Cibercrimen Peruano y el Mercado de Datos Robados de Tarjetas de Crédito

Antes que todo hagamos una pequeña introducción en lo que consiste Cibercrimen Bancario Peruano.

El sistema consiste en que el ciberdelincuente le hace llegar a las victimas mediante diferentes medios (generalmente el correo electrónico) un virus o malware el cual trata de hacérselo instalar mediante engaños.

*Correo electrónico que simula una promoción telefónica

Luego de instalado el virus o malware, este procede a hacer una modificación del sistema de la computadora de la victima, para que cuando la victima pretenda entrar al banco del cual es cliente, la computadora le indique a su navegador web que debe entrar a una pagina bancaria falsa.

*Correo electrónico que simula una promoción telefónica

Después de esto, la victima ingresa sus datos bancarios de acceso y listo, el robo esta consumado. El ciberdelincuente ya tiene en su poder los datos de acceso bancario de la victima y procede a hacer transferencias a terceras cuentas (creadas o no para tal fin) y como paso final el dinero es retirado del banco. No hay mucha vuelta que darle al asunto después de esto.

*Correo electrónico que se aprovecha de un tema coyuntural

Esta manera de actuar puede variar, por ejemplo pueden ser mas las personas involucradas, puede que no envíen ningún virus o malware, sino que en ves de eso, envíen un correo simulando ser del mismo banco induciendo a acceder a un link de la pagina web bancaria falsa, etc.

Datos Robados de Tarjetas de Crédito Peruanas

Siguiendo con el tema del titular de este post, punto aparte de los métodos nacionales, qué pasa con los datos de tarjetas de crédito de bancos peruanos? Están siendo robadas también?

La respuesta tiene un SI y NO.

NO porque no se a detectado o encontrado (al menos quién habla) paginas falsas de e-commerce en las que se induzca a entregar los datos de la tarjeta de crédito, ademas de la poca expansión del e-commerce aun.

SI (y esta explicación se va a extender hasta el final del post) porque si bien no se da desde dentro de nuestras fronteras, sí se da desde fuera de ellas. Ya en esto entramos a hablar de mercado negro de cibercrimen internacional.

En el cibercrimen internacional, la metodología de infección de las computadoras de la victima también es similar a los cibercriminales peruanos, pero lamentablemente no es el único método. Aquí ya podemos incluir diferentes métodos de infección automatizados que pueden ir desde el solo hecho de visitar una web de desconocida reputación, una pagina web que sí tiene reputación buena pero que a sido comprometida  (comúnmente se dice "hackeda"), visualizar diferentes documentos modificados de manera maliciosa para realizar la infección automatizada (un pdf malisioso por ejemplo), etc.

En este caso el virus o malware instalado que difiere del nacional, no modifica el sistema para enviarnos a una pagina bancaria o de e-commerce falsa, sino todo lo contrario. Roba los datos que son ingresados en paginas webs de transacciones electrónicas legítimas.

Si bien los métodos de los bancos nacionales para defenderse del cibercrimen nacional, pueden ser por ejemplo denunciar la pagina web fraudulenta para que sea clausurada y hacer lo propio ante la policía nacional, el caso de la industria cibercriminal externa es mas compleja ya que en muchos casos, como se dijo anteriormente, no depende de una web fraudulenta a la que se pueda denunciar para dar de baja, sino que el problema radica en el equipo infectado de la victima que envía los datos robados monitoreando las transacciones electrónicas bancarias en webs legítimas, y tampoco se requiere retirar el dinero directamente del banco (como en el caso nacional), sino que se pueden hacer transacciones electrónicas fraudulentas desde el anonimato del Internet lo cual dificulta su rastreo.

Sería un tema interesante saber cuáles son las medidas de respuesta que tienen o piensan implementar los bancos nacionales ante estas amenazas. (sobre todo los que no son filiales de bancos internacionales y que no necesariamente tendrían un know how externo del cual alimentarse)

A continuación tenemos una presentación de la oferta de datos de tarjetas de crédito peruanas en el mercado de cibercrimen internacional.

