SlideShare una empresa de Scribd logo

Seguridad de la Informacion

Descargar como PPTX, PDF
C
Christian404806

Seguridad de la Informacion

Ingeniería
1 de 37
INCLUSIÓN FINANCIERA BANCA MÓVIL Y SEGURIDAD – TEGUCIGALPA HONDURAS 12-13 AGOSTO 2013. PROTECCIÓN AL CONSUMIDOR Y RIESGOS. LA SEGURIDAD EN LA BANCA MÓVIL GIOVANI MANCILLA EXPERTO UIT
AGENDA •INTRODUCCIÓN •ALGUNAS CIFRAS. •CONSIDERACIONES •TIPOLOGÍAS DE FRAUDE MÁS EXTENDIDAS. •DESCRIPCIÓN Y RECOMENDACIONES DE MITIGACIÓN. •FRENTES DE TRABAJO DE MITIGACIÓN •CONCLUSIONES
INTRODUCCIÓN Hablar de seguridad en Banca Móvil, es entrar en uno de los temas que más causa temor a los usuarios, a la hora de hacer uso de aplicaciones, dicho temor no es infundado dada la gran cantidad de posibilidades de fraude que hoy convergen en el terminal de acceso (telecomunicaciones, Informáticos, Bancarios y de aplicaciones en un solo dispositivo). Se requiere entender claramente los riesgos que asumimos y buscar su mitigación, el miedo al riesgo no puede paralizar el desarrollo de la Banca Móvil. Este tema deberá ser tenido en cuenta de manera importante en el despliegue de los nuevos servicios, es tan importante el desarrollo de las aplicaciones como la seguridad de las mismas.
INTRODUCCIÓN El crecimiento interanual de banca móvil es evidente y va de la mano con el crecimiento de los medios de acceso, en la medida que en la región llegan nuevas tecnologías como LTE (4G) se espera que muchas aplicaciones tengan un desarrollo importante, Banca móvil no será la excepción. En seguridad se deben evitar falsos triunfalismos y excesos de confianza de que todo ya está cubierto, el cual es uno de los principales aspectos que explotan los defraudadores.
CIFRAS Algunas cifras caso Colombiano. Acceso bancario por canal
Delitos informáticos Dijin Policia Nacional de Colombia POLICÍA NACIONAL DIRECCIÓN DE INVESTIGACIÓN CRIMINAL E INTERPOL DENUNCIAS REGISTRADAS EN EL PAÍS POR DELITOS INFORMÁTICOS PERÍODO COMPARATIVO DEL 01 DE ENERO AL 07 DE AGOSTO AÑOS 2012-2013 DELITOS AÑOS VARIACIÓN 2012 2013 ABSOLUTA PORCENTUAL ARTÍCULO 269A. ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO 316 232 -84 -27% ARTÍCULO 269B. OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN 4 2 -2 -50% ARTÍCULO 269D. DAÑO INFORMÁTICO 5 5 0 0% ARTÍCULO 269F. VIOLACIÓN DE DATOS PERSONALES 100 104 4 4% ARTÍCULO 269G. SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES 16 11 -5 -31% ARTÍCULO 269I. HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES 1440 1514 74 5% ARTÍCULO 269J. TRANSFERENCIA NO CONSENTIDA DE ACTIVOS 5 61 56 1120% ARTÍCULO 269C. INTERCEPTACIÓN DE DATOS INFORMÁTICOS 12 4 -8 -67% ARTÍCULO 269E. USO DE SOFTWARE MALICIOSO 1 2 1 100% TOTAL 1.899 1.935 36 2%
Delitos informáticos Dijin Policia Nacional de Colombia DELITO CAPTURA AÑOS VARIACIÓN 2012 2013 ABSOLUTA PORCENTUAL ARTÍCULO 269A. ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO 20 24 4 20% ARTÍCULO 269B. OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN 2 -2 -100% ARTÍCULO 269C. INTERCEPTACIÓN DE DATOS INFORMÁTICOS 5 6 1 20% ARTÍCULO 269D. DAÑO INFORMÁTICO 24 13 -11 -46% ARTÍCULO 269E. USO DE SOFTWARE MALICIOSO 1 2 1 100% ARTÍCULO 269F. VIOLACIÓN DE DATOS PERSONALES 72 87 15 21% ARTÍCULO 269I. HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES 79 121 42 53% ARTÍCULO 269J. TRANSFERENCIA NO CONSENTIDA DE ACTIVOS 2 10 8 400% TOTAL 205 263 58 28%
CONSIDERACIONES •Cada segundo hay un intento de acceso irregular a aplicaciones en el mundo, especialmente Banca Móvil tiene el gran atractivo de la ganancia económica para el defraudador. •Operadores de telecomunicaciones pierden entre un 0,5% y un 10% de ingresos por fraude. •Los bancos tienen pérdidas billonarias por fraude. •El fraude interno causa cerca del 70% de las pérdidas. •El defraudador busca la ocasión de descuido por parte de los actores en este caso (usuario, proveedor de comunicaciones, y Banco), en la parte que sea más débil el defraudador intentará atacar. •Enfrentamos a un enemigo oculto que puede estar en cualquier parte del mundo. •Cifrado WPA se ha roto en 60 segundos .
ATAQUE AL DELITO REQUIERE DE HERRAMIENTAS ESPECIALIZADAS Y PERSONAL IDÓNEO. (cortesía Ponal Colombia)
PRINCIPALES FRAUDES Y ALGUNAS RECOMENDACIONES DE MITIGACIÓN FRAUDE EN EL ELEMENTO DE ACCESO. FRAUDE EN EL CANAL - PROTOCOLOS. FRAUDE EN LAS BASES DE DATOS BANCARIAS.
FRAUDES EN ELEMENTOS DE ACCESO MÓVILES –TABLETS 1) HURTO DE MÓVILES. 2) CLONACIÓN SIM. 3) TELÉFONOS DE DUDOSA PROCEDENCIA – NO HOMOLOGADOS … 4) PASEO MILLONARIO – TRANSFERENCIAS OBLIGADAS. 5) SINCRONIZACIÓN CON PC INFECTADOS. 6) PHISING POR SUPLANTACIÓN DE PÁGINA WEB O POR E-MAIL. 7) PUERTOS ABIERTOS Y COMPARTIDOS – GSM WIFI – POR INTERNET - BOTNET 8) MALWARE. 9) INGENIERÍA SOCIAL 10) ACCESO AUTORIZADO Y PERMITIDO A TERCEROS QUE NO TIENEN DEBIDO CUIDADO
1) HURTO DE MÓVILES. Para el tema de Banca Móvil, la amenaza, especialmente por la información almacenada en los equipos que pueden dar un perfil del usuario y para muchas aplicaciones como mails se deja abierta la sesión con cargue automático sin clave, normalmente el defraudador tendrá que realizar post proceso de datos para explotar la posibilidad de hurtar fondos. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES - TABLETS
1) HURTO DE MÓVILES. Mitigación – recomendación usuarios. Fabricación de terminales seguros que no se pueda reescribir el IMEI, seguimiento remoto de terminales, aplicaciones de borrado remoto de datos, aplicaciones de botón de pánico, cuidado por parte del usuario, etc… Subir a bases de datos de listas blancas y negras los terminales, control a exportación e importación de terminales usados ejemplo base de GSMA. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
2) Clonación de SIM. Es un aspecto que empieza a preocupar a la industria móvil por los aspectos adversos que puedan causar en el futuro cercano, normalmente sobre estos dispositivos se graba información esencial de funcionamiento del dispositivo móvil que algunas aplicaciones lo utilizan para asegurar acceso, en este caso un tercero inescrupuloso podría suplantar al usuario móvil y realizar transacciones de Banca Móvil inadvertidas por el verdadero usuario, máxime los mensajes de claves de acceso podría llegar al clonado. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
2) Clonación de SIM. Para que se de esta modalidad es necesario que el defraudador tenga acceso al terminal, por ende no dejar los equipos sin vigilancia, no prestarlos o en caso de necesidad cambiar claves de acceso. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
