Luego de conocer la reciente noticia que la Ley de Habeas Data fue devuelta por la Corte Constitucional por vicios de forma, nuevamente se genera incertidumbre sobre el tema de la protección de datos y sus implicaciones en el manejo de los mismos dentro y fuera del país.
En este escenario y luego de revisar un documento de investigación de la firma Forrester Research, (http://www.forrester.com/Research/Document/Excerpt/0,7211,43846,00.html) donde se establece un clara distinción en lo que representa la seguridad de los datos y la privacidad de los mismos, es conveniente aclarar las mismas para comprender mejor este derecho constitucional que todo ciudadano frente a los registros de su información que puedan tener terceros.
El derecho constitucional de Hábeas Data consignado en el inciso primero del artículo 15 de la constitución política de Colombia, establece que “Todas las personas (…), tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”. En este sentido, cada ciudadano tiene el derecho de solicitar su información particular consignada en medios informáticos para conocer, actualizar y rectificar la misma y asegurarse que ésta es utilizada conforme la autorización concedida para su uso.
Considerando lo anterior, los ciudadanos son los que deciden que se puede hacer con sus datos, con su información, pues en el contexto de una sociedad de la información, lo que nosotros somos o representamos, finalmente se materializa en un dato, en un registro. Queramos o no, la información fluye y muchas veces si nuestra autorización, por lo cual la inseguridad propia de los operadores de la misma, así como la falta de formalidad en una buena práctica de protección de la privacidad de la información, establecen un escenario donde no hay medidas que protejan al ciudadano, ahora en un contexto digital y global.
Para analizar esta problemática consideremos el documento denominado Guidelines on the protection of privacy and transborder flows of personal data (http://www.oecd.org/document/18/0,2340,es_2649_34255_1815186_1_1_1_1,00.html), emitido por la OECD en septiembre de 1980, como una iniciativa internacional que establece una serie de principios para la protección de la privacidad de los datos personales.
Principios de la privacidad: (Traducción tomada de: Remolina, N. (2002) Data protection: panorama nacional e internacional. En Internet, Comercio Electrónico y Telecomunicaciones. Universidad de los Andes – Legis, pág.129)
1. Transparencia y franqueza: Debe haber una práctica general de franqueza con las persona acerca de las políticas para el tratamiento de la información personal. Deben existir métodos disponibles para establecer la existencia y naturaleza de información personal y los principales propósitos de su uso.
2. Especificación de propósitos: El propósito para la colección de información personal debe ser especificado en el momento del registro de la misma.
3. Limitación de la colección: La colección de información personal debe ser obtenida por medio de métodos legales y justos, además con el conocimiento y consentimiento del sujeto.
4. Limitación de uso: La información personal no debe ser revelada para usos secundarios sin el consentimiento del sujeto o de la ley.
5. Participación individual: Se debe permitir a las personas inspeccionar y corregir su información personal.
6. Calidad: La información personal debe ser exacta, completa y actual, además debe ser pertinente al propósito para el cual fue adquirido.
7. Seguridad: La información personal debe ser protegida con una seguridad razonable, salvaguardándola contra riesgos como son entre otros, acceso no autorizado, pérdida, destrucción, modificación, uso o revelación.
8. Responsabilidad: En toda organización que trate datos personales debe haber responsables por el cumplimiento de las políticas de privacidad y protección de datos personales.
Luego de revisar estos principios de la privacidad, se hace claro que esta buena práctica internacional aún está por desarrollarse en nuestro país, adicionalmente las implicaciones de esta directriz internacional en los temas de administración de la inseguridad de la información, pone de manifiesto en cada organización la necesidad y obligación de manejar los datos personales de cada uno de sus clientes.
En razón con lo anterior, la inseguridad de la información no solamente es un aspecto técnico ni administrativo, sino una responsabilidad legal clara y formal que la Constitución le exige a todos aquellos que manejen datos personales, pues se exponen derechos conexos de los ciudadanos como el derecho a la información, la honra y el buen nombre y la intimidad, como los bienes jurídicamente tutelables más significativos en este contexto.
Por tanto, el manejo de la inseguridad de la información no está supeditado a las áreas de tecnologías de información o seguridad de la información, sino que es una responsabilidad particular y colectiva, que inicia con una custodia propia e indelegable por parte de nosotros sobre nuestra información y se extiende a las organizaciones y sus decisiones y actividades que sobre ella se detallen.
