y en
general a Internet, por consumirse gran parte del ancho de banda en mensajes
basura.

Verificacin de la recepcin
Adems, es frecuente que el spammer controle qu direcciones funcionan y cules
no por medio de web bugs o pequeas imgenes o similares contenidas en el
cdigo HTML del mensaje. De esta forma, cada vez que alguien lee el mensaje,
suordenador solicita la imagen al servidor del spammer, que registra
automticamente el hecho. Son una forma ms de spyware. Otro sistema es el de
prometer en los mensajes que enviando un mail a una direccin se dejar de
recibirlos: cuando alguien contesta, significa no slo que lo ha abierto, sino que lo
ha ledo. Si recibe un correo no solicitado debe borrarlo sin leerlo.
Troyanos y ordenadores zombis
Recientemente, han empezado a utilizar una tcnica mucho ms perniciosa: la
creacin de virus troyanos que se expanden masivamente por ordenadores no
protegidos (sin cortafuegos). As, los ordenadores infectados son utilizados por
el spammercomo "ordenadores zombis", que envan spam a sus rdenes, pudiendo
incluso rastrear los discos duros o correos nuevos (sobre todo cadenas) en busca
de ms direcciones. Esto puede causar perjuicios al usuario que ignora haber sido
infectado (que no tiene por qu notar nada extrao), al ser identificado
como spammer por los servidores a los que enva spam sin saberlo, lo que puede
conducir a que no se le deje acceder a determinadas pginas o servicios. As, con
la potencia de clculo de todos los ordenadores infectados, pueden mandar el spam
fcilmente sin que se enteren los propios usuarios, y pueden incluso mandar un
virus al ordenador de una empresa importante.

Para Evitar el SPAM

A pesar que no existe tcnicas infalibles para protegerse del spam, los expertos en
seguridad informtica recomiendan una serie de acciones para reducir la cantidad
de correo electrnico no deseado:
* Usar una imagen para la direccin de correo electrnico.
* En vez de poner el enlace a tu cuenta, usa una redireccin (puede ser temporal o
por un nmero de usos), y brrala cuando recibas excesivo spam.
* Modificar la direccin para evitar el rastreo automtico.

En los grupos de noticias y listas de correo:

* No poner el remitente verdadero en los post enviados.
* Si el archivo de mensajes a la lista es visible desde web, cambiar las direcciones
de remite por una imagen, ocultarlas, o escribirlas de forma que sea difcil
reconocerla como tal para un programa.
* Para evitar spam en una lista:
* El foro puede estar moderado, para evitar mensajes inadecuados.
* Rechazar correos de usuarios no suscritos a la lista.

Phishing
Phishing es un trmino informtico que denomina un tipo de delito encuadrado
dentro del mbito de las estafas cibernticas, y que se comete mediante el uso de
un tipo de ingeniera social caracterizado por intentar adquirir informacin
confidencial de forma fraudulenta (como puede ser una contrasea o informacin
detallada sobre tarjetas de crdito u otra informacin bancaria). Elestafador,
conocido como phisher, se hace pasar por una persona o empresa de confianza en
una aparente comunicacin oficial electrnica, por lo comn un correo electrnico,
o algn sistema de mensajera instantnea1 o incluso utilizando tambin llamadas
telefnicas.
Dado el creciente nmero de denuncias de incidentes relacionados con el phishing,
se requieren mtodos adicionales de proteccin. Se han realizadointentos con leyes
que castigan la prctica y campaas para prevenir a los usuarios con la aplicacin
de medidas tcnicas a los programas.
Tcnicas o tecnologas
La mayora de los mtodos de phishing utilizan alguna forma tcnica de engao en
el diseo para mostrar que un enlace en un correo electrnico parezca una copia
de la organizacin por la cual se hace pasar el impostor. URLs mal escritas o el uso
de subdominios son trucos comnmente usados por phishers, como el ejemplo en
esta URL,http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para
disfrazar enlaces es el de utilizar direcciones que contengan el carcter arroba: @,
para posteriormente preguntar el nombre de usuario y contrasea (contrario a los
estndares17 ).
Por
ejemplo,
el
enlace http://www.google.com@members.tripod.com/ puede
engaar
a
un
observador casual y hacerlo creer que el enlace va a abrir en la pgina
de www.google.com, cuando realmente el enlace enva al navegador a la pgina

