jueves, 15 de octubre de 2009

El FBI desarticuló una banda internacional dedicada al phishing

El pasado miércoles, de acuerdo al sitio online del Washington Post, el FBI (Federal Bureau of Investigation de los Estados Unidos) anunció el arresto de 33 personas en los estados de California, Nevada y Carolina del Norte, como parte de la operación "Phish Phry" (algo asi como "fritar" a los phisers, evidente juego de palabras) destinada a desarticular a una banda internacional de phishers; la cual contaba con al menos otras 47 personas mas en Egipto, las cuales fueron acusadas por las autoridades de ese país. Según el buró, es el grupo mas grande de personas en enfrentar cargos por cibercrimenes.

De acuerdo a los cargos presentados, los acusados egipcios utilizaban correos electrónicos para atraer a clientes de los bancos estadounidenses Wells Fargo y Bank of America hacia sitios web falsos con el objetivo de obtener ilegalmente sus nombres de usuarios y passwords, para luego transferir dinero desde esas cuentas hacia otras abiertas por los acusados estadounidenses en las mismas instituciones (una explicación mas amplia del sistema de phishing se puede ver en el artículo publicado en este mismo blog en el mes de enero). Aunque la nota no lo mencione, este tipo de maniobras se completa cuando se retira el dinero por ventanilla de las cuentas receptoras y es enviado al país origen del delito (en este caso Egipto) mediante un giro monetario por agencias internacionales (para evitar asi los monitoreos sobre transferencias entre cuentas bancarias entre los paises centrales y ciertos paises "sospechosos" de albergar delincuentes informáticos). El grupo está acusado de haber sustraído aproximadamente un millón y medio de dólares estadounidenses, pero las autoridades indicaron que parte de ese dinero no pudo ser retirado ya que los mismos bancos identificaron esas cuentas como sospechosas. Los acusados norteamericanos enfrentan la posibilidad de ser condenados hasta con un máximo de 20 años de prisión.

Como dato de color, al día siguiente el mismo períodico online publicó un artículo refiriendo que el director del FBI Robert Mueller confesó que por haber sido víctima de un intento de phishing su familia dejó de hacer uso de los servicios bancarios online. De hecho fue su esposa quien le ordenó dejar de utilizarlos, a pesar de los intentos de Mueller por instruirla en técnicas para evitar caer en ese tipo de engaños. Por otra parte, el ex director de la división cibernética del buró, James Finch había expresado en su oportunidad que no iba a ceder frente a las amenazas cibernéticas dejando que el miedo le privara de las enormes ventajas que brinda Internet.

En relación con la experiencia de ser estafado mediante esta modalidad, en los Estados Unidos existe la ley federal llamada Electronic Funds Transfer Act ("Regulation E"). La misma establece los derechos de los consumidores asi como las responsabilidades de todos los participantes en actividades de transferencia electrónica de fondos. De acuerdo a la norma, si un consumidor (titular de una cuenta bancaria) denuncia dentro de los dos dias hábiles de haber sucedido una transferencia no autorizada de su cuenta, su pérdida se limita a U$S 50 o a la totalidad de la misma si fuera menor. Si la denuncia fuera posterior su pérdida podría llegar a los U$S 500 y finalmente, si el cliente no denunciara la operación fraudulenta dentro de los sesenta días hábiles, toda operación posterior no podrá ser opuesta al banco por lo que sus pérdidas pueden ser ilimitadas. En nuestro país, no hay legislación específica respecto de los derechos de los clientes bancarios en caso de estafas de este tipo. Las instituciones bancarias obligan a los clientes a aceptar los términos y condiciones de uso de banca electrónica, las cuales limitan fuertemente la responsabilidad de las mismas en caso de compromiso de usuario y password de acceso. De todas maneras, entendemos es de aplicación la Ley de Defensa del Consumidor 24.240 en cuanto a si las cláusulas de dichos Ts&Cs se ajustan a la misma.

Para finalizar, la nota indica la creciente gravedad del problema del phishing. En el pasado mes de junio, fueron creados mas de cuarenta y ocho mil sitios web dedicados exclusivamente a esta modalidad de estafa, de acuerdo con los datos del consorcio de la industria Anti-Phishing Working Group.



lunes, 5 de octubre de 2009

Quedaron expuestas mas de 10.000 cuentas de Hotmail en Internet

En el día de hoy pudimos ver en varios diarios online, entre ellos La Nación (http://www.lanacion.com.ar/nota.asp?nota_id=1182837&pid=7467794&toi=6263) una noticia informando que, de acuerdo al sitio de noticias Neowin.net, el pasado jueves 1ro. un internauta había publicado en un foro de programadores una lista de mas de diez mil usuarios del sistema de correo electrónico de Microsoft Hotmail, junto con sus correspondientes contraseñas. El artículo, cita a voceros argentinos de la compañía afirmando que dichos datos fueron obtenidos mediante la técnica de pishing (en el mes de enero publicamos en este blog un artículo referido al tema), dando a entender con ello que no fueron utilizadas técnicas de hackeo. Además, indicaron la baja probabilidad de que cuentas argentinas existan en tal listado.

