Money Appdate, de Aurigae, nueva solución de alertas financieras inteligentes en el smartphone

• Aurigae lanza al mercado un servicio completo para la gestión de avisos bancarios que acabará con las alertas por SMS.
• La nueva tecnología incrementa la seguridad y reduce dramáticamente los costes al sacar provecho de las notificaciones push de los smartphones

Ya es posible organizar todas las alertas financieras (reintegros en cajeros, pagos en comercios, ingresos de nómina, compra y venta de valores, códigos de verificación para transferencias online, transacciones de comercio electrónico, vencimientos de préstamos, …), con Money Appdate, una sencilla y potente aplicación para smartphones.

Con esta aplicación se controlan mejor las alertas financieras por parte de los usuarios y es posible para las entidades financieras participantes añadir servicios personalizados.

El coste del servicio para los bancos es una fracción del que supone la gestión de SMS, y cuenta con múltiples posibilidades, ya que no se aplican sus limitaciones, como por ejemplo la del número de caracteres del mensaje .

La herramienta aporta funcionalidades como el envío de datos seguros, la posibilidad de incluir información adicional para cada alerta (datos del producto, geolocalización de la operación, teléfonos de contacto, …) e incluso publicidad o informaciones personalizadas.

Además, cada entidad tendrá la oportunidad de definir y personalizar operaciones disponibles para los usuarios, por tipo de producto y tipo de alerta. Por ejemplo el bloqueo de una tarjeta, la restricción de operar en determinadas áreas geográficas, establecer límites de dispensación en cajeros, etc.

Todo ello desde un Panel de Control Remoto específico de la entidad financiera de uso sencillo para los administradores informáticos designados.

Desde el punto de vista del usuario, las principales ventajas son: organización de las alertas recibidas, seguridad en los datos, economía, reacción ante alertas de cambios de cotización de valores, o datos de interés.

Y destacadamente, detección de fraudes y reacción ante ellos mediante las operaciones que los bancos le permitan realizar nada más recibir una alerta (como por ejemplo, el bloqueo de la tarjeta).

En definitiva, Money Appdate es una potente herramienta que ahorra costes a las entidades financieras y permite dar un valor añadido a los clientes de bancos, contribuyendo a mitigar el fraude en los medios de pago.

Estafas informáticas

Artículo original escrito por el abogado Marco Esteban, del bufete de abogados penalistas Esteban Abogados.

La aparición y consolidación del comercio electrónico, y con el la utilización cada vez mayor de medios de pago a través de la red, así como el uso creciente de sistemas como la banca electrónica y otros parecidos han conllevado la aparición de una nueva tipología de delitos relacionados con ellos. Concretamente han aparecido delitos relacionados con el robo de datos sensibles y/o la utilización de estos para fines fraudulentos como por ejemplo vaciar las cuentas bancarias de la víctima o bien hacer uso ilícito de los fondos de su tarjeta de crédito.

Es de destacar que la aparición de este tipo de delitos obviamente ha venido acompañado de una legislación coercitiva al respecto y de la adopción de medios, de la creación de mecanismos, sistemas y entes para perseguir los mismos, pero también cabe decir y para hacer honor a la verdad, que muchas de estas conductas y acciones ilícitas, hoy, aún en día tienen una difícil persecución.

Y tienen una difícil persecución por diversos motivos: por la dificultad técnica en identificar como se ha producido el suceso delictivo, por la dificulatd para identificar al autor real de dichas acciones, por la dificultad o imposibilidad de perseguir penalmente al autor.

Como consecuencia de estas dificultades, existen sentencias que seeñalan el sobreseimiento provisional de las causas por no poder imputar a nadie en particular los delitos que se pretendían juzgar. Es el caso del auto de un Juzgado de Instrucción de Barcelona, que en 2008 dictó el sobreseimiento provisional de la causa que debía conocer por falta de autor conocido. Dicho sobreseimiento se vió ratificado por la resolución del recurso de apelación interpuesto contra dicho auto ante al Audiencia Provincial barcelonesa que lo desestimó en el mismo sentido que el juzgado instructor.

El carácter provisional del sobreseimiento de la causa es muy significativo y lo destaca la resolución de la Audiencia Provincial, en base a la  “poco conocida mecánica comisiva del delito”.

