SlideShare una empresa de Scribd logo

“PROPUESTA DE ESTRATEGIAS PARA LA PROTECCIÓN DE LA INFRAESTRUCTURA DE BANCA EN LÍNEA”

Ing. Armando Monzon Escobar, MA.
Ing. Armando Monzon Escobar, MA.

PROPUESTA DE ESTRATEGIAS PARA LA PROTECCIÓN DE LA INFRAESTRUCTURA DE BANCA EN LÍNEA

Tecnología
1 de 55
Descargar para leer sin conexión
UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA. DIRECCIÓN DE POSTGRADO DE INVESTIGACIÓN E INFORMÁTICA APLICADA CAMPUS CENTRAL. MAESTRIA EN INFORMÁTICA APLICADA A BANCA Y/O COMUNICACIONES. “PROPUESTA DE ESTRATEGIAS PARA LA PROTECCIÓN DE LA INFRAESTRUCTURA DE BANCA EN LÍNEA” PRESENTADO A AUTORIDADES DE LA DIRECCIÓN DE POSTGRADO DE LA UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA. POR: GUMERCINDO ARMANDO MONZON ESCOBAR. “CONOCERÉIS LA VERDAD, Y LA VERDAD OS HARÁ LIBRES” GUATEMALA, OCTUBRE DE 2015
Índice Introducción ............................................................................................................................................................2 1. DISEÑO CONCEPTUAL: ...........................................................................................................................3 1.1. Planteamiento del problema: ............................................................................................................. 3 1.2 Descripción del problema:.................................................................................................................. 3 1.2.1 Formulación del problema: ........................................................................................................... 3 1.2.2 Preguntas de investigación: ........................................................................................................... 4 1.3 Objetivo de investigación: .................................................................................................................. 5 1.3.2 General ............................................................................................................................................ 5 1.3.2 Específicos ....................................................................................................................................... 5 1.4 Alcance y Limitaciones:...................................................................................................................... 6 1.4.1 Alcance: ........................................................................................................................................... 6 1.4.2 Limitaciones:................................................................................................................................... 6 1.5 Justificación de la Investigación ........................................................................................................ 6 2. MARCO TEÓRICO .....................................................................................................................................7 2.1. Definición:............................................................................................................................................ 7 2.1.1. Fraude y robo.................................................................................................................................... 7 2.1.2. Realización de ataques controlados.................................................................................................. 7 2.1.3. Robo de datos personales a cuentahabientes .................................................................................... 7 2.1.4. Suplantación de identidad................................................................................................................. 7 2.2. ¿Qué iniciativas tienen los bancos para evitar este tipo de amenazas?:........................................ 8 2.3 Las Transacciones Bancarias:............................................................................................................. 9 2.4 La Seguridad en el Internet: ............................................................................................................... 9 2.4.1 . ¿Cómo garantizar la seguridad en internet?...............................................................................10 2.5 Seguridad Bancaria:...........................................................................................................................11 2.5.1 Robo de información:.....................................................................................................................12 2.5.2 Suplantación de identidad: ............................................................................................................12 2.5.3 Modificación de información:........................................................................................................12 2.5.4 Repudio:..........................................................................................................................................12 2.5.5 Denegación del servicio:.................................................................................................................12 2.6 Delitos Informáticos, Fraudes por Internet: .....................................................................................13 2.6.1 Phishing: .........................................................................................................................................13 2.6.2 Keyloggers: .....................................................................................................................................13 2.7 La Seguridad de las Personas: ...........................................................................................................13 3. MARCO METODOLÓGICO....................................................................................................................15 3.1. Tipo de investigación .........................................................................................................................15 3.2. Diseño de investigación: ....................................................................................................................15 3.3 Instrumentos: .....................................................................................................................................16 3.4 Estrategias para la Protección de la Infraestructura de Banca en Línea: ....................................16
4. ANÁLISIS Y DISCUSIÓN DE RESULTADOS.......................................................................................33 4.1 Interpretación: ...................................................................................................................................33 4.2 Conocimiento de usuarios acerca de la seguridad de infraestructura de banca en línea: ...........34 4.3 Porque el desinterés por conocer sobre este tema...........................................................................34 4.4 Estrategias para la seguridad de la infraestructura de banca en línea. ........................................35 4.5 Establecer la factibilidad de la puesta en práctica de las estrategias para la seguridad de la infraestructura de banca en línea...................................................................................................................36 4.6 Importancia de contar con estrategias para la seguridad de la infraestructura de banca en línea. 36 4.7 Beneficios para los usuarios que genera la utilización de estrategias............................................41 4.8 Elementos dominados a nivel técnico por los beneficiarios de la estrategia presentada: ...........42 4.9 Necesidades de formación técnica: ...................................................................................................42 5. CONCLUSIONES:......................................................................................................................................43 6. RECOMENDACIONES.............................................................................................................................44 7. GLOSARIO .................................................................................................................................................45 8. BIBLIOGRAFÍA.........................................................................................................................................50 9. Anexos ..........................................................................................................................................................52 9.1 Ley de Delitos Informáticos de Guatemala..............................................................................................52
1 Índice de Imágenes Imagen 1 Sitio HTTPS BAM.........................................................................................................38 Imagen 2 Sitio HTTPS Bienlinea...................................................................................................38 Imagen 3 Detalle de Certificado sitio www.bamnet.com.gt ..........................................................39 Imagen 4 Detalle de Certificado sitio www.bienlinea.com.gt .......................................................39 Imagen 5 Ingreso banca en línea, BI en Linea ...............................................................................40 Imagen 6 Ingreso banca en línea, BAMNet ...................................................................................40 Índice de Diagramas Diagrama 1 Conceptual Enlaces de Internet ..................................................................................17 Diagrama 2 Configuracion BGP ....................................................................................................19 Diagrama 3 Infraestructura CDN ...................................................................................................19 Diagrama 4 Análisis de balanceo de enlaces .................................................................................20 Diagrama 5 Alta disponibilidad de firewalls..................................................................................21 Diagrama 6 Denegación de Servicios ............................................................................................23 Diagrama 7 Sistema de IPS Infraestructura Interna.......................................................................25 Diagrama 8 Sistema Prevención de Intrusos..................................................................................25 Diagrama 9 Proteccion del Firewall de Aplicaciones ....................................................................26 Diagrama 10 Secuencia de Autenticación......................................................................................28 Diagrama 11 Proceso de generación de Certificados Digitales .....................................................29 Diagrama 12 Generación de respuesta del Certificado Digital......................................................29 Diagrama 13 Infraestructura para la protección de sitios en linea .................................................31 Índice de Tablas Tabla 1 Instrumentos......................................................................................................................16 Tabla 2 Información detalla de Equipo para actualización en Inventario de Activos....................18 Tabla 3 Detección de trafico malicioso..........................................................................................24
2 Introducción El crecimiento del internet a nivel mundial ha dado como resultado la adquisición de nuevas tecnologías a la mayor parte de los bancos en nuestro país, esto ha traído nuevas oportunidades a los cuentahabientes al contar con herramientas basadas en internet al poder realizar las operaciones que solo se podían realizar al visitar una agencia o sucursal del banco. Las instituciones bancarias de nuestro país, se han visto afectadas por hechos fraudulentos cometidos por los mismos empleados y personas ajenas al banco, hechos de delincuencia común en los cuales la sustracción indebida de recursos ha sido frecuente, acciones en las cuales han sido afectados clientes . Sin embargo, muchos de estos hechos no salen a la luz pública, esto obedece a la confidencialidad que deben guardar estas instituciones ya que manejan fondos de muchas personas. Las instituciones bancarias, han ido creciendo y adaptándose a las nuevas tecnologías, y muchas veces dejan a un lado los controles básicos, sin los cuales se vuelven vulnerables para que los delincuentes comentan hechos no acordes a la ley. El presente trabajo de graduación se elabora con el fin de analizar si el acceso hacia los portales de banca electrónica de los bancos del sistema son seguros, al aplicar la seguridad de la información, y prevenir riesgos en los bancos. Al exponer los riesgos y las posibles soluciones para ofrecerle al cuentahabiente la disponibilidad y confiabilidad de estos servicios.
3 1. DISEÑO CONCEPTUAL: 1.1. Planteamiento del problema: Uno de los temas más críticos en el área de sistemas se ve enfocado al conocimiento técnico y actividades que realiza el profesional en el área de tecnologías. En muchas ocasiones se tienen documentación general sobre temas generales, mas no así estrategias que puedan ayudar al Ingeniero a conocer más acerca de un punto o tema específico. Con este documento se pretende que el lector pueda entender más allá de la teoría que representa el aseguramiento de la infraestructura que se utiliza para la publicación de servicios o banca en línea del sistema bancario guatemalteco. Con esto solo se pretende tener una visión más amplia del tema y presentar la posible infraestructura que se necesita para poder montar toda la protección del perímetro bancario. Durante el desarrollo en la lectura del presente estudio podremos ir conociendo más a detalle la infraestructura que deberá de ser utilizada para la protección y publicación de los servicios, claro, limitándonos solo a la parte perimetral, el tema de análisis, diseño y codificación de software desarrollado por la empre está fuera del alcance de esta estrategia. Uno de los temas más importantes es poder entender de igual forma el ciclo de vida de todos los equipos perimetrales, ya que con el paso del tiempo será necesario realizar el cambio en las tecnologías a unas más recientes para ir innovando y con ello tener una protección integral. 1.2 Descripción del problema: 1.2.1 Formulación del problema: Se realizará una investigación que presentar una estrategia para dar a conocer la infraestructura mínima que se podrá de tomar en cuenta para la protección perimetral al realizar la publicación de servicios en línea de los bancos del sistema en Guatemala.