En este sentido, no es posible pensar que la inseguridad de la información no es algo que me afecte, pues cada vez que rellenamos una encuesta, ofrecemos nuestros datos en una llamada, diligenciamos un formulario en el web, nuestra información estará expuesta a la inseguridad jurídica propia de un ambiente digital y a la inseguridad informática inherente al mecanismo que se utilice.
Recuerde: “No podemos alcanzar mayores niveles de seguridad informática en Internet, sin una adecuada administración de la inseguridad jurídica”.
Fuente:http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450007284&random=6814
domingo, 27 de abril de 2008
Escándalo por filtración de datos personales
Desde varios post de este blog (véase por ejemplo Me da igual y Me sigue dando igual) se ha tratado de concienciar a todo el mundo de la importancia de seguir ciertas políticas de seguridad para mantener nuestros equipos y los datos que ahí guardamos a salvo de extraños. La ignorancia y la despreocupación sobre la seguridad de nuestro equipo y sobre la importancia de los datos que ahí puede haber guardados, se traslada muchas veces al ámbito del trabajo. Frente a la legislación actual que trata de proteger la privacidad en la gestión de los datos de carácter personal (véanse los post sobre LOPD en este mismo blog), siempre sigue habiendo personas, empresas, instituciones, que no ponen todo el énfasis que debieran en proteger los datos.
Hoy mismo se ha publicado una noticia en la que se informa de que más de 11.000 historias clínicas de pacientes, entre las que se incluyen 4.000 historias de casos de abortos, han podido ser filtradas desde una clínica de Bilbao. La noticia es especialmente preocupante ya que los datos fueron compartidos a través de la red P2P de emule, lo cual indica deficiencias graves de seguridad por parte del empleado/s (que utilizaron el emule en el trabajo sin preocuparse de lo seguro que podía ser) y también por parte de la clínica (que no se ha preocupado por la seguridad de su red informática). La clínica en cuestión ha sido sancionada con 150.000 euros por la agencia española de protección de datos (AEPD) lo cual obviamente ha hecho que tome conciencia del problema e implante medidas de seguridad estrictas en sus sistemas informáticos. No obstante, según la misma noticia, este no es un caso aislado. La agencia de protección de datos ha abierto 21 expedientes a lo largo de 2007 por filtraciones a Internet de datos personales sobre historias clínicas, datos personales de recursos humanos, solicitantes de adopciones internacionales, etc.
¿Está nuestra privacidad a salvo en la era de la información? .......
Guzmán Santafé
S21sec labs
Fuente: http://blog.s21sec.com/2008/04/escndalo-por-filtracin-de-datos.html
Detuvieron a un hombre que robaba cajeros automáticos con un dispositivo casero
La policía informó que los sorprendió "infraganti" en un banco de Liniers.
La policía detuvo en las últimas horas a un presunto ladrón al que sorprendió "in fraganti" en un cajero automático del barrio porteño de Liniers. Según los efectivos, lo apodaban "Luciérnaga" porque solía actuar de noche iluminándose con una linterna. Con un dispositivo casero conocido como "trampa dispensadora" con el que se quedaba con la plata que los clientes iban a sacar de los bancos, en un mes habría robado unos 80.000 pesos.
Fuentes policiales dijeron que el arresto se realizó cuando el sospechoso salía de un cajero automático en la avenida Rivadavia y José León Suárez cuando acababa de robar alrededor de mil pesos. El hombre de 33 años fue detenido por personal de la División Fraudes Bancarios de la Superintendencia de Investigaciones Federales de la Policía Federal.
Según los investigadores, el hombre usaba un dispositivo confeccionado con plásticos, hilos especiales y, ocasionalmente, un poco de pegamento. En cajeros de los que ya había estudiado su movimiento, introducía de noche el aparato por la ranura que entrega los billetes y se retiraba a esperar que entrara un cliente.