3) Teléfonos de dudosa procedencia remarcados – no homologados. En la industria Móvil específicamente la GSMA asigna a la industria bloques de IMEI´s a los productores de equipos, esta regla se está violando y aparecen en el mercado equipos no homologados que cumplen con las normas y que realmente usurpan la asignación, acá en este aspecto se corre el riesgo que estos equipos hayan sido modificados y que contengan desde el inicio aplicaciones malware que puedan transmitir a los delincuentes datos que para el caso de Banca Móvil permita el acceso a las cuentas y la realización de transacciones inadvertidas. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
3) Teléfonos de dudosa procedencia remarcados – no homologados. Como recomendación general para los usuarios está el comprar sus terminales en tiendas oficiales de los productores de tecnología u operadores, que aseguren que sean homologados y que puedan en caso requerido realizar las reclamaciones pertinentes. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
4) Paseo Millonario – Transferencias obligadas. En este riesgo el defraudador obtiene el acceso a la Banca Móvil a través de la intimidación del usuario original, quien se ve obligado a realizar transacciones en contra de su voluntad, como transferencias, pagos, envío de dinero a códigos para ser retirados en cajeros, y demás servicios de Banca Móvil, en la actualidad se está migrando del paseo millonario por cajero a realizar transacciones por dispositivo móvil. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
4) Paseo Millonario – Transferencias obligadas. Mitigación. Persecución de las autoridades, evitar tomar transportes en la calle que no tengan una procedencia comprobada, desarrollo por parte de los bancos de análisis de datos con claves de comprobación para que el usuario pueda ser localizado en conjunto con las autoridades sin que sea percibida por el defraudador. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
5. Sincronización con terminales infectados. En esta modalidad el equipo móvil al sincronizarse con PC´S infectados pueden contagiarse con malware como botnets, software espía, virus, puertas traseras, troyanos, gusanos, keyloggers, etc… al sincronizarse resultan infectados inadvertidamente. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
5. Sincronización con terminales infectados. Mitigación. El usuario se debe asegura que el terminal móvil y todos aquellos con los que se sincroniza como tablets, portátiles, PC´s etc…, cuentan con los elementos de seguridad suficiente entre si que eviten infecciones y que no se transmita ningún tipo de malware. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
6. Phishing por suplantación de páginas web ó por correos electrónicos. Modalidad en la que el usuario incautamente piensa que está navegando y proporcionando datos a su operador Bancario y realmente los está proporcionando a un defraudador quien los captura y con base en estos realiza transacciones no consentidas por parte del usuario. A pesar que los Bancos y diferentes entidades advierten a diario sobre este tipo de modalidad aún hay muchos usuarios que son timados. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
6. Phishing por suplantación de páginas web ó por correos electrónicos. Mitigación. Capacitación a los usuarios sobre el uso seguro de los medios de acceso en este caso sobre Banca Móvil, el usuario no debe perder de vista que el hecho de realizar una transacción sobre móvil los riesgos electrónicos tradicionales se pueden seguir presentando sobre este nuevo método de acceso a sus servicios bancarios. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
7. Puertos Abiertos y compartidos – GSM WIFI – POR INTERNET - BOTNET. Esta modalidad el usuario está abriendo las puertas para que sus datos puedan ser vistos públicamente al permitir el acceso de terceros a través de sus dispositivos, muchas veces los dejan abiertos sin claves o con claves que son fáciles de adivinar por parte de los delincuentes, por medio de puertos wifi es posible obtener tráfico no cifrado, este se puede convertir en la fuente de infección de dispositivos conectados a la misma red, acá adicionalmente se corre el riesgo de volverse parte de una red de robots que son aprovechadas por los ciberdelincuentes para realizar ataques a diferente tipo de entidades, en este caso la banca podría ser objeto de este tipo de ataques, adicionalmente al tener un elemento que accede al banco de forma remota pueden adquirir algunos datos de interés para el delincuente que luego les permitirá realizar el ataque con base en información obtenida del acceso móvil. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
7. Puertos Abiertos y compartidos – GSM WIFI – POR INTERNET - BOTNET. Mitigación. Los usuarios no deben dejar abiertos sus puertos, es como dejar abierta la puerta de la casa se corren diversos riesgos e incluso pueden verse involucrados en investigaciones posteriores por accesos a través de sus medios a sitios no permitidos o ser parte de una red de ataque a entidades,. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
8. Malware Software malicioso que busca obtener datos de usuario y utilizarlos para fines no consentidos por el mismo. Para el caso de Banca Móvil está el acceso a realizar operaciones bancarias inconsultas. !2013 1300 nuevas muestras de malware diario, se ha disparado en un 614% en último año, se calcula que actualmente el 1% están infectados a nivel mundial, de seguir la tendencia pronto será una grave amenaza. Los principales datos que requiere el defraudador son: nombres de usuarios y contraseñas, intercepción de SMS para obtener datos de acceso a plataforma bancaria, Datos de formularios por ejemplo de compras on-line con cargo a cuentas bancarias o tarjetas de crédito, rescate de datos o información comprometedora receptada por medio de malware, envío de mensajes a números premium, envío de recargas con cargo a cuenta bancaria, ataque a dispositivo pidiendo recate «Ransomware»; botnets infectados por redes sociales, infección por correo electrónico, tiendas alternativas de aplicaciones infectadas, etc… FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
MALWARE CABALGANTE Delitos informáticos Dijin Policia Nacional de Colombia – Defraudadores especializados.
