FRAUDES INFORMÁTICOS (EJEMPLOS PRÁCTICOS)
Presentado por: BRYAN ALFREDO OJEDA OJEDA
UNIVERSIDAD DEL QUINDÍO CIENCIAS ECONOMICAS Y ADMINISTRATIVAS, QUINDÍO CONTADURIA PÚBLICA, METODOLOGIA ARMENIA 2014
FRAUDES INFORMÁTICOS (EJEMPLOS PRÁCTICOS)
Presentado por: BRYAN ALFREDO OJEDA OJEDA
Ejemplos prácticos de fraudes informáticos
Profesor:
MIGUEL ALEJANDRO CASTRO CASTRO
UNIVERSIDAD DEL QUINDÍO CIENCIAS ECONOMICAS Y ADMINISTRATIVAS, QUINDÍO CONTADURIA PÚBLICA, METODOLOGIA ARMENIA MARZO DE 2014
Ejemplos de fraudes informáticos Ley 1273 de 2009 •
Artículo 269A: Acceso abusivo a un sistema informático ejemplo: Un pirata informático ha amenazado al proveedor belga de Internet Belgacom con difundir miles de nombres y claves de acceso de sus clientes si la compañía mantiene su política de uso de datos personales. El "hacker", que se hace llamar Vendetta, ya publicó anoche una treintena de contraseñas y nombres de usuarios de Belgacom -con los que cualquiera puede acceder a sus módem- en un foro de Internet, según recoge hoy la prensa belga. El pirata amenazó en el foro con difundir "decenas de miles de claves de acceso" si la compañía no modifica su política de limitación de uso de datos personales, que define las condiciones de colecta, empleo y conservación de información sobre los usuarios. Belgacom ha anunciado que denunciará al pirata y que investigará cómo se ha hecho con los nombres y claves de sus clientes.
•
Articulo 269B: Obstaculización ilegitima de sistema informático o red de telecomunicación, ejemplo: En un ciento por ciento aumentan cada año en Santander las denuncias de personas afectadas por hurtos informáticos y violación de datos personales en correos electrónicos y cuentas en redes sociales. Así lo reveló el Grupo de Delitos Informáticos del Cuerpo Técnico de Investigación (CTI), de la Fiscalía en Santander, quien precisó que entre enero del 2011 y abril de este año las denuncias por delitos informáticos generaron 890 órdenes de trabajo en el ente especializado.
•
Articulo
269C
Interceptación
de
datos
informáticos;
ejemplo:
Las
investigaciones adelantadas por la Fiscalía sobre el escándalo de las
‘chuzadas’ han arrojado los primeros resultados. En éstos se advierte que el grupo especial de inteligencia conocido como el G3 fue el abrebocas de una cadena de ilegalidad al interior del DAS. En un documento de 99 páginas, la Fiscalía 11 Delegada ante la Corte Suprema de Justicia argumentó las razones con base en las cuales llamó a juicio a siete funcionarios y ex funcionarios del DAS, entre ellos, al ex subdirector de inteligencia Miguel Narváez. Ellos se convirtieron en los primeros vinculados formalmente al proceso de las ‘chuzadas’. La principal calificación que hace la Fiscalía sobre el G3 en el escrito de acusación, radicado el pasado 26 de enero, es que ese grupo se había “conformado con la finalidad indeterminada de cometer delitos contra organizaciones y personas opositoras del Gobierno”. A esto, señala que evidentemente “constituía una empresa criminal creada al interior del DAS, con concertación y acuerdo de voluntades, no sólo de quienes fueron miembros del grupo, sino igual y principalmente de los superiores y directivos de la entidad, los que a su vez debían rendir informes a miembros del Gobierno”. En este orden se estableció que existen pruebas suficientes que demuestran que en el caso de las ‘chuzadas’ se cometió el delito de concierto para delinquir, el mismo que se concretó con personas que promovían la “organización delictiva”. Para acusar a los siete ex integrantes del G3, especialmente a Narváez, el ente acusador reunió once carpetas inicialmente entregadas por el Cuerpo Técnico de Investigación, CTI, en donde reposan copias de documentos que envía Narváez, en su calidad de Subdirector del DAS, al ex director de inteligencia Enrique Ariza Rivas, quien también fue llamado a juicio por este mismo escándalo. En estas copias se habla de indagatorias a 29 ex funcionarios del organismo de seguridad, principalmente las que tenían relación con el ex director de inteligencia Carlos Alberto Arzayús y con Jaime Fernando Ovalle Olaz, que fue coordinador del grupo y falleció en días pasados por un cáncer terminal que lo aquejaba. Estos dos últimos