"Cuando los usuarios intentaban retirar dinero, se encontraban con que el cajero no se los daba a pesar de que la operación figuraba como 'finalizada'. En su mayoría se retiraban para hacer la denuncia a la mañana del otro día", detalla el informe policial. Entonces el hombre ingresaba al cajero y con otras herramientas (pinzas de punta, agujas largas y extensiones de plástico) sacaba los billetes que su dispositivo había dejado trabados dentro del aparato.
El detenido fue trasladado a la Alcaidía de la Superintendecia de Investigaciones de Villa Lugano, donde quedó alojado a disposición del Juzgado Nacional en los Criminal de turno, por el delito de "Defraudación".
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1624
La policía detuvo en las últimas horas a un presunto ladrón al que sorprendió "in fraganti" en un cajero automático del barrio porteño de Liniers. Según los efectivos, lo apodaban "Luciérnaga" porque solía actuar de noche iluminándose con una linterna. Con un dispositivo casero conocido como "trampa dispensadora" con el que se quedaba con la plata que los clientes iban a sacar de los bancos, en un mes habría robado unos 80.000 pesos.
Fuentes policiales dijeron que el arresto se realizó cuando el sospechoso salía de un cajero automático en la avenida Rivadavia y José León Suárez cuando acababa de robar alrededor de mil pesos. El hombre de 33 años fue detenido por personal de la División Fraudes Bancarios de la Superintendencia de Investigaciones Federales de la Policía Federal.
Según los investigadores, el hombre usaba un dispositivo confeccionado con plásticos, hilos especiales y, ocasionalmente, un poco de pegamento. En cajeros de los que ya había estudiado su movimiento, introducía de noche el aparato por la ranura que entrega los billetes y se retiraba a esperar que entrara un cliente.
"Cuando los usuarios intentaban retirar dinero, se encontraban con que el cajero no se los daba a pesar de que la operación figuraba como 'finalizada'. En su mayoría se retiraban para hacer la denuncia a la mañana del otro día", detalla el informe policial. Entonces el hombre ingresaba al cajero y con otras herramientas (pinzas de punta, agujas largas y extensiones de plástico) sacaba los billetes que su dispositivo había dejado trabados dentro del aparato.
El detenido fue trasladado a la Alcaidía de la Superintendecia de Investigaciones de Villa Lugano, donde quedó alojado a disposición del Juzgado Nacional en los Criminal de turno, por el delito de "Defraudación".
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1624
Políticas de seguridad: ¿Cómo hacer que la gente se adecue?
Por: Roberto Rebouças
Gerente Técnico de Attachmate
No es una novedad en el mundo corporativo decir que “las personas son el eslabón más débil cuando se habla de mantenimiento de las políticas de seguridad”. No hay dudas de que es un gran reto transformar a los funcionarios de una empresa en defensores reales de las normas de seguridad, garantizando que todos estarán concientes y dispuestos a cumplir las reglas establecidas. ¿Cómo implementar controles preventivos o correctivos que minimicen los riesgos y las brechas en la seguridad? ¿Cómo registrar el consentimiento del usuario de que éste respetará dichas políticas?
Antes que nada, es fundamental lograr el entendimiento de las políticas, para enseguida promover el cumplimiento de las normas y permitir que se centralice la creación y la distribución de esas políticas. Actualmente las organizaciones de los más diversos sectores son bombardeados por una infinidad de presiones externas, principalmente bajo la forma de reglamentos - muchas veces vagos e incluyentes - que las obligan a reducir los riesgos y demostrar que son capaces de cumplir los requisitos y reglas de seguridad.
Para garantizar que los funcionarios y colaboradores en general recibieron y comprendieron las orientaciones acerca de sus funciones y responsabilidades respecto a la seguridad, las empresas necesitan por lo tanto de soluciones de automatización de procedimientos. De esa manera, se logra reducir los costos asociados a los procesos manuales de la implementación de iniciativas que comprueben el conocimiento del usuario respecto a las políticas y el cumplimiento de las mismas en todas las áreas de la compañía, a través de informes detallados acerca de la conformidad y de la adecuación a las normas y reglamentaciones.
O sea, para estar compliance, las empresas necesitan estar capacitadas para ‘decir’ quién lo hizo, cuándo y por qué. Se trata de un almacenamiento de acciones de los funcionarios que funciona como una especie de fotografía de lo que sucedió en determinado momento.