Los precios van desde los 3 dolares, 8 dolares hasta los 20 - 25 dolares dependiendo del tipo de tarjeta de crédito sustraída. Obviamente haciendo un estudio de lo bancos involucrados, podemos ver que a pesar de ser apenas una lista corta (para esta exposición), hay toda una mixtura de bancos involucrados:

INTERBANK, CITIBANK, SCOTIABANK, BCP, BANCO DE CREDITO (OFICINA MIAMI), BANCO CONTINENTAL.

y tipos de tarjetas:

PLATIMUN, BUSINESS, GOLD, CLASSIC, SIGNATURE.

Los métodos de pago para la comercialización de estos datos robados por los cibercriminales internacionales también tiene su punto fuerte, ya que se utiliza sistemas de pago ubicados en naciones offshore o paraísos fiscales, con los beneficios que ello implica.

• 
  

Bonus fuera de tema: Aparte del cibercrimen también se comercializa los materiales necesarios para clonar tarjetas. Aunque eso ya se sabe por los casos de clonadores que vemos a veces en las noticias, pero siempre es bueno estar enterado del tema de como se mueven las cosas ;)

Denuncia de Jorge Mufarech a José Alejandro Godoy (Análisis tecnico)

Resulta que hace poco vi en el facebook y twitter un tema del cual ya me había olvidado. La demanda que le interpuso Jorge Mufarech al Bachiller en Derecho José Alejandro Godoy y su posterior sentencia. Temita que ya había echo su ruido en su momento y que despertó mi interés (y creo que el de algunos) debido a que se trataba (o al menos así se publicitó) de la primera demanda contra un blogger que se da en el país. Personalmente no me agrada la idea de que se ponga el grito en el cielo cuando se toma alguna medida contra un blogger, facebookcero, twiterstar o amixer dando la idea que dichas personas son inimputables, extraterestres o algún tipo de especie diferente a la que está prohibido tocar, so pena de recibir un apedreamiento virtual o ser atropellado por una crazy combi.

Y bueno, en este post vamos a hacer un pequeño análisis tratando de dar un punto de vista técnico. Quedará a juicio del lector ver quién tiene la razón y quién no. Obviamente algún comentario técnico que ayude a sumar a este post va a ser mas que bienvenido.

El post que desencadena todo el problema es este:
desdeeltercerpiso.com/2009/04/jorge-mufarech-amenaza-asesor-parlamentario-por-caso-rospigliosi/

y al parecer el párrafo que genera la denuncia es este:

Una de las mayores joyas políticas de la primera parte de esta década es Jorge Mufarech Nemy. Ex Ministro de Trabajo con Fujimori y ex parlamentario de Perú Posible, este político tres grandes perlas durante su gestión: evasión tributaria por la compra de un Jaguar, impulsar medidas arancelarias para favorecer a sus empresas, gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s y, por supuesto, su persecusión contra Fernando Rospigliosi.

El texto incluye 3 links que citan a terceras fuentes. Estos son:

1. evasión tributaria por la compra de un Jaguar

2. impulsar medidas arancelarias para favorecer a sus empresas

3. gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s

Como mencionamos anteriormente, estos son links (también llamados enlaces, hiperenlaces o hipervínculos). Pero hagamos una pausa para explicar de manera fácil el aspecto técnico de cuales son los componentes de los links.

Los componentes técnicos del link que entran en juego aquí son:

link title (título del link)
link target (URL) (destino)o (ubicación)

El primer elemento, "título del link" es el texto del link (el que aparece generalmente en color azul) y el segundo, "destino o ubicación" es la dirección url/web de destino a la que nos lleva nuestro navegador web cuando le damos clic a dicho link.

