Diego Esteve, Jefe de Seguridad de la Información de Banco Galicia.
Federico Varela, Responsable de la Sub-Gerencia de Seguridad de la Información del Banco Santander Río
Los desafíos de la innovación en un mundo exponencial
Autenticación Adaptativa
1. Los robos a bancos existieron desde siempre, anes utilizaban armas, ahora software.
Ayer y hoy el objetivo era el mismo, robar dinero.
Con la aparición del crimeware empezo un juego del gato y el raton entre fraude y seguridad.
En la actualidad el mayor riesgo lo presentan los trojanos.
El fraude evoluciono de una etapa artesanal a otra profesional, para alcanzar finalmente un
desarrollo industrial.
Mediante calculo de riesgo y capas de proteccion multiple, se puede administrar el fraude.
Diego Esteve: Licenciado en Informática de la Universidad Argentina de la Empresa y Master en Administración de IDEA.
Cuenta con distintas certificaciones relacionadas a Auditoría y Seguridad de la Información (CISA, CISSP y Lead Auditor ISO
27001:2005).Docente de la Universidad de Palermo. Facultad de Ingeniería. Posee más de 15 años de experiencia en temas
vinculados a seguridad de la información, análisis de riesgo de TI y Auditoría de Sistemas desarrollados tanto en Bancos
Nacionales como Internacionales.
Federico Varela: Ingeniero en Telecomunicaciones recibido en la Universidad Argentina de la Empresa (UADE). Lleva 17
años en el Banco Santander Rio. Ocupó el cargo de supervisor en el área de Internet y Servicios de Contenido de la Gcia de
Tecnología. A partir del año 2005 es parte del equipo de Seguridad de la información donde ha liderado diversos proyectos
alineados con la estrategia del Grupo Santander. Actualmente es el Responsable de la Sub-Gerencia de Seguridad de la
Información y coordinador de Riesgo Tecnológico dentro del equipo de Riesgo Operativo de la entidad.
LAS IDEAS PRINCIPALES
LAS IDEAS PRINCIPALES
ACERCA DEL DISERTANTE
AUTENTICACIÓN ADAPTATIVA:
PROTECCIÓN EN CANALES ELECTRÓNICOS A MEDIDA DEL CLIENTE
Diego Esteve
Jefe de Seguridad de la
Información de Banco Galicia.
Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina
Tel./Fax: (5411) 4325-6808/4267
amba@ambanet.org | www.ambanet.org
Federico Varela
Responsable de la Sub-Gerencia de Seguridad
de la Información del Banco Santander Río.
2. DIEGO ESTEVE
La disertación estuvo organizada en tres partes. Primero, un poco de historia. ¿Qué es
esto del fraude? ¿Cómo ha ido evolucionando y creciendo? Segundo, el modelo de
seguridadencanales.¿Quéesloquehanvenidohaciendolosbancosparaprotegerse?
Por último, algunas ideas finales a modo de conclusión.
Los robos de bancos existieron desde siempre. Bonny & Clyde, en la década de 1930,
ganaron mucha notoriedad. Ellos actuaban en banda. ¿Atacaban cualquier sucursal?
No, planificaban. Usaban armas como herramientas y esto tiene un riesgo asociado
para ellos: podés salir herido o preso. El objetivo, claro, era llevarse el dinero.
Coneltiempo,losbancosempezaronabrindarnuevosserviciosypornuevoscanales.
Esta gente también evolucionó. Ya no sólo operan “de caño” en las sucursales sino
en todos los canales en los que trabajamos. Pero el objetivo sigue siendo el mismo:
llevarse plata.
Estos nuevos criminales trabajan con crimeware. ¿Qué es? Es software destinado a
robar información financiera y personal. No sólo datos de los bancos sino de redes
sociales, dropbox y otros servicios online para poder armar identidades online.
Con estas apariciones, empezó el juego del gato y el ratón. Los keyloggers fueron
superados con screenscrappers, después fue el auge del phishing, que también fue
controlado. Ahora estamos en la era de los troyanos. ¿Cómo se infectan los clientes?
