Archivos de la etiqueta: phishing

09Nov/24
Proyecto de Ley

Expediente 5924-D-2024, Proyecto de Ley de 9 de octubre de 2024

Expediente 5924-D-2024, Proyecto de Ley de 9 de octubre de 2024. Programa Nacional de Información y Concientización en medios gráficos, virtuales, televisivos y radiales sobre la problemática del phishing.

PROYECTO DE LEY

La Honorable Cámara de Diputados y el Senado de la Nación sancionan con fuerza de ley…

“Programa Nacional de Información y Concientización en medios gráficos, virtuales, televisivos y radiales sobre la problemática del phishing”

Artículo 1°- Objeto.

La presente ley tiene por finalidad concientizar y prevenir sobre los efectos y consecuencias de la suplantación de identidad (en adelante phishing).

Artículo 2°- Definición.

A los efectos de la presente ley se entiende por phishing a la técnica de ingeniería social utilizada por personas u organizaciones que cometen los delitos previstos en el Capítulo III del Título V y el Capítulo IV del Título VI del Libro II del Código Penal de la Nación Argentina, a través de Internet o utilizando medios informáticos, con el fin de obtener información confidencial de forma fraudulenta y así apropiarse de la identidad de la víctima.

Artículo 3°- Creación.

Créase el «Programa Nacional de Información y Concientización en medios gráficos, virtuales, televisivos y radiales sobre la problemática del phishing”.

Artículo 4°- Autoridad de aplicación.

Desígnase como autoridad de aplicación del programa creado en el art. 3° al Ministerio de Seguridad de la Nación. Son facultades de la autoridad de aplicación:

a) Crear e implementar el “Programa Nacional de Información y Concientización en medios gráficos, virtuales, televisivos y radiales sobre la problemática del phishing”.

b) Impulsar estudios e investigaciones sobre el phishing a fin de identificar las causas que lo originan.

c) Capacitar a los agentes públicos en políticas, estrategias y técnicas tendientes a prevenir, controlar y erradicar el phishing.

d) Articular con todos los medios de comunicación, con jurisdicciones provinciales y municipales, con universidades nacionales y con otros organismos públicos o privados las medidas a difundir respecto a la utilización responsable y segura de los correos electrónicos, aplicaciones web y otras tecnologías de la información y la comunicación, como así también la difusión del fenómeno del phishing.

e) Implementar un programa de atención a víctimas de phishing, estableciendo medidas de acompañamiento y asesoramiento legal.

f) Desarrollar, en conjunto con el Banco Central de la República Argentina, protocolos de seguridad para evitar el phishing bancario, de tarjetas de crédito y de aplicaciones de fintech.

g) Coordinar, en conjunto con la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) del Ministerio Público Fiscal de la Nación y los Ministerios Públicos de las provincias y la Ciudad Autónoma de Buenos Aires, programas de capacitación y protocolos de información compartida para perseguir los delitos de phishing.

h) Coordinar, en conjunto con el Ministerio de Ciencia, Tecnología e Innovación o el que en un futuro lo reemplace, proyectos de investigación destinados a mejorar las medidas de seguridad y protección contra el phishing.

Artículo 5°-

Invítase a las provincias y a la Ciudad Autónoma de Buenos Aires a adherir a la presente ley.

Artículo 6°-

Facúltase al Jefe de Gabinete de Ministros a adecuar las partidas presupuestarias correspondientes para el cumplimiento de la presente ley.

Artículo 7°-

Comuníquese al Poder Ejecutivo de la Nación.

Diego Santilli, Diputado Nacional

FUNDAMENTOS

Señor Presidente,

El presente proyecto de ley fue originalmente presentado en el año 2022 por lo que se reproducen a continuación los fundamentos enunciados en dicha ocasión.

El presente proyecto de ley tiene por objeto instituir una campaña exhaustiva de información y concientización de suplantación de identidad, método de engaño reconocido como phishing, a través de spots publicitarios oficiales, tanto en medios de comunicación de índole televisiva, virtual, gráfica o radial. A su vez, se establece la coordinación con organismos estatales para desarrollar políticas públicas de prevención de daños y acompañamiento de las víctimas de estas prácticas delictivas.

En la actualidad, y tras las medidas de distanciamiento social producto de la pandemia por COVID-19, se implementaron progresivamente mecanismos de trámites a distancia realizados a través de plataformas virtuales.

Por este motivo, en el último tiempo se ha incrementado el uso de aplicaciones o portales web para acceder a servicios desde computadoras o dispositivos móviles.

En este sentido, D’Alessio IROL, una de las consultoras abocadas a recabar información sobre este tema, señala que “(…) entre septiembre de 2019 y septiembre de 2020 la cantidad de usuarios pasó de 35.1 millones a 40.3, es decir que un 89 por ciento de la población hoy se encuentra conectada. Afirmando que este incremento tiene que ver con el decreto del aislamiento social, preventivo y obligatorio que obligó a muchas personas a trabajar de manera remota (…)”.

Dicha situación ha aumentado exponencialmente el riesgo de los ciudadanos a ser víctimas de phishing. El phishing es una técnica de ingeniería social utilizada por ciberdelincuentes para obtener información confidencial de las y los usuarios de forma fraudulenta y acceder a sus cuentas personales, lo que les permite apropiarse de su identidad, y obtener un beneficio económico.

La prevención es la mejor manera de evitar que este tipo de hechos proliferen. La concientización sobre esta problemática impacta directamente en la disminución del riesgo de padecer este ciberdelito.

Es destacable que en el año 2019, la República Argentina se encontraba posicionada a nivel regional en el 4° puesto en materia de acoso por phishing, detrás de Venezuela, México y Brasil.

