UNIVERSIDAD TCNICA DE MANAB

FACULTAD DE CIENCIAS INFORMTICAS

CARRERA DE INGENIERA EN SISTEMAS

VII A

SEGURIDAD INFORMTICA
PROYECTO - PHISHING

REALIZADO POR:
JORGE ARUN ZAMBRANO CEDEO
JOS ANTONIO SORNOZA HENRIQUEZ

DOCENTE:
ING. JORGE VELOZ

OCTUBRE 2014 - FEBRERO 2015

UNIVERSIDAD TCNICA DE MANAB

Visin
Ser institucin universitaria, lder y referente de la educacin superior en el Ecuador,
promoviendo la creacin, desarrollo, transmisin y difusin de la ciencia, la tcnica y la
cultura, con reconocimiento social y proyeccin regional y mundial.
Misin
Formar acadmicos, cientficos y profesionales responsables, humanistas, ticos y
solidarios, comprometidos con los objetivos del desarrollo nacional, que contribuyan a la
solucin de los problemas del pas como universidad de docencia con investigacin,
capaces de generar y aplicar nuevos conocimientos, fomentando la promocin y difusin
de los saberes y las culturas, previstos en la Constitucin de la Repblica del Ecuador.

FACULTAD DE CIENCIAS INFORMTICAS

Visin
Ser una facultad lder que con integridad, transparencia y equidad forme profesionales
capaces de desarrollar soluciones informticas innovadoras, generadores de
conocimientos e investigacin permanente.
Misin
Formar profesionales investigadores en el campo de las Ciencias Informticas, al servicio
de la sociedad, que aporten con soluciones innovadoras al desarrollo tecnolgico del pas.

DEDICATORIA

Dedicamos este trabajo de investigativo a todas las personas que no tienen ningn
conocimiento sobre las vulnerabilidades a las que estn expuestas toda su informacin
con el fin de hacer conciencia y buscar mtodos de cmo proteger su informacin.
Adems a nuestro docente el Ing. Jorge Veloz y a todos los que conforman la Universidad
Tcnica de Manab.

Los autores

AGRADECIMIENTO
Ante todo le agradecemos a Dios, por permitirnos realizar este trabajo de investigacin,
tambin a nuestros padres por brindarnos todo el apoyo necesario a lo largo de nuestras
vidas.
Este trabajo de investigacin es el resultado del esfuerzo conjunto de todos los que
formamos el grupo de trabajo. Los autores del presente trabajo de investigacin dejan
constancia de su agradecimiento a cada una de las personas que brindaron su apoyo
durante el desarrollo de la misma.
Al Ing. Jorge Veloz por sus consejos y conocimientos brindados durante el presente
periodo de clases, finalmente un eterno agradecimiento a esta prestigiosa Universidad la
cual abre sus puertas a jvenes como nosotros, preparndonos para un futuro competitivo
y formndonos como personas de bien.

Gracias.
Los autores.

RESUMEN
Los avances tecnolgicos que se han generado a travs de la informtica han causado un
gran impacto social en las instituciones pblicas y privadas; adems de los diferentes
ataques y fraudes cometidos por delincuentes informticos con respecto a Seguridad
informtica ms concretamente Ingeniera social: Phishing, un tema que tiene gran
auge en la actualidad por la incidencia en la red y las consecuencias negativas que
ha presentado sobre los usuarios de los diferentes entidades.
Finalmente se presentan a los usuarios del Internet unos tips generales de cmo evitar y
como denunciar este tipo de fraudes.

OBJETIVOS
OBJETIVO GENERAL

Realizar un ataque PHISHING para determinar las vulnerabilidades a las que se

encuentran expuestos nuestra informacin personal en la red y permitir que los usuarios
de Internet detecten cuando son vctimas de ataques de phishing, con el fin de evitar
captura de informacin.

OBJETIVOS ESPECFICOS
Definir estrategias, basados en las polticas de seguridad de la organizacin, que

permitan a los usuarios del sitio verificar fcilmente que la pgina a la que estn
conectados es autntica.
Realizar la clonacin de la pgina que va hacer atacada teniendo en cuenta cada
detalle para que el usuario acceda sin ningn problema.
Elaborar la documentacin respectiva detallando como se realiz el proceso del
ataque PHISHING.