8. Malware Mitigación: a) Mantener el dispositivo actualizado con las últimas versiones de S.O. y sw instalado. B) Usar perfiles de usuario con privilegios mínimos, tratar de evitar usarlo como administrador. C) No instalar sw de repositorios no oficiales o de dudosa procedencia. D) Acorde con el tipo de dispositivo buscar software anti malware E) Contraseñas para encendido y desbloqueo del equipo, F) no dejar claves por defecto, G) evitar dejar accesos directos a aplicaciones con claves guardadas en el equipo, H) en caso de conectarse a redes wifi ajenas procurar no enviar datos de Banca On Line, realizarlo solo sobre redes seguras I) Comprobar origen y confianza de cualquier tipo de contenido, J) No aceptar e-mail, SMS, MMS, mensajes multimedia, etc… de origen desconocido, k) deshabilitar todas las conexiones innecesarias, no aceptar conexiones ni transferencias no solicitadas. L) Cifrar datos sensibles, M) realizar periódicamente copias de seguridad, N) Verificar y activar métodos de seguimiento y seguridad de fábrica que posean los terminales, O) Bloquear envío de mensajes premium con su operador. P) estar alerta sobre las nuevas modalidades que se están presentando que permita disminuir los riesgo rápidamente. Q) Cuando los bancos provean seguros adquirir los mismos para transferir riesgos. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
9. Ingeniería Social En esta modalidad el defraudador logra la obtención de datos sensibles a través de la ingenuidad del usuario, muchas veces se valen los delincuentes de redes sociales, suplantación de personas presentándose como muy buenos amigos o como personas con grandes necesidades. El defraudador logra obtener la información necesaria para iniciar un ataque, para el caso de Banca Móvil podrían obtener información viendo por encima del hombro el usuario y contraseña provisto para realizar transacciones y luego el defraudador puede usarlo para realizar sus acciones delictivas. En otras modalidades los delincuentes aprovechan estos acercamientos al usuario para proporcionarle sustancias psicoactivas para manejar su voluntad como el caso de la escopolamina. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
9. Ingeniería Social Mitigación. El usuario de los servicios de Banca Móvil deben ser consientes de este tipo de peligros y mitigarlos, evitando tener conversaciones y realizar transacciones en lugares públicos y en presencia de terceros, se debe evitar recibir sustancias o tener encuentros muy cercanos con personas desconocidas. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
10.Acceso autorizado y permitido a terceros que no tienen debido cuidado. Muchas veces se manejan cuentas conjuntas con familiares, o cuentas empresariales que requieren que más de una persona tenga acceso a la información de Banca Móvil, en estos casos puede suceder que el tercero no tenga el debido cuidado de acceso a este canal bancario y caiga en cualquier modalidad de las anotadas anteriormente, en este caso al no existir una responsabilidad única se vuelve el tema de seguridad una prioridad. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
10.Acceso autorizado y permitido a terceros que no tienen debido cuidado. Mitigación: capacitar y concientizar a cada uno de los integrantes de cuentas conjuntas sobre los riesgos y la responsabilidad compartida que se tiene para evitar que sean timados. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
FRAUDES EN CANAL 1) CAPATADORES DE SEÑAL – SNIFFER. 2) ENVÍO DE INFORMACIÓN POR ENLACES NO SEGUROS. 3) ACCESOS ABIERTOS A INTERNET.
FRAUDES EN BASES DE DATOS 1) BASES DE DATOS BANCARIAS. 2) ATAQUES A LAS ENTIDADES. 3) DENEGACIÓN DE SERVICIOS 4) FRAUDE INTERNO PARA TIMAR A CLIENTES.
FRENTES DE TRABAJO DE MITIGACIÓN 1) Legal. 2) Investigativo especializado. 3) Regulatorio de protección al usuario. 4) Seguimiento a transacciones en tiempo real, inhibiendo aquellas sospechosas, generando niveles adicionales de aseguramiento. 5) Áreas bancos – operadores de control del fraude. 6) Capacitación a usuarios para realizar uso seguro e identificación de amenazas. 7) Concientización de deber de cuidado del terminal y sus contenidos. 8) Creación de canales de comunicación y asesoría en temas de seguridad y fraude al usuario. 9) Dependiendo del modelo que se use debe desarrollarse la matriz propia de riesgos identificando amenazas, probabilidad de ocurrencia, impacto, exposición al riesgo, que permita generar un sistema de protección integral de mitigación. 10) Desarrollar sistemas de detección por análisis de datos, líneas de denuncia, botones de pánico, etc… deben ser muy sencillos dada la población objetivo. 11) “El control de fraude es labor de todos”
CONCLUSIONES 1) En la medida en que crece la Banca Móvil, de la misma forma crecen sus amenazas. 2) Los usuarios debemos ser consientes de las amenazas existentes y tomar las precauciones debidas que permitan cerrar el camino al delito. 3) Se requiere un trabajo conjunto entre Operadores, Bancos, reguladores, entidades de vigilancia y control, legislación y autoridades para realizar esfuerzos conjuntos que permitan atacar desde todos los frentes el delito. 4) El usuario es responsable de su terminal y su cuidado debe ser máximo. 5) Los Bancos y operadores deben diseñar aplicaciones y canales seguros que den confianza a sus usuarios que no se verán afectados por su uso. 6) No se debe nunca bajar la guardia y crear falsas expectativas de que todo está cubierto y que no hay que hacer nada mas en temas de seguridad, esta soberbia la cobran caro los defraudadores. 7) En el desarrollo de aplicaciones es tan importante que existan las mismas como la seguridad que tengan nuestros usuarios, pues una vez se pierde la confianza en un servicio es muy difícil recuperarla. 8) Entender el perfil del “enemigo” que enfrentamos que es multinacional, con gran conocimiento técnico y que muta fácilmente, en este escenario entes como Interpol, Banco Mundial, UIT entre otros deben hacer esfuerzos importantes de coordinación y lucha conjunta. 9) Se requiere personal idóneo con herramientas especializadas. 10) Es aconsejable generar un ambiente generalizado de control de riesgos evitando los extremos, cuando controlar algo es muy costoso y no trae beneficios es mejor convivir buscando los menores impactos.
GRACIAS Para mayor información. Contactar a Giovani Mancilla Gaona Asesor independiente en temas de seguridad y control de fraude. Experto UIT – Relator Grupo de Fraude y Seguridad en redes CITEL – OEA. Giovani.mancilla@gmail.com gmancilla@udistrital.edu.co +571 3115881111. «El Control de Fraude es labor de todos»