El ciberdelito se ha incrementado exponencialmente, tal es así que un informe de la Asociación Argentina de Lucha Contra el Cibercrimen (AALCC) señaló: “Esto ocurre porque se utilizan cada vez más los medios informáticos para todo. Los delincuentes se adaptan a las metodologías de los delitos”, advirtiendo que su organización recibía, antes de la pandemia, entre unas 200 y 300 llamadas por día, tanto de víctimas de delitos informáticos como de otras personas que consultaban o buscaban asesoramiento. Aunque todavía no tiene números propios, estima que durante la cuarentena este número se duplicó o triplicó. Cabe destacar que el 60,28% del total de los delitos informáticos de los últimos 5 años se reportaron en el 2020. Durante ese año, aumentaron un 61,12% las denuncias respecto del mismo período en análisis en el 2019.

Para revertir esta situación es necesario establecer campañas de difusión continuas y claras a fin de lograr concientizar a nuestra ciudadanía, así como coordinar políticas estatales para luchar contra este tipo de delitos. También existen diversas herramientas que pueden ser utilizadas para obtener la protección correspondiente, y es aquí donde los denominados “antivirus”, son de gran utilidad a la hora de detectar posibles amenazas. Pero de igual manera, lo más recomendable a la hora de protegerse, siempre será evitar el ingreso de las y los usuarios en los correos “spam” y/u otros mensajes dudosos o de personas que no sean conocidas.

Por tal motivo, entendemos de vital importancia, que se arbitren todas las medidas necesarias a fin de concientizar a la ciudadanía para la toma de todas las precauciones necesarias, y poder realizar el correspondiente cuidado. Entender la relevancia y la debida seriedad con la que debemos afrontar esta problemática, es un trabajo en conjunto y es una responsabilidad de todos.

Por todo lo aquí expuesto, solicito a mis pares me acompañen en el presente proyecto de ley.

Diego Santilli, Diputado Nacional

01Ene/15

Ataques en Cliente

Ataques en cliente

Desde hace años la seguridad informática viene tomando cada vez más protagonismo en todos los ámbitos: empresarial, personal o doméstico y, por supuesto, gubernamental. Esta creciente importancia ha proporcionado grandes avances en la seguridad perimetral fundamentalmente a través de sofisticados firewalls, sistemas de detección y de prevención de intrusiones, monitorización constante de la red, servidores mejor securizados, etc.

En los últimos tiempos, y debido a las mencionadas mejoras en el ámbito de la seguridad perimetral, la ciberdelincuencia se ha orientado hacia la parte más débil: el usuario del sistema. ¿Y cómo llegan estos atacantes hasta el usuario? Las vías más comunes, entre otras, son las siguientes:

Correo electrónico: muchos de nosotros hemos recibido algún correo, digamos, «sospechoso», en el que nos adjuntaban un archivo todavía más sospechoso y nos «invitaban» amablemente a abrirlo. O en otros casos, nos incluían un link que en el que debíamos hacer click para obtener fabulosos descuentos o acceder a áreas premium de los servicios más variopintos.

Páginas web (phishing): igualmente conocidos son los websites que imitan a otro real (por ejemplo, una imitación de la página de nuestro banco). En muchos casos, salvo que nos fijemos en ciertos detalles de la página que nos pueden dar pistas de que se trata de una «mala copia», podremos caer en la trampa y pensar que se trata de la página auténtica, por lo que el atacante se habrá hecho con nuestras credenciales de usuario.

Vulnerabilidades o exploits del navegador web: ningún navegador parece estar libre de debilidades de seguridad que se van descubriendo cada mes por todo el planeta. El problema en este caso es que la solución es casi siempre reactiva, es decir, el fabricante del navegador nos ofrece un patch o actualización del mismo cuando la vulnerabilidad ya es conocida por un número notable de personas. En el tiempo que transcurra entre que la vulnerabilidad se ha hecho pública y el usuario instala el parche que la corrige, el sistema estará en serio peligro de ser comprometido por un atacante.

Controles ActiveX: en ciertas ocasiones, cuando navegamos por Internet, nos aparece un mensaje que solicita nuestra autorización para ejecutar pequeños programas en nuestro propio equipo, como requisito imprescindible para poder continuar con nuestra actividad en la página web en la que nos encontramos. Estos programas provienen del servidor web al que hemos accedido, pero se ejecutan directamente en el ordenador del usuario, por lo que el peligro está claro.

Descarga y ejecución de archivos .exe: puede conseguirse a través de técnicas de ingeniería social, es decir, a través del engaño del usuario o del abuso de su confianza, simpatía, etc.

Mensajería instantánea: actualmente los programas tipo Messenger están muy extendidos entre los usuarios, que incluso pueden llegar a aceptar como contactos a personas que no conocen, o que no conocen lo suficiente. En estos casos el atacante intentará que la víctima acepte un archivo y lo ejecute en su equipo.

Explotación de vulnerabilidades de terceros a través del navegador: no podemos dejar sin comentar otra de las vías por las que un atacante puede llegar a controlar el equipo de un usuario, y esa vía es la de aprovechar a través del navegador de Internet las vulnerabilidades o exploits que se dan en aplicaciones de terceros (distintos al fabricante del navegador en la mayoría de los casos). Especial atención se debe prestar a los numerosos exploits que afectan a conocidos reproductores de vídeo que la mayoría de nosotros utilizamos con notable frecuencia.

Y hasta aquí la primera aproximación a los ataques más comunes que pueden lanzarse para hacerse con el control de un equipo de usuario, que podrá servir al atacante como plataforma de ataque a una red entera o a servidores de la organización a la que pertenezca el usuario.

Queda, pues, patente la necesidad de educar y concienciar a los usuarios, pues es la forma más eficaz de proteger en última instancia toda nuestra red.