Ayuda en bajada de phishing (sertotal.cl)

[Carlos Vergara]

Por motivos de interés y conocimiento de tema, no puedo dejar de responder a

varios usuarios de esta lista ya que hay varias cosas puntuales y claras:

En primer lugar, es INAUDITO que una persona totalmente desconocida y sin
peso
ni autoridad legal alguna tenga el descaro de publicar y divulgar
información privada
de una invenstigación seria en la que incluso tiene participación la policía
de Investigaciones.
En casos de Fraudes Informáticos hay una lista interminable de
procedimientos
que aseguran anonimato a quienes estén involuclados en estos menesteres
(llamese empresa, investigadores, ISP, sysadmin, etc), por lo que este señor
Sergio Miranda de
partida cayó en una ilegalidad del porte de santiago al divulgar información
clasificada de
una investigación llevada por la brgada del cibercrimen.
En segundo lugar, me extraña la falta de profesionalismo y lo poco ético del
señor Miranda
al remitir la información a unos simples "telefonazos". El procedimiento
establecido dice
que la persona encargada de estas investicagiones debe presentarse en forma
personal
y solicitar entrevista inmediata con el sysadmin o en su defecto con el
encargado de
estos procedimientos. En caso que la empresa se niegue a atender a esta
persona, recién
puede solicitar a investigaciones que se haga parte y realicen ellos una
segunda visita.

En lo referente al Phising en si, dudo que una empresa relacionada al rubro
de las cobranzas
esté dispuesta a prestarse para un delito como este, sobre todo si pensamos
que de comprobarse
el delito, tanto la empresa como el sysadmin arriesgan las penas del
infierno. En lo
personal, eliminaría la intención de perjuicio por parte de sertotal y su
gente hacia el banco,
pero si de daría un tirón de orejas al señor vidal o al menos "una penkeada
hasta la vereda
del frente" por no preveer este tipo de situaciones y/o por no testear sus
sistemas de
seguridad informáticas cada cierto tiempo. Además, para nadie es secreto que
en la red se
encuentran listas interminables de servidores con alguna falla en la
seguridad y donde
se especifica incluso cual es el error y como vulnerarlo. No es dificil que
alguien se haya
dado cuenta del agujero y haya entrado o bien que haya inclusi vendido esa
información.

Con estos antecedentes, y dado que el señor Vidal junto a la empresa
Sertotal han sido los
mas perjudicado con esto esto, les recomiendo en primer lugar interponer una
demanda
contra el señor Miranda por divulgación de información clasificada en una
investigación de
delito informático y si existiese legalmente como delito, por
descalificación profesional
(lamentablemente no existe). En paralelo a eso, mi recomendación para el
Señor miranda
que piense 2 veces antes de "mandarse las partes" y mandarse un "condoro"
como este;
Ojalá alguien le diga a su superior que envien a este señor a leer el manual
de
procedimientos y a hacer un curso intensivo de ética informática.

Respecto a las demás opiniones expresadas con posterioridad, sólo les
recomendaría no
crucificar al perro rabioso antes de determinar quien le contagió la rabia
ni que tipo de
campaña de prevención se está haciendo. Muy feo responder sin saber el
trasfondo del
problema y mas encima avalar algo tan delicado como una fuga de información
sin esperar
a que los afectados tengan derecho a réplica.

Atte.



Carlos Vergara N.
Asesor Computacional
Sociedad Educacional Alcantara-Cordillera.
cvergara en cordillera.alcantara.cl
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20061218/fee344d2/attachment.html