Si bien la Audiencia Provisional de Barcelona se vio “obligada” a sobreseer la causa de forma provisional por la imposibilidad de determinar el autor y de concretar la técnica utilizada, en la misma resolución estableció que se reabriese el procedimiento “cuando la Policía (UDEF, Investigaciones Tecnológicas) remita las correspondientes diligencias ampliatorias,  a la espera de que se complete la investigación policial de unos hechos ciertamente muy complejos”.

Y la dificultad para identificar a los autores del hecho delictivo  se evidencia al concluir que este se produce por la acción de redes delictivas altamente profesionalizadas, ramificadas y diseminadas, y en la mayoría de ocasiones no pertenecientes, ni instaladas o vinculadas directamente con el territorio español, ni siquiera con territorio comunitario, que hacen extremadamente difícil y en muchos casos imposible, la  misma identificación de las personas que las forman así como su persecución legal aún en el caso de que se puedan llegar a identificar.

En el caso del phishing, es posible identificar a “las mulas” que inician el cobro del dinero de la cuenta bancaria atacada y lo transfieren a través de prestadores internacionales de servicios de pagos con laxos controles de identificación de ordenantes y beneficiarios. Pero no es posible identificar a los responsables últimos que se escudan tras varios nivekes de intermediarios ubicados en diferentes países y que no se conocen entre sí.

La legislación internacional debería evolucionar más rápidamente para facilitar la persecución de estos delitos, especialmente en contextos en los que la tecnología diluye barreras, que sin embargo perduran en el marco de la jurisdicción y la ley aplicable.

Sobre el autor

Marco Esteban es abogado responsable del bufete de abogados penalistas Esteban Abogados. Profesionales especializados en derecho penal, asesoramiento jurídico y servicios legales

Fraude que simula provenir de Western Union

Western Union es un sistema de envío de dinero que les encanta a los delincuentes. EL viejo fraude “nigeriano” estos dias toma la forma de una carta que simula provenir de Western Union. Lo curioso es que “pide datos” que nunca pide Western Union en la realidad.

Si recibís este mensaje, no caigáis en la trampa:

For 156 years, Western Union has been connecting people. At Western Union, there’s so much more than money you’re sending. Every sender and receiver is important to us. To celebrate our 156th anniversary, we’re rewarding our customers with prizes of USD60, 000.00

Because you sent money on-line, from an agent location or received money through Western Union, you’ve been selected.

However, you are required to forward the following information for immediate payment of your USD60, 000.00

1.) Bank Name:
2.) Beneficiary:
3.) Account Number:
4.) Bank Address:
5.) Swift Code or Routing Number:
6.) Your Mobile Telephone Number:

You will be contacted by a Western Union in the next 24 hours as soon as you forward your required information and you will receive the USD60, 000.00 prizes immediately from us.

Save time, send money, earn rewards! Western Union is a service people trust.

Thank you for using Western Union!
—————————————————–
We endeavor to maintain physical, electronic and procedural safeguards to guard your Information. We also endeavor to restrict Information access to our employees, agents and representatives that need to know it. Western Union will never disclose your personal or billing information to a third party.

SMS de CardVISA (Ojo Phishing)

El phishing llega a los SMS.

El blog Histo-piniones cuenta en primera persona el caso.

Lo primero que hay que decir es que NUNCA hay que acceder a una supuesta entidad financiera haciendo click en un mensaje que nos llegue por correo electrónico, sino que hay que teclear directamente las URL de la página web de nuestra entidad financiera en caso de que tengamos alguna duda y pensaemos que un mensaje pueda tener algo de cierto.

En el caso de este phishing por SMS propone teclear como URL una página web denominada www.cardvisa.us que puede que a algunas personas les parezca como una dirección compatible con su tarjeta VISA.

Hay que decir que las entidades gestoras de medios de pago son relativamente “invisibles” en los procesos de gestión de pago con tarjeta, y que solo son visibles las entidades financieras del titular de la tarjeta (denominada entidad emisora) y la del comercio (denominada entidad adquirente). Así que ante cualquier duda, debemos contactar con NUESTRA ENTIDAD FINANCIERA.

Una posible excepción a esta recomendación se da con la posibilidad de reportar la pérdida o robo de varias tarjetas en una única llamada para bloquearlas de la forma más rápida posible.

