Comisión Desafíos del Futuro del Senado publica documento «Construyendo la Ciberseguridad en Chile»
Texto se desarrolló bajo el alero de la Mesa de Ciberseguridad de dicha instancia y contó con el aporte de 140 expertos nacionales e internacionales. La Mesa de Ciberseguridad de la Comisión Desafíos del Futuro, Ciencia, Tecnología e Innovación del Senado, con el apoyo de la Biblioteca del Congreso Nacional, acaba de publicar el documento «Construyendo la Ciberseguridad en Chile», que propone diversas alternativas y caminos para ser tomadas tanto por el Ejecutivo como el Legislativo, en torno a la materia. Durante el año 2022, los integrantes de dicha comisión -encabezados por el Senador Kenneth Pugh y por la senadora Ximena Órdenes, decidieron impulsar la Ciberseguridad como un eje relevante para el país, considerando el alto y creciente impacto que tiene en la sociedad. Fue así como propusieron y patrocinaron la creación de una Mesa de Ciberseguridad, a objeto de convocar a un amplio espectro de profesionales, desde la academia, la industria, las organizaciones civiles, las Fuerzas Armadas, las Fuerzas de Orden y Seguridad, así como a muchos profesionales con experiencia comprobada en estas materias. El documento contó con la colaboración de 140 expertos, y se divide en ocho capítulos: Ciberseguridad y Políticas Públicas, Desarrollo Talento Ciber, Investigación Avanzada en Ciberseguridad (IAC), Tecnologías emergentes en ciberseguridad para Chile, Operadores de Servicios Esenciales, Estrategia Nacional Contra la Desinformación en Línea, Interoperabilidad e identidad digital, y Foro Nacional de Ciberseguridad. «Considerando las recomendaciones del presente informe, impulsaremos desde el Senado la creación del «Foro Nacional de Ciberseguridad», siguiendo la experiencia de otras naciones con instancias similares. Este importante paso formalizará el constante interés de la institución en el impacto de las tecnologías emergentes y gravitantes, teniendo siempre como norte el bienestar futuro de la Nación», sostiene en el documento el Presidente del Senado, Juan Antonio Coloma. Descargue el documento: «Construyendo la Ciberseguridad en Chile»
Carding, un formato de fraude bancario en alza.
Últimamente además de crecer el número de casos que se ven en redes sociales de personas que son víctimas de fraudes bancarios, podemos apreciar un crecimiento en la cantidad de personas que señala desconocer como es que los ciberdelincuentes obtuvieron los datos de sus tarjetas de crédito, sobre todo de sus claves. Ante esto les presento el Carding, modalidad de ciber fraude que si bien no es nueva, ha ido en aumento el último tiempo. ¿Qué es el Carding? Se trata de un tipo de fraude con tarjetas de crédito mediante el cual los ciberdelincuentes compran o sustraen los datos de tarjetas de crédito para luego a través de sistemas robóticos probar miles de claves hasta encontrar la que corresponda. Ya habiendo conseguido las claves son múltiples las transacciones que pueden hacer y una de estas es la compra de tarjetas prepagadas (gift cards) para después venderlas. Los números de tarjetas de crédito comúnmente se venden en la dark web y los estafadores los compran y prueban grandes cantidades de estos números de tarjetas mediante un BOT, con distintas claves. Aquí cobra una vital importancia las estrategias de seguridad de la información adoptadas por las compañías para evitar los robos de bases de datos de tarjetas de crédito lo que se vincula directamente con lo que establece la nueva ley de protección de datos personales cuya discusión aún se encuentra en el congreso y la vinculación que tiene con las obligaciones de Compliance establecidas en la ley 20.393 que deben cumplir las empresas. Como obtienen los ciberdelincuentes los datos de las tarjetas? El método más común es través de fishing, con una suplantación de identidad que logra el delincuente mediante un engaño al usuario, comúnmente mediante un