Ahora, como podemos concluir, el "destino o ubicación" no lo podemos editar ni cambiar en algún aspecto (ni siquiera alguna letra) ya que si hacemos esto, la web a la que nos llevaría el link al hacerle click simplemente nos llevaría a otra pagina web diferente o errónea.

Pero ahora vamos al otro componente del link: el "título". El título (el texto azul) obviamente podemos editarlo a discreción cuando escribimos en un blog, pagina web, etc.

Podemos por ejemplo linkear a google con diferentes títulos sin ningún problema (y bajo nuestra responsabilidad).
my google
tu google
Skynet!

Ahora, aquí podemos hacer una afirmación. Obviamente el título del link al ser editable y al poder nosotros poner lo que nos de la gana, somos dueños y (sobre todo) responsables de lo que pongamos allí. Es nuestro contenido y somos responsables de él de llegar a darse el caso, como cualquier otro texto por si nos ponemos a escribir cualquier cosa contra terceras personas en Internet.

Por ejemplo en el caso del primer link del párrafo en discusión entre Jorge Mufarech y el blogger  José Alejandro Godoy la cosa es así:

El Título que el blogger le pone a su link es el siguiente:
"evasión tributaria por la compra de un Jaguar"

El link nos lleva a la siguiente pagina:
http://www.agenciaperu.com/investigacion/2004/oct/mufa_jaguar.htm
cuyo titulo principal una ves que entramos a dicho link es:
"Nuevos documentos demostrarían evasión tributaria de Mufarech"

Como vemos, no hay ninguna concordancia entre el titulo original de la web destino a donde nos lleva el link, con el titulo que le pone a su link el bloggero acusado por Jorge Mufarech.

Los títulos de los otros 2 link restantes son:

http://www.agenciaperu.com/reportes/2004/jun/salvaguardas.htm
Titulo: Mufarech, salvaguardas e intereses ocultos
(Título que pone el blogger denunciado en su link:  impulsar medidas arancelarias para favorecer a sus empresas)


http://web.archive.org/web/20030605100208/http://www.agenciaperu.com/actualidad/2003/may/un_mufarech.htm
Titulo: Presentan acusación constitucional contra Mufarech
(Título que pone el blogger denunciado en su link :  gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s) 

Ahora, si ya terminamos de ver estos 3 títulos originales, que como vemos, no concuerdan (ni se asemejan en sentido) con los títulos que el blogger les pone a sus links ( evasión tributaria por la compra de un Jaguar, impulsar medidas arancelarias para favorecer a sus empresas, gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s), y como explicamos anteriormente, cada uno es dueño y responsable de ellos al poder poner a discreción lo que mejor le parezca, podemos preguntarnos si es que efectivamente se limitó a solamente linkear?

Los títulos de los links del blogger los veo diferentes a los títulos de las webs a donde nos envía cuando les damos clic, y si a eso le sumamos que en dichas webs se habla generalmente en condicional (inclusive los contenidos de esos links), contrariamente a los títulos que pone el blogger que mas parecen acusatorios, podríamos formularnos las siguientes preguntas: quién tiene la razón? quién es responsable de los títulos de los links? y por último, quién tiene las de ganar?

Ahora, una ultima pregunta, ¿Cuál es el alcance de publicar algo en Internet así sea positivo o negativo (como al parecer es en este caso)? Yo pienso que el alcance es global (mundial) y peor aún si la "perlita" sale entre los 10 primeros resultados del buscador web mas utilizado como lo Google, afectando tu reputación a ese nivel.

Actualización 1:
Para quienes quieran leer algo del tema desde el punto de vista legal, les recomiendo visitar el siguiente link
El craso Godoy (De la libertad, las leyes y otros éxitos del pop)

Vean que el título que le pongo a este link es el mismo que la pagina web de destino. No me invento un nuevo título para el link ni nada parecido como se discute en este post. Podría decirse que yo si estoy solamente linkeando.