Por varias vías. La primera es la ingeniería social, que es el robo a través del arte del
phishing.“Hay un ejemplo en que la AFIP –supuestamente- explica una anomalía en
los datos del cliente. Otras son ofertas con grandes descuentos en los que la gente
hace click y se infecta. Otros son los mecanismos stealth en las que con sólo navegar
ciertos sitios –sin protección- la máquina está infectada”, relató Esteve.
En la actualidad, el mayor riesgo lo representan los troyanos: software que infecta los
equipos del cliente con fines de fraude.
Hay tres generaciones de troyanos. La primera es la de acceso remoto, que utiliza la
propia IP del cliente para acceder, por lo cual es difícil de controlar. A la segunda se la
conocecomoHTMLInjection,softwarequesimulaloscuadrosdeaccesodecódigosy
el cliente les dan los datos.“Mann in the browser es la técnica más avanzada. El cliente
se conecta a través del sitio del banco y opera con ese código. Ese código puede
modificar el monto de la transferencia, busca una cuenta mula y hace la transferencia”,
detalló Esteve.
Hubo un primer período del fraude que fue artesanal, seguido otro profesional y un
último industrial
Los primeros eran oportunistas, utilizaban herramientas caseras y actuaban muy
esporádicamente.“El desafío pasaba más por tomar control de una máquina o de un
cliente más que el fraude en sí. Usuario y clave nos alcanzaba para evitar esto. Entre
2002 y 2006 el nivel de fraude era una risa, lo atacábamos a demanda y de manera
manual”.
Más tarde esta gente se profesionalizó. Había una infraestructura técnica de armado
de estos troyanos y una infraestructura operacional que sostenía los envíos de mail
“Sólo el 30% a 50%
de los antivirus pueden
detectar un nuevo
troyano. Son sumamente
efectivos”, aseguró Diego
Esteve
“Los bancos empezamos
a incorporar la
tecnología de tarjeta
coordenada. También
los primeros modelos de
capas:”.
Miercoles, 2 de Julio de 2014Autenticación adaptativa...
Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina
Tel./Fax: (5411) 4325-6808/4267
amba@ambanet.org | www.ambanet.org
3. o alojaban las estrategias de phishing. Además se armó un comercio de tarjetas de
crédito, de identidades digitales, etc.
“Los bancos empezamos a incorporar la tecnología de tarjeta coordenada. También
los primeros modelos de capas: uno para que empiece a usar el canal y otro para
concretar transacciones. Empezamos a analizar los movimientos habituales de los
clientes (familiares, hijos y hasta amantes que comparten las claves, por ejemplo)”,
dijo Esteve.
“El período industrial es el de una economía underground que vende troyanos, los
envíosdemailsyherramientastécnicasdealtacomplejidad.Haypocosgruposactivos
acá en la argentina. Nosotros estamos trabajando con policía y fiscalías, porque están
bastante identificados”, agregó Esteve.
Internet, entonces, es considerado un canal expuesto. La industria está recurriendo
a formas externas –fuera de banda- de chequear que efectivamente se está tratando
con el cliente.
FEDERICO VARELA
Antes de revisar el modelo de seguridad Varela propuso repasar algunas premisas
sobre las que se basa. La primera es que no existe una bala de plata.“Lo que hay que
hacer es implementar distintas capas de seguridad que se complementen entre sí y
así conseguir un nivel de seguridad deseado”, dijo.
“Ahora no tenemos fraude no es un argumento válido. Lo que nos cuesta a los bancos
un nuevo método de autenticación es mucho tiempo, por lo cual si somos blanco
de un ataque la vamos a pasar mal mucho tiempo antes de estar seguros”, agregó
Varela.
En cuanto al impacto en el cliente, lo que busca la industria es un equilibrio entre
seguridad y usabilidad.