de members.tripod.com (y al intentar entrar con el nombre de usuario

de www.google.com, si no existe tal usuario, la pgina abrir normalmente). Este
mtodo ha sido erradicado desde entonces en
Los navegadores de Mozilla18 e Internet Explorer. Otros intentos de phishing
utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace
poniendo una imagen de la URL de la entidad legtima sobre la barra de direcciones,
o cerrando la barra de direcciones original y abriendo una nueva que contiene la
URL
ilegtima.
En otro mtodo popular de phishing, el atacanteutiliza contra la vctima el propio
cdigo de programa del banco o servicio por el cual se hace pasar. Este tipo de
ataque resulta particularmente problemtico, ya que dirige al usuario a iniciar sesin
en la propia pgina del banco o servicio, donde la URL y los certificados de
seguridad parecen correctos. En este mtodo de ataque (conocido como Cross Site
Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus
cuentas, seguido por un enlace que parece la pgina web autntica; en realidad, el
enlace est modificado para realizar este ataque, adems es muy difcil de detectar
si no se tienen los conocimientos necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de dominio
internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones
que resulten idnticas a la vista puedan conducir a diferentes sitios (por
ejemplo dominio.com se ve similar a dmini.com, aunque en el segundo las letras
"o" hayan sido reemplazadas por la correspondiente letra griega micron, ""). Al
usar esta tcnica es posible dirigir a los usuarios a pginas web con malas
intenciones. A pesar de la publicidad que se ha dado acerca de este defecto,
conocido como IDN spoofing20 o ataques homgrafos, ningn ataque conocido de
phishing lo ha utilizado.

Lavado de dinero producto del phishing

Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de emails, chats, irc y otros medios, ofrecindoles no slo trabajar desde casa sino
tambin otros jugosos beneficios. Aquellaspersonas que aceptan la oferta se
convierten automticamente en vctimas que incurren en un grave delito sin saberlo:
el blanqueo de dinero obtenido a travs del acto fraudulento de phishing.
Para que una persona pueda darse de alta con esta clase de empresas debe
rellenar un formulario en el cual indicar, entre otros datos, su nmero de cuenta
bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-vctima el

dinero procedente de estafas bancarias realizadas por el mtodo de phishing. Una

vez contratada, la vctima se convierte automticamente en lo que se conoce
vulgarmente como mulero.

Con cada acto fraudulento de phishing la vctima recibe el cuantioso ingreso en su

cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso,
la vctima se quedar un porcentaje del dinero total, pudiendo rondar el 10%-20%,
como comisin de trabajo y el resto lo reenviar a travs de sistemas de envo de
dinero a cuentas indicadas por laseudo-empresa.
Dado el desconocimiento de la vctima (muchas veces motivado por la necesidad
econmica) sta se ve involucrada en un acto de estafa importante, pudiendo ser
requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen
resolver con la imposicin de devolver todo el dinero sustrado a la vctima, obviando
que este nicamente recibi una comisin.

Fases
* En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o
correos electrnicos, a travs de mensajes de ofertas de empleo con una gran
rentabilidad o disposicin dedinero (hoax o scam). En el caso de que caigan en la
trampa, los presuntos intermediarios de la estafa, deben rellenar determinados
campos, tales como: Datos personales y nmero de cuenta bancaria.
* Se comete el phishing, ya sea el envo global de millones de correos electrnicos
bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta
bancaria (PHISHING) o con ataques especficos.
* El tercer paso consiste en que los estafadores comienzan a retirar sumas
importantes de dinero, las cuales son transmitidas a las cuentas de los
intermediarios (muleros).
* Los intermediarios realizan el traspaso a las cuentas de los estafadores,
llevndose stos las cantidades de dinero y aqullos los intermediarios el
porcentaje de la comisin.