Actualización 2:
Otro post interesante, también desde el punto de vista legal sobre la sentencia al blogger Godoy.
Comentario a la Sentencia Godoy. La sentencia es sobre la responsabilidad de contenidos publicados no por linkear.

Lima, Perú: Plan Estratégico de Ciberseguridad Nacional Electrónico 2011 – 2015 (Parte I)

Antes de empezar a leer este post recomiendo mirar primero el siguiente videito para tener una mejor referencia de que va el tema.


Tecnología: conocer los riesgos y aprender a usarla

Y luego de eso, también descargar el documento al que se hace referencia en el titulo de este post.
Plan Estratégico de Ciberseguridad Nacional Electrónico 2011 – 2015 Oficina Nacional de Gobierno Electrónico Pe-CERT

Y bueno, empezamos. Este antes de ser un post, lo considero unos apuntes y observaciones que voy a ir haciendo sobre el documento linkeado mas arriba (Plan Estratégico de Ciberseguridad Nacional 2011 - 2015), y así poder enriquecerlo con actualizaciones y comentarios que se puedan dar.

Al abrir el documento en cuestión, en la segunda página que trata sobre la información general de dicho documento podemos observar aparte del nombre de dicho documento (Plan Estratégico de Ciberseguridad Nacional 2011 - 2015 – ONGEI- PECERT ) se le llama también Proyecto, osea que (valga la redundancia) se le está dando el trato Proyecto. Tener esto en cuenta.

Aparte podemos observar que tiene el apartado llamado Versión (1.0), osea que para alegría de los que lo hayamos leído, se le pueden hacer cambios (ojalá que exista la voluntad de hacerlo).

Otro campo mas que aparece en dicha página de información es la de Documentos Relacionados, la cual aparece vacía. Aquí llega la primera observación. Es posible que un documento que se supone va a tener una llegada nacional no va a tener ningún tipo de documentación relacionada?. Vamos, si este es un plan que trata de resolver un problemática de Ciberseguridad Nacional, es posible que no tenga ningún tipo de documentación relacionada como análisis de riesgos o al menos un listado amplio de los problemas encontrados en el estado los cuales van a ser resueltos por dicho plan? Porque si esta es una solución a problemas que tenemos, mínimo tenemos que saber cuales son esos problemas no?

Bueno y siguiendo en el documento luego de ver el indice, que dicho sea de paso no cuenta con una sección de glosario de términos para explicar a los no entendidos en el tema las dudas en terminología usada, pasamos a la primera sección de Introducción.

La Introducción si bien es extensa, personalmente la veo útil. Introduce al lector al tema de gobierno electrónico, que vendría a ser la base de la cual se desprendería un plan de Ciberseguridad Nacional.

El segundo punto de Introducción a la Ciberseguridad que si bien describe la evolución y problemática de la Ciberseguridad, hubiera sido bueno que incluya una descripción mas concreta de lo que es específicamente la Ciberseguridad. Adicionalmente se puede leer el siguiente texto:

La tecnología utilizada está cambiando y el diseño de la planta evoluciona de sistemas propietarios, aislados y poco conocidos, a sistemas basados en tecnologías abiertas de uso común en TI y bien documentados en Internet, así como una mayor integración de los sistemas. 

Primero. A que planta se refieren? (glosario de términos). Segundo, la evolución de sistemas propietarios a tecnologías abiertas no es tal. Siempre vamos a encontrar sistemas heterogéneos.

Llegamos al tercer punto de Alcance. Como se mencionó al principio, al documento se le está dando el trato de un proyecto. y si leemos el siguiente link  Alcance (gestión de proyectos), podemos deducir que en esta sección de Alcance como mínimo se tendría que indicar cuáles son las instituciones involucradas y las medidas que se van a proceder a implementar. En ves de eso, en esta sección el documento en cuestión se cita a si mismo. 