En España, se puede llamar a estos números de teléfono en caso de emergencia:

• 4b: 91 362 62 00 – 902 11 44 00 (Tarjetas VISA y MasterCard)
• Servired: 902 19 21 00 – 91 519 21 00 (Tarjetas VISA y MasterCard)
• Euro6000: 902 20 6000 – 91 596 53 35 (Tarjetas VISA y MasterCard)
• American Express: +34 91 400 42 50 - 902 37 56 37
• Dinner’s Club: 902 401 112 – 912 114 300

VISA Europe advierte en una de sus páginas sobre la forma de proceder ante mensajes de correo sospechosos, y concluye:

Si ha recibido un correo electrónico sospechoso o tiene dudas sobre la autenticidad de algún sitio web, contacte con la entidad financiera emisora de su tarjeta. También puede reenviar el correo sospechoso o la dirección URL del sitio web sobre el que tenga dudas a nuestra siguiente dirección de correo electrónico: phishing@visa.com.

También VISA Europe proporciona una lista de números en diversos paises en los que podemos consultar la forma de proceder en caso de pérdida o robo de nuestra tarjeta:

• Alemania 0800-811-8440
• Anguilla 1-800-847-2911
• Antigua 1-800-847-2911
• Arabia Saudita 1-800-10-866-654-0129
• Argentina 0800-666-0171
• Aruba 800-1518
• Australia 1-800-125-440
• Austria 0800-200-288 y después 800-892-8134
• Bahamas 1-800-847-2911
• Bahrein 8000-006
• Barbados 1-800-847-2911
• Bélgica 0800-1-8397
• Bolivia 800-10-0188
• Bonaire 001-800-847-2911
• Bosnia Herzegovina 00-800-0010-888-557-4457
• Brasil 0800-891-3680
• Bulgaria 00-800-0010-888-557-4446
• Canadá 1-800-847-2911
• Chile 1230-020-2136
• China (Norte) 10-800-711-2911
• China (Sur) 10-800-110-2911
• Colombia 01-800-912-5713
• Corea 00798-11-908-8212
• Costa Rica 0-800-011-0030
• Croacia 0-800-220111-866-654-0125
• Curaçao 001-800-847-2911
• Dinamarca 80-010277
• Dominica 1-800-847-2911
• Egipto (excepto El Cairo) 02-510-0200-866-654-0128
• Egipto (sólo El Cairo) 510-0200-866-654-0128
• Emiratos Árabes Unidos 0-800-121-866-654-0112
• Eslovaquia 0-800-000-101-800-406-9970
• España 900-99-1124
• Estados Unidos 1-800-847-2911
• Estonia 800-12001-800-406-9982
• Filipinas 1-800-1-111-9015
• Finlandia 0800-11-0057
• Francia 0800-90-1179
• Gibraltar 8800-877-3745966
• Granada 1-800-847-2911
• Grecia 00-800-11-638-0304
• Guam 1-800-847-2911
• Guatemala 1-800-999-0115
• Holanda 0800-022-3110
• Hong Kong 800-96-7025
• Hungría 06-800-17682
• India No disponible
• Indonesia 001-803-1-933-6294
• Irlanda 1-800-55-8002
• Islas Bermudas 1-800-847-2911
• Islas Caimán 1-800-847-2911
• Islas Turku y Caicos 0-1-800-847-2911
• Islas Vírgenes Británicas 1-800-847-2911
• Islas Vírgenes Estadounidenses 1-800-847-2911
• Israel 1-800-941-1605
• Italia 800-819-014
• Jamaica 0-800-847-2911
• Japón 00531-11-1555
• Jordania 1-880-0000-888-557-4442
• Kazajstán 8-800-121-4321-888-557-4447
• Kenia 866-654-0162
• Letonia 800-2131
• Líbano (excepto Beirut) 01-426-801-866-654-0130
• Líbano (sólo Beirut) 426-801-866-654-0130
• Liechtenstein 0800-89-4732
• Lituania 8-800-900-28-800-406-9962
• Luxemburgo 0800-2012
• Macedonia 99-800-4288-888-557-4458
• Malasia 1800-80-0159
• Marruecos 002-11-0011-866-654-0163
• Mauricio 01-120-866-654-0165
• México 001-800-847-2911
• Mónaco No disponible
• Montserrat 1-800-847-2911
• Nevis 1-800-847-2911
• Noruega 800-12052
• Nueva Zelanda 0800-44-3019
• Okinawa 00531-11-1555
• Panamá 001-800-111-0016
• Paraguay 008-11-800-800-599-1137
• Perú 800-890-0623
• Polonia 0-0-800-111-1569
• Portugal 800-8-11-824
• Puerto Rico 1-800-847-2911
• Qatar 0800-011-77-888-557-4428
• Reino Unido 0800-89-1725
• República Chechenia 800-142-121
• República Dominicana 1-800-847-2911
• Rumania 021-800-4288-888-557-4416
• Rusia (excepto Moscú/San Petersburgo) 8-10-800-110-1011-866-654-0164
• Rusia (sólo Moscú) 755-5042-866-654-0164
• Rusia (sólo San Petersburgo) 325-5042-866-654-0164
• Saba 1-800-847-2911
• Saint Eustatius 1-800-847-2911
• San Marino 800-819-014
• San Martín 1-800-847-2911
• Senegal 810-3072-888-557-4451
• Singapur 800-110-0344
• St. Kitts/Nevis 1-800-847-2911
• Sudáfrica 0800-990-475
• Suecia 020-795-675
• Suiza 0800-89-4732
• Tailandia 001-800-11-535-0660
• Taiwán 00801-10-3008
• Trinidad y Tobago 1-800-847-2911
• Turquía 00-800-13-535-0900
• Ucrania 8-100-11-888-557-4445
• Uruguay 00-0411-940-7915
• Venezuela 0800-1-002167