4 1.2.2 Preguntas de investigación: 1.2.2.1. Que Problemas más frecuentes se presentan en la seguridad perimetral? 1.2.2.1. ¿Qué contenido técnico tendrá la estrategia para lograr una seguridad perimetral sea confiable? 1.2.2.2. ¿Es necesaria la disponibilidad del sitio para realizar las transacciones? 1.2.2.3. ¿A qué nivel de personal administrativo va dirigida esta estrategia? 1.2.2.4. ¿En qué áreas se enfocará esta estrategia? 1.2.2.5. ¿Cuáles son los posibles riesgos que representa no tener estrategias técnicas de los equipos de protección perimetral? 1.2.2.6. ¿Qué beneficios obtiene un profesional en el área de sistemas de información al contar con estrategias de esta clase? 1.2.2.7. ¿Qué estándares de seguridad se incluirán en esta estrategia? 1.2.2.8. ¿Cuál es el tiempo de vigencia de las estrategias? (Ciclo de vida de las propuestas)
5 1.3 Objetivo de investigación: 1.3.2 General Realizar una investigación del Análisis de la seguridad en los servicios de banca en línea en Guatemala y establecer el impacto de las vulnerabilidades de estos a través de un esquema general aplicable al sistema bancario guatemalteco. Esto permitirá proponer estrategias que permitan a los usuarios conocer más acerca de las tecnologías de seguridad que realizan la publicación y protección de estos servicios y con ello tener el conocimiento técnico para la implementación de estos proyectos. 1.3.2 Específicos 1.3.2.1 Establecer las causas de los ataques que ponen en riesgo la seguridad de los servicios de banca en línea. 1.3.2.2 Determinar los elementos necesarios para prever los ataques a los sitios de banca en línea. 1.3.2.3 Referenciar los esquemas de la infraestructura de la seguridad de los sitios de banca en línea. 1.3.2.4 Impacto en la seguridad de los servicios bancarios 1.3.2.5 Que el lector Que el lector conozca conceptos generales de normativas utilizadas para la publicación de servicios y las medidas necesarias para la protección de los servicios en línea del sistema bancario. Con esto se pretende que se conozcan más a detalle el funcionamiento tecnológico de estos servicios
6 1.4 Alcance y Limitaciones: 1.4.1 Alcance: Esta investigación sólo tomará en cuenta el estudio y análisis de la seguridad de las transacciones en los portales en línea, al tomar en consideración aquellos elementos que aporten criterios con los cuales se puedan realizar el entendimiento de la protección del perímetro y la publicación de servicios de banca a los cuentahabientes del sistema bancario en Guatemala. 1.4.2 Limitaciones: La principal limitante para realizar ésta investigación es la falta de infraestructura necesaria para poder aplicar las recomendaciones que se exponen esta investigación. Y con ello solo servirá de conocimiento general para poder aplicarla. 1.5 Justificación de la Investigación Como profesionales en el área de seguridad es importante el conocimiento básico sobre los temas de seguridad y como proteger el perímetro, y con ello el de las publicaciones de los sitios en línea de banca electrónica del sistema financiero en Guatemala. Con esta investigación se busca que el lector tenga un conocimiento técnico acerca de la infraestructura que se utiliza en su gran mayoría para lograr la protección integral de los sitios web, si es cierto que no toda la tecnología puede ser aplicable a cierto escenario, con esto lograremos que el conocimiento sobre estas tecnologías sea de fácil entendimiento.
7 2. MARCO TEÓRICO 2.1. Definición: La seguridad en el sector financiero: Para este sector siempre ha representado una gran preocupación los bancos y los cuentahabientes. Ahora buena parte de los bienes bancarios se maneja a través de medios electrónicos y por el auge que internet ha desarrollado todos los servicios son administrables ya sea desde computadoras, teléfonos, tabletas, etc., y ésta información es tan valiosa como los que se resguardar directamente en el banco. Uno de los mayores peligros que corren los usuarios al acceder a los servicios de banca en línea de sus respectivos bancos es el phishing (Security, n.d.), con lo cual es posible: 2.1.1. Fraude y robo 2.1.2. Realización de ataques controlados 2.1.3. Robo de datos personales a cuentahabientes 2.1.4. Suplantación de identidad Para lograr su finalidad, pudieran realizar estas acciones 2.1.5 Solicitud de información por medio de correos electrónicos de datos personales, bancarios, credenciales. 2.1.6 Envío de links en un correo electrónico que lleva a una web similar a la página original de servicios bancarios 2.1.7 Solicitud de envío de credenciales por medio de SMS Para combatir este tipo de fraudes, los bancos tienen políticas para informar al usuario acerca de este tipo de ellos, pero no siempre son tomados en cuenta. Esto se puede ver reflejado en cada una de las páginas de los bancos del sistema de Guatemala.
8 2.2. ¿Qué iniciativas tienen los bancos para evitar este tipo de amenazas?: Según expertos en Seguridad de la Información aunque los bancos del sistema utilicen muchos mecanismos de defensa altamente tecnológicos, las medidas para afrontar el problema abarcan otros puntos desde campañas de capacitación y sensibilización a empleados y clientes, hasta la implementación de soluciones tecnológicas. Una de las formas más efectivas para amortiguar el riesgo de fraude es el monitoreo de operaciones, como las transacciones con tarjetas de crédito y las efectuadas por medio de portales web en el Internet. Con la sensibilización se pueden prevenir acciones fraudulentas, puesto que la falta de cultura es una de las mayores causas de riesgo por el uso de equipos obsoletos, la falta de actualización de herramientas y la realización de transacciones financieras en cafés internet, entre otros. (SEMANA, 2015) Los controles en la ejecución de transacciones en los portales de los bancos son ahora concertados con los clientes con el fin de no entorpecer sus actividades. Así, los clientes pueden definir el monto y el número máximo de operaciones en un lapso de tiempo e inscribir previamente el pago de servicios, y otros parámetros que le permiten al cliente definir su propio perfil, contra el que se comparan las transacciones antes de hacerlas efectivas. Existen recomendaciones que frecuentemente que las instituciones bancarias genera y transmite para evitar las diferentes modalidades de robo. Se sugieren a los clientes tomar precauciones para el manejo seguro de sus transacciones, a continuación solo algunas de estas: 2.2.1 Cambiar por lo menos una vez al mes la clave personal. 2.2.2 Recordar que las credenciales del portal de banca electrónica es personal no se debe prestar nunca a terceras personas. 2.2.3 Al realizar una transacción electrónica de compra en un establecimiento, se deben guardar los comprobantes en formatos digitales. 2.2.4 No escribir la clave en ninguna parte, ésta debe memorizarse. Nunca se debe revelar.
9 2.2.5 No aceptar colaboración de extraños al momento de realizar transacciones en el portal web. 2.2.6 Cuando digite la clave, se debe hacer con precaución y evitar que otras personas puedan verla. Actualmente, estas son las modalidades que más están afectando al sector financiero, pero además, algunas otras incursiones de troyanos, para los cuales los clientes deberán tener instaladas en sus computadoras las medidas de seguridad necesarias para contrarrestar esta modalidad, que ha afectado muchos países como Estados Unidos y algunos otros de Centroamérica. 2.3 Las Transacciones Bancarias: “La banca electrónica hace referencia al tipo de banca que se realiza por medios electrónicos como puede ser cajeros electrónicos, teléfono y otras redes de comunicación. Tradicionalmente, este término ha sido atribuido a la banca por Internet o banca online. (eleconomista.es, 2014) 2.4 La Seguridad en el Internet: “La seguridad en Internet es un tema cuya importancia va aumentando en la medida en que el uso de las transacciones en la red se hace más accesible. Paralelamente, se incrementa la necesidad de que la Seguridad en Internet sea reforzada. Con este propósito, la tecnología SSL ofrece las herramientas con los estándares más altos y las Marcas de Confianza se empeñan en sus procesos para avalar a las Organizaciones. Ambas convergen en que los usuarios web obtengan los mejores resultados en calidad y confianza.” (certsuperior.com, 2014) Actualmente, incluye servicios y estrategias para resguardar el intercambio de información y quienes la emiten o reciben. Y cada vez existen instrumentos más precisos que proporcionan seguridad en toda la red al proteger los servidores con acceso a Internet y a redes privadas. Asimismo, la Seguridad en Internet se ha convertido en un asunto vital para las organizaciones que transmiten información confidencial por las redes. De ella depende la confianza de los visitantes
10 a su sitio web porque los consumidores se resisten a facilitar datos personales, números de tarjetas de crédito, contraseñas o cualquier información confidencial por temor a que sea interceptada y manipulada con malas intenciones y los exponga a riesgos como fraude o robo de identidad. En consecuencia, para evitar el abandono de transacciones, por los temores y riesgos por parte de los usuarios, se ha convertido en un reto para el comercio electrónico. Existen evidencias estadísticas de que el 21 por ciento de los consumidores en línea han dejado a medias alguna compra porque les preocupaba la seguridad de los datos de su tarjeta de crédito y, por motivos similares, otros compradores consumen en menores cantidades. Por lo anterior, se presenta como una necesidad constante de garantías para que los cuentahabientes sepan que sus transacciones en línea están protegidas. 2.4.1 . ¿Cómo garantizar la seguridad en internet? Afortunadamente, las organizaciones tienen a su disposición tecnologías destinadas a proteger a sus clientes, autentificar sus sitios web y mejorar el grado de confianza de sus visitantes. Y poder elegir entre varias opciones, pueden ofrecer medios a los consumidores para distinguir con facilidad los sitios web auténticos de las posibles réplicas que pueda haber creado un usuario malintencionado. La Seguridad en Internet cuenta con opciones como la tecnología SSL y el respaldo de las Marcas de Confianza que garantizan a los clientes la seguridad de una transacción y la autenticidad de los sitios web que visitan, respectivamente. (certsuperior.com, 2014) Así, los sellos de las Autoridades de Certificación son una forma de comprobar a los clientes que están protegidos y de ganarse su confianza mediante un signo de seguridad visible. Su presencia puede ser un factor determinante para usar o realizar compras en un sitio web de comercio electrónico. Cuando los usuarios ven el sello de la Autoridad de Confianza saben que pueden confiar en el enlace, sitio web y transacción. El sello de Symantec™ es el distintivo de Seguridad en Internet más usado y reconocido del mundo. Al desplegarse muestra también el nombre del propietario del Certificado, su periodo de
