La Estafa Informática MAN IN THE MIDDLE
La proliferación del delito informático denominado Phishing (técnica de ingeniería social que consiste en el envío de correos electrónicos que suplantan la identidad de compañías u organismos públicos que solicitan información personal y bancaria al usuario) está en progresión exponencial a nivel Mundial.
Una de los delitos derivados del Phishing, más perpetrados por los ciber-delincuentes (Crackers) es la denominada “Man in the middle” (MITM), también conocida como ataque del intermediario.
En este delito, el ciber-delincuente se posiciona entre las dos partes (normalmente un Cliente y un Proveedor), que intentan comunicarse ordinariamente mediante correos electrónicos. El objetivo del ciber-delincuente es interceptar las comunicaciones y modificar los parámetros (normalmente los número de cuenta bancarias), consiguiendo que la transferencia bancaria se realice del Cliente a la cuenta bancaria del ciber-delincuente.
¿Como consigue el ciber-delincuente una cuenta bancaria, sin revelar su identidad?
Mediante técnicas de Phishing, consigue los datos personales de una persona confiada y crédula (inocente cooperador necesario en el delito), haciéndose pasar por un asesor bancario, telefónico, energético, etc. Con estos datos abre una cuenta bancaria en una entidad bancaria online.
¿Cómo nos vigila el ciber-delincuente?
El ciber-delincuente, consigue configurar los correos electrónicos del Cliente y del Proveedor, en sus sistemas informáticos, sin que las víctimas se percaten. La técnica utilizada es una evolución de la metodología denomina Sniffer. El ciber-delincuente estar recibiendo copias de todos los correos y datos adjuntos que recibimos y enviamos en tiempo real.
¿Cómo actúa el ciber-delincuente?
En el momento que se envían una factura, con número de cuenta para su abono, intercepta el correo electrónico y modifica el número de cuenta, sustituyendo el número del proveedor por el del inocente cooperador necesario en el delito.
¿Por qué es necesario un Perito Informatico?
§ Preservar las evidencias de su contaminación y de la ruptura de la cadena de custodia, para que sean admisibles como pruebas en una demanda judicial y no puedan ser impugnadas.
§ Dictaminar quien es la victima (el cliente o el proveedor).
§ Documentar pericialmente la trazabilidad de la actuación delictiva.
§ Descubrir las brechas de seguridad del sistema de la víctima, que ha utilizado el ciber-delincuente para su acción delictiva
§ Prescribir las actuaciones de Seguridad Informática Correctivas a implantar, con el objetivo de securizar las brechas de seguridad que ha utilizado el ciber-delincuente y evitar futuras actuaciones delictivas de este, así como que deje de extraer información de nuestro sistema.
§ Planificar actuaciones de Seguridad Informatica de mantenimiento preventivo orientado a la ciber-seguridad de los sistemas informáticos para verificar que no se detectan brechas de seguridad adicionales a las utilizadas por el ciber-delincuente.
Conclusiones.
En los delitos de Phishing, equivocadamente nos centramos únicamente en los que han creado perjuicios económico directo a la víctima (transferencias bancarias a cuentas de ciber-delincuentes).
La información que una empresa comparte mediante los sistemas de comunicaciones electrónicas; ofertas económicas a clientes, listados de clientes y sus facturaciones, estrategias comerciales, nominas e incentivos a empleados, DAFO, PEST, SWOT, CAME, Auditorias (Comerciales, financieras, operativas, de Ciber-Seguridad).
La mayoría de las veces, el delito económico padecido es la punta del iceberg, pudiendo llevar a la víctima, vendiendo su información, a situaciones de falencia, insolvencia, liquidación o incluso su cierre.
No subestimemos e ignoremos la necesidad de la intervención de un Perito Informático especializado en Seguridad Informática, en caso de que seamos victimas de un delito de Phishing.
Bartomeu Segura Duran
Master Universitario en Seguridad Informática y Hacking Ético
Delegado para las Islas Baleares de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos ANTPJI