correo electrónico pero puede ser a través de mensajes de texto o llamadas telefónicas. También con la instalación de malware en tus dispositivos, estos pueden registrar pulsaciones de teclas (keyloggers), monitorizar los programas que usas y recopilar información personal, como números de tarjetas de crédito y contraseñas de cuentas. Otro de los procedimientos para el robo de estos datos es el uso de lectores con comunicación inalámbrica RFID o NFC. Los estafadores solo tienen que acercar estos lectores a la tarjeta de la víctima a una distancia de al menos 15 centímetros y obtendrán los datos de la tarjeta en segundos. Para ello, hacen uso de ingeniería social. Por último, un método que ya está en retirada producto de las medidas de seguridad adoptadas por el comercio y la banca son los skimmer que roban la información de tu tarjeta a través de la banda magnética. Para realizar el Carding estamos hablando de pruebas en miles de intentos de pequeñas transacciones con distintas claves, en tiempos reducidos, de manera automatizada en el comercio, hasta dar con la clave adecuada. Los números de tarjeta exitosos se organizan en una lista separada y se usan para otras actividades delictivas, o se venden a redes del crimen organizado. Ya con los datos correctos, los delincuentes prueban la validez de la tarjeta intentando realizar pequeñas compras en la web y si eso funciona, el estafador usa los datos para comprar tarjetas de regalo o compras más grandes. Las tarjetas de regalo no pueden ser rastreadas por lo que una vez adquiridas el estafador las vende o las utiliza para compras en el comercio con apariencia lícita. Este tipo de fraudes se dan con más frecuencia en épocas altas de compras como los ciber days o navidad, así el ciberdelincuente esconde sus compras entre las del titular de la tarjeta. Actualmente el Instituto Nacional de Ciberseguridad (INCIBE) tiene en la mira este tipo de fraudes y los mira con preocupación. Que podemos hacer para prevenir ser víctimas de este tipo de fraude bancario? La primera de las recomendaciones en no realizar compras a través de ordenadores públicos y tampoco utilizando wifi público como en el metro, en un café o en otras zonas de wifi compartido. Cuando compres online debes estar muy atento a si observas fallas de diseño, errores ortográficos, navegación torpe o enlaces que no conducen a ninguna parte dentro de la página web. Mira bien el dominio de la página e intenta evitar ingresar a través de Google u otros buscadores. No hagas clic en enlaces, descargues archivos ni respondas a mensajes de quienes no conozcas. En ninguna circunstancia proporciones tus datos bancarios por teléfono o por mail al igual que nunca utilices tu digipass para autorizar transacciones que alguien te solicite. Si alguien te contacta telefónicamente señalando ser de tu banco para que autorices alguna transacción o bloqueo con el digipass, eso es una estafa, no lo hagas. Cuelga el teléfono y llama a tu banco. Se recomienda llevar un control de las operaciones y transacciones bancarias de tu cuenta. De esta forma, si hay una compra desconocida la podrás identificar fácilmente, y podrás tomar medidas al respecto. Por último, para evitar el robo de datos de la cuenta bancaria con técnicas como la del uso de lectores de comunicación inalámbrica RFID o NFC, desactiva el sistema NFC de tu teléfono y de las aplicaciones de los bancos o, en caso de utilizarlo solicita una confirmación con PIN a la hora de realizar una compra. También existen protectores de tarjetas que puedes poner en tu billetera para evitar que pueda ser clonada con este sistema. Recuerda que la gran mayoría de estos delitos se generan por ingeniería social, o sea por engaño a su titular, pero en el caso del Carding si mantienen monitoreo de las transacciones que se realizan en tu cuenta podrás detectarlo a tiempo y avisar a tu banco para el correspondiente bloqueo de tarjeta.
Guía práctica para ciber fraudes.