TEMA
Desarrollo de un ataque PHISHING para determinar las vulnerabilidades a las que se
encuentran expuestos nuestra informacin personal en la red y permitir que los usuarios
de Internet detecten cuando son vctimas de ataques de phishing, con el fin de evitar
captura de informacin.

JUSTIFICACIN
Cada da son ms comunes los ataques informticos basados en la Ingeniera Social.
Estos se caracterizan por explotar la confianza de los usuarios con el fin de tener acceso
a informacin confidencial. Entre ellos se destaca el phishing, el cual consiste en orientar
al usuario para que ingrese a una pgina falsa, generalmente asociada con una
entidad financiera, y obtener informacin privilegiada.
Con base en las experiencias relatadas por los usuarios acerca del impacto que tiene la
Ingeniera Social, se hace necesario definir estrategias de contingencia mediante el
profundo conocimiento de las polticas de seguridad que manejan las organizaciones, con
el fin de evitar el constante fraude al que los usuarios son expuestos da a da.
Este trabajo de investigacin se basa en realizar un ataque a una determinada institucin
con el fin de identificar las vulnerabilidades a las que se encuentran expuestas nuestra
informacin personal en la red, y poder as concientizar a las personas de los peligros de
la web si no sabemos cmo utilizarlas o como proteger nuestras informacin.

INTRODUCCION
Desde el principio de los tiempos, el ser humano ha evolucionado radicalmente
cambiando su estilo de vida. Las personas tomamos decisiones basados en las
experiencias cotidianas y, en algunos casos, slo se hace uso de la intuicin.
Uno de los mayores inventos en el campo de la tecnologa, y que parti la historia del
hombre en dos, es la del Internet. A partir del momento en el cual sta se abri al
mundo entero, la forma de hacerse las cosas cambiaron. Por ejemplo, antes de la
aparicin de Internet, todas las tareas del colegio se hacan buscando en una enciclopedia
y se sacaba de all toda la informacin que se necesitaba. Ahora con solo dar un
clic, se obtiene la informacin deseada; pueden ser noticias, biografas, y muchas otras
cosas. Tambin es importante tener en cuenta, que Internet no solo se usa para informarse
sino que tambin para realizar cualquier tipo de diligencia.
Actualmente, el tema del hurto en Internet est muy de moda, ya que ste es el medio
ms rpido y sencillo que los ladrones tienen para realizar robos con una probabilidad
muy baja de que sean descubiertos.
En este punto, se introducen entonces, dos trminos. El primero hace referencia a la
manipulacin de las personas mediante tcnicas de persuasin, tambin conocidas
actualmente como Ingeniera social. ste es importante que sea mencionado, ya que
con su uso las personas han sido vctimas de ataques de hurto de informacin personal. Y
el segundo trmino, es una aplicacin especfica de la Ingeniera social y es una de las
palabras ms sonada del momento El phishing. sta es una modalidad de robo que
surgi gracias a la buena acogida que ha tenido el comercio electrnico actualmente. El
phishing consiste, en el hurto de la informacin personal de alguien, mientras que ste
navega en Internet sin que se d por enterado. ste proceso de robo lo realizan los ladrones
o phishers en el ciberespacio.
El fraude mediante el uso del correo electrnico, hace parte de la modalidad de phishing.
ste consiste en que el atacante enva un correo electrnico a su vctima, solicitndole
que ingrese datos personales como: cdula, nmero de cuenta, tarjeta de crdito, entre
otros. Entonces el usuario, sin darse cuenta de que la fuente del correo no es autntica,
realiza el ingreso de datos dando clic sobre un link que lo lleva a una pgina de Internet
que ha sido diseada de manera que el usuario crea que la conoce y que aparentemente
es segura. El problema se da, porque en realidad esta pgina es una imitacin del
sitio original, o sea que all el usuario est siendo vctima de phishing sin saber.
El gran reto que existe hoy en da tanto para los navegantes de Internet como para los
programadores es la seguridad. Por lo tanto, hay que informarse ms de lo que est
ocurriendo a nuestro alrededor y as conocer que es lo que los crackers o hackers
estn planeando desarrollar para poder contrarrestar sus efectos