También Mastercard ofrece una lista de contactos internacionales:

• Asia / Pacific
• American Samoa: 1-1-800-307-7309
• Australia: 1800-120-113
• China: 10-800-110-7309
• Guam: 1-800-307-7309
• Hong Kong: 800-966677
• India: 000-800-100-1087
• Indonesia: 001803-1-887-0623
• Japan: 00531-11-3886
• Korea: 0079-811-887-0823
• Malaysia: 1-800-804594
• New Zealand: 0800-44-9140
• Philippines: 1-800-1-111-0061
• Saipan: 1-800-307-7309
• Singapore: 800-1100-113
• Taiwan: 00801-10-3400
• Thailand: 001-800-11-887-0663Europe
• Austria: 0800-21-8235
• Belgium: 001-800-307-7309
• Czech Republic: 800-142-494
• Denmark: 8001-6098
• Finland: 08001-156234
• France: 0-800-90-1387
• Germany: 0800-819-1040
• Greece: 00-800-11-887-0303
• Hungary: 06800-12517
• Ireland: 1-800-55-7378
• Italy: 800-870-866
• Liechtenstein: 0800-89-7092
• Luxembourg: 800-2-4533
• Monaco: 0-800-90-1387
• Montserrat: 1-800-307-7309
• Netherlands: 0800-022-5821
• Norway: 800-12697
• Poland: 0-0800-111-1211
• Portugal: 800-8-11-272
• San Marino: 800-870-866
• Spain: 900-97-1231
• Sweden: 020-791-324
• Switzerland: 0800-89-7092
  Turkey: 00-800-13-887-0903
• United Kingdom: 0800-96-4767
• Vatican City State: 800-870-866Latin America / Caribbean
• Anguilla: 1-800-307-7309
• Antigua and Barbuda: 1-800-307-7309
• Argentina: 0800-555-0507
• Bahamas: 1-800-307-7309
• Barbados: 1-800-307-7309
• Bermuda: 1-800-307-7309
• Bolivia: 800-10-0172
• Bonaire: 001-800-307-7309
• Brazil: 0800-891-3294
• Cayman Islands: 1-800-307-7309
• Chile: 1230-020-2012
• Colombia: 01-800-912-1303
• Costa Rica: 0-800-011-0184
• Curacao: 001-800-307-7309
• Dominica: 1-800-307-7309
• Dominican Republic: 1-800-307-7309
• Grenada: 1-800-307-7309
• Guatemala: 1-800-999-1480
• Jamaica: 0800-307-7309
• Mexico: 001-800-307-7309
• Panama: 001-800-307-7309
• Peru: 0-800-307-7309
• Puerto Rico: 1-800-307-7309
• Saba: 1-800-307-7309
• St. Eustatius: 1-800-307-7309
• St. Kitts-nevis: 1-800-307-7309
• St. Maarten: 1-800-307-7309
• Trinidad and Tobago: 1-800-307-7309
• Turks and Caicos Islands: 01-800-307-7309
• Venezuela: 0800-1-002902
• Virgin Islands, British: 1-800-307-7309
• Virgin Islands, U.S.: 1-800-307-7309Middle East / Africa
• Bahrain: 8000-0087
• Cyprus: 080-90569
• Israel: 180-941-8873
• South Africa: 0800-990418US / Canada
• Canada: 1-800-307-7309
• United States: 1-636-722-7111

El fraude de “Directorio Internet España”

De vez en cuando advierto desde este blog de algunos fraudes que están en boga y que atropellan a muchas personas que no detectan inicialmente la estafa.