El presente documento tiene por finalidad ser una guía ante la amenaza de ciber fraudes que se están generando a nivel mundial explicando de la manera más práctica posible en qué consisten las principales tipos de estafas que se realizan a través de medios tecnológicos, algunas recomendaciones en materias investigativas que pueden ser útiles a la hora de tener que tramitar una causa penal de este tipo y un breve acercamiento a lo que la legislación Chilena establece al respecto y las herramientas que entrega. ¿Qué es el cibercrimen? Consiste en todas las actividades ilícitas que ocupan Internet o el ciberespacio como lugar del delito. Desde accesos no autorizados a información digital, sabotaje y robo de información, hasta fraudes virtuales. Los delitos informáticos más recurrentes en Chile son el malware y el phishing, mediante los cuales los atacantes buscan robar información personal, contraseñas o dinero, a través de mensajes falsos de e-mail o sitios web que parecen legítimos. En el año 2019, según cifras de NovaRed, en Chile los delitos informáticos aumentaron en más de un 74% respecto al último trimestre del año anterior, siendo los principales que afectan a las empresas los del tipo malware, donde casi el 50% tienen relación con Ransomware o alguna variante de éste. Por otro lado, el principal método de propagación empleado por los ciberdelincuentes continúa siendo el phishing, donde casi el 91% de los ataques emplean esta metodología. Estos números siguieron creciendo en el 2020 manteniéndose el phishing como el principal método. Según medios de comunicación, 165 mil usuarios hicieron denuncias en segundo semestre de 2020 por fraudes, por $54.000 millones, unos US$73 millones. Estas denuncias se dividen en fraudes en tarjetas de crédito, 57.343 denuncias de este tipo (34,7% del total). Le siguen las tarjetas de débito con 40.036 usuarios afectados (24,2%), muy cerca se posicionan las transferencias electrónicas con 39.825 casos (24,1%) y robos o transacciones en cajeros automáticos, 26.143 (15,8%). Algunas definiciones y alcances conceptuales de los ciberdelitos más comunes en el ámbito del fraude: Acceso indebido a sistemas (haking) Es el ilícito más básico y el hackeo más simple de todos. Consiste en el ingreso indebido o no autorizado a un sistema informático; desde la apertura de un email sin autorización del dueño, hasta el ingreso pirata a una cuenta de Facebook y el robo de información confidencial o sensible. Virus informáticos Es el ciberdelito más antiguo de todos. Comenzó como un programa informático diseñado para contaminar discos duros y destruirlos. Hoy, sus posibilidades son infinitas gracias a su versatilidad. Como buen virus, se propaga fácilmente mediante portadores voluntarios e involuntarios; emails, mensajería móvil, publicidad online, entre otros. Phishing Es el tipo de estafa por internet más conocido hoy en día. Su nombre deriva de un juego de palabras con el término pescar en inglés (fish), dado que la víctima “muerde el anzuelo”. Consiste en el envío de falsos correos electrónicos y mensajería online mediante chats y aplicaciones móviles que dirigen usuarios a un sitio web falso, con el fin de obtener su información personal como claves de acceso y otros datos para robar cuentas bancarias. Con esta técnica, los ciberdelincuentes son capaces de alterar mínimamente la URL (dirección) de un sitio web y crear una web falsa, casi idéntica a la real, con detalles casi imperceptibles lo que hace que gran parte de las personas se transforme en víctimas. Este es el tipo de ataque que más ha crecido desde los inicios de la crisis sanitaria. Pharming En este caso la víctima sufre el delito en un mundo virtual totalmente falso sin darse cuenta. Todo gracias a un virus que ingresa a su computador y que envía al usuario a una página web falsa de su banco u otra, que copia sus datos de acceso y transfiere el dinero en segundos. El concepto responde a un juego de palabras con el término en inglés para cultivar (farming), porque los ciberdelincuentes “cosechan” el dinero de sus víctimas. Malware Es un “software malicioso” que se inserta en los sistemas operativos o discos duros de computadores y smartphones para recolectar la información que genera el usuario. Por lo general su descarga es automática y sin previo conocimiento del usuario como archivo adjunto desde emails publicitarios falsos, páginas web hechizas, o apps supuestamente gratuitas. Su uso es también versátil; desde capturar información para enviar SPAM con publicidad hasta el robo de datos confidenciales para su tráfico. Ransomware Este ciberdelito hizo su debut mundial en 2017 con Wannacry, programa informático malintencionado que impidió el acceso a la información de determinados archivos o todo el disco duro de computadores de empresas en todo el mundo. Su valor está en que cifra los datos para hacerlos imposibles de acceder excepto por un sistema de descifrado específico que los hackers desarrollan para ese fin, previo pago de una cuantiosa suma de dinero. Se llama de esta manera ya que constituye un verdadero secuestro del sistema de la empresa y solo se libera ante el pago de un rescate (randsom). Estafas en entornos digitales, aprovechamiento de vulnerabilidades de los sistemas. Fraude a través de Phishing: Habiendo ya explicado lo que es el phishing como la forma más común de ciberdelito, paso a explicar de qué forma se utiliza esta estrategia de ciberataque para realizar estafas virtuales. Un ejemplo práctico es el caso que se dio el 31 de octubre de 2021 con un masivo envío de correos electrónicos personalizados fraudulentos destinados especialmente a clientes del Banco Macro de Argentina. El mensaje que recibieron los clientes del banco indicaba que ya se había acreditado el monto del Ingreso Familiar de Emergencia (IFE) y derivaba a un link, en donde está el anzuelo para que se ingrese. Con una página falsa, con logo del banco, solicitan que coloquen el número de cuenta y clave, o sea, el acceso a la cuenta”. La tentación de ingresar al link que figuraba en el mensaje permitía acceder a una falsa página oficial del Banco para volcar allí sus datos confidenciales. Ya
Ley de protección al empleo.
