Estafas de caridad

Estafas de caridad
Los artistas de la estafa con frecuencia intentan aprovecharse de la generosidad de otros. Los
artistas de la estafa pueden hacerse pasar como representantes de instituciones de caridad,
pero en realidad recolectan dinero sólo para ellos. Esté atento a las colectas de caridad que
usted nunca ha escuchado, y no dude en cuestionar las colectas que usted ya conoce. Verifique
que una colecta es legítima y que sus donaciones apoyan a programas y servicios reales, no a
altos costos administrativos o marketing. Las estafas comunes de
colectas de caridad incluyen recaudaciones de fondos falsas de la policía y bomberos, iglesias
que no existen realmente y asistencia de desastres que nunca llega a las personas que la
necesitan.
Antes de hacer una donación, utilice el sitio Web conocido a nivel nacional “Charity Navigator”
(Navegador de colectas) www.charitynavigator.org (solo está disponible en Inglés) para
recibir ayuda valiosa para evaluar a las organizaciones de caridad. También: esté atento a las
invitaciones para invertir en bonos de reconstrucción (especialmente después de un desastre
bien publicitado, por ejemplo huracanes o incendios), pues tienen mucha probabilidad de
convertirse en estafas.


Fuente:  03TO-Otras-estafas-comunes.pdf

El “Engaño del Encantador”

El “Engaño del Encantador”
En un caso típico de engaño del encantador, una persona hace amistad con un adulto mayor, y dicha persona simula cuidar verdaderamente o expresa interés romántico en el adulto mayor.
Después que se establece una relación, la persona luego pide ayuda al adulto mayor, especialmente asistencia financiera. En los peores casos, la persona puede incluso convencer al adulto mayor a contraer matrimonio. Estos estafadores con frecuencia:
• aprenden la rutina del adulto mayor (por ejemplo el desayuno diario en un café) para ponerse a sí mismos en posición de ganar la confianza del adulto mayor.
• se aprovechan de la soledad del adulto mayor o su amor por actividades divertidas (por ejemplo baile de salón) simulando que se hacen amigos.
• promete cuidar al adulto mayor ofreciéndole administrar las finanzas del adulto mayor, comprar los víveres u otras diligencias, proporcionarle transporte o supervisar sus medicaciones.
• ofrecen supervisar los arreglos funerarios después de la muerte del adulto mayor.
¡No caiga en esto! Estas actividades en realidad pueden constituir abuso financiero del adulto
mayor. Ver el artículo sobre Abuso del Adulto Mayor en la página 27.

Fuente: 03OT-otras-estafas-comunes.pdf

Otras estafas comunes

Otras estafas comunes
Los adultos mayores también son objeto de otras estafas financieras —entre las más comunes están:
Compras a través del Internet y fraude de fideicomiso (custodia por un tercero) en Internet
Tenga cuidado cuando haga compras o realice transacciones financiera vía Internet. Los estafadores fácilmente pueden tomar su dinero usando subastas arregladas o mercancía fantasma. Asegúrese de investigar a la compañía en Internet y revisar los comentarios de los clientes y los índices de satisfacción antes de proceder.
También observe que las compañías ofrecen diversos términos y condiciones, por ejemplo políticas acerca de la protección contra fraudes, devolución de mercadería, cuándo le facturan, tarifas, gastos de envío, etc. Asegúrese de revisarlas y comprenderlas antes de realizar negocios con dicha compañía.
Los estafadores con frecuencia atraen a compradores que no sospechan para colocar su dinero en servicios de fideicomiso en Internet falsos (“otra” compañía que verifica la transferencia de mercancía y que se haya realizado el pago). Siempre verifique la legitimidad de la compañía de
fideicomiso en Internet por medio de la investigación de las compañías en internet y buscando los
comentarios de los clientes e índices de satisfacción.
Para las compras costosas (por ejemplo un automóvil), sólo realice el trato con el vendedor y mercancía que usted pueda ver en persona. Si alguien no puede o no se reúne con usted cara a cara
antes de completar la transacción financiera, comience a sospechar bastante. Rehusarse a reunirse
con usted cara a cara es una señal de fraude.
No proporcione información personal o financiera por Internet a menos que sea a través de un sitio Web seguro y usted haya iniciado el contacto. (Esto también se aplica a las llamadas telefónicas. Sólo brinde información si ¡usted inició la llamada!). Asegúrese de sólo utilizar los sitios Web legítimos y seguros. Los sitos Web seguros tienen una “s” al final de http: en la dirección de Internet, y se muestra así https:
Debido a que las compras con tarjeta de crédito están cubiertas por las leyes federales de protección
del consumidor, si es posible, utilice una tarjeta de crédito para hacer pedidos por correo, pedidos por
teléfono y compras en Internet. Las tarjetas de débito, cheques personales, cheques de cajero, transferencias de Money Grams, y giros no proporcionan el mismo nivel de protección al
consumidor. Asegúrese de revisar sus cuentas de tarjeta de crédito y observar cuidadosamente los
cargos errados o fraudulentos.