MARCO TERICO
Qu es el Phishing?
El termino Phishing es utilizado para referirse a uno de los mtodos ms utilizados
por delincuentes cibernticos para estafar y obtener informacin confidencial de forma
fraudulenta como puede ser una contrasea o informacin detallada sobre tarjetas de
crdito u otra informacin bancaria de la vctima.1
El "Phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario
sus datos, claves, cuentas bancarias, nmeros de tarjeta de crdito, identidades, etc.
Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta.
En qu consiste?
Se puede resumir de forma fcil, engaando al posible estafado, "suplantando la imagen
de una empresa o entidad pblica", de esta manera hacen "creer" a la posible vctima que
realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.
Origen de la palabra
Como es mencionado en los textos bibliogrficos La palabra Phishing proviene de la
palabra en ingls fishing (pesca). Si nos detenemos a pensar un poco, podremos
afirmar que la palabra pesca es utiliza ya que el phishing es una pesca de informacin que
realizan los hackers en Internet para poder robar informacin a los cibernautas de sus
cuentas bancarias.
Haciendo la comparacin entre la pesca en general y el phishing, encontramos que en la
pesca se usa una carnada para poner en el anzuelo y con esta atrapar los pescados. En
el phishing tambin se usa una carnada y se pone en un anzuelo. Para este caso el
anzuelo sera la bandeja de entrada de los correos electrnicos de los cibernautas y
la carnada sera un e-mail enviado aparentemente por una entidad financiera. As
entonces, las personas al revisar sus cuentas de correo y encontrar un e-mail de alguna
entidad financiera donde ellos tienen cuenta, morderan el anzuelo y revelaran su
informacin personal.
Historia del Phishing
Quienes comenzaron a hacer phishing en AOL durante los aos 1990 solan obtener
cuentas para usar los servicios de esa compaa a travs de nmeros de tarjetas de crdito
vlidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL
podan durar semanas e incluso meses. En 1995 AOL tom medidas para prevenir este
uso fraudulento de sus servicios, de modo que los crackers recurrieron al phishing para
obtener cuentas legtimas en AOL.
El phishing tu jeta es mi silln en AOL estaba estrechamente relacionado con la
comunidad de warez que intercambiaba software falsificado. Un cracker se haca pasar
1

http://blog.elhacker.net/2014/01/phishing-en-2014-ejemplo-practico-facebook.html

como un empleado de AOL y enviaba un mensaje instantneo a una vctima potencial.