Como evitar LE Phishing

Existen varias tcnicas diferentes para combatir el phishing, incluyendo la
legislacin y la creacin de tecnologas especficas que tienen como objetivo

evitarlo.
Respuesta social
Una estrategia para combatir el phishing adoptada por algunas empresas es la de
entrenar a los empleados de modo que puedan reconocer posibles ataques
phishing. Una nueva tctica de phishing donde se envan correos electrnicos de
tipo phishing a una compaa determinada, conocido como spear phishing, ha
motivado al entrenamiento de usuarios en varias localidades, incluyendo la
Academia Militar de West Point en los Estados Unidos. En un experimento realizado
en junio del 2004 con spear phishing, el 80% de los 500 cadetes de West Point a
los que se les envi un e-mailfalso fueron engaados y procedieron a dar
informacin personal.
Un usuario al que se le contacta mediante un mensaje electrnico y se le hace
mencin sobre la necesidad de "verificar" una cuenta electrnica puede o bien
contactar con la compaa que supuestamente le enva el mensaje, o puede escribir
la direccin web de un sitio web seguro en la barra de direcciones de su navegador
para evitar usar el enlace que aparece en el mensaje sospechoso de phishing.
Muchas compaas, incluyendo eBay y PayPal, siempre se dirigen a sus clientes
por su nombre de usuario en los correos electrnicos, de manera que si un correo
electrnico se dirige al usuario de una manera genrica como es probable que se
trate de un intento de phishing.

Respuestas tcnicas
Hay varios programas informticos anti-phishing disponibles. La mayora de estos
programas trabajan identificando contenidos phishing en sitios web y correos
electrnicos; algunos software anti-phishing pueden por ejemplo, integrarse con
losnavegadores web y clientes de correo electrnico como una barra de
herramientas que muestra el dominio real del sitio visitado. Los filtros
de spam tambin ayudan a proteger a los usuarios de los phishers, ya que reducen
el nmero de correos electrnicos relacionados con el phishing recibidos por el
usuario.

Muchas organizaciones han introducido la caracterstica denominada pregunta

secreta, en la que se pregunta informacin que slo debe ser conocida por el
usuario y la organizacin. Las pginas de Internet tambin han aadido
herramientas deverificacin que permite a los usuarios ver imgenes secretas que
los usuarios seleccionan por adelantado; s estas imgenes no aparecen, entonces
el sitio no es legtimo. Estas y otras formas de autentificacin mutua continan
siendo susceptibles de ataques, como el sufrido por el banco escandinavo Nordea a
finales de 2005.

Muchas compaas ofrecen a bancos y otras entidades que sufren de ataques de

phishing, servicios de monitoreo continuos, analizando y utilizando medios legales
para
cerrar
pginas
con
contenido
phishing.
El Anti-Phishing Working Group, industria y asociacin que aplica la ley contra las
prcticas de phishing, ha sugerido que las tcnicas convencionales de phishing
podran ser obsoletas en un futuro a medida que la gente se oriente sobre los
mtodos deingeniera social utilizadas por los phishers.28 Ellos suponen que en un
futuro cercano, el pharming y otros usos de malware se van a convertir en
herramientas ms comunes para el robo de informacin.

Respuestas legislativas y judiciales

El 26 de enero de 2004, la FTC (Federal Trade Commission, "Comisin Federal de
Comercio") de Estados Unidos llev a juicio el primer caso contra
un phisher sospechoso. El acusado, un adolescente de California, supuestamente
cre y utiliz una pgina web con un diseo que aparentaba ser la pgina
de America
Online para
poder
robar
nmeros
de
tarjetas
de
crdito.29 Tanto Europa como Brasil siguieron la prctica de los Estados Unidos,
rastreando y arrestando a presuntos phishers. A finales de marzo de 2005, un
hombreestonio de 24 aosfue arrestado utilizando una backdoor, a partir de que las
vctimas visitaron su sitio web falso, en el que inclua un keylogger que le permita
monitorear lo que los usuarios tecleaban.30 Del mismo modo, las autoridades
arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, lder de una de
las ms grandes redes de phishing que en dos aos haba robado entre $18 a $37
millones
de dlares
estadounidenses.31 En junio del 2005 las
autoridades
del Reino Unido arrestaron a dos hombres por la prctica delphishing, en un caso
conectado a la denominada Operation Firewall del Servicio Secreto de los Estados
Unidos, que buscaba sitios web notorios que practicaban el phishing.
En los Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti-Phishing de