Fuente:  o3to-otras- estafas-comunes.pdf

Éstos son los pasos que sigue un servidor SSL

Éstos son los pasos que sigue un servidor SSL para autenticar un usuario.
Dado que SSL 2.0 llegó a ser demasiado débil y vulnerable, un cifrado eficaz requiere SSL 3.0 o TLS 1.0.
Existen otros protocolos que garantizan la seguridad de la red. Aunque ofrecen funciones que rivalizan con SSL y TLS, los otros se consideran principalmente protocolos complementarios. Se trata de Secure Shell (SSH) y de Internet Protocol Security (IPSec).
• SSH es un protocolo de nivel de aplicación que ofrece una alternativa segura a las utilidades clásicas —como rlogin, rsh y telnet— que no ofrecen confidencialidad
• IPSec ofrece un mecanismo de seguridad en la capa de red (IP). Se utiliza principalmente para implementar redes privadas virtuales.
Validación SSL ampliada
Internet Explorer 7, utilizado en Windows Vista o XP, marca los sitios Web en verde si se consideran seguros y tienen un certificado de validación SSL ampliada. La presencia de este certificado garantiza que la comunicación es segura. También ofrece al usuario información sobre el propietario del sitio Web, cuya identidad se muestra en la barra de direcciones. Firefox versión 3 y Opera versión 9.5 serán compatibles con este certificado.
---------------------------------------------------------------------------------------------------------------