Para poder engaar a la vctima de modo que diera informacin confidencial, el mensaje
poda contener textos como "verificando cuenta" o "confirmando informacin de factura".
Una vez el usuario enviaba su contrasea, el atacante poda tener acceso a la cuenta de la
vctima y utilizarla para varios propsitos criminales, incluyendo el spam. Tanto el
phishing como el warezing en AOL requeran generalmente el uso de programas escritos
por crackers, como el AOLHell.
En 1997 AOL reforz su poltica respecto al phishing y los warez fueron terminantemente
expulsados de los servidores de AOL. Durante ese tiempo el phishing era tan frecuente
en AOL que decidieron aadir en su sistema de mensajera instantnea, una lnea de texto
que indicaba: no one working at AOL will ask for your password or billing information
(nadie que trabaje en AOL le pedir a usted su contrasea o informacin de
facturacin). Simultneamente AOL desarroll un sistema que desactivaba de forma
automtica una cuenta involucrada en phishing, normalmente antes de que la vctima
pudiera responder. Los phishers se trasladaron de forma temporal al sistema de mensajera
instantneo de AOL (AIM), debido a que no podan ser expulsados del servidor de AIM.
El cierre obligado de la escena de warez en AOL caus que muchos phishers dejaran el
servicio, y en consecuencia la prctica
La primera mencin del trmino phishing data de enero de 1996 en un grupo de noticias
de hackers alt.26005, aunque el trmino apareci tempranamente en la edicin impresa
del boletn de noticias hacker "2600 Magazine". El trmino phishing fue adoptado por
crackers que intentaban "pescar" cuentas de miembros de AOL.
Las personas que se dedican al phishing son conocidas con el nombre de phishers
(pescadores). Estos individuos tienen como funcin principal el envo de correos
electrnicos a diferentes personas. Para poder lograr que las personas crean que el correo
que reciben es de un remitente confiable, los phishers deben de hacerse pasar por
entidades financieras que sean reconocidas en el medio.
Los ataques de phishing estn creciendo con gran rapidez y por esta razn es que se ha
hecho necesario tomar medidas de seguridad contra estos ataques. Existen leyes en la
actualidad que penalizan esta modalidad de robo. Por otra parte se han encontrado nuevas
variantes para realizar el phishing, como lo es el robo de informacin por medio del
telfono. 2
Evolucin del Phishing
Como se mencion anteriormente, el inicio del Phishing se dio al ser mencionado por
primera vez en un grupo de noticias de hackers. Entonces desde esa poca fue que se dio
el nacimiento de la nueva modalidad de robo, tambin conocida como phishing.
El primer intento de phishing, como tambin se mencion, se dio cuando un grupo de
ckrackers queran robar algunas cuentas de miembros de AOL. Despus de eso, es muy
difcil decir un nmero exacto de casos reportados por personas que hayan sido vctimas
de phishing.

http://dictionary.oed.com/cgi/entry/30004303/

Existen dos clases de phishing, el tradicional y el complejo. El primero es aquel que se

enva de manera masiva a los diferentes buzones de correo electrnico de personas
escogidas al azar. Lo anterior hace que el detectar estos correos se pueda realizar de
manera ms rpida. Por otro lado, esta clase de phishing tiene elementos muy visibles
que hacen que las personas sepan identificar cuando los correos son fraudulentos o no.
Actualmente en el mundo entero existen entidades y empresas que son conocidas y que
tienen la facilidad de identificar cuando un sitio Web es o no autnticos. Con base en la
informacin anterior, se afirma que estos incidentes no trascienden; adems se tiene que
los ataques mostrados en estadsticas nunca sern los reales.
Entre las medidas preventivas, a las personas que navegan en Internet se les da una serie
de indicaciones como no dar su informacin personal en correos electrnicos que les
llegue a sus bandejas de entrada; dentro de sta informacin personal estn las
contraseas, usuarios, nmeros de tarjetas de crdito, entre otras. Por otro lado, los
usuarios debern estar alerta cuando entren a sitios Web de entidades financieras y
cerciorarse de la existencia de dos detalles muy importantes, el primero es fijarse si la
direccin o URL esta antecedida por una s que indica que es pgina segura, as:
https://. Y lo segundo a tener en cuenta es verificar la existencia de un candado en
la parte inferior derecha de sus pantallas, el cual advierte que la pgina es segura.
Toda la informacin descrita anteriormente demuestra que el la clase de phishing
tradicional es una forma un poco primitiva pero que igual es peligrosa y es de suma
importancia para la seguridad de los cibernautas. En la actualidad no hay cifras reales de
prdida monetaria a causa del phishing ni del nmero de personas afectadas por
esta modalidad. Lo anterior tambin muestra que esta actividad es muy rentable
para los phishers adquirir dinero de manera fcil3.
Por otro lado hay que mirar ste problema de phishing desde el punto de vista no del
usuario, sino de las diferentes entidades bancarias a las cuales les plagian sus pginas en
Internet para robar dinero. A pesar de ser ste otro contexto, las consecuencias son iguales
o peor de devastadoras. Para una empresa y ms para una entidad financiera, lo primordial
es conservar el good will y si tomamos aquellos casos en los que los phishers lograron su
acometida ser ah donde la buena imagen de las empresas decaera.
El problema del phishing no acaba aqu, y por ende es necesario evolucionar en
la forma de abordarlo, ya que en la actualidad no se est llevando a cabo de forma efectiva,
hay muchas reas de oportunidad desaprovechadas4.
Haciendo alusin a la parte tcnica que est relacionada con ste tema del phishing, es
fundamental mencionar que para que los ataques de phishers disminuyan notoriamente es
necesario combatir directamente con el taln de Aquiles de ste tema, el cual es la
integridad del sistema del usuario.
Dentro del tema de seguridad, las empresas desarrolladoras de antivirus juegan un papel
muy importante, ya que estas cuentan con personal capacitado tcnicamente y un