2005 el 1 de marzo de 2005. Esta ley federal de anti-phishing estableca que

aquellos criminales que crearan pginas web falsas o enviaran spam a cuentas de
e-mail con la intencin de estafar a los usuarios podran recibir una multa de hasta
$250,000 USD y penas de crcel por un trmino de hasta cinco aos.
La compaa Microsoft tambin se ha unido al esfuerzo de combatir el phishing.
El 31 de marzo del 2005, Microsoft llev a la Corte del Distrito de Washington 117
pleitos federales. En algunos de ellos se acus al denominado phisher "John Doe"
por utilizar varios mtodos para obtener contraseas e informacin confidencial.
Microsoft espera desenmascarar con estos casos a varios operadores de phishing
de gran envergadura. En marzo del 2005 tambin se consider la asociacinentre
Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que
permitiran combatir varios crmenes cibernticos, incluyendo el phishing.
De ejemplo hace poco ha llegado a miles de usuarios un mensaje en formato HTML,
entre cuyos enlaces se presentaba uno dirigido a:
https://www.bancopopular.es pero que en realidad apuntaba a una direccin que
nada tena que ver con este:
http://210.15.78.10/img/1,17266,logon,00.php
Tras proceder a autentificarse, lo que el usuario en realidad est haciendo es
proporcionar sus datos y comprometer su cuenta, ya que esos datos quedan
registrados en algn servidor, y la persona que tenga acceso a dicho servidor,
tiene un usuario y una contrasea con la que poder acceder a tu cuenta bancaria.
Mucho cuidado con los correos que te llegan pidindote usuario y contrasea. Un
banco JAMS te lo pedira as.

SCAM
Scam ("estafa" en ingls) es un trmino anglosajn que se emplea para designar el
intento de estafa a travs de a un correo electrnico fraudulento (o pginas web
fraudulentas).
Generalmente, se pretende estafar econmicamente por medio del engao
presentado como donacin a recibir, lotera o premio al que se accede previo envo
de dinero.

Las cadenas de mail engaosas pueden ser scams si hay prdida monetaria
y hoax cuando slo hay engao.
Scam no solo se refiere a estafas por correo electrnico, tambin se le llama Scam
a sitiosweb que tienen como intencin ofrecer un producto o servicio que en realidad
es falso, por tanto una estafa.

Cmo protegerse
Para no verse afectado por estas amenazas, las personas deben evitar acceder a
informacin cuya fuente no sea confiable. Una buena prctica es la eliminacin de
todo tipo de correo no solicitado para as evitar el Scam.

Adems, es importante no utilizar dinero en el pago de servicios o productos de los

cuales no se posean referencias ni se pueda realizar el seguimiento de la
transaccin. El comercio electrnico y va SMS son potenciales factores de riesgo,
por lo que las transacciones por estos medios deben ser apropiadamente validadas
antes de llevarse a cabo.

En los ataques llevados a cabo mediante Ingeniera Social, el eslabn dbil al que
se apunta es a las personas y su ingenuidad. Mantenerse informado sobre las
nuevas metodologas y educarse en seguridad informtica es la va ideal para evitar
ser vctimas de ello se denomina Scam a un tipo muy concreto de mensajes de
correo electrnico que circulan por la red y en los que se ofrece la posibilidad de
ganar grandes sumas de dinero de forma sencilla cuando la intencin de los
remitentes no es otra que la de estafar a los destinatarios.