Recomendados

Suandy vargas 11 03
Suandy vargas 11 03Suandy vargas 11 03
Suandy vargas 11 03suandy vargas
 
Delitos informaticos - Marian Abreu
Delitos informaticos - Marian AbreuDelitos informaticos - Marian Abreu
Delitos informaticos - Marian AbreuMarian Abreu L
 
Presentacion final
Presentacion finalPresentacion final
Presentacion finalMarco Carranza
 
Kaspersky Info Security 2011
Kaspersky Info Security 2011Kaspersky Info Security 2011
Kaspersky Info Security 2011Ariel Martin Beliera
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosMaydi Vasquez Arellan
 
VIOLACION DATOS PERSONALES - DELITO INFORMATICO
VIOLACION DATOS PERSONALES - DELITO INFORMATICOVIOLACION DATOS PERSONALES - DELITO INFORMATICO
VIOLACION DATOS PERSONALES - DELITO INFORMATICOCatherine Mejia
 
Alerta por redes wifi abiertas
Alerta por redes wifi abiertasAlerta por redes wifi abiertas
Alerta por redes wifi abiertasMiguel Ramírez
 
2 delitos informaticos (tics)angie katherine garcia diaz
2 delitos informaticos (tics)angie katherine garcia diaz2 delitos informaticos (tics)angie katherine garcia diaz
2 delitos informaticos (tics)angie katherine garcia diazangie katherine garcia diaz
 

Recomendados

Suandy vargas 11 03
Suandy vargas 11 03Suandy vargas 11 03
Suandy vargas 11 03suandy vargas
 
Delitos informaticos - Marian Abreu
Delitos informaticos - Marian AbreuDelitos informaticos - Marian Abreu
Delitos informaticos - Marian AbreuMarian Abreu L
 
Presentacion final
Presentacion finalPresentacion final
Presentacion finalMarco Carranza
 
Kaspersky Info Security 2011
Kaspersky Info Security 2011Kaspersky Info Security 2011
Kaspersky Info Security 2011Ariel Martin Beliera
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosMaydi Vasquez Arellan
 
VIOLACION DATOS PERSONALES - DELITO INFORMATICO
VIOLACION DATOS PERSONALES - DELITO INFORMATICOVIOLACION DATOS PERSONALES - DELITO INFORMATICO
VIOLACION DATOS PERSONALES - DELITO INFORMATICOCatherine Mejia
 
Alerta por redes wifi abiertas
Alerta por redes wifi abiertasAlerta por redes wifi abiertas
Alerta por redes wifi abiertasMiguel Ramírez
 
2 delitos informaticos (tics)angie katherine garcia diaz
2 delitos informaticos (tics)angie katherine garcia diaz2 delitos informaticos (tics)angie katherine garcia diaz
2 delitos informaticos (tics)angie katherine garcia diazangie katherine garcia diaz
 
Revista Mundo Contact Enero 2013
Revista Mundo Contact Enero 2013Revista Mundo Contact Enero 2013
Revista Mundo Contact Enero 2013Mundo Contact
 
Prevencion de delitos tecnologicos y ciberbullying
Prevencion de delitos tecnologicos y ciberbullyingPrevencion de delitos tecnologicos y ciberbullying
Prevencion de delitos tecnologicos y ciberbullyingEl Puerto Global
 
maribel silva delitos informaticos
maribel silva delitos informaticosmaribel silva delitos informaticos
maribel silva delitos informaticosmaribel silva
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosPaola Andrea Peña
 
Delincuencia Cibernetica
Delincuencia CiberneticaDelincuencia Cibernetica
Delincuencia CiberneticaAlex Gonzalez
 
Informatica Basica Presentacion
Informatica Basica PresentacionInformatica Basica Presentacion
Informatica Basica PresentacionLaura Rubio
 
Informatica basica presentacion
Informatica basica presentacionInformatica basica presentacion
Informatica basica presentacionEdwin Eduard Martinez Rivera
 
Informatica basica presentacion
Informatica basica presentacionInformatica basica presentacion
Informatica basica presentacionEdwin Eduard Martinez Rivera
 
Informatica basica presentacion
Informatica basica presentacionInformatica basica presentacion
Informatica basica presentacionEdwin Eduard Martinez Rivera
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticosVeronica Manrique
 
Qué son delitos informaticos
Qué son delitos informaticosQué son delitos informaticos
Qué son delitos informaticosLauraRubio10-05
 
Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...
Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...
Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...Mikel García Larragan
 
Fraudes informaticos
Fraudes informaticosFraudes informaticos
Fraudes informaticosEveling Giselle Cruz Vásquez
 
Que son delitos imformaticos fanny
Que son delitos imformaticos fannyQue son delitos imformaticos fanny
Que son delitos imformaticos fannyEstefania Montano
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosJeimy Mendoza
 
Síntesis de proyecto.ppsx
Síntesis de proyecto.ppsxSíntesis de proyecto.ppsx
Síntesis de proyecto.ppsxVanesaDaz11
 
10 delitos informáticos y sus prevenciones.
10 delitos informáticos y sus prevenciones.10 delitos informáticos y sus prevenciones.
10 delitos informáticos y sus prevenciones.Lauren Posada
 
Resumen delitos informáticos delatorre
Resumen delitos informáticos delatorreResumen delitos informáticos delatorre
Resumen delitos informáticos delatorreJanet De la Torre
 
Ensayo seguridad informatica en el perú
Ensayo seguridad informatica en el perúEnsayo seguridad informatica en el perú
Ensayo seguridad informatica en el perúFranz Alba
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticosCNEL Regional Bolivar
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 
Propositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicacionesPropositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicaciones025ca20
 

Más contenido relacionado

Similar a Seguridad de la Informacion

Revista Mundo Contact Enero 2013
Revista Mundo Contact Enero 2013Revista Mundo Contact Enero 2013
Revista Mundo Contact Enero 2013Mundo Contact
 
Prevencion de delitos tecnologicos y ciberbullying
Prevencion de delitos tecnologicos y ciberbullyingPrevencion de delitos tecnologicos y ciberbullying
Prevencion de delitos tecnologicos y ciberbullyingEl Puerto Global
 
maribel silva delitos informaticos
maribel silva delitos informaticosmaribel silva delitos informaticos
maribel silva delitos informaticosmaribel silva
 
Delincuencia Cibernetica
Delincuencia CiberneticaDelincuencia Cibernetica
Delincuencia CiberneticaAlex Gonzalez
 