3
4

http://www.elpelao.com/3831.html
http://ip-com.blogspot.com/2006_07_01_archive.html

software de seguridad que est muy bien probado y la implantacin del mismo ha sido
exitosa. A pesar de lo anterior estas empresas no se libran de los ataques de phishing.
Por otro lado hay que tener en cuenta que el sistema operativo del navegador tiene
mucho que ver a la hora de hablar de phishing. Esto se debe a que los hackers
constantemente estn documentndose e informndose para crear ataques ms
potentes y as encuentran debilidades o vulnerabilidades del software que se puedan
explotar5
Cmo lo realizan?
El Phishing puede producirse de varias formas, desde un simple mensaje a su telfono
mvil, una llamada telefnica, una web que simula una entidad, una ventana emergente,
y la ms usada y conocida por los internautas, la recepcin de un correo electrnico.
Pueden existir ms formatos pero en estos momentos solo mencionamos los ms
comunes:
SMS (mensaje corto); La recepcin de un mensaje donde le solicitan sus datos
personales.
Llamada telefnica; Pueden recibir una llamada telefnica en la que el emisor
suplanta a una entidad privada o pblica para que usted le facilite datos privados.
Un ejemplo claro es el producido estos das con la Agencia Tributaria, sta
advirti de que algunas personas estn llamando en su nombre a los
contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan
para hacerles cargos monetarios.
Pgina web o ventana emergente; es muy clsica y bastante usada. En ella se
simula suplantando visualmente la imagen de una entidad oficial, empresas, etc.
pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos
privados. La ms empleada es la "imitacin" de pginas web de bancos, siendo el
parecido casi idntico pero no oficial. Tampoco olvidamos sitios web falsos con
seuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario
novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociacin de
Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de
mviles creada para robar datos bancarios.
Correo electrnico, el ms usado y ms conocido por los internautas. El
procedimiento es la recepcin de un correo electrnico donde SIMULAN a la
entidad u organismo que quieren suplantar para obtener datos del usuario novel.
Los datos son solicitados supuestamente por motivos de seguridad,
mantenimiento de la entidad, mejorar su servicio, encuestas, confirmacin de su
identidad o cualquier excusa, para que usted facilite cualquier dato. El correo
puede contener formularios, enlaces falsos, textos originales, imgenes oficiales,
etc., todo para que visualmente sea idntica al sitio web original. Tambin
aprovechan vulnerabilidades de navegadores y gestores de correos, todo con el
nico objetivo de que el usuario introduzca su informacin personal y sin saberlo
lo enva directamente al estafador, para que luego pueda utilizarlos de forma
fraudulenta: robo de su dinero, realizar compras, etc.6

5
6

http://www.laflecha.net/canales/seguridad/200607131/
http://seguridad.internautas.org/html/451.html