Uno de los avisos, el de hoy, es respecto a unas cartas que imitan los colores de Telefónica y que aparentemente son para solicitar la corrección de errores de un supuesto directorio. Con letra grande se indica que no tiene coste, pero luego en letra pequeña se indica que si. Y no un coste pequeño. La gente envía las correcciones (¡qué casualidad, siempre hay errores!)  posteriormente llegan las facturas y las amenazas de iniciar un procedimiento judicial por impago en Alemania.

Este fraude está bastante documentado. Incluyo algunos enlaces:

• “Registro Internet de España” es un Fraude
• Directorio-internet-espana-2010-datos
• Me han mandado una carta de directorio-internet.España
• Ojo con las cartas del Directorio de Internet España 2010
• World Business Guide es una estafa
• “European City Guide es una estafa” dice el parlamentario europeo Simon Busuttil
• Sin letra pequeña
• Timos con el registro de marcas
• Ferca Networks se hacía eco hace unos años de un comunicado de Red.es al respecto:
• Comunicado de Red.es
• Red.es contra el timo del Registro Internet
• Tu experto
• Registro Internet España = Engaño para incautos

La solución: primero, no envíes ninguna información. Segundo, si has enviado correcciones y recibes facturas y cartas amenazantes, denúncialo a la policía llevando toda la documentación y no pagues.

Policías del mundo en internet

Uno de los artículos más visitados de este blog es el que incluye información sobre como presentar denuncias a través de Internet, haciendo referencia a las páginas web de los cuerpos y fuerzas de seguridad del estado de Espasña.

Ciertamente, los artículos en los que trato de estos temas se convierten en muros de lamentaciones de personas que se sientes estafadas y engañadas o que han sufrido diferentes agresiones a su intimidad o a su honor, normalmente a través de Internet, pero en otras ocasiones en circunstancias del mundo físico absolutamente tradicionales.

Por supuesto, no necesito recordarles que lo que escriban en los comentarios de este humilde blog no constituye por sí mismo ninguna denuncia real. Si quieren que alguien tome algún tipo de medidas, deberán denunciarlo ante la policía, siempre acudiendo a una comisaría o a un centro de atención de la policía que tenga la competencia o a la que corresponda la circunscripción en la que se cometió el delito o el ilícito. La información en Internet de las diferentes policias ayudan a recopilar la información o a preparar la denuncia, pero esta tiene que ratificarse de forma presencial.

En un momento en el que estaba actualizando los enlaces que habían dejado de funcionar en referencia a las “ventanillas Internet”  de la policía, intenté acceder al web del Grupo de Delitos Telemáticos de la Guardia Civil. Aunque en ese momento, la página web del GDT estaba inaccesible,  la página web de la Guardia Civil incluye un trabajado cuadro que recoge las direcciones internet de los sitios webs de muchas policías del mundo:

NACIONALES
	CUERPO NACIONAL DE POLICÍA www.policía.es		ERTZAINTZA www.ertzaintza.net
	MOSSOS D’ESQUADRA www.gencat.net/mossos		POLICIA LOCAL DE TOTANA (Murcia-España) www.totana.com/museo-policia/index.asp
EUROPA
	INTERPOL www.interpol.int		EUROPOL www.europol.europa.eu
	FUERZA DE GENDARMERÍA EUROPEA www.eurogendfor.org		POLICÍA ALEMANA www.bka.de
	ZOLLKRIMINALAMT http://www.zoll.de		POLICÍA DE AUSTRIA http://ln-inter1.bmi.gv.at
	POLICÍA DE BÉLGICA www.polfed.be		POLICÍA DE DINAMARCA www.politi.dk
	POLICÍA DE FINLANDIA www.poliisi.fi		GENDARMERÍA NACIONAL FRANCESA www.defense.gouv.fr/gendarmerie
	POLICÍA DE GRECIA www.ydt.gr		POLICE JUDICIAIRE http://www.interieur.gouv.fr
	ARMA DE CARABINIERI DE ITALIA www.carabinieri.it		GUARDIA DI FINANZA http://www.gdf.it/
	POLICÍA DE LUXEMBURGO www.etat.lu/police/internet		GUARDIA NACIONAL REPUBLICANA DE PORTUGAL www.gnr.pt
	POLICÍA DE PORTUGAL www.policiajudiciaria.pt		POLICÍA DE SEGURIDAD PÚBLICA DE PORTUGAL http://www.psp.pt/
	POLICÍA DEL REINO UNIDO www.police.uk		SCOTLAND YARD http://www.met.police.uk/
	SERIOUS ORGANISED CRIME AGENCY http://www.soca.gov.uk		POLICÍA DE ANDORRA www.policia.ad
	POLICÍA DE SUECIA www.police.se		POLICÍA DE IRLANDA www.ir/gov.ie/garda
	RED EUROPEA DE MUJERES POLICÍA www.enp.nl
AMERICA
	POLICÍA DE ARGENTINA www.policiafederal.gov.ar		POLICÍA DE BRASIL www.dpf.gov.br
	POLICÍA MONTADA DEL CANADÁ www.rcmp-grc.gc.ca		CARABINEROS DE CHILE www.carabineros.cl
	ESTADOS UNIDOS F.B.I www.fbi.gov		DRUG ENFORCEMENT ADMINISTRATION http://www.dea.gov
	JOINT INTERAGENCY TASK FORCE http://www.jiatfs.southcom.mil		POLICÍA TÉCNICA JUDICIAL DE VENEZUELA www.cicpc.gov.ve
	COMANDOS ANTIDROGAS DE VENEZUELA www.comandoantidroga.mil.ve		POLICÍA NACIONAL DE LA REPÚBLICA DOMINICANA www.policianacional.gob.do
	Policía Nacional de Colombia www.policia.gov.co		Policía Nacional de Ecuador www.policiaecuador.gov.ec
	Policía Nacional del Perú www.pnp.gob.pe		Centro de Investigación y Seguridad Nacional CISEN – México www.cisen.gob.mx
	Procuraduría General de la República – México www.pgr.gob.mx		Secretaría de Seguridad Pública – Policía Federal – México www.ssp.gob.mx

Artículos anteriores:

• Documentos Extraviados y Robados (DER Servicio SADP en el CCI), alternativa a PERSUS
• PerSus (Fichero de DNI perdidos – sustraidos)
• Nuevas técnicas de phishing
• Peritos informáticos e Ingenieros forenses
• Evidencias electrónicas y peritaje informático
• Herramientas de informática forense para memorias USB
• Herramientas de informática forense para recuperar datos de disco duro
• Publicidad engañosa
• Cuanto le puede costar al Real Madrid la publicidad de Bwin
• Publicidad ilegal del juego
• Hacienda perseguirá las apuestas por internet
• Por qué es ilegal la publicidad de juego y apuestas. Caso de Madrid
• Las apuestas por internet son ilegales en España (de momento)
• Cartas nigerianas: SPAM y SCAM
• Comentarios sobre FreeLotto y otros fraudes
• Fraudes en premios de lotería
• Free Lotto y otros fraudes de loterías
• Free Lotto es un engaño. Freelotto es un fraude.
• Fraudes por Internet
• Estudio sobre el fraude a través de Internet (2007-2009)
• Denuncias por internet
• Como denunciar fraudes, estafas y delitos por Internet
• Como denunciar fraudes, estafas y delitos por Internet

Condenado el ‘cracker’ que robó datos de millones de tarjetas de crédito

Visto en El Mundo.

20 años de cárcel para un ‘cracker’ que robó datos de millones de tarjetas de crédito

Un joven estadounidense acusado de haber pirateado millones de tarjetas de crédito ha sido condenado este jueves (25 de marzo de 2010) a 20 años de prisión por un tribunal federal de Boston (Massachusetts).

Albert González, de 28 años, hijo de cubanos afincado en Miami (Florida), que se había declarado culpable el pasado septiembre, se enfrentaba a entre 17 y 25 años de cárcel.

El joven ‘cracker’ (término que alude a los ‘hackers’ o piratas informáticos malintecionados) ha sido inculpado por complot, fraude informático y robo de identidad. El viernes, deberá comparecer de nuevo ante el tribunal por otros casos de pirateo relacionados con una cadena de restaurantes de Nueva Jersey. En total, habría robado los datos de más de 130 millones de tarjetas bancarias desde 2006.

“Se trata del caso más importante de robo informático de la historia de EEUU”, ha declarado la juez Patti Saris al condenarle a 20 años de cárcel. “Pese a que muestra remordimientos y ha devuelto un millón de dólares que había escondido en el jardín de sus padres, debo lanzar un mensaje, dado el enorme coste de su delito”, ha añadido.