Informatica Basica Presentacion
Informatica Basica PresentacionInformatica Basica Presentacion
Informatica Basica PresentacionLaura Rubio
 
Qué son delitos informaticos
Qué son delitos informaticosQué son delitos informaticos
Qué son delitos informaticosLauraRubio10-05
 
Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...
Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...
Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...Mikel García Larragan
 
Que son delitos imformaticos fanny
Que son delitos imformaticos fannyQue son delitos imformaticos fanny
Que son delitos imformaticos fannyEstefania Montano
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosJeimy Mendoza
 
Síntesis de proyecto.ppsx
Síntesis de proyecto.ppsxSíntesis de proyecto.ppsx
Síntesis de proyecto.ppsxVanesaDaz11
 
10 delitos informáticos y sus prevenciones.
10 delitos informáticos y sus prevenciones.10 delitos informáticos y sus prevenciones.
10 delitos informáticos y sus prevenciones.Lauren Posada
 
Resumen delitos informáticos delatorre
Resumen delitos informáticos delatorreResumen delitos informáticos delatorre
Resumen delitos informáticos delatorreJanet De la Torre
 
Ensayo seguridad informatica en el perú
Ensayo seguridad informatica en el perúEnsayo seguridad informatica en el perú
Ensayo seguridad informatica en el perúFranz Alba
 

Similar a Seguridad de la Informacion (20)

Revista Mundo Contact Enero 2013
Revista Mundo Contact Enero 2013Revista Mundo Contact Enero 2013
Revista Mundo Contact Enero 2013
 
Prevencion de delitos tecnologicos y ciberbullying
Prevencion de delitos tecnologicos y ciberbullyingPrevencion de delitos tecnologicos y ciberbullying
Prevencion de delitos tecnologicos y ciberbullying
 
maribel silva delitos informaticos
maribel silva delitos informaticosmaribel silva delitos informaticos
maribel silva delitos informaticos
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Delincuencia Cibernetica
Delincuencia CiberneticaDelincuencia Cibernetica
Delincuencia Cibernetica
 
Informatica Basica Presentacion
Informatica Basica PresentacionInformatica Basica Presentacion
Informatica Basica Presentacion
 
Informatica basica presentacion
Informatica basica presentacionInformatica basica presentacion
Informatica basica presentacion
 
Informatica basica presentacion
Informatica basica presentacionInformatica basica presentacion
Informatica basica presentacion
 
Informatica basica presentacion
Informatica basica presentacionInformatica basica presentacion
Informatica basica presentacion
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticos
 
Qué son delitos informaticos
Qué son delitos informaticosQué son delitos informaticos
Qué son delitos informaticos
 
Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...
Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...
Retos de seguridad en los dispositivos móviles (euskaltel s21 sec - mu - sy...
 
Fraudes informaticos
Fraudes informaticosFraudes informaticos
Fraudes informaticos
 
Que son delitos imformaticos fanny
Que son delitos imformaticos fannyQue son delitos imformaticos fanny
Que son delitos imformaticos fanny
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Síntesis de proyecto.ppsx
Síntesis de proyecto.ppsxSíntesis de proyecto.ppsx
Síntesis de proyecto.ppsx
 
10 delitos informáticos y sus prevenciones.
10 delitos informáticos y sus prevenciones.10 delitos informáticos y sus prevenciones.
10 delitos informáticos y sus prevenciones.
 
Resumen delitos informáticos delatorre
Resumen delitos informáticos delatorreResumen delitos informáticos delatorre
Resumen delitos informáticos delatorre
 
Ensayo seguridad informatica en el perú
Ensayo seguridad informatica en el perúEnsayo seguridad informatica en el perú
Ensayo seguridad informatica en el perú
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticos
 

Último

Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 
Propositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicacionesPropositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicaciones025ca20
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaXimenaFallaLecca1
 
sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7luisanthonycarrascos
 
Sesión N°2_Curso_Ingeniería_Sanitaria.pdf
Sesión N°2_Curso_Ingeniería_Sanitaria.pdfSesión N°2_Curso_Ingeniería_Sanitaria.pdf
Sesión N°2_Curso_Ingeniería_Sanitaria.pdfannavarrom
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTFundación YOD YOD
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSaulSantiago25
 
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.pptARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.pptMarianoSanchez70
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxEduardoSnchezHernnde5
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaXjoseantonio01jossed
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfedsonzav8
 
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptaCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptCRISTOFERSERGIOCANAL
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfMikkaelNicolae
 
Curso Análisis Fisicoquímico y Microbiológico de Aguas -EAI - SESIÓN 5.pdf
Curso Análisis Fisicoquímico y Microbiológico de Aguas -EAI - SESIÓN 5.pdfCurso Análisis Fisicoquímico y Microbiológico de Aguas -EAI - SESIÓN 5.pdf
Curso Análisis Fisicoquímico y Microbiológico de Aguas -EAI - SESIÓN 5.pdfcesar17lavictoria
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfmatepura
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfAntonioGonzalezIzqui
 
Obras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónObras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónXimenaFallaLecca1
 
PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfalexquispenieto2
 
Comite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxComite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxClaudiaPerez86192
 
Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxEverardoRuiz8
 

Último (20)

Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdf
 
Propositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicacionesPropositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicaciones
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
 
sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7
 
Sesión N°2_Curso_Ingeniería_Sanitaria.pdf
Sesión N°2_Curso_Ingeniería_Sanitaria.pdfSesión N°2_Curso_Ingeniería_Sanitaria.pdf
Sesión N°2_Curso_Ingeniería_Sanitaria.pdf
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusibles
 
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.pptARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptx
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdf
 
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptaCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
 
Curso Análisis Fisicoquímico y Microbiológico de Aguas -EAI - SESIÓN 5.pdf
Curso Análisis Fisicoquímico y Microbiológico de Aguas -EAI - SESIÓN 5.pdfCurso Análisis Fisicoquímico y Microbiológico de Aguas -EAI - SESIÓN 5.pdf
Curso Análisis Fisicoquímico y Microbiológico de Aguas -EAI - SESIÓN 5.pdf
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdf
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
 
Obras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónObras paralizadas en el sector construcción
Obras paralizadas en el sector construcción
 
PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdf
 
Comite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxComite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptx
 
Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptx
 

Seguridad de la Informacion

  • 1. INCLUSIÓN FINANCIERA BANCA MÓVIL Y SEGURIDAD – TEGUCIGALPA HONDURAS 12-13 AGOSTO 2013. PROTECCIÓN AL CONSUMIDOR Y RIESGOS. LA SEGURIDAD EN LA BANCA MÓVIL GIOVANI MANCILLA EXPERTO UIT
  • 2. AGENDA •INTRODUCCIÓN •ALGUNAS CIFRAS. •CONSIDERACIONES •TIPOLOGÍAS DE FRAUDE MÁS EXTENDIDAS. •DESCRIPCIÓN Y RECOMENDACIONES DE MITIGACIÓN. •FRENTES DE TRABAJO DE MITIGACIÓN •CONCLUSIONES
  • 3. INTRODUCCIÓN Hablar de seguridad en Banca Móvil, es entrar en uno de los temas que más causa temor a los usuarios, a la hora de hacer uso de aplicaciones, dicho temor no es infundado dada la gran cantidad de posibilidades de fraude que hoy convergen en el terminal de acceso (telecomunicaciones, Informáticos, Bancarios y de aplicaciones en un solo dispositivo). Se requiere entender claramente los riesgos que asumimos y buscar su mitigación, el miedo al riesgo no puede paralizar el desarrollo de la Banca Móvil. Este tema deberá ser tenido en cuenta de manera importante en el despliegue de los nuevos servicios, es tan importante el desarrollo de las aplicaciones como la seguridad de las mismas.
  • 4. INTRODUCCIÓN El crecimiento interanual de banca móvil es evidente y va de la mano con el crecimiento de los medios de acceso, en la medida que en la región llegan nuevas tecnologías como LTE (4G) se espera que muchas aplicaciones tengan un desarrollo importante, Banca móvil no será la excepción. En seguridad se deben evitar falsos triunfalismos y excesos de confianza de que todo ya está cubierto, el cual es uno de los principales aspectos que explotan los defraudadores.
  • 5. CIFRAS Algunas cifras caso Colombiano. Acceso bancario por canal
  • 6. Delitos informáticos Dijin Policia Nacional de Colombia POLICÍA NACIONAL DIRECCIÓN DE INVESTIGACIÓN CRIMINAL E INTERPOL DENUNCIAS REGISTRADAS EN EL PAÍS POR DELITOS INFORMÁTICOS PERÍODO COMPARATIVO DEL 01 DE ENERO AL 07 DE AGOSTO AÑOS 2012-2013 DELITOS AÑOS VARIACIÓN 2012 2013 ABSOLUTA PORCENTUAL ARTÍCULO 269A. ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO 316 232 -84 -27% ARTÍCULO 269B. OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN 4 2 -2 -50% ARTÍCULO 269D. DAÑO INFORMÁTICO 5 5 0 0% ARTÍCULO 269F. VIOLACIÓN DE DATOS PERSONALES 100 104 4 4% ARTÍCULO 269G. SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES 16 11 -5 -31% ARTÍCULO 269I. HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES 1440 1514 74 5% ARTÍCULO 269J. TRANSFERENCIA NO CONSENTIDA DE ACTIVOS 5 61 56 1120% ARTÍCULO 269C. INTERCEPTACIÓN DE DATOS INFORMÁTICOS 12 4 -8 -67% ARTÍCULO 269E. USO DE SOFTWARE MALICIOSO 1 2 1 100% TOTAL 1.899 1.935 36 2%
  • 7. Delitos informáticos Dijin Policia Nacional de Colombia DELITO CAPTURA AÑOS VARIACIÓN 2012 2013 ABSOLUTA PORCENTUAL ARTÍCULO 269A. ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO 20 24 4 20% ARTÍCULO 269B. OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN 2 -2 -100% ARTÍCULO 269C. INTERCEPTACIÓN DE DATOS INFORMÁTICOS 5 6 1 20% ARTÍCULO 269D. DAÑO INFORMÁTICO 24 13 -11 -46% ARTÍCULO 269E. USO DE SOFTWARE MALICIOSO 1 2 1 100% ARTÍCULO 269F. VIOLACIÓN DE DATOS PERSONALES 72 87 15 21% ARTÍCULO 269I. HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES 79 121 42 53% ARTÍCULO 269J. TRANSFERENCIA NO CONSENTIDA DE ACTIVOS 2 10 8 400% TOTAL 205 263 58 28%
  • 8. CONSIDERACIONES •Cada segundo hay un intento de acceso irregular a aplicaciones en el mundo, especialmente Banca Móvil tiene el gran atractivo de la ganancia económica para el defraudador. •Operadores de telecomunicaciones pierden entre un 0,5% y un 10% de ingresos por fraude. •Los bancos tienen pérdidas billonarias por fraude. •El fraude interno causa cerca del 70% de las pérdidas. •El defraudador busca la ocasión de descuido por parte de los actores en este caso (usuario, proveedor de comunicaciones, y Banco), en la parte que sea más débil el defraudador intentará atacar. •Enfrentamos a un enemigo oculto que puede estar en cualquier parte del mundo. •Cifrado WPA se ha roto en 60 segundos .
  • 9. ATAQUE AL DELITO REQUIERE DE HERRAMIENTAS ESPECIALIZADAS Y PERSONAL IDÓNEO. (cortesía Ponal Colombia)
  • 10. PRINCIPALES FRAUDES Y ALGUNAS RECOMENDACIONES DE MITIGACIÓN FRAUDE EN EL ELEMENTO DE ACCESO. FRAUDE EN EL CANAL - PROTOCOLOS. FRAUDE EN LAS BASES DE DATOS BANCARIAS.
  • 11. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES –TABLETS 1) HURTO DE MÓVILES. 2) CLONACIÓN SIM. 3) TELÉFONOS DE DUDOSA PROCEDENCIA – NO HOMOLOGADOS … 4) PASEO MILLONARIO – TRANSFERENCIAS OBLIGADAS. 5) SINCRONIZACIÓN CON PC INFECTADOS. 6) PHISING POR SUPLANTACIÓN DE PÁGINA WEB O POR E-MAIL. 7) PUERTOS ABIERTOS Y COMPARTIDOS – GSM WIFI – POR INTERNET - BOTNET 8) MALWARE. 9) INGENIERÍA SOCIAL 10) ACCESO AUTORIZADO Y PERMITIDO A TERCEROS QUE NO TIENEN DEBIDO CUIDADO
  • 12. 1) HURTO DE MÓVILES. Para el tema de Banca Móvil, la amenaza, especialmente por la información almacenada en los equipos que pueden dar un perfil del usuario y para muchas aplicaciones como mails se deja abierta la sesión con cargue automático sin clave, normalmente el defraudador tendrá que realizar post proceso de datos para explotar la posibilidad de hurtar fondos. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES - TABLETS
  • 13. 1) HURTO DE MÓVILES. Mitigación – recomendación usuarios. Fabricación de terminales seguros que no se pueda reescribir el IMEI, seguimiento remoto de terminales, aplicaciones de borrado remoto de datos, aplicaciones de botón de pánico, cuidado por parte del usuario, etc… Subir a bases de datos de listas blancas y negras los terminales, control a exportación e importación de terminales usados ejemplo base de GSMA. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 14. 2) Clonación de SIM. Es un aspecto que empieza a preocupar a la industria móvil por los aspectos adversos que puedan causar en el futuro cercano, normalmente sobre estos dispositivos se graba información esencial de funcionamiento del dispositivo móvil que algunas aplicaciones lo utilizan para asegurar acceso, en este caso un tercero inescrupuloso podría suplantar al usuario móvil y realizar transacciones de Banca Móvil inadvertidas por el verdadero usuario, máxime los mensajes de claves de acceso podría llegar al clonado. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 15. 2) Clonación de SIM. Para que se de esta modalidad es necesario que el defraudador tenga acceso al terminal, por ende no dejar los equipos sin vigilancia, no prestarlos o en caso de necesidad cambiar claves de acceso. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 16. 3) Teléfonos de dudosa procedencia remarcados – no homologados. En la industria Móvil específicamente la GSMA asigna a la industria bloques de IMEI´s a los productores de equipos, esta regla se está violando y aparecen en el mercado equipos no homologados que cumplen con las normas y que realmente usurpan la asignación, acá en este aspecto se corre el riesgo que estos equipos hayan sido modificados y que contengan desde el inicio aplicaciones malware que puedan transmitir a los delincuentes datos que para el caso de Banca Móvil permita el acceso a las cuentas y la realización de transacciones inadvertidas. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 17. 3) Teléfonos de dudosa procedencia remarcados – no homologados. Como recomendación general para los usuarios está el comprar sus terminales en tiendas oficiales de los productores de tecnología u operadores, que aseguren que sean homologados y que puedan en caso requerido realizar las reclamaciones pertinentes. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 18. 4) Paseo Millonario – Transferencias obligadas. En este riesgo el defraudador obtiene el acceso a la Banca Móvil a través de la intimidación del usuario original, quien se ve obligado a realizar transacciones en contra de su voluntad, como transferencias, pagos, envío de dinero a códigos para ser retirados en cajeros, y demás servicios de Banca Móvil, en la actualidad se está migrando del paseo millonario por cajero a realizar transacciones por dispositivo móvil. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 19. 4) Paseo Millonario – Transferencias obligadas. Mitigación. Persecución de las autoridades, evitar tomar transportes en la calle que no tengan una procedencia comprobada, desarrollo por parte de los bancos de análisis de datos con claves de comprobación para que el usuario pueda ser localizado en conjunto con las autoridades sin que sea percibida por el defraudador. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 20. 5. Sincronización con terminales infectados. En esta modalidad el equipo móvil al sincronizarse con PC´S infectados pueden contagiarse con malware como botnets, software espía, virus, puertas traseras, troyanos, gusanos, keyloggers, etc… al sincronizarse resultan infectados inadvertidamente. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 21. 5. Sincronización con terminales infectados. Mitigación. El usuario se debe asegura que el terminal móvil y todos aquellos con los que se sincroniza como tablets, portátiles, PC´s etc…, cuentan con los elementos de seguridad suficiente entre si que eviten infecciones y que no se transmita ningún tipo de malware. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 22. 6. Phishing por suplantación de páginas web ó por correos electrónicos. Modalidad en la que el usuario incautamente piensa que está navegando y proporcionando datos a su operador Bancario y realmente los está proporcionando a un defraudador quien los captura y con base en estos realiza transacciones no consentidas por parte del usuario. A pesar que los Bancos y diferentes entidades advierten a diario sobre este tipo de modalidad aún hay muchos usuarios que son timados. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 23. 6. Phishing por suplantación de páginas web ó por correos electrónicos. Mitigación. Capacitación a los usuarios sobre el uso seguro de los medios de acceso en este caso sobre Banca Móvil, el usuario no debe perder de vista que el hecho de realizar una transacción sobre móvil los riesgos electrónicos tradicionales se pueden seguir presentando sobre este nuevo método de acceso a sus servicios bancarios. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 24. 7. Puertos Abiertos y compartidos – GSM WIFI – POR INTERNET - BOTNET. Esta modalidad el usuario está abriendo las puertas para que sus datos puedan ser vistos públicamente al permitir el acceso de terceros a través de sus dispositivos, muchas veces los dejan abiertos sin claves o con claves que son fáciles de adivinar por parte de los delincuentes, por medio de puertos wifi es posible obtener tráfico no cifrado, este se puede convertir en la fuente de infección de dispositivos conectados a la misma red, acá adicionalmente se corre el riesgo de volverse parte de una red de robots que son aprovechadas por los ciberdelincuentes para realizar ataques a diferente tipo de entidades, en este caso la banca podría ser objeto de este tipo de ataques, adicionalmente al tener un elemento que accede al banco de forma remota pueden adquirir algunos datos de interés para el delincuente que luego les permitirá realizar el ataque con base en información obtenida del acceso móvil. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 25. 7. Puertos Abiertos y compartidos – GSM WIFI – POR INTERNET - BOTNET. Mitigación. Los usuarios no deben dejar abiertos sus puertos, es como dejar abierta la puerta de la casa se corren diversos riesgos e incluso pueden verse involucrados en investigaciones posteriores por accesos a través de sus medios a sitios no permitidos o ser parte de una red de ataque a entidades,. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 26. 8. Malware Software malicioso que busca obtener datos de usuario y utilizarlos para fines no consentidos por el mismo. Para el caso de Banca Móvil está el acceso a realizar operaciones bancarias inconsultas. !2013 1300 nuevas muestras de malware diario, se ha disparado en un 614% en último año, se calcula que actualmente el 1% están infectados a nivel mundial, de seguir la tendencia pronto será una grave amenaza. Los principales datos que requiere el defraudador son: nombres de usuarios y contraseñas, intercepción de SMS para obtener datos de acceso a plataforma bancaria, Datos de formularios por ejemplo de compras on-line con cargo a cuentas bancarias o tarjetas de crédito, rescate de datos o información comprometedora receptada por medio de malware, envío de mensajes a números premium, envío de recargas con cargo a cuenta bancaria, ataque a dispositivo pidiendo recate «Ransomware»; botnets infectados por redes sociales, infección por correo electrónico, tiendas alternativas de aplicaciones infectadas, etc… FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 27. MALWARE CABALGANTE Delitos informáticos Dijin Policia Nacional de Colombia – Defraudadores especializados.