Tecnología 3-D Secure
La arquitectura de pagos online 3-D Secure (para la seguridad en tres dominios) fue lanzada en 2001 por Visa y MasterCard. Basada en SSL y TLS, ofrece autenticación validada por terceros. 3-D Secure consiste en preinscribir a los clientes que quieran pagar por Internet y la utilizan los comerciantes durante cada una de las transacciones remotas online para comprobar si los clientes están realmente inscritos.
Cada uno de los tres dominios corresponde a un tipo de usuario:
• Dominio del emisor, que incluye una función de autenticación del titular de la tarjeta
• Dominio interbancario, que permite a los otros dos dominios comunicarse por Internet
• Dominio del adquirente 3-D Secure describe la progresión de la información entre los tres dominios para llevar a cabo pagos con tarjetas, distribuyendo las responsabilidades entre los dominios por igual:
• El banco del titular de la tarjeta autentica a su cliente
• El banco del comerciante autentica al comerciante
• El dominio interbancario permite al comerciante comenzar a autenticar al comprador de la misma forma, independientemente del método utilizado por el comprador.
Autenticación sólida y dispositivos de contraseñas desechables
La autenticación tradicional por nombre de usuario y contraseña hace tiempo que ha evidenciado sus limitaciones
(por ejemplo, contraseñas triviales, contraseñas escritas en un papel al lado del equipo, contraseñas enviadas por
Internet en forma de texto, crimeware). Estos límites han creado la necesidad de una autenticación más potente que
utilice tres elementos:
• Lo que el usuario sabe: contraseña, número PIN, pregunta secreta
• Lo que el usuario tiene: tarjetas, autenticadores, certificados
• Lo que el usuario es: un elemento biométrico
Una buena autenticación utiliza al menos dos de estos factores.
Una contraseña desechable es muy flexible. Como su nombre sugiere, está diseñada de forma que sólo valga para una vez. El uso de un dispositivo de contraseñas desechables añade un segundo factor de autenticación:
• El primero tiene que ver con algo que el usuario tiene, por ejemplo, una tarjeta de crédito compatible con las contraseñas desechables.
• El segundo es algo que el usuario sabe, por ejemplo, una contraseña o número PIN. Se utiliza para abrir el objeto que admite las contraseñas desechables.
Hay varias formas de generar contraseñas desechables:
• Calculadoras: dispositivos de pequeño tamaño que muestran y actualizan la contraseña desechable
• Tarjetas inteligentes: conectadas a un portátil o a un equipo de sobremesa, se pueden utilizar para generar la contraseña
• Teléfono móvil, agenda electrónica u ordenador: estos dispositivos a veces tienen software especial para generar contraseñas
Un ejemplo es el complemento de PayPal38, ofrecido por PayPal en asociación con MasterCard. Con cada transacción, el complemento genera un número de cuenta MasterCard. Ya no es necesario introducir su número de cuenta PayPal en un sitio que quizá no le inspira confianza. La aplicación funciona con cada uno de los sitios que aceptan pagos MasterCard.
En Francia, el concepto de la tarjeta bancaria virtual no es nuevo. Desde 2002, GIE Carte Bleue ofrece un servicio con Visa que equivale a la e-Carte Bleue de Visa. En la actualidad, los clientes pueden obtener estos servicios de varios bancos: LCL, Société Générale, Banque Populaire, La Banque Postale y Caisse d‘Epargne.
Pero este método de compra aún no se ha popularizado.
Las tarjetas seguras tampoco son nuevas. Bank of America ofrece una, al igual que Citibank y Discover.
Estas funciones permiten a los clientes utilizar sus tarjetas online sin tener que facilitar a los proveedores sus números de tarjeta reales. Pero la diferencia con la tarjeta segura de PayPal es que los compradores pueden utilizar una tarjeta segura prácticamente en cualquier lugar de Internet sin necesidad de disponer de tarjetas de crédito reales (si vinculan los pagos a sus cuentas bancarias). O bien pueden usar cualquier tarjeta de su elección como tarjeta segura para hacer sus compras, con lo que se ahorran tener que depender de las herramientas de pago seguro de BofA, Citi o Discover.
En febrero de 2008, cuatro grandes bancos británicos anunciaron que estaban distribuyendo a sus clientes calculadoras de contraseñas desechables, que funcionan con las tarjetas bancarias de sus propietarios. A cambio de introducir su código secreto en el teclado, la calculadora facilita una contraseña que se puede utilizar una sola vez.
Autenticación basada en el conocimiento
La autenticación basada en el conocimiento se usa mucho en Estados Unidos. El método tradicional consiste en responder a preguntas como "¿Cuál es el apellido de soltera de su madre?" o "¿En qué ciudad nació usted?". No obstante, a menudo le resulta fácil a un atacante encontrar las respuestas. Un ejemplo de esto es el reciente pirateo de la bandeja de correo electrónico de Sarah Palin39.
El uso de preguntas secretas generadas dinámicamente mejora este método. En este caso, al ejecutar el programa, el sistema crea una pregunta cuya respuesta usted debe conocer, como el importe de uno de sus pagos, el importe de un gasto reciente o incluso la dirección que tenía el año anterior. La pregunta se crea de forma dinámica y la respuesta no se guarda para su uso posterior. Mientras que el cliente probablemente podrá responder con bastante rapidez, está claro que un delincuente no podrá hacerlo. El uso de este sistema todavía no está extendido, pero el proveedor Verid fue adquirido por EMC en junio de 200740.
Autenticación del correo electrónico
Además de los métodos de seguridad de pago, existen varios métodos de autenticación que ayudan a combatir el phishing:
• El Marco de directivas de remitentes es una norma para evitar la falsificación de direcciones. Utiliza los servidores DNS para crear una lista de direcciones IP autorizadas para enviar mensajes de correo electrónico desde un dominio específico.
• El Protocolo de ID de remitente, de Microsoft, es compatible con el Marco de directivas de remitentes
• El Correo identificado por claves de dominio permite validar una identidad asociada a un mensaje durante su transferencia a través de Internet. Esta identidad puede ser responsabilizada del mensaje.