Elmodelodeseguridadactualeseldecapasquesehanidosumandoconlaevolución
del fraude. La primera capa es la protección del entorno del cliente. Por ejemplo
educar al cliente que no comparta su clave o, más tarde, que chequee que está en el
sitio del banco. Más adelante, por ejemplo, que no copie todos los datos de la tarjeta
de coordenadas. Por último, los sistemas que mejor protegen contra troyanos.
La segunda capa es la seguridad perimetral. Firewalls, modelos de prevención de
intrusiones, el uso de tests de penetración para poder prevenirlos, entre otros.
La siguiente capa es la de autenticación. “Acá arrancamos con usuario y contraseña
para luego, en operaciones de riesgo, tarjetas de coordenadas y otros mecanismos
de seguridad añadida. En la capa de autorización establecimos montos máximos,
regulamos las operaciones de riesgo y agregamos algunos medios de control, como
la habilitación de nuevos destinatarios de transferencias”, dijo Varela.
En cuanto a control y monitoreo, se implementaron servicios de anti phishing y anti
troyanos, para poder revisar hasta si la máquina de los clientes están infectadas o no.
También alertas de operaciones sospechosas, intentos fallidos y otras.
La cantidad de medidas de protección, en resumen, son muy numerosas. “Pero la
mala noticia es que el fraude sigue evolucionando. ¿Entonces qué hacemos? ¿Más
capas o más inteligencia a las capas existentes? Para nosotros la opción es la segunda
“Lo que hay que hacer
es implementar distintas
capas de seguridad que
se complementen entre
sí y así conseguir un nivel
de seguridad deseado”
Federico Varela
“la mala noticia es
que el fraude sigue
evolucionando.
¿Entonces qué hacemos?
¿Más capas o más
inteligencia a las capas
existentes?“
Federico Varela
Miercoles, 2 de Julio de 2014Autenticación adaptativa...
Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina
Tel./Fax: (5411) 4325-6808/4267
amba@ambanet.org | www.ambanet.org
4. y es autenticación adaptativa. La idea es que el cliente se mantenga operando de
la misma manera. Mientras tanto, tomando multiplicidad de variables, calculamos
niveles de riesgo y -en base a distintos umbrales de tolerancia al riesgo- vemos qué
acciones tomamos. Por ejemplo, podemos llegar a tomar la decisión de asumir un
riesgo”, comentó Varela.
Lo que se hace es asignar valores de riesgo para cada posibilidad. Esos valores se
comparan con las políticas de riesgo, de negocio y de costos, y en base a eso se decide
una reacción.
El primer driver del proyecto de seguridad es la mitigación del fraude: seguridad
preventiva basada en riesgo, detección de anomalías en tiempo real, sistematización
del proceso de control.
Otrodrivereselnormativo:transferenciasinmediatas,establecidaspornorma,yotras
circulares.
El tercer driver es el negocio, “si el riesgo es bajo y el negocio lo necesita podemos
asumir algún riesgo, sin molestar mucho la experiencia del cliente”, dijo Varela.
“Lo que se necesita es una política de gestión de fraude, que parta de una visión
holística y no canal por canal. Entendemos que el futuro es ir a las herramientas
predictivas que nos permitan anticipar al fraude en lugar de tener que pagar, siempre,
lo platos rotos”, añadió.
Jugar con el umbral para establecer el modelo y el costo de implementación de ese
modelo es una vía de adaptar la seguridad a nuestras necesidades.
Como todo proceso de control necesita un dueño definido, un responsable.También
hay que mejorar los procesos internos para que la herramienta no esté abandonada
sino que alguien la consulte.
“Dado que el fraude local no es tan importante, estamos a tiempo de anticiparnos”,
concluyó.
““si el riesgo es bajo y
el negocio lo necesita
podemos asumir algún
riesgo, sin molestar
mucho la experiencia del
cliente”
Miercoles, 2 de Julio de 2014Autenticación adaptativa...
Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina
Tel./Fax: (5411) 4325-6808/4267
amba@ambanet.org | www.ambanet.org