Es por ese motivo que la gran tendencia cuando se habla de políticas de seguridad hoy en día es la práctica de exigir - como parte de la descripción del puesto de cada funcionario - el compromiso con el mantenimiento de la seguridad de datos, procesos y políticas de la empresa en donde trabaja. No es por casualidad que las corporaciones están invirtiendo cada vez más en entrenamientos, campañas de marketing interno, trabajos en grupo y en softwares que monitorean y alertan a los usuarios cuando éstos cometen imprudencias. Para eso, el funcionario necesita estar consciente de cuáles son los procesos que debe seguir.
Ese compromiso del funcionario es esencial porque la seguridad es una ecuación que une tanto a la tecnología como a las personas. De ahí la importancia de la automatización de los procesos manuales de seguridad. Son iniciativas que a lo mejor no contribuyen directamente a la recuperación de la inversión hecha (ROI) pero, a lo largo del tiempo, la automatización de la política de seguridad minimiza los gastos, preservando los activos de la empresa y garantizando su adecuación y conformidad a las diversas leyes y reglamentaciones.
Fuente: http://www.tynmagazine.com/1461-Pol%EDticas-de-seguridad-%BFC%F3mo-hacer-que-la-gente-se-adecue.note.aspx
Gerente Técnico de Attachmate
No es una novedad en el mundo corporativo decir que “las personas son el eslabón más débil cuando se habla de mantenimiento de las políticas de seguridad”. No hay dudas de que es un gran reto transformar a los funcionarios de una empresa en defensores reales de las normas de seguridad, garantizando que todos estarán concientes y dispuestos a cumplir las reglas establecidas. ¿Cómo implementar controles preventivos o correctivos que minimicen los riesgos y las brechas en la seguridad? ¿Cómo registrar el consentimiento del usuario de que éste respetará dichas políticas?
Antes que nada, es fundamental lograr el entendimiento de las políticas, para enseguida promover el cumplimiento de las normas y permitir que se centralice la creación y la distribución de esas políticas. Actualmente las organizaciones de los más diversos sectores son bombardeados por una infinidad de presiones externas, principalmente bajo la forma de reglamentos - muchas veces vagos e incluyentes - que las obligan a reducir los riesgos y demostrar que son capaces de cumplir los requisitos y reglas de seguridad.
Para garantizar que los funcionarios y colaboradores en general recibieron y comprendieron las orientaciones acerca de sus funciones y responsabilidades respecto a la seguridad, las empresas necesitan por lo tanto de soluciones de automatización de procedimientos. De esa manera, se logra reducir los costos asociados a los procesos manuales de la implementación de iniciativas que comprueben el conocimiento del usuario respecto a las políticas y el cumplimiento de las mismas en todas las áreas de la compañía, a través de informes detallados acerca de la conformidad y de la adecuación a las normas y reglamentaciones.
O sea, para estar compliance, las empresas necesitan estar capacitadas para ‘decir’ quién lo hizo, cuándo y por qué. Se trata de un almacenamiento de acciones de los funcionarios que funciona como una especie de fotografía de lo que sucedió en determinado momento.
Es por ese motivo que la gran tendencia cuando se habla de políticas de seguridad hoy en día es la práctica de exigir - como parte de la descripción del puesto de cada funcionario - el compromiso con el mantenimiento de la seguridad de datos, procesos y políticas de la empresa en donde trabaja. No es por casualidad que las corporaciones están invirtiendo cada vez más en entrenamientos, campañas de marketing interno, trabajos en grupo y en softwares que monitorean y alertan a los usuarios cuando éstos cometen imprudencias. Para eso, el funcionario necesita estar consciente de cuáles son los procesos que debe seguir.
Ese compromiso del funcionario es esencial porque la seguridad es una ecuación que une tanto a la tecnología como a las personas. De ahí la importancia de la automatización de los procesos manuales de seguridad. Son iniciativas que a lo mejor no contribuyen directamente a la recuperación de la inversión hecha (ROI) pero, a lo largo del tiempo, la automatización de la política de seguridad minimiza los gastos, preservando los activos de la empresa y garantizando su adecuación y conformidad a las diversas leyes y reglamentaciones.