Fuente: Fraude financiero y banca por Internet:
Amenazas y medidas para combatirlas
Elaborado por François Paget, Laboratorios McAfee® Avert® Labs

Medidas de protección

Medidas de protección
El fraude financiero empieza a menudo con el desvío de datos personales. Una papelera o recipiente de reciclado, una conversación telefónica o un equipo mal protegido pueden ser el punto de partida del fraude.
Las empresas también son a menudo vulnerables. Los portátiles robados y la pérdida de datos pueden dar lugar a daños duraderos a la imagen de la marca y a graves consecuencias económicas para la propia empresa o para sus clientes. En este sentido, los bancos se encuentran en primera línea.
Aunque es imposible eliminar por completo la posibilidad de convertirse en víctima del robo de identidad, las personas pueden reducir eficazmente sus riesgos si observan algunas recomendaciones de sentido común.
(Hemos comentado muchas de estas recomendaciones en el informe de los laboratorios McAfee Avert Labs sobre el robo de identidad32.) Aquí identificaremos algunas técnicas que están directamente asociadas al mundo de la banca.
Puntuación
La puntuación es una técnica de análisis de riesgos que calcula la probabilidad de que una transacción llegue a buen término (sin fraude). La puntuación pondera los diversos datos relacionados con la compra y con el comprador (dirección de correo electrónico, información de contacto, origen de la dirección IP, volumen del pedido y otros datos). La transacción se autoriza o no en función de la puntuación total obtenida.
Estándar Europay, MasterCard y Visa (EMV)
EMV es la norma para los pagos con tarjetas inteligentes. Esta norma hace obligatorio pagar con tarjetas que tengan un chip integrado en lugar de una banda magnética. El Banco de Pagos Internacionales está presionando para que el nuevo estándar internacional EMV se adopte en toda Europa y seguidamente en todo el mundo. Para 2010, es posible que haya más de 800 millones de tarjetas inteligentes en circulación33.

DSS del PCI
Para hacer frente a la evolución de la ciberdelincuencia, las redes de Visa y MasterCard establecieron una norma concebida para proteger a los titulares de tarjetas cuando compran por Internet. La norma relativa a la seguridad de los datos del sector de las tarjetas de pago (DSS del PCI) permite mejorar la seguridad de las transacciones y el almacenamiento de datos bancarios. Se trata de una norma internacional que también apoyan otras redes de tarjetas, como American Express, JCB y Diners Club.
Las organizaciones que aceptan transacciones con tarjetas de pago vienen obligadas a cumplir esta norma.
En caso contrario, se les puede prohibir la manipulación de los datos de titulares de tarjetas. También se les pueden imponer multas de hasta 500.000 dólares si pierden los datos o se los roban.
La norma DSS del PCI establece 12 condiciones de seguridad, la "Docena Digital" de Visa. Están organizadas en seis categorías34:
• Establecer y mantener una red segura
»»Instalar y mantener una configuración de firewall que proteja los datos de los titulares de las tarjetas
»»No utilizar contraseñas predeterminadas ni otras configuraciones de seguridad facilitadas por los
proveedores
• Proteger los datos de los titulares de las tarjetas
»»Proteger los datos almacenados
»»Cifrar los datos de los titulares de las tarjetas y cualquier otra información confidencial transmitida a través de las redes públicas
• Mantener un programa de gestión de vulnerabilidades
»»Usar y actualizar con regularidad programas antivirus
»»Desarrollar y mantener la seguridad de sistemas y aplicaciones
• Aplicar medidas estrictas de control de acceso
»»Limitar el acceso exclusivamente a los datos de los titulares de las tarjetas que el usuario necesite
("necesidad de conocer")
»»Asignar un identificador exclusivo a cada persona que tenga acceso al equipo
»»Restringir el acceso físico a los datos de los titulares de las tarjetas
• Probar y vigilar las redes con regularidad
»»Controlar y vigilar todos los accesos a los recursos de la red y a los datos de los titulares de las tarjetas
»»Probar con regularidad los procesos y sistemas de seguridad
• Mantener una directiva de seguridad de la información
»»Mantener una directiva de seguridad de la información para sus empleados y contratistas Protocolos Secure Sockets Layer (SSL) y Transport Layer Security (TLS)
SSL y su versión 3.1, denominada TLS, son formas de proteger las transacciones realizadas por Internet. Estos protocolos han sido desarrollados por Netscape en colaboración con MasterCard, Bank of America, MCI y Silicon Graphics.
SSL y TLS se basan en la criptografía de clave pública para garantizar la seguridad en la transferencia de datos.
El método establece un canal seguro (cifrado) de comunicación entre dos equipos (un cliente y un servidor) después de un paso de autenticación. Incluyen las siguientes funciones35 :
• Autenticación: el cliente debe ser capaz de comprobar la identidad del servidor. A partir de SSL 3.0 (la versión más extendida actualmente), el servidor también puede solicitar que el cliente se autentique. Esta función se ofrece mediante el uso de certificados.
• Confidencialidad: el cliente y el servidor deben tener la seguridad de que su conversación no puede ser oída por terceros. Esta función se ofrece mediante un algoritmo de cifrado.
• Identificación e integridad: el cliente y el servidor deben tener la seguridad de que los mensajes transmitidos no han sido truncados ni modificados (mantienen su integridad) y que proceden del remitente previsto. Estas funciones se ofrecen mediante la firma de datos.