De acuerdo con lo señalado por la ministra del trabajo María José Zaldivar, lo que establece esta ley es que durante lo que dure esta situación de emergencia no podrá haber despidos por casos fortuitos o fuerza mayor en que se invoque la pandemia como justificación. La Ley de Protección al Empleo se aplica a las siguientes situaciones: Suspensión automática del contrato de trabajo por acto de la autoridad (cuarentena) Se aplica cuando la autoridad (organismo público), ordena la paralización total o parcial de las actividades (por ejemplo, en la cuarentena que están viviendo algunas comunas actualmente por el coronavirus) y permite que las y los trabajadores puedan acceder a su remuneración a través del Seguro de Cesantía (70% el primer mes). En este caso, el empleador tendrá la obligación de: Además, se permitirá a los empleadores pagar la cotización de pensiones dentro los doce meses posteriores al término de la vigencia de la ordenanza y que no se les aplique intereses, reajustes ni multas. Pacto de la suspensión del contrato Los empleadores que vean afectadas sus actividades a causa de la emergencia sanitaria, provocada por el COVID-19, podrán acordar con sus trabajadores, un pacto de suspensión temporal del contrato de trabajo. Este acuerdo permitirá que las y los trabajadores puedan acceder a su remuneración a través del Seguro de Cesantía (70% el primer mes). Pacto de reducción temporal de la jornada de trabajo Los empleadores podrán acordar con sus trabajadores, reducir hasta en un 50% su jornada de trabajo. En este caso, el empleador deberá seguir pagando la remuneración y las cotizaciones previsionales proporcionales a la jornada pactada. Con esta medida, los trabajadores recibirán, además, un complemento a su remuneración con cargo a su cuenta individual del Seguro de Cesantía y, si se agotan esos recursos, podrá acceder al Fondo de Cesantía Solidario que será de hasta un 25% de su sueldo, si la reducción de jornada es de un 50% (con tope de $225 mil mensuales). Además, se mantendrán los beneficios tales como aguinaldos, asignaciones y bonos. Pueden acogerse al beneficio Los trabajadores regidos por el Código del Trabajo, que estén afiliados a la Administradora del Fondo de Cesantía (AFC), y que cumplan alguno de los siguientes requisitos: No podrán acceder a este beneficio: ¿Cómo acceder al beneficio? El empleador o empleadora deberá realizar la solicitud en línea en el sitio de la AFC. Si el trabajador o trabajadora cumple con los requisitos y queda excluido de la solicitud, podrá realizar directamente el trámite ante la AFC. Trabajadoras de casa particular En el caso de las trabajadoras de casa particular podrán hacer uso de la indemnización a todo evento. En este caso la AFP deberá girar de la cuenta del trabajador el 70% de la remuneración mensual. Para optar a este beneficio deberá presentar una declaración jurada ante la AFP que corresponda señalando que no está gozando de licencia médica o que tiene pacto de suspensión del contrato con goce de sueldo. El empleador de todas formas sigue obligado a pagar sus cotizaciones. Redactado por el equipo de Izquierdo y Hurtado Abogados.
Ley de trabajo a distancia y teletrabajo.
Trabajo a distancia: El trabajador cumple sus funciones, total o parcialmente, desde su domicilio u otro lugar o lugares distintos de los establecimientos, instalaciones o faenas de la empresa (puede incluir el teletrabajo pero también incluye otros trabajos que no se realizan a través de medios tecnológicos). Teletrabajo: El trabajador cumple sus funciones mediante la utilización de medios tecnológicos, informáticos o de telecomunicaciones o debe reportar esas funciones mediante estos medios. Algunos aspectos relevantes de esta ley son: Redactado por el equipo de Izquierdo y Hurtado Abogados.
Dificultades en tiempos de crisis.