testimonios se convirtieron en pieza clave de la Fiscalía, ya que describieron cómo funcionaba el G3, al igual que las actividades que adelantaron entre 2004 y 2005. •
Articulo 269D: Daño informático; ejemplo: Un joven de 25 años fue detenido en Nueva Jersey (EE.UU.) acusado de robar un nombre de dominio en internet que luego vendió al jugador de baloncesto en la NBA Mark Madsen por 111.000 dólares, informaron hoy fuentes oficiales. La Unidad de Delitos Informáticos de la Policía estatal de Nueva Jersey informó hoy que el pasado 30 de julio detuvo a Daniel Goncalves por haberse apropiado del nombre de dominio P2P.com. Se trata de la primera detención que tiene lugar en ese estado por un delito como ese. Las siglas "P2P" se corresponden con "peer to peer" y hacen referencia a un popular sistema de intercambio de archivos a través de la red. Según las autoridades estatales, Goncalves, que fue dejado en libertad bajo una fianza de 60.000 dólares a la espera de ser juzgado por tres delitos que conllevan penas máximas de 10 años de prisión cada uno, se apropió ilegalmente de la titularidad de ese dominio en 2006.
•
Articulo 269E: Uso de software malicioso; ejemplo: La Fiscalía de Ecuador emprendió hoy una investigación sobre la venta ilegal de copias de la base nacional de datos del registro de identificación, en discos compactos que presuntamente se comercializan en varios comercios populares de la ciudad portuaria de Guayaquil. El director nacional del Registro Civil (agencia de identificación), Jimmy Salazar, presentó la denuncia y pidió a las autoridades fiscales y policiales fortalecer la indagación para encontrar a los responsables de la fuga y el uso de la información de la entidad. Salazar, en declaraciones a la prensa, señaló que los datos que contendrían los discos compactos vendidos de forma ilegal incluirían la información de más de once millones de
ecuatorianos, pues correspondería a la base de datos compilada en años anteriores. El funcionario pidió investigar si esa información ha sido adquirida por bancos y casas comerciales, que supuestamente la usarían para presentar ofertas a los ciudadanos, en general, a través de llamadas telefónicas. Además, Salazar dijo que la venta ilegal de esa información podría ser usada para cometer otro tipo de delitos, como el chantaje o la constitución ilegítima de empresas. •
Articulo 269F: Violación de datos personales; ejemplo: El "hacker" Albert González acusado en el mayor caso de robo de identidad en la historia de Estados Unidos se declaró hoy culpable de 19 cargos tras haber llegado a un acuerdo con la Fiscalía, que le podría acarrear entre 15 y 25 años de prisión. González, quien fue detenido en 2008 en Miami y ha sido en el pasado un informante del Servicio Secreto, está acusado de haber robado números de tarjetas de crédito y de débito de más de 40 millones de cuentas bancarias, según los medios locales. El pirata informático, de 28 años, se declaró culpable en un juzgado de Boston de los cargos de conspiración, fraude electrónico y robo de identidad agravado, informaron los medios locales. Bajo el acuerdo alcanzado con los fiscales, González afronta entre 15 y 25 años de prisión. El Departamento de Justicia le confiscará además 2,8 millones de dólares en efectivo, un condominio en Miami, un automóvil y joyas. González fue arrestado en 2008 junto con otras diez personas. Fue acusado en juzgados federales de Boston y de Nueva Jersey de cargos relacionados a los robos de identidades en compañías y tiendas como TJX, Dave &Busters, Barnes & Noble, Sports Authority, Forever 21 y DWS, OfficeMax, Boston Market, BJ's Wholesale Club.