Tipos de ataques relacionados con el Phishing

Deceptive Phishing: Es la modalidad ms comn. Consiste en el envo de un correo
electrnico engaoso en el que se suplanta a una empresa o institucin de confianza. El
receptor pulsar en el enlace contenido en el mensaje, siendo desviado de manera
inconsciente a un sitio web fraudulento.
Malware-Based Phishing: Se refiere a la variante del delito que implica la ejecucin de
un software malicioso en el ordenador. El usuario deber realizar alguna actuacin que
permita la ejecucin del malware en su ordenador (abrir un archivo adjunto, visitar una
web y descargar un programa, etc.).
Keyloggers y Screenloggers: Son una variedad particular de malware. Los Keyloggers
son programas que registran las pulsaciones del teclado cuando la mquina en la que estn
instaladas accede a una web registrada. Los datos son grabados por el programa y
enviados al delincuente por Internet. Los Screenloggers tienen la misma funcin, pero
capturan imgenes de la pantalla.
Session Hijacking: Describe el ataque que se produce una vez que el usuario ha accedido
a alguna web registrada por el software. Estos programas suelen ir disfrazados como un
componente del propio navegador.
Web Trojans: Son programas que aparecen en forma de ventanas emergentes sobre las
pantallas de validacin de pginas web legtimas. El usuario cree que est introduciendo
sus datos en la web real, mientras que lo est haciendo en el software malicioso.
System Reconfiguration Attacks: Este ataque se efecta modificando los parmetros de
configuracin del ordenador del usuario, por ejemplo modificando el sistema de nombres
de dominio.
Data Theft: Se trata de cdigos maliciosos que recaban informacin confidencial
almacenada dentro la mquina en la que se instalan.
DNS-Based Phishing (Pharming): Este delito se basa en la interferencia en el proceso
de bsqueda de un nombre de dominio, es decir modifica fraudulentamente la resolucin
del nombre de dominio enviando al usuario a una direccin IP distinta.
Hosts File Poisoning: Es otra forma de llevar a cabo el Pharming. En este caso la
transformacin se lleva a cabo mediante el fichero hosts albergado en los servidores DNS.
Content-Injection Phishing: Esta modalidad consiste en introducir contenido
fraudulento dentro de un sitio web legtimo
Man-in-the-Middle Phishing: En este caso, el delincuente se posiciona entre el
ordenador del usuario y el servidor, pudiendo filtrar, leer y modificar informacin.

Search Engine Phishing: Los phishers crean buscadores para redireccionarte a los sitios
fraudulentos7
Cmo protegerme?
La forma ms segura para estar tranquilo y no ser estafado, es que NUNCA responda a
NINGUNA solicitud de informacin personal a travs de correo electrnico, llamada
telefnica o mensaje corto (SMS).
Las entidades u organismos NUNCA le solicitan contraseas, nmeros de tarjeta de
crdito o cualquier informacin personal por correo electrnico, por telfono o SMS.
Ellos ya tienen sus datos, en todo caso es usted el que los puede solicitar por olvido o
prdida y ellos se lo facilitarn. Ellos NUNCA se lo van a solicitar porque ya los tienen,
es de sentido comn.
Para visitar sitios Web, teclee la direccin URL en la barra de direcciones. NUNCA POR
ENLACES PROCEDENTES DE CUALQUIER SITIO. Las entidades bancarias
contienen certificados de seguridad y cifrados seguros NO TENGA MIEDO al uso de la
banca por internet.
Ataques recientes
En general, los ltimos ataques de phishing han sido reportados desde pginas de
Internet habilitadas para realizar pagos y por clientes de entidades financieras.
Tambin se ha encontrado que ltimamente pginas de carcter social han sido vctimas
de ataques de phishing debido al gran contenido de informacin personal de diferentes
personas que frecuentan el sitio13. Algunos experimentos han otorgado una tasa de xito
de un 90% en ataques.
Un ejemplo muy peculiar se dio a finales del ao 2006, en el cual un gusano
informtico tomo posesin de varias de las pginas de MySpace, un sitio muy conocido
y de gran concurrencia. Los phishers lograron hacer que los enlaces de ste sitio Web se
dirigieran a otra pgina diferente pero con una apariencia igual o muy similar a la original.
Lavado de dinero producto del phishing
Otra forma de realizar el phishing indirectamente siendo mula. Este trmino se le da
aquella persona que participa en los ataques de phishing muchas veces sin tener
conocimiento. Un ejemplo de esto y que se ha dado a conocer en estos das, es el del
sinnmero de ofertas que a diario vemos por ah solicitando personas para trabajar desde
la comodidad de su casa. Para poder ser contratado en este tipo de trabajos es necesario
llenar un formulario en el cual piden varios datos personales, entre ellos nmeros de
cuentas bancarias; con esta informacin es que los phishers se basan para realizar sus
ataques.
stos lo que hacen, es consignar la plata obtenida en alguno de sus ataques en las
cuentas de estos trabajadores y as en caso de ser descubiertos no podrn ser
7