11 validez, información general sobre los servicios de seguridad incluidos y otros datos sobre el proceso de validación que sigue Symantec™ antes de emitir el certificado. Por otro lado, la Seguridad en Internet cuenta con más soluciones avanzadas que dan tranquilidad a los clientes en otras fases de la interacción electrónica, tales como el escaneo de malware de sitio web y la prevención de phishing. Ambas estrategias están encaminadas a fomentar la tranquilidad de los clientes y reducir los riesgos de fraude. Con los argumentos antes mencionados, los clientes y usuarios confiarán en sus relaciones con Organizaciones. Para acompañarlas, CertSuperior.com con el respaldo de Symantec™, les ofrece las opciones con los estándares más altos de Seguridad en Internet y espera el contacto con ellas para trabajar en esta tarea. (certsuperior.com, 2014) 2.5 Seguridad Bancaria: En el diseño de Internet, parte de la seguridad en Internet fue delegada en el mutuo respeto y honor de los usuarios, así como el conocimiento de un código de conducta considerado “apropiado” en la red. Una mínima seguridad se basa en una protección “blanda”, consistente en una identificación del usuario mediante un identificador y una clave secreta que sólo éste conoce (login y password). La red Internet tiene problemas de autenticidad, integridad, confidencialidad y repudio afectando a los requerimientos de las transacciones electrónicas u operaciones de banca virtual de la siguiente forma:
12 2.5.1 Robo de información: El robo de información, permite obtener información del usuario como números de cuentas, tarjetas de crédito e información personal, Estos ataques, también permiten el robo de servicios normalmente limitados a suscriptores. Esto ocurre en muchas ocasiones por la falta de interés en resguardar esta. (Norton, 2015) 2.5.2 Suplantación de identidad: La suplantación de identidad permite al atacante realizar operaciones en nombre de otro. Es decir cuando una persona llega a saber mucha información de otra, puede utilizar esta información para suplantar su identidad en sitios web. Los atacantes utilizan muchas técnicas para el robo de identidad, dentro de ellas la ingeniería social. (Microsoft, 2015) 2.5.3 Modificación de información: La modificación de datos permite alterar el contenido de ciertas transacciones como el pago, la cantidad o incluso la propia orden de compra de una transacción. (CNN, 2015) 2.5.4 Repudio: El rechazo o negación de una operación por una de las partes puede causar problemas a los sistemas de pago. Si una parte rechaza un previo acuerdo con la respectiva, ésta deberá soportar unos costos adicionales de facturación. (Seguridad, 2015) 2.5.5 Denegación del servicio: Un ataque de denegación de servicio inhabilita al sistema para que éste pueda operar en su normalidad, por lo tanto imposibilita a las partes la posibilidad de realización de operaciones transaccionales. Éstos son de extrema sencillez y la identificación del atacante puede llegar a ser imposible. Las soluciones pueden no son únicas y no se tratarán en adelante. (CCM, 2015)
13 2.6 Delitos Informáticos, Fraudes por Internet: A continuación se describen tres modalidades de fraude mayormente observadas en el Internet. Las mismas nos muestran la creatividad y originalidad que poseen algunas personas u organizaciones con fines malvados e ilegítimos. Como podrán apreciar, en el pasado los focos de ataques estaban centrados en las organizaciones o compañías; sin embargo, en el presente podemos observar que los ataques se han extendido a los individuos. (AlertaEnLinea, 2015) 2.6.1 Phishing: Al utilizar esta práctica solicitan información personal o confidencial con la intención de robar la identidad y más tarde cometer fraude, vender o publicar en la Internet dicha información (spoofing). Típicamente, estos email requieren contraseñas (passwords), nombres, cuentas de banco y además tarjetas de crédito; información que una organización y/o persona legítima ya tiene. (Antiphising, 2015) 2.6.2 Keyloggers: Los keyloggers son programas catalogados como spywares. Usualmente los keyloggers van registrando información entrada en su computadora para utilizar el teclado tales como, los nombres de usuarios y sus contraseñas. Las contraseñas recopiladas son almacenadas en un archivo y luego enviadas a la persona que desea hacer el hurto de la información. (keyloggers.com, 2015) Una de las fuentes más frecuentes para adquirir o instalar este tipo de spyware es a través de los mensajes de correo electrónico con uno o varios adjuntos. Típicamente, este tipo de correo electrónico contiene mensajes o imágenes que llama la atención del usuario, para así comprometer el equipo. (Viruslist.com, 2015) 2.7 La Seguridad de las Personas: Con el crecimiento del internet y la posibilidad de compartir aplicaciones y servicios ha hecho que la mayor parte de información de una persona se encuentre ingresada en sitios gratuitos o de pago,
14 con ello cada uno de estos sitios necesita prever que toda esta información este resguardada de la mejor forma. Si es cierto que toda el área de seguridad está definida por sus pilares, los mismos son: 2.7.1 Integridad: garantizar que los datos sean los que se supone que son 2.7.2 Confidencialidad: Prever que sólo los individuos autorizados tengan acceso a los recursos que se intercambian 2.7.3 Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información 2.7.4 Evitar el rechazo: garantizar de que no pueda negar una operación realizada. 2.7.5 Autenticación: Prever que sólo los individuos autorizados tengan acceso a los recursos. (http://datateca.unad.edu.co, 2015)
15 3. MARCO METODOLÓGICO 3.1.Tipo de investigación La investigación presentada es de tipo documental, cualitativo e investigativo, se enfoca en la descripción y análisis de tema sometido a estudio, la metodología cualitativa, hace referencia en su sentido más amplio, a la investigación que produce información descriptiva, a partir de la recopilación en diferentes documentos de modelos sobre seguridad informática y la experiencia concreta sobre implementación de esta índole para describirla de la manera más libre y rica posible, de tal forma que la investigación no se vea limitada por datos o por paradigmas que delimiten el tema, todo lo anterior con base a conductas observables de vulnerabilidades de los sitios en línea de banca electrónica de los portales de Guatemala; al tomar en cuenta el contexto y las vivencias de las personas respecto a robos, usurpación de identidad, o comprometer las credenciales para el acceso a los sitios en línea de banca electrónica, por falta de infraestructura necesaria para la protección del perímetro y desconocimiento de los cuentahabientes acerca de la seguridad personal en el acceso a los sitios. Por la naturaleza de la investigación descrita anteriormente el método utilizado para el análisis de esta investigación, tuvo sus bases en revisiones bibliográficas y documentos técnicos, a partir del supuesto de múltiples realidades y de la interacción entre los usuarios, red bancaria y los posibles atacantes, que influyen en la disponibilidad, integridad y confidencialidad. La finalidad de esta investigación es realizar un análisis de la seguridad en los servicios de banca en línea de Guatemala y establecer el impacto de las vulnerabilidades de estos a través de un esquema general aplicable al sistema bancario guatemalteco, además dar a conocer estrategias que permitan a los lectores conocer más acerca de las tecnologías de seguridad y protección de estos servicios 3.2. Diseño de investigación: El diseño de este estudio se fundamenta en la recopilación de información relacionada a la seguridad en los servicios de banca en línea de Guatemala, en la cual se toman diferentes metodologías para la elaboración de una estrategia, que permita al lector entender más allá de la
16 teoría que representa el aseguramiento de la infraestructura que se utiliza para la publicación de servicios o banca en línea del sistema bancario del país. 3.3 Instrumentos: Se utilizó una lista de cotejo que contempló los diversos temas relacionados a, seguridad, infraestructura, vulnerabilidades, y mejores prácticas relacionadas a la Biblioteca de Infraestructura de Tecnologías de Información, de acuerdo a criterios específicos para la correcta recolección de información. Documentos Manuales técnicos de hardware a utilizar Diagramas de Infraestructura de Perímetro Inventario de equipo utilizado Configuraciones realizadas en cada uno de los equipos Afinación de configuraciones. Listado de dispositivos móviles soportados. Listados de exploradores de internet soportados por el portal. Tabla 1 Instrumentos 3.4 Estrategias para la Protección de la Infraestructura de Banca en Línea: A partir de los conceptos básicos de protección y los riesgos que conlleva la publicación de los servicios de banca en línea del sistema bancario, a continuación se realiza el análisis de los puntos más importantes; este análisis se inicia con los conceptos básicos hasta llegar a un nivel aceptable de conocimiento para el entendimiento de lo que en las estrategias se pretende tratar. Básicamente uno de los puntos fundamentales es la adquisición de servicios públicos de internet con un proveedor local, llamados ISP por sus siglas en inglés, y con ello se iniciaría el diagrama del diseño de protección. En la mayoría de los casos es necesaria la adquisición de varios
17 enlaces de internet para la publicación de estos servicios, y aunque en ocasiones solo se utiliza una IP Publica, en muchos casos es necesario el balanceo de estos enlaces. Uno de los protocolos utilizados en la mayoría de Bancos es la implementación de BGP, ya sea equipos con fin específico o con el firewall perimetral, a continuación se muestra lo que se ha explicado. Diagrama Conceptual Enlaces de Intenet Diagrama 1 Conceptual Enlaces de Internet Fuente Propia Como muestra la imagen anterior, es necesario llevar la información de cada uno de los equipos, desde las IP Publicas que cada ISP ha configurado en los routers y las IP que serán configuradas en las interfaces públicas del Firewall. Tomar en cuenta que se recomienda que de igual forma para el balanceo de los enlaces se deberá de tomar en cuenta la Alta Disponibilidad de los Firewall para ofrecer continuidad del negocio si uno de los equipos llegara a fallar.