ALCANCE: En este documento se desarrolla El Plan Estratégico de Ciberseguridad Nacional 2011 al 2015 – ONGEI - PECERT

Cuarto punto. Destinatarios. Esta sección la veo que está de sobra. Si se hubiera definido bien el Alcance, los destinatarios estarían incluidos dentro de esa sección. En lugar de eso se indica que los destinatarios son los funcionarios de la ONGEI, pero dicho documento fue realzado por la ONGEI. Osea de la ONGEI para la ONGEI. Eso no me termina de quedar claro, aunque puede ser de un grupo de trabajo a otro dentro de la ONGEI. De ser esto ultimo, tendran en los grupos de trabajo el recurso humano necesario para ello?

Quinto punto. Análisis Conceptual. Se desarrollan los conceptos de Gestión Pública, Sociedad de la Información, Gobierno Electrónico y Ciberseguridad. Esto también lo veo útil, pero (y voy a ser rajon) si se iba a desarrollar estos puntos, nos hubieran ahorrado a los lectores muchas lineas en las secciones anteriores de Introducción e Introducción a la Ciberseguridad no?

También en el análisis conceptual de Ciberseguridad podemos leer el siguiente texto:

A su vez en la respuesta deben tomar parte diferentes actores que hablan diferentes lenguajes, por lo que es necesario trabajar de manera concienzuda en la coordinación multidisciplinar en los campos científico, tecnológico, político, diplomático, económico, jurídico, militar y de inteligencia.

y si nos remitimos a la sección de Documentos Relacionados mencionada anteriormente en la que no aparece ninguna referencia a algún documento relacionado, se podría desprender que probablemente no se haya tomado en cuenta desde un principio en la preparación de este Plan de Ciberseguridad Nacional a algunos sectores mencionados en el párrafo citado (diplomáticos, jurídicos militares e inteligencia).

Sexto punto. Gobierno Electrónico Internacional y la necesidad de la Ciberseguridad. Se tratan los temas de Análisis General, Entorno General y Experiencias americanas y mundiales citando a los países Corea del Sur, EEUU, Canada, Reino Unido, Colombia, Chile, Uruguay y Brasil. En realidad este punto debería llamarse solamente  Gobierno Electrónico Internacional, debido a que no hay prácticamente ninguna referencia a la  necesidad de la Ciberseguridad. Solamente se menciona escuetamente cierta experiencia del Reino Unido. Esta sección hace mayormente referencia al tema de Gobierno electrónico dejando de lado el tema de la necesidad de la Ciberseguridad el cual deberia ser el tema central de dicho documento ( Plan Estratégico de Ciberseguridad Nacional 2011 - 2015 – ONGEI- PECERT ).

De momento esto es todo en esta primera parte. Las siguientes van a llegar mas pronto que tarde. Cualquier comentario, aporte, corrección o raje fino va a ser bien recibido.

Disección rapida de la "aplicación" Averigua quién visita tu perfil.

La metodología consiste en inducir al usuario de Facebook a entrar a una pagina web (espia*****.com) en la que se deberá a seguir pasos (4 aprox) para instalar una supuesta aplicación en la cuenta personal facebook de la victima y proceder así a saber supuestamente quienes son los contactos que mas visitan el perfil, a la vez que se procede a crear (e invitar) eventos públicos y posts en los muros de los contactos para así seguir induciendo a la visita de dicha pagina web antes mencionada.

Se puede deducir que no hay ningún virus, sino que lo que se pretende es generar el mayor numero de visitas a la pagina web antes mencionada, ya que dicha pagina web contiene publicidad cuya metodología de pago al webmaster está regida por la cantidad de visualizaciones, entiéndase a mayor cantidad de veces que se vé la publicidad de dicha pagina web, mayor pago al webmaster de la misma, al mismo tiempo que intenta poner en el ultimo paso como pagina de inicio del navegador de la victima, un buscador web personalizado con la metodología de publicidad ya mencionada.