El caso de Nueva Jersey es el mayor de robo de identidad registrado en la historia de Estados Unidos, dado que se acusa a González y a dos cómplices de nacionalidad rusa de haber sustraído los datos de 130 millones de tarjetas de crédito y débito. •
Artículo 269G: Suplantación de sitios web para capturar datos
personales; ejemplo: en Santander aumentan hurtos y suplantación de sitios web las cuales son las prácticas más comunes de los delincuentes virtuales. Gracias al trabajo del grupo especial del CTI se han evitado hurtos en la región hasta de 5.000 millones de pesos, en un solo caso. Pequeños municipios de categorías quinta y sexta son los más buscados por los delincuentes que buscan en las poblaciones cómplices que faciliten sus hurtos. En la mayoría de los hurtos el dinero es enviado a municipios de la Costa Caribe. En la suplantación de sitios web, conocida técnicamente como phishing, los delincuentes 'capturan' los datos personales de sus víctimas enviando un mensaje donde supuestamente informan que las tarjetas bancarias de los usuarios están bloqueadas.
•
Articulo 269H: Circunstancias de agravación punitiva; ejemplo: Unos
cien empleados del Ministerio de Defensa de Colombia en Bogotá fueron robados desde un cajero automático, al parecer con tarjetas clonadas, denunciaron este lunes algunos de los afectados y la misma entidad bancaria. Los presuntos "clonadores" de tarjetas utilizaron un cajero automático del Banco Bilbao Vizcaya Argentaria (BBVA) ubicado en uno de los pasillos de la sede de la cartera de Defensa en la capital colombiana y extrajeron una suma equivalente a unos 250.000 dólares.
Varios funcionarios e incluso oficiales de la Armada, la Fuerza Aérea y el Ejército colombiano figuran entre los clientes estafados de la entidad bancaria asaltada electrónicamente.Fuentes del BBVA informaron del bloqueo de unas mil tarjetas de clientes que trabajan en ese ministerio y precisaron que el robo se cometió los pasados 5 y 6 de agosto. "Por ahora tenemos 22 quejas, estamos tratando de consolidar el monto específico del robo", explicó a periodistas Mauricio Flores, un portavoz del BBVA. Varios de los funcionarios, oficiales y suboficiales afectados denunciaron que en sus cuentas fueron hechas hasta cuatro transacciones en un solo día. El BBVA anunció que inició una investigación para establecer qué sucedió y señaló que, en todo caso, responderá a sus clientes. •
Articulo 269I: Hurto por medios informáticos; ejemplo: La Guardia
Civil, en el marco de la operación "Jarabo", llevada a cabo en Madrid, Cuenca y Girona, ha desmantelado una red de "phising" que había conseguido estafar a 80 usuarios de banca electrónica de 25 provincias, en una operación en la que han sido detenidas diez personas de origen rumano. La operación se inició en septiembre de 2007 cuando la Guardia Civil recibió varias denuncias por el robo de cartillas de ahorro, a través de las cuales se habían realizado transferencias fraudulentas. Las primeras investigaciones iniciadas por la Guardia Civil se centraron en un grupo de personas asentadas en la localidad de Quintanar del Rey (Cuenca) y Fuenlabrada (Madrid) que podrían estar dedicándose a esta actividad. Posteriormente, se determinó que estas personas, de origen rumano, también pertenecían a una red organizada dedicada al fraude mediante la modalidad "phising", por lo que la Guardia Civil procedió a la detención de todos sus integrantes. Los ahora detenidos, estructurados jerárquicamente, conseguían direcciones de las cuentas de correo electrónico de sus víctimas para enviarles correos masivos, utilizando para ello falsas páginas web de entidades bancarias. Seguidamente, simulando pertenecer a dichas
entidades bancarias, les solicitaban mediante correos "spam" -envíos masivos de correos electrónicos- las claves de sus cuentas bancarias. Una vez conocidas sus claves de acceso a las cuentas bancarias, operaban mediante banca electrónica, desviando el dinero obtenido a cuentas de ahorro de diversas entidades previamente abiertas por personas captadas por la organización, generalmente de origen rumano. La misión de estas personas, denominadas "mulas", finalizaba al entregar a la organización las cuentas, las cartillas y las tarjetas de crédito que las entidades les entregaban, percibiendo a cambio diferentes cantidades económicas. El cabecilla de la red fue detenido en La Junquera (Girona) cuando viajaba en un autobús en dirección a Rumanía, mientras que en Fuenlabrada (Madrid) fueron detenidas otras cinco personas y en Quintanar del Rey (Cuenca), otras cuatro. Entre los objetos intervenidos se encuentran dos ordenadores, un lector de tarjetas magnéticas bancarias, billetes de diverso valor, libretas de ahorro y tarjetas magnéticas utilizadas para las estafas, así como teléfonos móviles y documentación que esta siendo analizada. Las personas detenidas han sido puestas a disposición del Juzgado de Instrucción
número
dos
de
Motilla
del
Palacar
(Cuenca).