18 La información necesaria a recabar para cada uno de estos equipos se detalla en la tabla siguiente: Tabla de inventario de equipos: Tabla 2 Información detalla de Equipo para actualización en Inventario de Activos Fuente Propia. Explicación de Escenario: Esta sección de la gráfica explica el servicio de internet que se debería de tener disponible en la infraestructura para permitir la publicación de los servicios. Acá están ubicados los routers que contienen la información de IP Publica para la publicación de los servicios. Como se explicó anteriormente esto puede ser directamente desde el segmento público o la utilización del protocolo BGP para la publicación de los servicios. Otra de Descripción Detalle Nombre del Equipo Modelo del Equipo Nombre en Inventario Dirección IP Mascara de Red Gateway DNS Primario DNS Secundario Nombre de Rack Posición en Rack
19 las opciones podría ser la utilización de CDN (Red de Entrega de Contenidos) por sus siglas en ingles. A continuación se muestra un diagrama acerca de la configuración de BGP. : Configuración Border Gateway Protocol BGP Diagrama 2 Configuración BGP Fuente: (BGPExpert.com, 2015) Se muestra además el diagrama lógico de la red de distribución de Contenido (CDN) Infraestructura De Content Delivery Network Diagrama 3 Infraestructura CDN Fuente: (manueldelgado.com, n.d.)
20 El Balanceador de Enlaces será el encargado balancear la carga de sesiones de servidores internos hacia el internet, es decir será capaz de elegir el Balanceo de Carga y Ruteo de Camino Múltiple – ECMP por sus siglas en ingles. Se muestra a continuación el detalle de la configuración de ECMP. Análisis de balanceo de enlaces. Diagrama 4 Análisis de balanceo de enlaces Fuente: (Etutorials.org, 2015) Parte fundamental en la protección de los servicios de banca en línea es el Firewall, en esta sección, se da a conocer de forma general la instalación física del mismo, y los factores que se utilizan para realizar la implementación en un modo Activo-Activo, claro tomando en cuenta que de igual forma se tienen el modelo Activo-Pasivo.
21 A continuación se muestra un diagrama general de todas las configuraciones que conllevan la creación de un escenario para un Firewall Activo / Activo. Alta Disponibilidad De Firewall Perimetral Diagrama 5 Alta disponibilidad de firewalls Fuente: (ExactNetworks.net, n.d.) Dicho diagrama es con fines de estudio, y para la explicación esta estrategia no especifica la explicación detallada de configuraciones. Una de las complicaciones más grandes en Guatemala en el área de seguridad, es la evolución de todo tipos de ataques, ya que los mismos han tratado de afectar la Disponibilidad, Integridad y Confidencialidad de los portales de banca en línea, y con esto, obligan a las entidades bancarias a adquirir nuevos equipos para la protección de su infraestructura, y con esto se ha
22 logrado la adquisición de nueva tecnología ya que los firewalls actuales no cuentan con la capacidad para proteger el perímetro. Luego de conocer la información del perímetro será necesaria además la adición de algunos equipos que nos permita n la protección de los sitios web, entre estos: - IPS – Intrusion Prevention System - APS – Availability Protection System - WAF – Web Application Firewall - Two-Factor Authentication - Entre Otros. La implementación de estos equipos en el datacenter de las entidades financieras, para llevar el control de red y con ello la administración integral de todos los dispositivos, será ingresada como lo indica la siguiente tabla. Tabla de inventario de equipos: Uno de los ataques más críticos para la disponibilidad de los sitios de banca en línea es la Denegación de Servicios Distribuidos o – DDOS- que son los causantes de la caída de los sitios, con el fin de evitar que los cuentahabientes puedan realizar sus transacciones. Descripción Detalle Nombre del Equipo Modelo del Equipo Nombre en Inventario Dirección IP Mascara de Red Gateway DNS Primario DNS Secundario Nombre de Rack Posición en Rack
23 A continuación se muestra una imagen donde podemos observar el modo de operación de un posible ataque de Denegación de Servicios, y es básicamente la creación de Zombies (tema expuesto en la sección anterior) Diagrama conceptual de Denegación de Servicios Diagrama 6 Denegación de Servicios Fuente: (Guiar.com.mx, 2015) Una vez adquirida la protección perimetral contra ataques de DDOS se puede seguir manteniendo la disponibilidad de los portales en línea de las entidades bancarias, protegiéndolos de una inundación o ataques más directos. Dentro del listado también se cuenta con un IPS Sistema de Prevención de Intrusos por sus siglas en inglés, son capaces de poder realizar la protección de los servidores donde se encuentran publicados los accesos hacia sitios https o http y conjuntamente con la integración de bases de datos (tema que será explicado al momento de tener la protección de un equipo WAF). Los Sistemas de Detección de Intrusos (IPS) tienen como ventaja respecto de los Firewalls tradicionales, el que
24 toman decisiones de control de acceso basados en los contenidos del tráfico, en lugar basarse en direcciones o puertos IP. La diferencia entre un Sistema de Prevención de Intrusos (IPS) frente a un Sistema de Detección de Intrusos (IDS), es que este último es reactivo pues alerta al administrador ante la detección de un posible intruso (usuario que activó algún sensor), mientras que un Sistema de Prevención de Intrusos (IPS) es proactivo, pues establece políticas de seguridad para proteger el equipo o la red de un posible ataque. Los Sistemas de Prevención de Intrusos (IPS) tienen varias formas de detectar el tráfico malicioso: Detección Basada en Firmas: Como lo hace un antivirus Detección Basada en Políticas: El IPS requiere que se declaren muy específicamente las políticas de seguridad Detección Basada en Anomalías: Funciona con el patrón de comportamiento normal de tráfico ( el cual se obtiene de mediciones reales de tráfico o es predeterminado por el administrador de la red) el cual es comparado permanentemente con el tráfico en línea para enviar una alarma cuando el tráfico real varía mucho con respecto del patrón normal, y Detección Honey Pot: Este utiliza un equipo que se configura para que llame la atención de los hackers de forma que estos ataquen el equipo y dejen evidencia de sus formas de acción con lo cual posteriormente se pueden implementar políticas de seguridad. Tabla 3 Detección de trafico malicioso.
25 Diagrama Conceptual Del Sistema De Prevención De Intrusos Infraestructura Interna Diagrama 7 Sistema de IPS Infraestructura Interna Fuente: (HP, 2015) Diagrama Conceptual De Sistema Prevención De Intrusos Diagrama 8 Sistema Prevención de Intrusos Fuente: (HP, 2015)
26 Luego de validar el acceso por medio del IPS, se necesita el análisis de base de datos para controlar toda la auditoria de las transacciones en las bases de datos disponibles. La idea principal al desarrollar una aplicación web, es que, sea disponible desde cualquier lugar y que todo el mundo pueda acceder a ella. Este es el gran factor diferenciador respecto a las aplicaciones de escritorio. Al ser empleadas por más usuarios, son más vulnerables a sufrir ataques, aunque la idea es construir aplicaciones tolerantes a fallos y sin vulnerabilidades, por diferentes razones (en las que no entraremos) no siempre pasa eso. El WAF solo es una herramienta complementaria y no pretende sustituir las medidas de protección que el desarrollador tiene que llevar a cabo al programar una aplicación. Se trata de un dispositivo físico que analiza el tráfico web (entre el servidor web y la WAN), los datos recibidos por parte del usuario y protege de diferentes ataques web como: SQL Injection, Cross Site Scripting, Remote and Local File Inclusión, , Buffer Overflows, Cookie Poisoning, etc. Este dispositivo, trata de proteger de los ataques dirigidos al servidor web que los IDS/IPS no nos pueden defender. (pcihispano.com, 2015) Diagrama De Protección Del Firewall De Aplicaciones Diagrama 9 Protección del Firewall de Aplicaciones Fuente: (Imperva, 2015)
27 Como se ilustro se utilizan varios equipos para la protección de los sitios en línea de banca electrónica, ahora bien, cuando tenemos usuarios que no cumplen con los requerimientos básicos de conocimiento de acceso a los sitios, las entidades bancarias se dedican a forzar el acceso a los sitios, esto con adicionar dobles factores de autenticación, esto significa que además de tener un usuario y contraseña es necesario agregar un nuevo factor para que el acceso sea más seguro. La autenticación robusta o por varios factores requiere que los usuarios de un sistema expongan su identidad al proporcionar más de una manera de verificación para poder acceder a este. La autenticación de doble factor aprovecha una combinación de varios factores; dos factores principales consisten en la verificación por parte del usuario de algo que ya conoce (por ejemplo, una contraseña) y algo que tiene el usuario (por ejemplo, una tarjeta inteligente o un token de seguridad). Gracias a su creciente complejidad, los sistemas de autenticación que utilizan una configuración de varios factores son más difíciles de poner en peligro que los sistemas que utilizan un solo factor. (insystems.com.ar, 2015) Al identificador de usuario le debe acompañar algo más para que el sistema confíe en él y le permita el acceso. Hay tres factores de autenticación: Algo que el usuario sabe: password, pin, passphrase, etc. Algo que el usuario tiene: USB, llave, tarjeta, generador de claves, etc. Algo que el usuario posee: huella dactilar, iris, secuencia ADN, firma, reconocimiento facial, reconocimiento de voz u otros identificadores biométricos, etc. Los métodos tradicionales de autenticación, familiares ya para todos, se basan en el uso de un identificador único de usuario acompañado de una contraseña que solo el usuario conoce. Pero, ¿qué pasa cuando la contraseña es interceptada o robada por otro usuario? Nadie quiere comprobarlo