De entre estos mensajes mezcla de Spam (correo basura) y hoax (bulos) cabe por
su difusin destacar tres:

El Scamnigeriano o africano, en el que una supuesta autoridad gubernamental,

bancaria o petrolera africana solicita al destinatario los datos de su cuenta bancaria
al objeto de transferir a ella grandes sumas de dinero que desean sacar del pais,
por supuesto a cambio de una sustanciosa comisin. Caso de aceptar y tras una
serie de contactos por correo electrnico e incluso por fax o telfono en un momento

dado se solicita del incauto algn desembolso con el que poder hacer frente a
gastos inesperados e incluso sobornos. Por supuesto ni las cantidades adelantadas
sern nunca restituidas, ni se recibirn jams los beneficios prometidos.
En el Timo de la loteria el mensaje indica que el destinatario ha obtenido un premio
de la lotera espaola, an cuando no haya participado en sorteo alguno. A partir de
aqu la mecnica es similar al caso anterior, tras sucesivos contactos se acaba
solicitando algn tipo de desembolso al efecto de sufragar los gastos ocasionados
por algn ineludible trmite.

Las 5 estafas principales de los medios sociales

Estamos programados para ser criaturas sociales, y los sitios como Twitter y
Facebook se han aprovechado de ello con gran xito. Segn su Directora de
Operaciones, Sheryl Sandberg, Facebook recibe 175 millones de inicios de sesin
por da.
Pero esta increble popularidad tambin tiene un lado oscuro. Los creadores de virus
y otros criminales cibernticos siguen a las mayoras, y eso incluye a los populares
sitios de medios sociales. Para ayudarle a evitar una estafa o una infeccin viral,
hemos elaborado una lista con las cinco estafas principales de los medios sociales.
N. 5: Cadenas de mensajes
Es probable que ya las conozca: las temidas cadenas de mensajes han vuelto.
Pueden contener mensajes del tipo: "Reenva esto por Twitter y Bill Gates donar
5 millones de dlares a la caridad!" Pero espere. Pinselo un segundo. Bill Gates
ya hace mucho por la caridad. Por qu esperara algo as para actuar? La
respuesta es que tanto la causa como la afirmacin son falsas.
Entonces, por qu alguien publicara algo as? Buena pregunta. Podra tratarse de
algn bromista que busca divertirse o de un emisor de spam que necesita "amigos"
para luego obtener dinero. Muchas personas bien intencionadas reenvan estas
falsas afirmaciones a otras. Rompa la cadena e informe a los dems sobre el posible
engao.
N. 4: Obtencin de dinero
Por su propia naturaleza, los sitios de medios sociales facilitan que nos
mantengamos en contacto con amigos y, al mismo tiempo, que conozcamos a
amigos nuevos. Pero, cunto sabe de estos conocidos realmente? Esa persona

que tiene un perfil con una fotografa atractiva y que acaba de solicitar su amistad,
de repente, necesita dinero. Probablemente sea un criminal ciberntico que busca
dinero fcil. Piense dos veces antes de actuar. De hecho, se aplica el mismo consejo
incluso si conoce a la persona.
Imagine esto: uno de sus amigos reales "perdi su billetera en sus vacaciones y
necesita algo de dinero para volver a casa", as que le pide dinero urgentemente.
Puesto que es usted una persona generosa, le enva dinero de inmediato, como se
le pide. Pero hay un problema: en realidad, su amigo nunca le pidi nada. De hecho,
ni siquiera sabe lo que ha pasado. Su computadora infectada con malware tom
todos los contactos y envi un correo electrnico falso, esperando a ver quin
morda el anzuelo.
Nuevamente, piense antes de actuar. Llame a su amigo. Infrmele y compruebe
que todo es verdad. A continuacin, asegrese de que su computadora no est
infectada tambin.
N. 3: Cargos ocultos
"Qu tipo de personaje de STAR WARS es usted? Avergelo con nuestro
cuestionario! Todos sus amigos lo hicieron". Parece interesante, por lo que usted
introduce la informacin y su nmero de telfono mvil, segn las instrucciones.
Despus de unos minutos, recibe un mensaje. Resulta que usted se parece ms a
Yoda que a Darth Vader. Bueno, eso es muy interesante, pero no tanto como la
factura de su telfono mvil del mes siguiente. Adems, se ha suscrito, sin saberlo,
a un dudoso servicio mensual que le cobra 9,95 USD por mes.
Resulta que el "servicio gratuito y divertido" no es nada de eso. Tenga cuidado con
estas trampas. Suelen prosperar en los sitios sociales.
N. 2: Solicitudes de phishing
"Alguien acaba de publicar fotos tuyas ebrio en una fiesta! Mralas aqu." Eh?
Tengo que verlo! De inmediato, hace clic en el enlace adjunto, el cual lo dirige a la
pgina de inicio de sesin de Twitter o Facebook. Usted introduce la informacin de
su cuenta y un criminal ciberntico ya dispone de su contrasea y del control total
de su cuenta.
Cmo ocurri esto? Tanto el correo electrnico como la pgina de inicio eran
falsos. El enlace en el que hizo clic lo dirigi a una pgina que se pareca al sitio
social deseado. Se conoce como phishing, y usted acaba de convertirse en su
vctima. Para evitarlo, asegrese de que su seguridad en Internet incluya defensas