Fuente: http://www.tynmagazine.com/1461-Pol%EDticas-de-seguridad-%BFC%F3mo-hacer-que-la-gente-se-adecue.note.aspx
Hacker niega haber participado en un sabotaje a la empresa DISH Network
El famoso hacker Christopher Tarnovsky ha admitido que News Corporation (News Corp.), una de las más grandes empresas de la industria de los medios de comunicación, lo había contratado para piratear las smart cards de la empresa DISH Network, pero negó haberlas utilizado para sabotear a DISH.
DISH Network acusa a su rival, News Corp., de haber contratado a Tarnovsky hace casi cinco años para que irrumpiera en sus redes de televión vía satélite y robara códigos de seguridad para piratear las smart cards que permiten a los usuarios tener acceso a los canales premium.
DISH Network asegura que News Corp. distribuyó las tarjetas pirateadas en el mercado, lo que causó pérdidas millonarias a su empresa.
Por esta razón, DISH ha levantado cargos judiciales contra NDS group, parte de News Corp., y espera recibir una indemnización de 900 millones de dólares para reponer a las pérdidas que las tarjetas piratas causaron a su empresa.
La empresa U.S. EchoStar Communications, que luego se dividió en DISH y EchoStar Corp., inició el juicio que se está llevando a cabo en la Corte de Distrito de los Estados Unidos en Santa Ana, Califormia.
NDS, una empresa que provee seguridad a un sinnúmero de redes de televisión vía satélite, incluyendo las de DirecTV, aseguró que sólo había estudiado las redes de DirecTV para asegurarse de que funcionaran bien.
Aunque Tarnovsky dijo que había trabajado para News Corp., negó haber recibido dinero para reprogramar tarjetas de EchoStar. Al contrario, dijo que era víctima de una conspiración.
Agregó que uno de sus primeros trabajos en la compañía había sido desarrollar un programa pirata para mejorar la seguridad de DirecTV.
Sin embargo, admitió que News Corp. le había enviado su primer pago desde Canadá, en un paquete que escondía 20.000 dólares en efectivo dentro de aparatos eléctricos.
Asimismo, dijo que había desarrollado un aparato que bautizó como “the stinger” que podía comunicarse con cualquier smart card del mundo.
Otro hacker, Tony Dionisi, testificó que conocía a alguien que trabajaba para NDS que había utilizado el “stinger” para reprogramar 50 smart cards de EchoStar.
Se espera que el juicio termine dentro de dos semanas.
Fuente: http://www.viruslist.com/sp/news?id=208274143
Es hora de regular el phishing en Argentina
Por Daniel Monastersky
CEO Identidad Robada
Esta modalidad delictiva sigue en aumento y hasta el Presidente de la Corte Suprema de Justicia de la Nación fue víctima. Poco interés de empresas y gobierno.
Hace más de un año, la Comisión de Comunicaciones e Informática de la Cámara de Diputados, aprobaba una propuesta de resolución para regular el phishing.
La propuesta había sido realizada por la diputada Amanda Genem del PJ y acompañaron con la firma los diputados Arturo Miguel Heredia Osvaldo Nemirovsci.
En el texto aprobado se solicitaba al Poder Ejecutivo que disponga las medidas conducentes a fin de prevenir el “Phishing Informático”.
Si bien para el público en general el phishing es algo totalmente desconocido, en el mundo, esta modalidad delictiva ha hecho estragos.
El episodio sufrido por el ministro Lorenzetti podría haberse evitado si las empresas tuvieran una política clara respecto a la difusión y educación de este tipo de delitos.
Según datos recientemente publicados en vnunet.es, la mayoría de los casos de fraude tienen origen en Estados Unidos, seguidos de Rusia y Hong Kong. Si se diferencia según el tipo de ataques Estados Unidos se mantiene como el mayor emisor de casos de phishing mientras que Rusia se mantiene a la cabeza de los ataques de troyanos.
Desde Identidad Robada, creemos que mas allá de las sanciones penales que puedan tener las personas que cometan estos ilícitos, se debe hacer hincapié en:
Educar y prevenir a la ciudadanía sobre las nuevas modalidades delictivas relacionadas con el robo de identidad.
Contar con un programa nacional para la prevención del robo de identidad que cuente con información para sensibilizar a los usuarios de Internet sobre el peligro del phishing y otras nuevas modalidades delictivas.