Con los pocos elementos obrantes en nuestro poder, discrepamos con la idea de que se hayan usado falsos portales para la obtención de los datos, básicamente por tres motivos. El primero de ellos es el gran número de cuentas involucradas. Los sitios apócrifos suelen estar muy poco tiempo "operativos", por la probabildad de que sean descubiertos, entonces recolectan pocos datos a la vez. El segundo es que los nombres empiezan con las letras "a" y "b", lo que sugiere algún cut de una lista mayor, y el tercero relacionado con el anterior, refiere a que los usuarios pertenecerían a una regíon determinada (Europa). Creemos, por lo tanto, que este episodio puede estar relacionado con alguna operación de hackers o bien el comportamiento desleal de algún empleado de la compañia.

domingo, 4 de octubre de 2009

Cyber-bullying o ciberacoso: una nueva dimensión para un viejo problema

¡Hola Amigos!

Luego de un paréntesis de varios meses, vuelvo al ciberespacio con un breve artículo que espero les sea de su agrado, sobre un tema que cada vez va ganando mas espacio entre nosotros: el cyber-bullying o ciberacoso. Espero les guste.

Introducción

Por un minuto volvamos atrás en el tiempo. A nuestra niñez o adolescencia. Compañeros de escuela, amigos del barrio, equipo deportivo del club. En resumen, nuestros grupos de pertenencia. Y ahi vaya a saber uno porque, alguno o algunos eran tomados de “punto”, el o los destinatarios de las bromas, los chistes pesados y en casos mas severos, de agresiones físicas en grados diversos. Hostigamiento, maltrato, indiferencia son algunas de las palabras que podemos asociar a estas conductas.
Ahora bien, retornemos al presente. Que mas podemos agregar a lo ya dicho respecto de la revolución tecnológica liderada por la Internet. Ha derribado fronteras, límites entre clases sociales, reformulado la noción del tiempo como regulador de nuestras vidas. Herramientas para un mundo distinto, las cuales pueden ser formidables aliadas en nuestro desarrollo asi como peligrosas enemigas de nuestro ser. Es aquí entonces donde sumamos todo lo dicho en el primer párrafo para conformar lo que ya estamos conociendo como cyber – bullying o ciberacoso. A lo largo de este trabajo daremos una definición aproximada, sus principales caracteristicas asi como los distintos enfoques utlizados para tratar de resolver este problema, creciente a lo largo y ancho de todo el mundo. A mero título ejemplificativo, la asociación civil Chicos Net estableció en un estudio que el setenta y cuatro por ciento de los adolescentes entrevistados habian pasado por alguna “situación desagradable” en relación con el uso de las tecnologías de la información y la comunicación.

¿Que es el cyber – bullying?

Podemos decir que el cyber – bullying (derivado de to bully, amenazar, hostigar, intimidar) es cuando un niño, pre – adolescente o adolescente es amenazado, hostigado, atormentado, avergonzado, humillado o puesto en ridículo por otro niño, pre – adolescente o adolescente o grupo de estos mediante el uso de las tecnologías digitales (correo electrónico, dispositivos móviles, páginas web, redes sociales, canales de chat, etc.). Es fundamental aclarar que, tanto el agresor como el agredido, no deben ser adultos, ya que si asi fuera no correspondería hablar de ciberacoso, sino de cyber – harassment o cyber – stalking, entendiéndolos como el acoso o abuso perpretado por medios electrónicos entre adultos o de un adulto a un menor.
Al agregarsele el componente tecnológico, sobre todo los relacionados con la Internet, el problema del acoso juvenil adquiere una nueva dimensión, ya que desaparecen los límites temporales y espaciales. Cuando, por ejemplo, un adolescente postea en un sitio de fotoblogs una imágen que puede resultar ofensiva para otro, esta imágen permanecerá tanto tiempo en el ciberespacio como el agresor lo desee, y podrá ser vista por cuantas personas accedan al sitio, no importando en que lugar del mundo se encuentren.
¿En que consisten las conductas hostiles? De acuerdo a cyberbullying.org los ciberacosadores pueden:
Usar los sistemas de mensajería instantánea (como el MSN Messenger o Yahoo IM) para enviar mensajes amenazantes e hirientes hacia sus victimas.
Crear o ingresar a chats rooms (modo de comunicarse sincrónicamente mediante mensajes de texto en tiempo real) para utilizar las técnicas de hostigamiento, generalmente aprovechando el anonimato que permite esta herramienta.
Usar el servicio SMS (por Short Message Service) que provee la telefonía celular, per aquí la identificación del agresor es mucho más fácil, ya que es posible identificar de que número telefónico proviene el mensaje.
Crear sitios web con el solo propósito de atacar virtualmente a sus víctimas, mediante la publicación de contenido multimedia denigrante o hiriente.
De todas estas maneras, las conductas pueden ir del simple envío de un e-mail a una persona que no desea dicho contacto hasta la publicación de contenidos peyorativos, hirientes, amenazantes, agresivos, etc. Lo interesante (y peligroso) del caso es que el victimario puede suplantar la identidad de la víctima, para de esta manera publicar datos verdaderamente “autoagresivos”, infamantes o desagradables para si mismos.