Antes de escuchar el veredicto, el acusado ha tomado la palabra. “Soy culpable. Mi curiosidad y mi subyugación [a la informática] me han llevado a traicionar a mis padres y a utilizar su casa”, ha dicho. “Querría pedir perdón e indulgencia”, añadió.

Albert González ha permanecido impasible al escuchar la sentencia, mientras sus padres lloraban en silencio.

El robo

El fiscal Stephen Heymann ha rechazado el argumento de la defensa que afirmaba que el acusado sufría síndrome de Asperger, una forma de autismo.

“Los expertos no han encontrado señal de Asperger”, ha añadido. “Su conducta compulsiva no tiene nada que ver con un problema mental. Se trata de un gran plan a largo plazo”, ha subrayado. “Este caso es completamente aparte, se trata de un fraude y usurpación de identidad que ha causado inmensas pérdidas a un número muy importante de personas”, ha dicho.

A comienzos de 2006, el ‘cracker’ y sus cómplices (dos personas de nacionalidad rusa) “inventaron un medio sofisticado” para infiltrarse en las redes de los supermercados y organismos financieros para robar las coordenadas bancarias de sus clientes.

A continuación, las enviaban a servidores que operaban en varios estados estadounidenses, así como a los Países Bajos y Ucrania. Los piratas informáticos habían encontrado el modo de borrar su rastro en los sistemas informáticos pirateados. Los piratas utilizaban una técnica que permite acceder a las redes informáticas deseadas sorteando el cortafuegos.

Durante el proceso, González ha aceptado devolver a sus víctimas —mediante la confiscación de bienes— lo robado, “más de 2,7 millones de dólares” que había utilizado para comprar un apartamento en Miami, un BMW, un solitario comprado en la joyería Tiffany y varios relojes Rolex. Asimismo, ha reunido un millón de dólares en efectivo que había enterrado en el jardín de sus padres.

Estudio sobre el fraude a través de Internet (2007-2009)

INTECO acaba de publicar el “Estudio sobre el fraude a través de Internet (2007-2009)”, fruto del trabajo conjunto del Observatorio de la Seguridad de la Información y el área de Servicios Reactivos y Operaciones de INTECO-CERT.

La metodología empleada combina técnicas cuantitativas basadas en la percepción de los usuarios de Internet: 32.484 encuestas distribuidas en ocho tomas de datos entre 2007 y 2009, con medidas objetivas de incidencia reales: basadas los 128.325 análisis remotos de seguridad mensuales llevados a cabo a lo largo de este periodo por el Observatorio de la Seguridad de la Información en ordenadores domésticos.

El diagnóstico se completa con la información procedente del Repositorio del Fraude Electrónico, que recopila información técnica a partir de los incidentes detectados por INTECO.

Potencial fraude de tarjetas a gran escala con origen en España

Visto en Expansión. Autor  A. Antón. Publicado el 18-11-09

Visa y Mastercard investigan un potencial fraude a gran escala

Las alarmas sobre el potencial riesgo que conlleva utilizar dinero de plástico como medio de pago ha vuelto a dispararse. Esta vez, el epicentro del posible fraude está en España, aunque los afectados, en principio, serían sólo de nacionalidad alemana.

Según han confirmado las autoridades germanas, la semana pasada fueron bloqueadas miles de tarjetas de Barclays, Lufthansa -emitidas por el banco alemán DKB-Bank- y la financiera Karstadt-Quelle, de ciudadanos que habían efectuado algún tipo de operación en España. Hace unos días VISA y Mastercard -cuyas redes dan soporte a las transacciones internacionales con tarjetas- alertaron a algunos de los bancos con los que trabajan en Europa de la existencia de indicios de uso indebido de tarjetas de crédito. Los sistemas de detección de riesgos sobre uso fraudulento se dispararon.

No obstante, algunas fuentes sugieren que estas irregularidades podrían haberse originado en un centro de procesamiento de datos.

Por el momento, VISA y Mastercard han abierto sendas investigaciones. “No podemos comentar los detalles específicos de la investigación, pero VISA Europa es consciente de que hay un problema potencial de seguridad de datos en algunas tarjetas usadas en España. Aunque todavía no se ha confirmado nada, no creemos que se trate de un tema específico de Visa”, señala la firma.

En Mastercard puntualizan que “el bloqueo de tarjetas constituye una medida preventiva que se ha puesto en marcha al percibir un repunte en el nivel de potencial fraude”. Subrayan que “todavía no han constatado que el foco esté en España”, por lo que prefieren hablar de un “riesgo potencial a nivel Europeo”.