El estallido social y posterior pandemia del Covid 19 han traído una serie de consecuencias que han producido que muchas empresas hayan entrado en crisis. Otras con más suerte, si bien no han entrado en crisis, de todas formas, han visto mermadas sus ventas e ingresos. Uno de los aspectos de la operación en las empresas que ha sufrido un cambio rotundo es la prestación de servicios legales por parte de externos a la organización. Se justifica estar pagando un fee mensual cuando no uso el servicio? Como empresa me acomoda el sistema de pagos que tengo pactado? Estas son algunas de las principales dudas que se plantean los gerentes generales, de finanzas y legales. En realidad, estas no son aprensiones nuevas, siempre han existido, pero la oferta del mercado no permite mayor flexibilidad. En Izquierdo&Hurtado creemos que para estos nuevos tiempos hay que modernizar los sistemas de cobro adaptándolos a la flexibilidad que exige la actualidad. Contamos con planes de servicio con fee mensual pero también con planes para proyectos específicos o derechamente por causa o trámite, a fin de que nuestros clientes puedan pagar exclusivamente por lo que usan si así lo requieren y así administrar sus presupuestos libremente. Hay empresas que necesitan de una asesoría permanente en diversos temas legales, pero otras mantienen equipos jurídicos internos que suplen esa necesidad y solo necesitan contratar servicios externos para temas puntuales, lo que no justifica pagar una mensualidad fija sino más bien hace necesario poder manejar los requerimientos de acuerdo a mi presupuesto, con la mayor flexibilidad posible. Te invitamos a coordinar una reunión virtual con nosotros y analizar cómo podemos ayudarte.
El auge de los ciberdelitos y la necesidad de su regulación.
El desarrollo de las nuevas tecnologías unido a la actual pandemia mundial ha permitido que cada día sea mayor el número de personas conectadas y que cada vez se realicen más transacciones vía web. Esto ha sacado a la luz la necesidad de actualizar nuestra legislación en materia de ciberdelitos agilizando el proyecto que se encuentra en el congreso para tener una ley cuyo objetivo fundamental sea la prevención, investigación, persecución y sanción de estos delitos. Siendo los ciberdelitos aquellos delitos cometidos por o a través de internet, que atentan contra las libertades, bienes o derecho de las personas, algunas de las actividades que entran en esta definición son el cyberbulling, ciberacoso, vishing, grooming, sexting, phishing, pharming, smishing, malware, ransomware, SIM swaping y el terrorismo virtual, por mencionar a algunas. Actualmente estos delitos significan un gran perjuicio para las personas y muchas empresas, sobre todo para los bancos quienes están debiendo responder ante los clientes por los dineros que sustraen los ciberdelincuentes de sus cuentas. El menor nivel de interacción personal de esta nueva era permite a los estafadores ocultarse detrás de identidades robadas o inventadas, facilita abrir cuentas y tener acceso a dinero, bienes y servicios que no se tienen intención de pagar. Cualquier persona puede ser víctima y caer en las redes de hackers y defraudadores. Por esto, no setrata de que solo las empresas inviertan en sistemas de cberseguridad para evitar la comisión de estos delitos, sino que es necesario idear un sistema que permita perseguirlos, logrando identificar a los ciberdelincuentes y castigarlos con todo el rigor de la ley. En regímenes jurídicos como el de Estados Unidos y la mayoría de los países desarrollados, estos delitos tienen asociadas penas muy altas y existen una diversidad de herramientas investigativas que permiten dar con sus autores, circunstancia que está muy lejos de nuestra realidad pero que podría cambiar con una nueva ley que regule adecuadamente esta materia y entregue Herramientas de investigación a las policías. Según datos del FBI, en ese país, solo las vulneraciones de correo electrónico empresarial (BEC), que son un tipo de phishing, costaron a las organizaciones unos 1.8 billones de dólares en el 2019. Tengamos en consideración que la comisión de delitos, en general, es una decisión de costo beneficio, si para el delincuente cometer el delito no tiene ningún costo y tiene un alto beneficio, desde luego será lucrativo realizar esta actividad. La única forma de elevar el costo asociado es lograr sancionar estas actividades ilícitas y para eso se necesitan herramientas acordes a la problemática que se enfrenta y nuestra legislación no las contempla, lo que dificulta su investigación. Se trata de delitos que seguirán creciendo en cantidad e importancia, según Gabriel Murcia, experto en seguridad de Correo Electrónico de la empresa Valimail, uno de los actores importantes del mercado, la emergencia sanitaria también ha impulsado los ataques de phishing en el mundo y se ha registrado un aumento del 4 mil por ciento para los meses de abril y mayo de 2020. De este aumento de casos no está exento nuestro país por lo que urge una actualización normativa en la materia. El proyecto de ley que se encuentra en el congreso si bien entrega mejoras para la investigación de estos delitos, aún mantiene penalidades sumamente bajas que no disuadirán a los delincuentes de llevar a cabo estas conductas. Así, es poco lo que podemos esperar, pero al menos es una mejora. Sebastián Izquierdo Bascuñán