Consecuencias del ciberacoso

Podemos deducir de lo antes expuesto, que uno de los prinicpales peligros que acarrea el ciberacoso es la degradación moral e incluso física de la víctima. Retraimiento, evitación de actividades sociales, abandono físico, sentimientos de baja autoestima entre otras, son las consecuencias de esta conducta disvaliosa. En los Estados Unidos, de acuerdo a informes del diario USA Today, al menos tres adolescentes entre doce y trece años cometieron suicidio luego de haber sido ciberacosados. Si bien no aplica estrictamente a la definición con la que estamos trabajando en este artículo, ya que intervino por lo menos un adulto, un caso paradigmatico en aquel país fue el de la adolescente Megan Meier. Esta adolescente del estado de Missouri se suicidó a sus trece años debido al ciberacoso recibido mediante el uso de una cuenta en la red social MySpace por parte de la madre de una antigua amiga de Megan, la cual impostó su identidad como si fuera una joven de dieciseis años.

Legislación sobre el ciberacoso

En los Estados Unidos, varios estados han establecido legislación penalizando los actos de cyberbullying. La mayoría de ellas establecen que las escuelas pueden sancionar hasta con expulsión a los alumnos que cometan tales actos; asi como requieren que en dichos establecimientos se establezcan políticas relacionadas con la materia, por ejemplo, educar al personal educativo acerca del tema del ciberacoso. Existe un proyecto de ley a nivel federal el cual sanciona como ilegal el uso de medios electrónicos para coercionar, intimidar, hostigar o causar algún otro daño emocional. En Europa, diecisiete sitios sociales de Internet, entre los que encontramos a Facebook, Myspace, Youtube y Microsoft Europe, asi como investigadores del tema y organizaciones de protección de la minoridad, firmaron en febrero último el Acuerdo Europeo para mejorar la seguridad de los menores de dieciocho años en la red y evitar las conductas relacionadas con el ciberacoso, formando el Grupo de Redes Sociales Europeo.
En lo que respecta a nuestro país, no existe legislación específca, es decir, que refiera al uso de medios electónicos como medio de hostigamiento o maltrato a personas. Entendemos que ciertos artículos de de los códigos de fondo, como el Penal de la Nación o el Contravencional de la Ciudad de Buenos Aires podrían aplicarse a ciertas conductas de acoso (las amenazas del artículo 149 bis del primero y las intimidaciones y hostigaciones del artículo 52 del siguiente) mas allá de las herramientas o elementos utilizados para la comisión de dichos hechos. Ahora bien, volviendo a la descripción de ciberacoso, uno de sus elementos distintivos es que sea cometida por adolescentes contra adolescentes. De acuerdo a la Convención sobre los Derechos del Niño, la cual posee rango consittucional desde su incorporación a la misma por el artículo 75 inciso 22 de nuestra Carta Magna, todo menor de dieciocho años es niño, por lo que quienes cometan este tipo de actos resultarían inimputables en su gran mayoría, solamente tendrían algún tipo de responsabilidad atenuada los que tengan entre 16 y 18 años.
La semana pasada, el portal Diario Judicial informó que ingresó al Congreso un proyecto de ley para tipificar el delito de ciberacoso, mediante la modificación del artículo 128 del Código Penal penando a quien “falseando su identidad ejerza influencia sobre un menor de dieciseis años, mediante engaño o seducción, para conseguir que este realice actos con connotación sexual a través del uso de Internet u otros medios electrónicos”. Los diputados autores del proyecto, Miguel Iturrieta y Lía Blanco, entienden que se estaría penando la conducta denominada “grooming”, la cual implica el acoso progresivo a un menor de edad por parte de quien para iniciar el contacto se hace pasar por niño o niña. Si bien es auspicioso que se tipifiquen conductas delictivas dañosas de la salud y la moral infantil, entendemos que este proyecto apunta a la cuestión sexual y no a las actitudes típicas del ciberacoso tal cual las hemos descripto.

Conclusiones

A lo largo de este trabajo creemos haber descripto de manera breve y clara una cuestión que está ganando cada vez mas espacio entre nosotros día a día. Somos de la idea que la misma debe ser abordada desde un punto de vista interdisciplinario y fundamentalmente por la comunidad toda (padres, maestros, directivos, ONGs, profesionales), coincidiendo con las tendencias mostradas en materia del derecho comparado. Como adultos, debemos darnos el tiempo de escuchar a nuestros jóvenes. Si bien es cierto que vivimos tiempos dificiles en lo económico y en lo social, los niños tienen el derecho a tener su tiempo con los mayores. Saber quienes son sus amigos, físicos y virtuales, en que pasan su tiempo, cuales son sus necesidades, que sitios visitan en la Internet, sus miedos y sus deseos. Recuperar el diálogo, la ayuda y el rol de padres como tal. De esta manera entendemos que, podremos como sociedad controlar este flagelo antes de que se nos escape de las manos, como lamentablemente nos ha sucedido en otros tantos temas.