Fuente:  Fraude financiero y banca por Internet:
Amenazas y medidas para combatirlas
Elaborado por François Paget, Laboratorios McAfee® Avert® Labs

Compras online

Compras online
El proceso de compra directa por Internet, sin licitación previa, también es objeto de muchos ataques. Evite siempre los sitios que no ofrecen pagos protegidos. A menudo se utiliza el spam para atraer a compradores crédulos. En el caso de que los productos existan, a menudo son falsificaciones o placebos. En su informe de seguridad de 2007, IronPort30 descubrió un ataque que se asemejaba más a la delincuencia organizada que al comercio electrónico.
Otro método de engañar a los compradores consiste en conseguir ocupar una posición prominente en los buscadores. Luego se redirige al cliente a un sitio de compras que vende todo tipo de pastillas, falsificaciones o software por una décima parte de su precio habitual. Es mucho más fácil, por ejemplo, encontrar a la venta teléfonos Vertu de la división de lujo de Nokia falsificados que encontrar los originales.

Métodos de pago anónimo
Los delincuentes prefieren obtener sus pagos por medio de servicios tales como e-gold y WebMoney. Existen unos veinte servicios de este tipo en el mundo. Son anónimos y cómodos.
En Francia, a diferencia de los notarios y de los bancos aprobados por la comisión de la banca, los servicios de pago online no están obligados a comunicar las operaciones sospechosas a TRACFIN (acrónimo francés de Tratamiento de la Información y Acciones contra los Circuitos Financieros Clandestinos) cuando existe actividad sospechosa o cuando una transacción sobrepasa una determinada cantidad.
En los Estados Unidos, la Financial Crimes Enforcement Network (Red de Control de Delitos Financieros)31 es responsable de recoger extractos bancarios, analizarlos y asesorar activamente a los servicios de investigación en lo relativo al blanqueo de dinero. Este servicio administrativo se integró en el Departamento del Tesoro.
He aquí algunos de los principales servicios de transferencia de dinero:
• e-gold: fundado en 1996, tiene su sede en Florida. Desde hace tiempo, las autoridades sospechan que la empresa participa en actividades delictivas. Sus fundadores y algunos de sus socios están siendo investigados en la actualidad.
• Western Union: esta empresa estadounidense cuenta con sucursales en más de 200 países. El servicio, que sólo debería utilizarse para transferencias de dinero a los miembros de la familia, a menudo se usa de manera indebida.
• WebMoney: esta empresa rusa realiza transacciones diarias por valor de 7 millones de dólares. Cuenta con cuatro millones de clientes, y no todos ellos son honrados.
Otros servicios —como MoneyGram, Money Express, Ria, Flouss y DabaDaba— también se utilizan en las transferencias sospechosas de dinero vinculadas a actividades delictivas.


Fuente:  Fraude financiero y banca por Internet:
Amenazas y medidas para combatirlas
Elaborado por François Paget, Laboratorios McAfee® Avert® Labs