  • 28. 8. Malware Mitigación: a) Mantener el dispositivo actualizado con las últimas versiones de S.O. y sw instalado. B) Usar perfiles de usuario con privilegios mínimos, tratar de evitar usarlo como administrador. C) No instalar sw de repositorios no oficiales o de dudosa procedencia. D) Acorde con el tipo de dispositivo buscar software anti malware E) Contraseñas para encendido y desbloqueo del equipo, F) no dejar claves por defecto, G) evitar dejar accesos directos a aplicaciones con claves guardadas en el equipo, H) en caso de conectarse a redes wifi ajenas procurar no enviar datos de Banca On Line, realizarlo solo sobre redes seguras I) Comprobar origen y confianza de cualquier tipo de contenido, J) No aceptar e-mail, SMS, MMS, mensajes multimedia, etc… de origen desconocido, k) deshabilitar todas las conexiones innecesarias, no aceptar conexiones ni transferencias no solicitadas. L) Cifrar datos sensibles, M) realizar periódicamente copias de seguridad, N) Verificar y activar métodos de seguimiento y seguridad de fábrica que posean los terminales, O) Bloquear envío de mensajes premium con su operador. P) estar alerta sobre las nuevas modalidades que se están presentando que permita disminuir los riesgo rápidamente. Q) Cuando los bancos provean seguros adquirir los mismos para transferir riesgos. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 29. 9. Ingeniería Social En esta modalidad el defraudador logra la obtención de datos sensibles a través de la ingenuidad del usuario, muchas veces se valen los delincuentes de redes sociales, suplantación de personas presentándose como muy buenos amigos o como personas con grandes necesidades. El defraudador logra obtener la información necesaria para iniciar un ataque, para el caso de Banca Móvil podrían obtener información viendo por encima del hombro el usuario y contraseña provisto para realizar transacciones y luego el defraudador puede usarlo para realizar sus acciones delictivas. En otras modalidades los delincuentes aprovechan estos acercamientos al usuario para proporcionarle sustancias psicoactivas para manejar su voluntad como el caso de la escopolamina. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 30. 9. Ingeniería Social Mitigación. El usuario de los servicios de Banca Móvil deben ser consientes de este tipo de peligros y mitigarlos, evitando tener conversaciones y realizar transacciones en lugares públicos y en presencia de terceros, se debe evitar recibir sustancias o tener encuentros muy cercanos con personas desconocidas. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 31. 10.Acceso autorizado y permitido a terceros que no tienen debido cuidado. Muchas veces se manejan cuentas conjuntas con familiares, o cuentas empresariales que requieren que más de una persona tenga acceso a la información de Banca Móvil, en estos casos puede suceder que el tercero no tenga el debido cuidado de acceso a este canal bancario y caiga en cualquier modalidad de las anotadas anteriormente, en este caso al no existir una responsabilidad única se vuelve el tema de seguridad una prioridad. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 32. 10.Acceso autorizado y permitido a terceros que no tienen debido cuidado. Mitigación: capacitar y concientizar a cada uno de los integrantes de cuentas conjuntas sobre los riesgos y la responsabilidad compartida que se tiene para evitar que sean timados. FRAUDES EN ELEMENTOS DE ACCESO MÓVILES – PORTÁTILES - TABLETS
  • 33. FRAUDES EN CANAL 1) CAPATADORES DE SEÑAL – SNIFFER. 2) ENVÍO DE INFORMACIÓN POR ENLACES NO SEGUROS. 3) ACCESOS ABIERTOS A INTERNET.
  • 34. FRAUDES EN BASES DE DATOS 1) BASES DE DATOS BANCARIAS. 2) ATAQUES A LAS ENTIDADES. 3) DENEGACIÓN DE SERVICIOS 4) FRAUDE INTERNO PARA TIMAR A CLIENTES.
  • 35. FRENTES DE TRABAJO DE MITIGACIÓN 1) Legal. 2) Investigativo especializado. 3) Regulatorio de protección al usuario. 4) Seguimiento a transacciones en tiempo real, inhibiendo aquellas sospechosas, generando niveles adicionales de aseguramiento. 5) Áreas bancos – operadores de control del fraude. 6) Capacitación a usuarios para realizar uso seguro e identificación de amenazas. 7) Concientización de deber de cuidado del terminal y sus contenidos. 8) Creación de canales de comunicación y asesoría en temas de seguridad y fraude al usuario. 9) Dependiendo del modelo que se use debe desarrollarse la matriz propia de riesgos identificando amenazas, probabilidad de ocurrencia, impacto, exposición al riesgo, que permita generar un sistema de protección integral de mitigación. 10) Desarrollar sistemas de detección por análisis de datos, líneas de denuncia, botones de pánico, etc… deben ser muy sencillos dada la población objetivo. 11) “El control de fraude es labor de todos”
  • 36. CONCLUSIONES 1) En la medida en que crece la Banca Móvil, de la misma forma crecen sus amenazas. 2) Los usuarios debemos ser consientes de las amenazas existentes y tomar las precauciones debidas que permitan cerrar el camino al delito. 3) Se requiere un trabajo conjunto entre Operadores, Bancos, reguladores, entidades de vigilancia y control, legislación y autoridades para realizar esfuerzos conjuntos que permitan atacar desde todos los frentes el delito. 4) El usuario es responsable de su terminal y su cuidado debe ser máximo. 5) Los Bancos y operadores deben diseñar aplicaciones y canales seguros que den confianza a sus usuarios que no se verán afectados por su uso. 6) No se debe nunca bajar la guardia y crear falsas expectativas de que todo está cubierto y que no hay que hacer nada mas en temas de seguridad, esta soberbia la cobran caro los defraudadores. 7) En el desarrollo de aplicaciones es tan importante que existan las mismas como la seguridad que tengan nuestros usuarios, pues una vez se pierde la confianza en un servicio es muy difícil recuperarla. 8) Entender el perfil del “enemigo” que enfrentamos que es multinacional, con gran conocimiento técnico y que muta fácilmente, en este escenario entes como Interpol, Banco Mundial, UIT entre otros deben hacer esfuerzos importantes de coordinación y lucha conjunta. 9) Se requiere personal idóneo con herramientas especializadas. 10) Es aconsejable generar un ambiente generalizado de control de riesgos evitando los extremos, cuando controlar algo es muy costoso y no trae beneficios es mejor convivir buscando los menores impactos.
  • 37. GRACIAS Para mayor información. Contactar a Giovani Mancilla Gaona Asesor independiente en temas de seguridad y control de fraude. Experto UIT – Relator Grupo de Fraude y Seguridad en redes CITEL – OEA. Giovani.mancilla@gmail.com gmancilla@udistrital.edu.co +571 3115881111. «El Control de Fraude es labor de todos»