28 Diagrama De Secuencia De Autenticación De Doble Factor Diagrama 10 Secuencia de Autenticación Fuente: (Heboluba, 2015) Como podemos ir observando a lo largo de la descripción se van utilizando nuevas tecnologías para la protección de los portales online de la banca en Guatemala. Un nuevo factor de validación para la seguridad del portal online de los bancos se basa en la utilización de sitios HTTPS, y la adición de un certificado digital, esto para dar más seguridad al sitio y presentar ante el cuentahabiente que el sitio es válido y confiable, para la integración del certificado digital es necesario que la Autoridad Verificadora confirme la información jurídica que cada sitio, el proceso se muestra a continuación
29 Proceso De Generación De Un Certificado Digital Diagrama 11 Proceso de generación de Certificados Digitales Fuente: (www.contentverification.com, 2015) Luego de la verificación de toda la información del sitio se procede ya a la integración de CSR generado por la Autoridad Verificadora. GENERACIÓN DE LA RESPUESTA DEL CERTIFICADO DIGITAL Diagrama 12 Generación de respuesta del Certificado Digital Fuente: (www.servicetechmag.com, 2015)
30 SIEM (Security Information and Event Management): Esta es una herramienta que es capaz de poder monitorear el estado de dispositivos para conocer el estado de seguridad. Y poder obtener la información total del equipo monitoreado. 3.5 Beneficios de implementación de estrategias para prever la infraestructura de Banca en Línea: Al conocer más acerca de los equipos que pueden ayudar a la protección integral de la seguridad de la publicación de los servicios del sistema bancario, es necesaria la creación del diagrama que de visibilidad sobre toda la infraestructura. Si se toma como referencia lo anterior, se puede describir que la seguridad del sitio no solamente se enforsa en toda la infraestructura que actualmente se tiene disponible, sino además de ello la seguridad de las personas, esto conlleva a muchos temas que permitirán a los cuentahabientes tener la disponibilidad a los sitios, pero además también la seguridad para el ingreso de la información que se requiera por parte de este, esto para evitar que se pueda dar el robo de datos confidenciales del cliente. Como responsables de la infraestructura se deberán de conocer ciertos factores de cada uno de los equipos, y para ello llevar un control de cambios para documentar las modificaciones que se realicen; ya sean bajo demanda o en ventanas de mantenimiento. Una vez montada la infraestructura en el Data Center de la entidad, será necesaria la validación de todos los aspectos de seguridad, iniciando desde el circuito eléctrico, organización de cableado, disponibilidad de los equipos en un área específica, entre otros. ITIL ayudará a poder conocer más acerca de los procesos y procedimientos en el ciclo de vida del sistema. Y al hablar de este, será la forma de administrar todos los dispositivos y dar la visibilidad sobre las configuraciones y mitigaciones en un momento dado. A continuación se muestra el diagrama de red conceptual donde se observa la integración con los equipos descritos anteriormente:
31 Diagrama Conceptual De Infraestructura Para La Protección De Sitios En Línea: Diagrama 13 Infraestructura para la protección de sitios en linea Fuente: Propia. Según el diagrama anterior podemos observar que la protección de la publicación interna de los servidores inicia lo más al norte posible, con la protección del APS a las IP Públicas de la entidad bancaria. Es decir con esto se logrará la protección de ataques de DDOS y evitar inundaciones que logren la no disponibilidad del sitio en línea. Como el APS solo analiza la protección de la Disponibilidad pero no la integridad y confidencialidad, se observa que se tiene dentro de la infraestructura un IPS que será el encargado de la protección de ataques a las aplicaciones de la institución bancaria, como se explicó al inicio es muy importante que estos equipos que se encuentran en el perímetro sean los responsables de mantener la disponibilidad del sitio y que puedan brindar al cuentahabiente, Cuando se tenga protegido el perímetro, tanto el balanceado de Carga y el Firewall serán los responsables de brindar el segundo anillo de protección, es decir, con la disponibilidad de los servidores se podrá realizar la publicación. Para ello se tomaran en cuenta los servicios de HTTPS
32 u otro servicio para la publicación. En esta estrategia no se tratarán el Port Forwarding hacia otros puertos, aunque si implementación es sencilla. Una vez se tenga la disponibilidad de la publicación, se utilizará el Balanceador para asignar las solicitudes de los clientes hacia el servidor, básicamente estas aplicaciones están basadas en tecnologías de cliente-servidor. La estrategia no detalla el tipo de Balanceos de Carga, pero dependerá de las necesidades de la institución bancaria si se utiliza el método de Round Robin o basado en DNS entre otros. Y aunque el WAF juega un papel importante en el análisis de transacciones en las bases de datos locales en los servidores, esta protección se dará directamente a las aplicaciones que se utilizan dentro de la infraestructura, en esta estrategia no se detallan las bases de datos utilizadas pero estas pueden ser AIX , Unix Solaris, Microsoft SQL, DB2 y PostgreSQL en ambientes UNIX, Windows y estándares, Uno de los puntos importantes en las verificaciones de transacciones de las bases de datos, alta disponibilidad y respaldos no son tratados en este documento o estudio. La presentación de la aplicación en el portal de internet puede ser en varios lenguajes de programación, y estos deben de ser capaces de poder realizar la integración con las tecnologías de doble factor de autenticación, algunos bancos utilizan tokens de hardware para realizar esta tarea, otros más aplicaciones para Smartphone o el simple hecho de enviar mensajes de texto a los números de teléfonos registrados por los cuentahabientes. Para esta integración la infraestructura deberá de dar protección adicional con los certificados digitales que son los que ofrecerán la protección; para ello se necesita una auditoria que confirme que todo el código utilizado por la página web sea lo sufrientemente seguro. Como toda la seguridad es integral se deberá de adicionar el SIEM dispositivo que nos ayudará a la interpretación de los logs que se generan en cada uno de los equipos, esta normativa nos ayudará a entender más acerca de los eventos que se están generando en cada uno de los equipos. Si bien se han descrito la utilización de estos dispositivos no es mandataria la utilización de todos estos, pero si es necesario que se tomen como referencia la adquisición de las mismas como buenas prácticas de seguridad. Cualquier otra tecnología puede ser adicionada a estas estrategias ya que con el paso del tiempo los equipos de nueva generación van brindado más seguridad integral a todo nuestro perímetro.
33 4. ANÁLISIS Y DISCUSIÓN DE RESULTADOS 4.1 Interpretación: La Tecnología, el internet, los buscadores, las redes sociales, los teléfonos móviles, son herramientas que le han permitido al hombre desarrollar sus actividades laborales y sociales a lo largo de los últimos años. Sin embargo, al mismo tiempo su uso indebido o desprevenido ha generado riesgos a quien los utiliza. Tanto los individuos, como las empresas e inclusive instituciones gubernamentales han sido víctimas de varios delitos informáticos como el fraude, robo de identidad, robo de base de datos, infiltración, entre muchos otros. En la actualidad, Guatemala ocupa uno de los lugares en la lista de naciones de la región con mayor propagación de códigos maliciosos destinados al robo de información bancaria, según lo revelan varias compañías globales de soluciones de software de seguridad. Y esto conlleva a que los usuarios de internet sean vulnerados en sus cuentas de correo electrónico, de redes sociales, información personal y por último la de sus cuentas bancarias. Es responsabilidad de las entidades bancarias realizar actividades que ayuden a tener protegidos los sitios, son los usuarios los que en ocasiones no tienen la responsabilidad de salvaguardar sus accesos o el no validar que el sitio al que está tratando de ingresar sea el correcto. Si bien actualmente en Guatemala se tiene una Iniciativa 4055 Ley de Delitos Informáticos, que ayudaría a tipificar estos delitos, aún no ha sido aprobada por el Congreso de la Republica del país, con esto se podría ayudar no solo a las entidades bancarias del país, sino a cualquier otra organización, entidad del estado, empresa privada, Organizaciones No Gubernamentales, a la protección de sus sitios y de la información que se encuentra pública en el internet. Este tema es muy complicado ya que la mayoría de ataques se realizarían desde fuera de Guatemala y con ello no tener a un autor del ataque para ser condenado en Guatemala, pero si ayudaría a castigar a los sospechosos o culpables de realizar este tipo de actividades ilícitas. Se anexa al presente la iniciativa solo como referencia.