antiphishing. Muchos programas de software gratuito no incluyen esta proteccin

imprescindible.
N. 1: URL ocultas
Tenga cuidado de no hacer clic en URL acortadas sin saberlo. Las ver en todas
partes en Twitter, pero nunca sabe a dnde ir porque la URL ("localizador uniforme
de recursos", la direccin web) esconde la ubicacin completa. Hacer clic en uno de
estos vnculos puede dirigirlo al sitio deseado o a uno que instale todo tipo de
malware en su computadora.
Los acortadores de URL pueden resultar bastante tiles. Simplemente, tenga
cuidado de los posibles problemas y asegrese de contar con proteccin en tiempo
real contra el spyware y los virus.
En resumen: cualquier sitio que atraiga una cantidad significativa de visitantes
tambin atraer a los criminales. Norton Internet Security ofrece la proteccin
completa que usted necesita para defenderse contra todos estos peligros. Con esta
proteccin, podr navegar con confianza.

Conclusiones

* Al utilizar la publicidad por Internet est comprobado que se ahorra tiempo y

dinero.
* La publicidad por Internet posee mayor audiencia que cualquier otro tipo de
publicidad que no sea en Internet.

* Los proveedores por internet ofrecen a los consumidores una solucin rpida y
segura para hacer pagos con tarjeta de crdito a travs del Internet.

* Se debe utilizar obligatoriamente almenos un Antispyware, un Antivirus y Firewalls

en cualquier computadora para evitar ser vctima de SCAM, RAMSONWARE y
queconviertan el PC en zombie.

* El Ramsonware puede llegar a perjudicar a las personas como ningn otro

problema de internet, pues dejando a un lado el hecho de arruinar una computadora
o una cuenta de correo puede destrozar la vida de una persona.
Recomendaciones

Egrafa

http://www.nexo-digital.com/software-publicidad-internet-1-re.asp
http://es.wikipedia.org/wiki/Publicidad_en_Internet
http://es.wikipedia.org/wiki/Dinero_electr%C3%B3nico
http://www.chronopay.com/es/reference/FAQ-Glossary
http://es.wikipedia.org/wiki/Zombie_(inform%C3%A1tica)
http://www.imh.es/dokumentazio-irekia/manuales/seguridad-basica-eninternet/pishing-keyloggers-pc-zombies
http://www.imh.es/dokumentazio-irekia/manuales/seguridad-basica-eninternet/pishing-keyloggers-pc-zombies/pc-zombies
http://tecnoculto.com/2008/07/22/spam-scam-spim-y-phishing/
http://www.messengeradictos.com/documentos/que-es-el-spim_1399173
http://www.ayudainternet.net/noticias.html?subaction=showfull&id=1145387308&archive=&start_fro
m=&ucat=
http://webcache.googleusercontent.com/search?q=cache:opT_x9mG89gJ:www.zo
nap2p.com/showthread.php%3Ft%3D9155+RAmsonware&cd=2&hl=es&ct=clnk&g
l=gt
http://es.wikipedia.org/wiki/Spam#Medidas_para_evitar_spam
http://www.imh.es/dokumentazio-irekia/manuales/seguridad-basica-eninternet/pishing-keyloggers-pc-zombies/phishing
http://es.wikipedia.org/wiki/Scam
http://moncayo.unizar.es/ccuz/proced.nsf/0/9a64fca9dcaa919ec1256fa8003945a4
?OpenDocument
http://www.microsoft.com/business/smb/es-es/asesoria/scam.mspx