http://blog.elhacker.net/2014/01/phishing-en-2014-ejemplo-practico-facebook.html

encontrados por el nmero de cuenta. Los empleados de dicha empresa recibirn un

porcentaje del dinero obtenido en el fraude como parte de pago por su trabajo.
Respuestas legislativas y judiciales
Lo bueno de estar a la vanguardia con el crecimiento tecnolgico es que las leyes tambin
se van adaptando a estos cambios y es por esto que hoy en da podemos tener respuestas
judiciales y legislativas a ste tema del phishing.
A continuacin se muestran varios ejemplos en los cuales se puede ver la oportuna
respuesta de la ley contra los ataques de phishing en el mundo entero:
El 26 de enero de 2004, la FTC (Federal Trade Commission, "Comisin Federal de
Comercio") de Estados Unidos llev a juicio el primer caso contra un phisher
sospechoso. El acusado, un adolescente de California, supuestamente cre y utiliz
una pgina Web con un diseo que aparentaba ser la pgina de America Online
para poder robar nmeros de tarjetas de crdito. Tanto Europa como Brasil siguieron la
prctica de los Estados Unidos, rastreando y arrestando a presuntos phishers. A finales de
marzo del 2005, un hombre estonio de 24 aos fue arrestado utilizando una backdoor, a
partir de que las vctimas visitaron su sitio Web falso, en el que inclua un keylogger que
le permita monitorear lo que los usuarios tecleaban. Del mismo modo, las autoridades
arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, lder de una de las
ms grandes redes de phishing que en dos aos haba robado entre $18 a $37 millones de
dlares estadounidenses.
En junio del 2005 las autoridades del Reino Unido arrestaron a dos hombres por la
prctica del phishing, en un caso conectado a la denominada Operation Firewall del
Servicio Secreto de los Estados Unidos, que buscaba sitios Web notorios que practicaban
el phishing conectado a la denominada Operation Firewall del Servicio Secreto de los
Estados Unidos, que buscaba sitios Web notorios que practicaban el phishing En los
Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti- Phishing del 2005
el 1 de marzo del 2005. Esta ley federal de anti-phishing estableca que aquellos
criminales que crearan pginas Web falsas o enviaran spam a cuentas de e-mail
con la intencin de estafar a los usuarios podran recibir una multa de hasta $250,000
USD y penas de crcel por un trmino de hasta cinco aos.
La compaa Microsoft tambin se ha unido al esfuerzo de combatir el phishing. El
31 de marzo del 2005, Microsoft llev a la Corte del Distrito de Washington 117 pleitos
federales. En algunos de ellos se acus al denominado phisher "John Doe" por utilizar
varios mtodos para obtener contraseas e informacin confidencial. Microsoft espera
desenmascarar con estos casos a varios operadores de phishing de gran envergadura. En
marzo del 2005 tambin se consider la asociacin entre Microsoft y el gobierno de
Australia para educar sobre mejoras a la ley que permitiran combatir varios crmenes
cibernticos, incluyendo el phishing.

Cmo lo denuncio?
Cuando usted sea vctima de este tipo de intento de estafa informe a las autoridades
competentes, la Asociacin de Internautas cre hace varios meses un conducto a travs
del cual los internautas pueden denunciar los correos que simulan ser entidades bancarias,
web falsas o cualquier tipo de estafa por medio del uso de Phishing en internet.
Para ello solo tiene que mandar un correo a phishing@internautas.org adjuntando el
mail recibido o la web que intenta el robo de datos. Nosotros lo denunciamos a la empresa
u organismo afectado y avisamos a las fuerzas del Estado.
El propsito de la Asociacin de Internautas es evitar y erradicar de una vez los posibles
intentos de estafas realizado mediante el uso de phishing.8