34 4.2 Conocimiento de usuarios acerca de la seguridad de infraestructura de banca en línea: La tecnología que se requiere para la implementación de la seguridad del perímetro de los sitios en línea en cualquier entidad bancaria, no es suficiente si los cuentahabientes son el eslabón más débil, esto porque, aunque se tengan todos los equipos y se cumplan con las mejores prácticas de seguridad, son ellos los que no cumplen con los requisitos mínimos en la mayoría de ocasiones, a causa de esto serían los más vulnerables, y aunque esto no representa un ataque directo, la vulnerabilidad de estas cuentas podrían ser utilizadas para realizar ataques de SQL Injection. Actualmente el conocimiento de los usuarios en relación a la seguridad de la infraestructura de la banca en línea básicamente se resume en el acceso a un sitio web en el internet donde tienen que ingresar un nombre de usuarios; en muchas ocasiones su nombre y apellido o una combinación de las mismas y una contraseña sencilla para que no se les pueda olvidar; como su fecha de nacimiento, nombre de familiares, apodos, entre otros, o si en su caso fuera una contraseña compleja listarla en un documento sobre su escritorio, una nota de texto en su teléfono, celular o notas en su computadora personal; si es cierto que el banco recomienda buenas prácticas para la seguridad de los cuentahabientes no todos las toman como referencia, y por estas razones se considera que la vulnerabilidad de la información de los beneficiarios es aún mayor. 4.3 Porque el desinterés por conocer sobre este tema Actualmente las tecnologías de información utilizadas por las entidades bancarias tanto a nivel nacional e internacional son de última generación, y administradas directamente por los empleados de estas, y son ellos quienes se capacitan en el uso de las tecnologías de información por ser los responsables de toda esta infraestructura, y aunque los nuevos profesionales en el área de Sistemas, no tienen acceso a esta información detallada por no trabajar directamente en estas áreas, los fabricantes de los equipos de seguridad las comparten y estas son de acceso público, pero los ingenieros de tecnologías de información no cuentan con la experiencia ni conocimiento necesario para la administración y comprensión de esta nueva tecnología.
35 Una de las ventajas de estos equipos es que los fabricantes cuentan con certificaciones para capacitar al personal técnico de cada una de estas instituciones no así a profesionales individuales por el alto costo de la capacitación o falta de aplicación en un ambiente controlado. Otro de los puntos fundamentales es la falta de especialización de cada uno de los profesionales en el área de Tecnologías de Información, ya que al no tener la necesidad de conocer o especializarse en estos temas, no les interesa profundizar en ello. 4.4 Estrategias para la seguridad de la infraestructura de banca en línea. Los beneficios de las estrategias se refiere en su sentido más amplio al proceso que pone planes y estrategias en acción para alcanzar objetivos, al consignar quién, dónde, cuándo y cómo se obtendrán los objetivos y las metas deseadas, en este sentido como bien se sabe el objetivo perseguido es precisamente el análisis de la seguridad en los servicios de banca en línea en Guatemala para establecer el impacto de las vulnerabilidades de estos; con base en lo descrito anteriormente se puede prever que la implementación de estrategias no solo para el análisis sino para reducir la vulnerabilidad de los usuarios es indispensable. Si se toma como base la información descrita anteriormente se puede utilizar la estrategia presentada como solución ante los problemas planteados y también como un referente de conocimiento para los profesionales en el área de seguridad, es decir tener que obtengan por medio de ella, los conocimientos básicos de qué equipos se tendrán en el perímetro para poder brindar a los cuentahabientes la seguridad, siempre para tomar en cuenta, las recomendaciones de las mejores prácticas de seguridad.
36 4.5 Establecer la factibilidad de la puesta en práctica de las estrategias para la seguridad de la infraestructura de banca en línea. La factibilidad es una variable indispensable al momento de la implementación de estrategias a cualquier nivel, puesto que por medio de evaluaciones, se podrá observar si la misma puede mantenerse, al mostrar evidencias de lo planificado cuidadosamente, considerar los problemas que involucra y si al final es funcional. Al hacer un análisis de la ley y su impacto para prevenir y sancionar las conductas ilícitas que afecten a los sistemas y datos informáticos cometidos por la utilización de tecnologías de información, ésto con la finalidad de garantizar la lucha contra la ciberdelincuencia. Esta tendrá como objetivo la protección de los sistemas que utilicen tecnologías de información, es decir medios tecnológicos en este caso la publicación de servicios en línea, así como también la protección, prevención y sanción de este tipo de delitos cometidos por el mal uso de las tecnologías, pues en la actualidad la violación de la privacidad de información es un fenómeno creciente y muy común, por ello, se considera indispensable la implementación de estas estrategias. En este punto también es importante reflexionar sobre el trabajo de los bancos y como éstos pueden tener toda la infraestructura para brindar a los usuarios toda esta protección, sin que ellos sean objeto de vulnerabilidades lejos de la tecnología. Tal es el caso de la ingeniería social, que era uno de los puntos más fáciles de utilizar sin que el cuentahabiente supiese que se estaba extrayendo la información no solo de sus cuentas bancarias sino de algún otro sitio. 4.6 Importancia de contar con estrategias para la seguridad de la infraestructura de banca en línea. Haciendo la reflexión de como los bancos logran dar seguridad de la información a los usuarios sin tener el conocimiento tecnológico sobre el manejo integral de esta, se puede concluir que se tienen campañas para que los cuentahabientes tomen las recomendaciones en cuenta, dentro de estas se pueden listar las siguientes: 4.6.1 Los bancos nunca piden por correo electrónico datos personales, contraseñas o información confidencial
37 4.6.2 Confirmar que el acceso al banco es por medio del protocolo https:// 4.6.3 Para mayor seguridad verificar que se tenga un certificado digital instalado, esta será una figura de un candado cerrado en la barra de direcciones. 4.6.4 Mantener a salvo su identidad electrónica, sin escribir contraseñas a la vista de nadie. 4.6.5 Mantenga en su computadora un Antimalware que sea actualizado permanentemente. 4.6.6 Evitar utilizar computadoras de sitios públicos como cafés internet 4.6.7 Cambia su acceso o clave frecuentemente La mayoría de los fraudes de banca en línea son basados en la robo de información personal de los cuentahabientes por no mantener o tomar en cuenta las recomendaciones de las entidades financieras. Si bien es cierto que todos estos servicios ofrecen a los cuentahabientes. Si es cierto que al momento de acceder a los portales en línea, estos ya están preparados para dar a los cuentahabientes la seguridad necesaria para que se puedan realizar todas las transacciones con toda la seguridad posible. Otro punto crucial en la protección de los sitios en línea, es la confirmación que sea un sitio correcto, ya que con el Phishing, la usurpación de sitios es muy común en el internet, y esto se da por la no validación de los sitios, y aunque el mismo cuente con un certificado digital que indique que el sitio es válido, en muchas ocasiones no sucede así. La implementación de esta estrategia es indispensable puesto que por medio de ella se podrán resolver problemas como los descritos a continuación: Se tomarán como ejemplo 2 portales web de la banca en línea de 2 entidades financieras en Guatemala, esto solo como referencia para poder validar que los temas tratados y tecnologías recomendadas sean eficientes y eficaces estén en el portal, ahora bien, es muy complicado que se confirme que alguno de ellos cuenta con la infraestructura recomendada en esta estrategia. Las entidades financieras serán, Banco Agromercantil S.A. y Banco Industrial.
38 Como parte del análisis iniciaremos observando que al momento de acceder a los portales web, estos muestran como primer factor de seguridad el acceso a su sitio por medio de HTTPS y con ello la carga del certificado digital, como se muestra a continuación. Banco Agromercantil Imagen 1 Sitio HTTPS BAM Fuente: (BAM, 2015) Banco Industrial Imagen 2 Sitio HTTPS Bienlinea Fuente: (BI, 2015) Nota: El Banco Industrial cuenta con varios portales para el acceso a sus servicios en línea, y para esta estrategia se tomará bienlinea.bi.com.gt La información de cada uno de los certificados digitales se pueden observar de igual forma en la misma página y pueden ser consultados, esta se muestra a continuación.
39 Detalle de Visor de Certificados del sitio bamnet.ba.com.gt Imagen 3 Detalle de Certificado sitio www.bamnet.com.gt Fuente: (BAM, 2015) Visor del sitio www.bienlinea.com.gt Imagen 4 Detalle de Certificado sitio www.bienlinea.com.gt Fuente: (BI, 2015)
40 Como se puede observar los 2 portales en línea muestra los detalles para prestar a sus cuentahabientes la información necesaria para confirmar la identidad del banco. Además de esta protección veremos el doble factor de autenticación en los sitios, aportando así un elemento más a la seguridad de los cuentahabientes. Ingreso de información a banca en línea de usuarios registrados. Imagen 5 Ingreso banca en línea, BI en Linea Fuente: (BI, 2015) Ingreso de información a banca en línea de usuarios registrados. Imagen 6 Ingreso banca en línea, BAMNet Fuente: (BAM, 2015)
41 4.7 Beneficios para los usuarios que genera la utilización de estrategias. Un SGSI es un elemento para la administración relacionada con la seguridad de la información, este implica la creación de un plan de diseño, implementación y mantenimiento de procesos que permitan gestionar de manera eficiente toda la información que se pueda generar dentro de los sistemas de información esto para prever la disponibilidad, confidenciales e integridad. Como parte de los procesos internos de cada entidad bancaria es fundamental que se tenga este tipo de procesos y con ello pueda ser aplicado el aseguramiento del perímetro de las publicaciones de los servicios de banca en línea. ¿De qué forma se pueden diseñar políticas de seguridad integrales? Es una pregunta muy complicada ya que aunque en muchas ocasiones el profesional de tecnologías de información tenga el conocimiento es responsabilidad de las instituciones bancarias la adquisición de estos equipos y/o actualización de los mismos, al tomar como base el ciclo de vida de cada uno de estos equipos, se recomienda puedan ser utilizados como mínimo 5 años ya que las instituciones no las cumplen. El mayor aporte de contar con estrategias es presentar a los responsables de la seguridad una visión amplia de las características de cada uno de los equipos, la selección de modelos de cada uno de estos se basara en los requerimientos que el responsable de estas tecnologías quiera proteger, desde la cantidad de tráfico de cada uno de los enlaces de internet, cantidad de tráfico que se genera dentro de la infraestructura, tipos de sistemas operativos, tipos de bases de datos, cantidad de sesiones concurrentes generadas, entre otros. Los beneficios que se obtendrán al implementar esta estrategia será que el profesional de TI pueda presentar propuestas para la protección de las publicaciones en el perímetro de la entidad financiera.