Adicionalmente si bien dicho método de propagación se puede comparar como del tipo vírico por cómo se generan los eventos y posts para inducir la visita a la pagina web, esto mas se puede referir a una especie de técnica de marketing viral
(es.wikipedia.org/wiki/Marketing_viral)
que a una infección de virus (malware) en la computadora de la victima, para así generar el mayor numero de visitas antes mencionadas, por lo que no habría que preocuparse por una infección de virus (malware) en la computadora de la victima, ya que el único archivo externo (de momento) con el que la página hace interactuar a la victima es uno de tipo JavaScript que después de examinarlo por un motor de análisis de archivos extraños no genera ningún tipo de reporte de actividad extraña o maliciosa 

(wepawet.iseclab.org/view.php?hash=5b039e5124162f6ea0012390519a5218&type=js), presumiendose de momento que dicho archivo de tipo JavaScript sea el que genera al azar los nombres de los supuestos contactos de la victima que son los que supuestamente visitan con frecuencia el perfil de la victima
Saludos y no se asusten de momento ;)



ACTUALIZACIÓN


Un análisis rápido del archivo JavaScript nos muestra que tiene gran parte de su contenido codificado (ofuscado) de la siguiente manera:


"var _0x3fe9=["\x25\x66\x69\x72\x73\x74\x6E\x61\x6D\x65\x25\x20\x6D\x69\x72\x61\x20\x65\x73\x74\x6F\x20\x71\x75\x65\x20\x65\x73\x20\x69\x6E\x63\x72\x65\x69\x62\x6C\x65\x2C\x20\x74\x65\x20\x70\x65\x72\x6D\x69\x74\x65\x20\x76\x65\x72\x20\x71\x75\x69\x65\x6E\x65\x73\x20\x76\x69\x73\x69\x74\x61\x6E\x20\x74\x75\x20\x70\x65\x72\x66\x69\x6C\x20\x79\x20\x66\x75\x6E\x63\x69\x6F\x6E\x61\x20\x62\x69\x65\x6E\x2C\x20\x65\x6E\x74\x72\x61\x20\x61\x3A\x20\x65\x73\x70\x69\x61\x66\x61\x63\x65\x2E\x63\x6F\x6D", "


En un procedimiento de descifrado del código del archivo se puede ver parte del real contenido mostrándose lo siguiente:


"var _0x3fe9=["%firstname% mira esto que es increible, te permite ver quienes visitan tu perfil y funciona bien, entra a: espia****.com","Top de visitantes de tu perfil de hoy:
%tf% - 19 visitas
%tf% - 16 visitas

%tf% - 15 visitas
%tf% - 13 visitas

Averigua tu tambien quien te esta mirando entrando en: espiaface.com
Funciona de verdad!","http://www.espia****.com/carga.php","Esto es increible! pueden ver quien esta visitando su perfil y te llegan notificaciones, sigan los pasos de esta pagina que explica como hacerlo, entren en: espia****.com","Averigua quien visita tu perfil","href","location","top","GET","open","onreadystatechange"


En donde se puede ver claramente que los resultados siempre van a ser los mismos (19 - 16 - 15 - 13), enlazados a variables al azar, las cuales se puede deducir que son los amigos de la victima para concretar el engaño.


Adicionalmnete se a detectado que el mismo JavaScript hace a la victima "fan" de otras paginas en facebook que derivan a sus suscriptores a otras webs con la misma modalidad de publicidad y creación de eventos de manera viral como la ya mencionada anteriormente para tener mas cobertura.

Se recomienda finalmente a los usuarios no visitar las webs involucradas ya que si bien no representa una infección real de virus en estos momentos, y solo se aprovecha en el tema de visualización de publicidad, nada puede asegurar que en un futuro dichas paginas webs sean usadas como plataformas para propagar virus reales aprovechando vulnerabilidades en el software de navegación web de los visitantes (Internet Explorer, Firefox, etc).