Por otro lado, desde algunas de las entidades que proactivamente han bloqueado sus tarjetas, aseguran que “el problema que se ha detectado no afecta a un determinado banco, sino a toda la industria”, por lo que no se descarta que, en los próximos días, otras financieras procedan a la reemisión de plásticos.

Esta noticia llega en un momento en el que la seguridad en los medios de pago electrónicos y la protección al usuario se han convertido en una de las prioridades de la Unión Europea.

En el marco de la SEPA (Single Euro Payment Area), las entidades financieras ya han modificado casi en su totalidad el parque de terminales de puntos de venta y de cajeros, según los nuevos estádares europeos.

Junto a ello, se ha iniciado el proceso de migración de las tarjetas con el objetivo de que, antes del 31 de diciembre de 2010, incluyan EMV (Europay MasterCard VISA), es decir, un chip que incrementa la seguridad en las transacciones.

Más seguridad

En septiembre, según los últimos datos del Banco de España, sólo el 14% de las tarjetas españolas habían migrado a EMV (chip), porcentaje mucho menor al que registran otros países europeos. Esto se debe, según el regulador, “a los bajos niveles de uso de tarjetas en comparación con los países de nuestro entorno” y “a la a la dificultad de justificar económicamente la fuerte inversión en el EMV debido a los bajos niveles de fraude en emisión detectados en España”.

Según datos de Servired, en 2008, el fraude total sobre el volumen de ventas (compras y extracción de cajeros) se situó en el 0,0248%, un porcentaje muy bajo, pese a haberse incrementado un 2,5% frente al año anterior. “Tenemos los sistemas de detección y control del fraude de última generación”, explican desde la firma.

Nueva oleada de phishing

Aprovechando el retorno vacacional que hace que estemos un poco despistados, los delincuentes “pescadores” (de “phishing”, juego de palabras con “password fishing” en inglés) han intensificado sus campañas al inicio de septiembre.

El ‘phishing’ es una estafa que consiste en en el envío de correos electrónicos que simulan provenir de organismos, empresas privadas o entidades financieras (entidades públicas o privadas que pudieran tener algún acceso a datos financieros) y proponen que se acceda a páginas web falsas que simulan ser del organismo suplantado, y en las que se propone la actualización de datos o el acceso al servicio.

Al acceder a tales páginas los incautos ceden sus datos financieros, tales como identificador (usuario) y password, número de cuenta bancaria o de tarjeta de crédito.

Uno de los aspectos que hace que los incautos sigan “picando” es que los mensajes de atención que se dan desde entidades financieras y organismos afectados son confusos. En efecto, es frecuente leer la frase “la entidad XXX no le pedirá sus datos financieros o información confidencial por internet”. Y la confusión creada es que los mensajes de los criminales no “piden” información: la “ofrecen”. Por ejemplo diciendo: “acceda a su cuenta a través de este enlace y compruebe la información del sistema”. Es decir, no hay conciencia de estar cediendo datos confidenciales cuando uno accede a una página web y teclea su password (clave) porque es lo que hace cuando accede de forma correcta a su entidad financiera.

En la última campaña se están utilizando remitentes como PayPal o la Agencia Tributaria, que efectivamente pueden tener información financiera del usuario. En estos contextos se baja la guardia porque los usuarios están aprendiendo a deconfiar cuando el mensaje aparenta ser de una entidad financiera.

Los mensajes falsos que aparentemente proceden de la Agencia Tributaria (AEAT) se identifican con el remitente impuestos@aeat.es. 

La propia AEAT advierte en una nota sobre estos ataques de phishing y explica que esos mensajes hacen referencia a un reembolso de impuestos  inexistente. Supuestamente, para poder disponer del dinero hay que acceder a una dirección web en la que se deben aportar datos de cuentas bancarias. Dicha web es falsa, y su finalidad es proporcionar a los intrusos la información que allí introduzcan las víctimas del fraude, con la que accederían a las cuentas bancarias reveladas.

Lo cierto es que va llegando la hora de que las entidades financieras eliminen los sistemas de usuario/password que hacen sus servicios tan vulnerables y exponen a sus clientes a estos riesgos. Una buena oportunidad para que el Banco de España ejerza su función supervisora, exigiendo la adopción de las mejores prácticas, o simplemente el cumplimiento del artículo 2 de la Ley 56/2007.