Las
investigaciones han sido llevadas a cabo por el EDITE de la Unidad Orgánica de Policía Judicial de la Guardia Civil de Cuenca.
• Articulo 269J: Transferencia no consentida de activos; ejemplo: La Guardia Civil ha desarticulado una organización internacional que había cometido estafas bancarias a través de Internet por un importe cercano a los 400.000 euros en una operación en la que han sido detenidas 15 personas de diversas nacionalidades e imputadas otras 39. La Dirección General de la Policía y la Guardia Civil ha informado hoy de que el grupo tenía ramificaciones en Inglaterra, Italia, Moldavia, Ucrania y Rusia, había realizado noventa operaciones de "phishing" (capturar datos bancarios y
contraseñas a través de Internet) y enviaba la mayor parte del dinero estafado a países de la Europa del Este. La operación, denominada "Adriático-sur", se ha desarrollado en las provincias de Tenerife, Barcelona, Tarragona, Pontevedra, Murcia y Madrid. Las investigaciones se iniciaron en marzo de 2008 cuando la Guardia Civil detectó la presencia en el sur de la isla de Tenerife de un grupo de ciudadanos de origen moldavo que retiraba de diversas entidades bancarias importantes cantidades de dinero. Varios de estos individuos mantenían contacto con un grupo organizado con ramificaciones en Inglaterra, Italia, Moldavia, Ucrania y Rusia, dedicado a cometer estafas bancarias a través de Internet mediante "phishing. Las operaciones fraudulentas tenían como víctimas tanto a empresas como a particulares de las provincias de Albacete, Alicante, Almería, Barcelona, Badajoz, Bilbao, Castellón, Ciudad Real, Gerona, Madrid, Sevilla y Tarragona. La organización utilizaba un "hacker" informático que infectaba ordenadores y espiaba la línea de acceso a Internet obteniendo las claves y cuentas bancarias de empresas y particulares usuarios de banca electrónica. Una vez obtenidas las claves de los perjudicados, a través de equipos informáticos de particulares ajenos a la organización ordenaban las transferencias bancarias mientras que el titular de la línea de conexión a Internet era ajeno a la estafa que se estaba cometiendo desde su conexión. La organización contaba con colaboradores captados a través de anuncios publicados en la prensa rusa y en foros y chats de internet de Rusia y Moldavia que se encargaban de abrir cuentas bancarias a las que era trasferido el dinero estafado, a cambio de lo cual percibían una comisión de entre el 5 y el 10 por ciento de esas cantidades. Una vez que el dinero llegaba a esas cuentas, lo retiraban y lo remitían a través de empresas de envío de dinero a miembros de la organización
asentados principalmente en Moldavia, Ucrania y Rusia. En Tenerife han sido detenidos los moldavos A.C., y E.C., de 31 años; I.T., de 26; A.T., de 29 y S.I.N., de 28 años, además del lituano T.S., de 28 años. En Madrid fue arrestado G.N.B, argentino de 36 años; A.S.P.F., brasileño de 29 años y A.K., ruso de 28 años, mientras que en Tarragona fueron detenidos los moldavos V.O., de 40 años, y V.Z., de 26, y en Barcelona, N.C., letón de 28 años, y J.M.M., peruano de 45. Los agentes han realizado 8 registros domiciliarios (1 en Tenerife, 1 en Murcia, 1 en Tarragona, 1 en Pontevedra y 4 en Madrid), en los que han intervenido 13 ordenadores y distinto material informático, 3.800 euros en efectivo
y
investigados.
numerosa
documentación
relacionada
con
los
hechos