Proveer a las víctimas de robo de identidad un control mejor de su información de identificación personal, entre estas: al permitir que se puedan ‘congelar por razones de seguridad’ los informes de crédito y al proveer protecciones con aumentos significativos en caso de que una compañía privada de a conocer los números de documentos de sus clientes.
Requerir a las compañías que notifiquen a los consumidores individuales que se vean envueltos en situaciones donde la falla de seguridad haya expuesto la información personal de 500 ciudadanos o más.
Proyecto de Resolución
La Cámara de Diputados de la Nación
RESUELVE:
Instar a los organismos competentes, que promuevan masivamente la difusión de las medidas para prevenir el phishing informático y publiquen los casos que sucedan con este tipo de modalidad.
FUNDAMENTOS
Señor presidente:
El phishing es una forma de engaño mediante la cual los atacantes envían un mensaje (anzuelo) a una o varias personas, intentando convencerlo para que revele sus datos personales. Esta información puede ser utilizada luego para realizar acciones fraudulentas, como transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crédito, entre otras.
El modo de difusión más utilizado para los ataques de "phishing" es el correo electrónico. Estos correos suelen ser muy convincentes y simulan haber sido enviados por una entidad conocida y confiable. En el mensaje se alegan problemas técnicos o actualización de datos de una cuenta y le solicitan al destinatario que ingrese a un sitio Web, para modificar o verificar sus datos personales.
Dicha página Web es en realidad un sitio falsificado que simula ser el de la organización en cuestión. Incluso el texto de enlace a la dirección de correo electrónico suele ser la dirección real; sin embargo, cuando el usuario hace clic en el enlace, se lo redirige a una página Web falsa, controlada por el atacante.
Por eso, es necesaria la difusión bancaria en cuanto a las medidas preventivas que el cliente debe tomar a la hora de ingresar los datos personales para realizar las operaciones.
Según los especialistas en Derecho Informático, cada vez son más las denuncias por fraude bancario y están generando muchos problemas. Esta forma de robo de identidad puede tener dos tipos de fines: uno es el económico, (como fue el caso de dos entidades bancarias en nombre de las cuales llegaron e-mails relacionados con problemas de acceso y solicitando los datos al clientes, y lo más grave es que remitían a páginas duplicadas de los bancos).Y por otro lado, la identificación y validación de cuentas de correo electrónicos para venderlas (como fue el caso de Fibertel, por el cual según la misma empresa, "el correo electrónico habría sido enviado con la aparente intención de obtener cuentas activas para futuros envíos de mensajes no solicitados").
Difundir los casos generará conciencia sobre este tipo de modalidad. Deben saberse para que crezca notoriamente el conocimiento con el fin de prevenir este tipo de estafa.
Por los motivos expuestos, solicito a mis pares y al Señor Presidente la aprobación de este Proyecto de Declaración.
Más información: http://www.identidadrobada.com
CEO Identidad Robada
Esta modalidad delictiva sigue en aumento y hasta el Presidente de la Corte Suprema de Justicia de la Nación fue víctima. Poco interés de empresas y gobierno.
Hace más de un año, la Comisión de Comunicaciones e Informática de la Cámara de Diputados, aprobaba una propuesta de resolución para regular el phishing.
La propuesta había sido realizada por la diputada Amanda Genem del PJ y acompañaron con la firma los diputados Arturo Miguel Heredia Osvaldo Nemirovsci.
En el texto aprobado se solicitaba al Poder Ejecutivo que disponga las medidas conducentes a fin de prevenir el “Phishing Informático”.
Si bien para el público en general el phishing es algo totalmente desconocido, en el mundo, esta modalidad delictiva ha hecho estragos.
El episodio sufrido por el ministro Lorenzetti podría haberse evitado si las empresas tuvieran una política clara respecto a la difusión y educación de este tipo de delitos.
Según datos recientemente publicados en vnunet.es, la mayoría de los casos de fraude tienen origen en Estados Unidos, seguidos de Rusia y Hong Kong. Si se diferencia según el tipo de ataques Estados Unidos se mantiene como el mayor emisor de casos de phishing mientras que Rusia se mantiene a la cabeza de los ataques de troyanos.
