Diapositivas presentadas por Roberto Opazo, Director ejecutivo Khipu, en el Workshop "Cómo aumentar la tasa de conversión de su canal Online" en Santiago de Chile el Viernes 29 de Noviembre del 2013.

1. Phishing, clonación y
caso de éxito de khipu
Roberto Opazo
Director Ejecutivo
khipu - Pago, cobro y recargo
http://www.aumentesuconversion.com/
1

2.  Introducción
 Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
 Caso de éxito de khipu

3. Introducción

4. ¿Los temas técnicos son para los técnicos?
http://motherboard.vice.com/blog/dear-congress-it-s-no-longer-ok-to-not-know-how-the-internet-works

5. ¿Seguridad con estándar bancario?

6. ¿La seguridad no es un problema?

7.  Introducción
 Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
 Caso de éxito de khipu

8. No todo es phishing, virus, troyano…
Clonación
DDoS
XSS
phishing
DNS
morphing
Troyano
Virus

9. Tipos de ataque de phishing
Fuente: KASPERKY: THE EVOLUTION OF PHISHING ATTACKS: 2011-2013

10. Crecimiento de usuarios atacados
Fuente: KASPERKY: THE EVOLUTION OF PHISHING ATTACKS: 2011-2013

11. Blancos de ataque
Fuente: KASPERKY: THE EVOLUTION OF PHISHING ATTACKS: 2011-2013

12. Ideas equivocadas sobre el phishing
× Los sitios de los bancos son el blanco más común
– Google, Facebook, Yahoo! y Amazon lo son.
– Pocos más del 20% apunta a bancos.
Fuente: Estudio de Kaspersky
× El phishing consiste en mandar e-mails falsos
– Se combinan muchas técnicas
× El candado de https permite estar seguro
× Las claves dinámicas impiden el phishing
– OTP, tarjetas de coordenadas y biometría son vulnerables
× No pinchar un enlace en un correo nos protege
– Ataques de red, QR-Code y otros mantienen el problema

13.  Introducción
 Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
 Caso de éxito de khipu

14. ¿Qué nos protege del phishing?
PC sin SW malicioso
Servidor con certificado
SSL-EV
Educar al usuario

15. ¿Qué es un certificado SSL-EV?

16. La triste historia del candado
1996
2000
2005
2007
2008
Verisign inicia
operaciones.
La falta de
acuerdo en el
mercado
sobre políticas
para emitir
certificados
permitió la
entrada de
vendedores
con
validaciones
mínimas.
Primera
reunión del
CA/Browser
Forum.
Primera
versión del
estándar.
Los browsers
relevantes
eran
compatibles
con EV SSL.
Se valida
cuidadosamen
te la identidad
de los
solicitantes de
certificados.
La
competencia
hizo que
todos dejaran
de validar la
identidad de
los
solicitantes.

17. Buenas prácticas técnicas
•
•
•
•
Redireccionar a https los requerimientos http
Permitir https en la página home
No pedir contraseñas en un pop-up
Usar un certificado EV SSL
Buenas prácticas comunicacionales
• Enseñar a reconocer EV SSL, no candados.
• No se desgastarse intentando que los usuarios
no pinchen enlaces.

18. El nivel de la banca en Chile
Evaluación como usuario
• Redirect: Las páginas http
redirigen a páginas https.
• Home S: La página home
permite https si se le pide.
• Pass: La página de ingreso de
la password usa https.
• EV-SSL: Las conexiones
seguras con el banco usan
un certificado EV-SSL
• Los bancos omitidos no
tenían banca por internet.
Banco
Redirect Home S Pass
Banco 1
0
1
Banco 2
0
1
Banco 3
0
1
Banco 4
0
0
Banco 5
0
0
Banco 7
0
1
Banco 8
0
0
Banco 10
0
1
Banco 11
1
1
Banco 12
1
1
Banco 13
0
1
Banco 14
0
0
Banco 15
0
0
Banco 16
0
1
Banco 17
0
1
Banco 18
0
0
EV-SSL
1
1
0
1
0
1
0
1
1
1
1
0
1
0
0
1
0
1
1
1
1
0
1
1
0
1
1
?
0
0
0
0

19. khipu contra el phishing
• khipu implementa todas las
prácticas mencionadas.
• khipu agrega el uso de una
aplicación que sólo funciona en
las páginas correctas de los
bancos.
• Khipu está en las listas blancas
de los principales antivirus del
mercado.
• La aplicación de khipu está
firmada electrónicamente y se
distribuye desde fuentes
oficiales para cada plataforma.
• Implementará primero
certificate catching

20.  Introducción
 Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
 Caso de éxito de khipu

21. Clonación
• Es un problema
complejo de resolver.
• El modelo operacional
es la base del problema.
• Se puede migrar de fácil
de clonar a difícil de
clonar, pero el modelo
seguirá permitiendo la
clonación.
• Cifrar no resuelve las
cosas.

22.  Introducción
 Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
 Caso de éxito de khipu

23. Pago móvil
• No está estandarizado el significado
de “pago móvil”.
• Hay muchas formas de
operación, con modelos nuevos, que
resuelven la clonación.
• Y se agregan servicios por la
capacidad del dispositivo.
• Se tiende a un modelo de atención
ubicuo.
• Un elemento importante para
distinguir es el método usado para
conectar al comprador, con el
vendedor: NFC, QR-Code, Geo
Localización, dígitos, etc.

24.  Introducción
 Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
 Caso de éxito de khipu

25. Caso de éxito de khipu: TYR

26. Caso de éxito de khipu