42 4.8 Elementos dominados a nivel técnico por los beneficiarios de la estrategia presentada: Si bien es cierto que la presente propuesta no pretende hacer que el Ingeniero sea experto en todas las tecnologías, éste si pueda ampliar su conocimiento acerca de las tecnologías utilizadas en el área de seguridad de la información. Al tener un nuevo conocimiento sobre estas tecnologías, y con esto ampliar su punto de vista acerca de los equipos o software que se utilizarán para la protección del perímetro. Tal como se explica, no es forzosa la adquisición de todas estas tecnologías, ya que se debe de tomar en cuenta un presupuesto anual sobre los equipos que se tendrían que adquirir, tamaño de la institución bancaria y el impacto que este servicio puede proporcionar hacia los cuentahabientes. 4.9 Necesidades de formación técnica: Este trabajo plantea un fenómeno crítico en el área de sistemas, enfocado en el desconocimiento técnico de actividades que realizan los profesionales en el área de seguridad de los portales en línea de las instituciones bancarias de Guatemala. Es necesario contar con lineamientos técnicos como apoyo a dichos profesionales. Realizado el análisis sobre este punto débil dentro del área de sistemas se concluye que la formación técnica de personas inmersas en este ámbito, es crucial pues son los únicos que pueden dar respaldo responsable a los usuarios de banca en línea; pues a través de la implementación de infraestructura, equipo y conocimientos técnicos este punto débil pasará a no ser vulnerable. Como parte de las tecnologías de información los profesionales deben de tener claro que aunque se implementen nuevos sistemas de seguridad de nueva generación las vulnerabilidades siempre seguirán latentes y la innovación que se necesite implementar siempre dará tanto a la entidad financiera un nivel adicional de protección como a los cuentahabientes.
43 5. CONCLUSIONES: 5.1 Los delitos Informáticos son todas aquellas anomalías que se dan dentro de las distintas redes existentes en la web o por algún otro medio de comunicación. Se viola la privacidad de las personas, Instituciones, empresas, etc. Se producen delitos como el Fraudes, Robo de información confidencial, Espionaje Informático, entre otros. 5.2 Muchos de estos delitos se dan a través del Internet, las redes sociales son peligrosas porque los delincuentes informáticos usan esta herramienta para recopilar información de sus posibles víctimas, ignorando cuales son las intenciones de dichas personas. 5.3 Analizando la seguridad del sitio en mención se determina que: La seguridad del portal web es seguro Los factores externos podrían afectar este estado seguro Es indispensable que el cliente sea consiente al momento del acceso al portal. 5.4 De acuerdo al análisis realizado se crearon los esquemas necesarios el cual cumple con los objetivos planteados. Un punto fundamental en las conclusiones es que aunque se cuenta con toda la tecnología de punta montada en la infraestructura de las entidades bancarias para proteger el perímetro y en caso específico las publicaciones de los servicios de los servidores de banca en línea, los sistemas no serán 100% seguros, y quedara latente la actualización y mejoramiento de las tecnologías que se van adaptando a los cambios de los ataques informativos o nuevas vulnerabilidades. 5.5 Se establecieron los diferentes esquemas de la infraestructura de la seguridad de los sitios de banca en línea que ayudaran a la protección del perímetro, desde las diferentes situaciones que puedan presentarse.
44 6. RECOMENDACIONES 6.1.Este trabajo puede ser utilizado como referencia del tema planteado por el o los alumnos que deseen extenderse sobre el mismo 6.2 Como se indicó al inicio esta es solo el planteamiento de estrategias de referencia de toda la infraestructura perimetral que es utilizada por la banca en Guatemala, con ello no se confirma que sea la misma infraestructura o que los diagramas indique que es el orden correcto, al tomar como base esto, se recomienda lo siguiente 6.3.Que se concientice a los cuentahabientes a que se valide el acceso a los sitios correctos para que con ello no sean objeto de robo de su información. 6.4.Como no se conoce la experiencia en el área de informática de todos los cuentahabientes, se recomienda que el sitio sea lo más amigable para que la información ingresada sea lo más fácil posible. 6.5.Que se utilicen algunos de los equipos que se describieron en el presente documento. 6.6.Que se mejore el diagrama o equipos luego de su ciclo de vida, de acuerdo a las especificaciones determinadas anteriormente.
45 7. GLOSARIO Amenaza: Una amenaza informática es toda circunstancia, evento o persona que tiene el potencial de causar daño a un sistema en forma de robo, destrucción, divulgación, modificación de datos o negación de servicio (DoS). (seguridadinformatica.unlu.edu.ar, 2015) Aplicaciones engañosas: Las aplicaciones engañosas son programas que intentan engañar a los usuarios informáticos para que emprendan nuevas acciones que normalmente están encaminadas a causar la descarga de malware adicional o para que los usuarios divulguen información personal confidencial. Un ejemplo es el software de seguridad fraudulento, que también se denomina scareware. (Kaspersky.com, 2015) Ataques Web: Un ataque Web es un ataque que se comete contra una aplicación cliente y se origina desde un lugar en la Web, ya sea desde sitios legítimos atacados o sitios maliciosos que han sido creados para atacar intencionalmente a los usuarios de ésta. (blog.sucuri.net, 2015) Bot: Un bot es una computadora individual infectada con malware , la cual forma parte de una red de bots (bot net). Botnet: Conjunto de equipos bajo el control de un bot maestro, a través de un canal de mando y control. Estos equipos normalmente se distribuyen a través de Internet y se utilizan para actividades malintencionadas, como el envío de spam y ataques distribuidos de negación de servicio. Las botnet se crean al infectar las computadoras con malware, lo cual da al atacante acceso a las máquinas. Los propietarios de computadoras infectadas generalmente ignoran que su máquina forma parte de
46 una botnet, a menos que tengan software de seguridad que les informe acerca de la infección. (searchsecurity.techtarget.com, 2015) Crimeware: Software que realiza acciones ilegales no previstas por un usuario que ejecuta el software. Estas acciones buscan producir beneficios económicos al distribuidor del software. (Symantec.com, 2015) Ciberdelito: El ciberdelito es un delito que se comete usando una computadora, red o hardware. La computadora o dispositivo puede ser el agente, el facilitador o el objeto del delito. El delito puede ocurrir en la computadora o en otros lugares. (delitosinformaticos.com, 2015) Definiciones de virus: Una definición de virus es un archivo que proporciona información al software antivirus, para identificar los riesgos de seguridad. Los archivos de definición tienen protección contra todos los virus, gusanos, troyanos y otros riesgos de seguridad más recientes. Las definiciones de virus también se denominan firmas antivirus. (www.seguridadpc.net, 2015) Descarga inadvertida: Una descarga inadvertida es una descarga de malware mediante el ataque a una vulnerabilidad de un navegador Web, equipo cliente de correo electrónico o plug-in de navegador sin intervención alguna del usuario. Las descargas inadvertidas pueden ocurrir al visitar un sitio Web, visualizar un mensaje de correo electrónico o pulsar clic en una ventana emergente engañosa. (Microsoft.com, 2015) Encriptación: La encriptación es un método de cifrado o codificación de datos para evitar que los usuarios no autorizados lean o manipulen los datos. Sólo los individuos con acceso a una contraseña o clave
47 pueden descifrar y utilizar los datos. A veces, el malware utiliza la encriptación para ocultarse del software de seguridad. Es decir, el malware cifrado revuelve el código del programa para que sea difícil detectarlo. (larevistainformatica.com, 2015) Exploits o Programas intrusos: Los programas intrusos son técnicas que aprovechan las vulnerabilidades del software y que pueden utilizarse para evadir la seguridad o atacar un equipo en la red. (welivesecurity, 2015) Firewall: Un firewall es una aplicación de seguridad diseñada para bloquear las conexiones en determinados puertos del sistema, independientemente de si el tráfico es benigno o maligno. Un firewall debería formar parte de una estrategia de seguridad estándar de múltiples niveles. (spi1.nisu.org, 2015) Ingeniería Social: Método utilizado por los atacantes para engañar a los usuarios informáticos, para que realicen una acción que normalmente producirá consecuencias negativas, como la descarga de malware o la divulgación de información personal. Los ataques de phishing con frecuencia aprovechan las tácticas de ingeniería social. (hackstory.net, 2015) Malware: El malware es la descripción general de un programa informático que tiene efectos no deseados o maliciosos. Incluye virus, gusanos, troyanos y puertas traseras. El malware a menudo utiliza herramientas de comunicación populares, como el correo electrónico y la mensajería instantánea, y medios magnéticos extraíbles, como dispositivos USB, para difundirse. También se propaga a través de descargas inadvertidas y ataques a las vulnerabilidades de seguridad en el software. La mayoría del malware peligroso actualmente busca robar información personal que pueda ser utilizada por los atacantes para cometer fechorías. (Infospyware, 2015)