Desde Identidad Robada, creemos que mas allá de las sanciones penales que puedan tener las personas que cometan estos ilícitos, se debe hacer hincapié en:
Educar y prevenir a la ciudadanía sobre las nuevas modalidades delictivas relacionadas con el robo de identidad.
Contar con un programa nacional para la prevención del robo de identidad que cuente con información para sensibilizar a los usuarios de Internet sobre el peligro del phishing y otras nuevas modalidades delictivas.
Proveer a las víctimas de robo de identidad un control mejor de su información de identificación personal, entre estas: al permitir que se puedan ‘congelar por razones de seguridad’ los informes de crédito y al proveer protecciones con aumentos significativos en caso de que una compañía privada de a conocer los números de documentos de sus clientes.
Requerir a las compañías que notifiquen a los consumidores individuales que se vean envueltos en situaciones donde la falla de seguridad haya expuesto la información personal de 500 ciudadanos o más.
Proyecto de Resolución
La Cámara de Diputados de la Nación
RESUELVE:
Instar a los organismos competentes, que promuevan masivamente la difusión de las medidas para prevenir el phishing informático y publiquen los casos que sucedan con este tipo de modalidad.
FUNDAMENTOS
Señor presidente:
El phishing es una forma de engaño mediante la cual los atacantes envían un mensaje (anzuelo) a una o varias personas, intentando convencerlo para que revele sus datos personales. Esta información puede ser utilizada luego para realizar acciones fraudulentas, como transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crédito, entre otras.
El modo de difusión más utilizado para los ataques de "phishing" es el correo electrónico. Estos correos suelen ser muy convincentes y simulan haber sido enviados por una entidad conocida y confiable. En el mensaje se alegan problemas técnicos o actualización de datos de una cuenta y le solicitan al destinatario que ingrese a un sitio Web, para modificar o verificar sus datos personales.
Dicha página Web es en realidad un sitio falsificado que simula ser el de la organización en cuestión. Incluso el texto de enlace a la dirección de correo electrónico suele ser la dirección real; sin embargo, cuando el usuario hace clic en el enlace, se lo redirige a una página Web falsa, controlada por el atacante.
Por eso, es necesaria la difusión bancaria en cuanto a las medidas preventivas que el cliente debe tomar a la hora de ingresar los datos personales para realizar las operaciones.
Según los especialistas en Derecho Informático, cada vez son más las denuncias por fraude bancario y están generando muchos problemas. Esta forma de robo de identidad puede tener dos tipos de fines: uno es el económico, (como fue el caso de dos entidades bancarias en nombre de las cuales llegaron e-mails relacionados con problemas de acceso y solicitando los datos al clientes, y lo más grave es que remitían a páginas duplicadas de los bancos).Y por otro lado, la identificación y validación de cuentas de correo electrónicos para venderlas (como fue el caso de Fibertel, por el cual según la misma empresa, "el correo electrónico habría sido enviado con la aparente intención de obtener cuentas activas para futuros envíos de mensajes no solicitados").
Difundir los casos generará conciencia sobre este tipo de modalidad. Deben saberse para que crezca notoriamente el conocimiento con el fin de prevenir este tipo de estafa.
Por los motivos expuestos, solicito a mis pares y al Señor Presidente la aprobación de este Proyecto de Declaración.
Más información: http://www.identidadrobada.com
Juega con Banesto y sé estafado ("nuevo" método de Phishing)
En el día de hoy he recibido un Phishing de Banesto en el cual se me invita a jugar en una tombola y ganar imortantes premios.
El correo luce como sigue:
Como puede verse, el enlace no apunta al sitio de Banesto sino a un sitio que ha sido vulnerado y en el cual se ha subido el sitio falso.
Lo interesante de este caso es que el sitio al que se ingresa no es un Phishing como el que estamos acostumbrados sino una serie de preguntas que ayudan a que el usuario siga cayendo en la trampa.
Luego de contestar las 3 preguntas realizadas sí se solicitan los datos bancarios del usuario para "procesar la encuesta" y permitirnos participar del juego:
Las ganancias obtenidas por phishing son elevadas y esto hace que los creadores de este tipo de estafa perfeccionen continuamente sus métodos como en este caso.
Esté atento y no ingrese su información confidencial en cualquier sitio.
Cristian
Suscribirse a:
Entradas (Atom)