Fraude en los sistemas de información, por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

Riesgos y seguridad
I Posibles riesgos
Fraude

1) Concepto

Manipular la información para obtener un beneficio.

Direcciones de correo fraudulentas
Es muy sencillo enviar un correo electrónico simulando la direccion de correo electrónico de otra persona. Una forma sencilla de hacerlo es simplemente modificar la configuración de las preferencias y poner la dirección de otra persona. Por ejemplo podemos hacernos pasar por el presidente del gobierno de los EEUU.

1) En la primera pantalla modificamos las preferencias y ponemos la dirección del presidente de los EEUU.

2) Como vemos, la persona que recibe el correo se lleva una sorpresa.

3) Pero si sospechamos podemos consultar las cabeceras completas del email y comprobar el IP desde donde lo ha enviado.

Primera condena en España por espionaje del correo electrónico Iblnews (http://www.iblnews.com) [2-Mar-2004]
Por primera vez en España, una joven ha sido condenada a dos años de prisión y al pago de 26.886,20 euros de indemnización a una ex compañera de estudios, por un delito de revelación de secretos (interceptación de un cuenta de e-mail 'Hotmail'), al haber reenviado mensajes privados con información 'comprometida' para dicha ex compañera, y por una falta de daños informáticos.

Se trata de la primera vez que recibe condena en España una persona por acceder al correo de otra y hacer uso del mismo con ánimo de causar perjuicios. Según informó Bufet Almeida a IBLNEWS, "la acusada, a finales del mes de noviembre de 2001, accedió por medio del ordenador de su domicilio, en Barcelona, y conectado a Internet por medio de una línea telefónica, a la cuenta de correo electrónico, contratada con Hotmail, de la ex compañera de estudios de la acusada, la cual conocía circunstancias personales de ésta, en base a las cuales pudo acceder a la contraseña de dicha cuenta, cambiándola sin consentimiento, como consecuencia de lo cual la verdadera titular se vio privada de su derecho a acceder a su correspondencia electrónica.

"La acusada, utilizando la contraseña sustraída, tuvo acceso a todos los mensajes de correo electrónico dirigidos a su ex compañera, así como a los que ésta había redactado y se encontraban archivados en su cuenta de Hotmail, y finalmente, a la agenda de contactos, con sus correspondientes direcciones electrónicas. La acusada, con ánimo de perjudicar a su ex compañera, decidió suplantar la identidad de ésta en Internet, haciéndose pasar por ella. A tal efecto, modificó algunos de los mensajes almacenados en la cuenta de correo y procedió a enviarlos a terceras personas, incluyendo frases injuriosas al objeto de desprestigiarla, dañando su imagen ante dichas personas", según informó Bufet Almeida.

Por cierto, para acceder a su correo de Hotmail acertó la pregunta secreta gracias a que conocía sus circunstancias personales (eran compañeros de Master).

2) Medida de seguridad

Hemos visto lo sencillo que puede ser suplantar la personalidad de una persona utilizando el correo electrónico. Los contables, consultores, auditores, etc. utilizan información crítica de clientes por lo que deberían utilizar medidas de seguridad para evitar efectos indeseados. Por ejemplo una información fraudulenta en la que se avisa de que la empresa va a recibir una auditoría con salvedades.

Como medida de seguridad activa puede autentificarse la información mediante firmas digitales, de lo que hablaremos en otro apartado. Es fundamental.

3) Otras estafas...

Por ejemplo unos estafadores trataron de robar la información de las tarjetas de crédito de los 55 millones de usuarios de la empresa de de subastas online eBay.

Imitaron el sitio de la firma en la Web -ebayupdates.com-, con el logo de eBay y sus colores y enviaron un email a usuarios de eBay pidiendo datos de las tarjetas de crédito.

El fraudulento mensaje lleva como encabezamiento "Error de cuenta de Ebay" y comienza: "Distinguido miembro de Ebay. Nosotros en Ebay sentimos informarle que estamos teniendo problemas con la información del cobro de su cuenta...".

Yo mismo fui objeto de un intento de estafa similar. En este caso los estafadores se hicieron con las direcciones de las personas que han registrado un nombre de dominio en Register.com (http://www.register.com) y enviaban un email a los clientes solicitando los datos de la tarjeta de crédito. Como puede observarse en la imagen la empresa Register.com envió un email a sus clientes avisando del intento de estafa. Aunque en este caso lo que querían era robar los clientes a Register.com

Citar como: Serrano Cinca C. (2003): "Riesgos y seguridad en los sistemas de información", [en línea] 5campus.org, Sistemas Informativos Contables <http://www.5campus.org/leccion/buscar> [y añadir fecha consulta]	[Índice]