http://blog.elhacker.net/2014/01/phishing-en-2014-ejemplo-practico-facebook.html

DESARROLLO DEL PHISHING

Para esta parte de la investigacin tomamos a la pgina de la Universidad Tcnica
Particular de Loja como objetivo de nuestro ataque phishing. En la parte terica de este
proyecto de investigacin se dedujo que existen varios mtodos de realizar el phishing, el
que nosotros utilizaremos en el envo masivo de email. Para esto se realizacin los
siguientes pasos:
1. Lo primero que realizamos fue registrar el hosting, para eso usamos la pgina web de
hosting gratuito hostinger.co

2. Una vez que se ingresa a la pgina damos clic en crear cuenta, lo cual nos lleva a un
formulario para llenar con nuestra informacin.

3. Una vez registrados y validado nuestro correo electrnico hostinger nos redirige a la
pgina principal donde a continuacin crearemos nuestro dominio.

4. Daremos clic en Hosting/Nueva Cuenta para poder realizar el registro gratuito de

nuestro dominio

5. Seleccionamos el plan gratuito

6. Y procederemos a ingresar el nombre del dominio con una contrasea la cual podemos
generar automticamente para ms seguridad, luego damos clic en continuar

7. Una vez ingresado los datos de nuestro nuevo dominio, realizamos la confirmacin
de orden

8. Luego ya podremos ver que nuestro dominio aparecer en la lista de cuentas de hosting
de nuestro usuario

9. Como mencionamos antes nuestra victima ser la pgina de la UTPL, para clonar la
pgina realizamos el uso de la herramienta de ingeniera social de Kali Linux

10. Una vez realizada la clonacin Kali Linux automticamente nos genera el archivo
HTML, el cual para el uso que le vamos a dar debimos convertirlo a PHP

11. A parte del archivo PHP con la pgina clonada, usaremos dos archivos ms el de
conexion.php que tiene los cdigos de conexin al servidor

12. Y el archivo de registro.php que tendr las sentencias SQL para guardar los datos a la
base de datos

13. Ahora nos dirigiremos a subir los archivos creados para darle funcionamiento a la
pgina clonada, para esto damos clic en Archivos/Administrador de Archivos

14. Y como podemos observar en la imagen por default tiene dos archivos los cuales
vamos a reemplazar

15. Damos en el botn agregar o simplemente arrastramos los archivos.

16. Por el momento la pgina como podemos ver ya funciona, pero an no existe base
datos entonces procedemos a crearla

17. Creamos la base de datos dando clic en Base de Datos/Base de datos MySQL y
agregamos el nombre de la base de datos, un usuario y la contrasea

18. Para crear tablas o administrar la base de datos en general nos vamos a
phpMyAdmin

19. Creamos una tabla usuarios con 4 columnas, la cual almacenara un id, el correo, la
contrasea y la fecha de ingreso de cualquier victima

20. Ahora si con la base de datos ya creada ya nuestra pgina clonada esta funcional, para
comprobarlo como vemos a continuacin en las siguientes imgenes se realizaron las
pruebas correspondientes

21. La segunda parte y una de las ms difciles es hacer caer a la vctima, para ello como
se dijo al principio se enviara un correo falso a estas pidindole una actualizacin de
datos.
Para la extraccin de datos de los correos se realiz una bsqueda con Maltego de Kali
Linux y otra parte fueron sacados de la misma pgina de la UTPL

22. Para el envo del email creamos un nuevo correo llamado utplcentrocomputo@gmail.com

23. Entre la recoleccin con maltego y la pgina de la universidad pudimos obtener

cerca de 60 correos de docentes, estudiantes, y trabajadores del rea administrativa de la
UTPL

24. Por ltimo se procedi a enviar el correo, ahora solo quedada esperar a que alguien
leyera el correo e ingresara a la pgina clon para digitar sus datos

RESULTADOS OBTENIDOS
Como podemos observar un usuario ha dado sus datos y podemos ingresar a la plataforma
de la UTPL