48 Negación de servicio (DoS): La negación de servicio es un ataque en el que el delincuente intenta deshabilitar los recursos de una computadora o lugar en una red para los usuarios. Un ataque distribuido de negación de servicio (DDoS) es aquel en que el atacante aprovecha una red de computadoras distribuidas, como por ejemplo una botnet, para perpetrar el ataque. (Symantec, 2015) Phishing: A diferencia de la heurística o los exploradores de huella digital, el software de seguridad de bloqueo de comportamiento se integra al sistema operativo de un equipo anfitrión y supervisa el comportamiento de los programas en tiempo real en busca de acciones maliciosas. El software de bloqueo de comportamiento bloquea acciones potencialmente dañinas, antes de que tengan oportunidad de afectar el sistema. La protección contra el comportamiento peligroso debe ser parte de una estrategia de seguridad estándar de múltiples niveles. (OnGuardOnline.gov, 2015) Seguridad basada en la reputación: La seguridad basada en la reputación es una estrategia de identificación de amenazas que clasifica las aplicaciones con base en ciertos criterios o atributos para determinar si son probablemente malignas o benignas. Estos atributos pueden incluir diversos aspectos como la edad de los archivos, la fuente de descarga de los archivos y la prevalencia de firmas y archivos digitales. Luego, se combinan los atributos para determinar la reputación de seguridad de un archivo. Las calificaciones de reputación son utilizadas después por los usuarios informáticos para determinar mejor lo que es seguro y permitirlo en sus sistemas. La seguridad basada en la reputación debe ser parte de una estrategia de seguridad estándar de múltiples niveles. (RedesTelecom.es, 2015) Sistema de prevención de intrusos (IPS): Un sistema de prevención de intrusos es un dispositivo (hardware o software) que supervisa las actividades de la red o del sistema en busca de comportamiento no deseado o malicioso y puede
49 reaccionar en tiempo real para bloquear o evitar esas actividades. Un sistema de prevención de intrusos debe ser parte de una estrategia de seguridad estándar de múltiples niveles. (hp.com, 2015) Software de seguridad fraudulento (rogue): Un programa de software de seguridad rogue es un tipo de aplicación engañosa que finge ser software de seguridad legítimo, como un limpiador de registros o detector antivirus, aunque realmente proporciona al usuario poca o ninguna protección y, en algunos casos, puede de hecho facilitar la instalación de códigos maliciosos contra los que busca protegerse. (pcworl.com.mx, 2015) Vulnerabilidad: Una vulnerabilidad es un estado viciado en un sistema informático (o conjunto de sistemas) que afecta las propiedades de confidencialidad, integridad y disponibilidad (CIA) de los sistemas. (norton.com, 2015) Las vulnerabilidades pueden hacer lo siguiente:  Permitir que un atacante ejecute comandos como otro usuario  Permitir a un atacante acceso a los datos, lo que se opone a las restricciones específicas de acceso a los datos  Permitir a un atacante hacerse pasar por otra entidad  Permitir a un atacante realizar una negación de servicio
50 8. BIBLIOGRAFÍA AlertaEnLinea. (25 de octubre de 2015). https://www.alertaenlinea.gov/articulos/s0002-estafas- comunes-en-internet. Obtenido de https://www.alertaenlinea.gov/articulos/s0002-estafas- comunes-en-internet: https://www.alertaenlinea.gov/articulos/s0002-estafas-comunes-en- internet Antiphising. (25 de octubre de 2015). http://www.antiphishing.org/. Obtenido de http://www.antiphishing.org/: http://www.antiphishing.org/ BAM. (11 de octubre de 2015). https://bamnet.bam.com.gt/ClientBanking/T00000/AD00001T. Obtenido de https://bamnet.bam.com.gt/ClientBanking/T00000/AD00001T: https://bamnet.bam.com.gt/ClientBanking/T00000/AD00001T BGPExpert.com. (10 de Septiembre de 2015). BGP Expert. Obtenido de http://www.bgpexpert.com/what.php BI. (11 de octubre de 2015). https://www.bienlinea.bi.com.gt/login/index.aspx?complete=true. Obtenido de https://www.bienlinea.bi.com.gt/login/index.aspx?complete=true: https://www.bienlinea.bi.com.gt/login/index.aspx?complete=true CCM. (22 de octubre de 2015). http://es.ccm.net/contents/22-ataque-por-denegacion-de-servicio. Obtenido de http://es.ccm.net/contents/22-ataque-por-denegacion-de-servicio: http://es.ccm.net/contents/22-ataque-por-denegacion-de-servicio certsuperior.com. (2014). Recuperado el 30 de 9 de 2015, de http://www.certsuperior.com/seguridadinternet.aspx CNN. (25 de octubre de 2015). http://mexico.cnn.com/tecnologia/2012/03/29/legisladores- definen-cuales-son-los-delitos-informaticos-y-su-castigo. Obtenido de http://mexico.cnn.com/tecnologia/2012/03/29/legisladores-definen-cuales-son-los-delitos- informaticos-y-su-castigo: http://mexico.cnn.com/tecnologia/2012/03/29/legisladores- definen-cuales-son-los-delitos-informaticos-y-su-castigo eleconomista.es. (2014). Recuperado el 23 de 09 de 2015, de www.eleconomista.es/diccioario- de-economia-banca-electronica Etutorials.org. (15 de March de 2015). etutorials.org. Obtenido de http://etutorials.org/Networking/Integrated+cisco+and+unix+network+architectures/Chap ter+8.+Static+Routing+Concepts/Equal-Cost+Multi-Path+ECMP+Routing/ ExactNetworks.net. (s.f.). jncie-sec.exactnetworks.net. Obtenido de jncie-sec.exactnetworks.net: jncie-sec.exactnetworks.net Guiar.com.mx. (22 de Septiembre de 2015). guiar.com.mx. Obtenido de guiar.com.mx Heboluba. (1 de Octubre de 2015). heboluba.tumblr.com. Obtenido de heboluba.tumblr.com: heboluba.tumblr.com HP, T. P. (15 de Septiembre de 2015). www.tippingpoint.com. Obtenido de www.tippingpoint.com: www.tippingpoint.com http://datateca.unad.edu.co. (25 de octubre de 2015). http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003- online/11_leccin_1_pilares_de_la_seguridad_informtica.html. Obtenido de http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003- online/11_leccin_1_pilares_de_la_seguridad_informtica.html: http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003- online/11_leccin_1_pilares_de_la_seguridad_informtica.html
51 Imperva. (20 de Septiembre de 2015). www.imperva.com. Obtenido de www.imperva.com: www.imperva.com insystems.com.ar. (26 de septiembre de 2015). http://www.insystems.com.ar/software/tokens-usb- firma-digital-doble-factor-de-autenticacion/. Obtenido de http://www.insystems.com.ar/software/tokens-usb-firma-digital-doble-factor-de- autenticacion/: http://www.insystems.com.ar/software/tokens-usb-firma-digital-doble- factor-de-autenticacion/ keyloggers.com. (22 de octubre de 2015). http://www.keyloggers.com/. Obtenido de http://www.keyloggers.com/: http://www.keyloggers.com/ manueldelgado.com. (s.f.). Manuel Delgado. Obtenido de Manual Delgado: http://manueldelgado.com/que-es-una-content-delivery-network-cdn/ Microsoft. (22 de Octubre de 2015). http://windows.microsoft.com/es-419/windows-vista/what-is- phishing. Obtenido de http://windows.microsoft.com/es-419/windows-vista/what-is- phishing: http://windows.microsoft.com/es-419/windows-vista/what-is-phishing Norton. (15 de octubre de 2015). http://mx.norton.com/identity-theft-primer/article. Obtenido de http://mx.norton.com/identity-theft-primer/article: http://mx.norton.com/identity-theft- primer/article pcihispano.com. (25 de octubre de 2015). http://www.pcihispano.com/controles-tecnicos-de-pci- dss-parte-i-waf-web-application-firewall/. Obtenido de http://www.pcihispano.com/controles-tecnicos-de-pci-dss-parte-i-waf-web-application- firewall/: http://www.pcihispano.com/controles-tecnicos-de-pci-dss-parte-i-waf-web- application-firewall/ Security, P. (s.f.). Panda Security. Obtenido de pandasecurity.com: http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/phishing/ Seguridad, R. y. (18 de octubre de 2015). http://redyseguridad.fi- p.unam.mx/proyectos/seguridad/ServNoRepudio.php. Obtenido de http://redyseguridad.fi- p.unam.mx/proyectos/seguridad/ServNoRepudio.php: http://redyseguridad.fi- p.unam.mx/proyectos/seguridad/ServNoRepudio.php SEMANA, P. (2015). Semana.com. Recuperado el 07 de 10 de 2015, de http://www.semana.com/imprimir/80167 Viruslist.com. (22 de octubre de 2015). http://www.viruslist.com/sp/analysis?pubid=207270912. Obtenido de http://www.viruslist.com/sp/analysis?pubid=207270912: http://www.viruslist.com/sp/analysis?pubid=207270912 www.contentverification.com. (10 de Octubre de 2015). www.contentverification.com. Obtenido de www.contentverification.com: www.contentverification.com www.servicetechmag.com. (2 de octubre de 2015). www.servicetechmag.com. Obtenido de www.servicetechmag.com: www.servicetechmag.com
52 9. Anexos 9.1 Ley de Delitos Informáticos de Guatemala

Recomendados

Boletin convocatorias empleo 11-11-14
Boletin convocatorias empleo 11-11-14Boletin convocatorias empleo 11-11-14
Boletin convocatorias empleo 11-11-14Biblioteca De Pozo Cañada
 
Crmapp
CrmappCrmapp
CrmappAndres Ldño
 
Informatica
InformaticaInformatica
InformaticaNestyuniandesr
 
Boletin oferta empleo p, 29 oct a 4 nov
Boletin oferta empleo p, 29 oct a 4 novBoletin oferta empleo p, 29 oct a 4 nov
Boletin oferta empleo p, 29 oct a 4 novArea de Orientación Laboral USC
 
Boletin convocatorias empleo 150303
Boletin convocatorias empleo 150303Boletin convocatorias empleo 150303
Boletin convocatorias empleo 150303Biblioteca De Pozo Cañada
 
Empresa plan de emergencia, bloque unión holkan
Empresa plan de emergencia, bloque unión holkanEmpresa plan de emergencia, bloque unión holkan
Empresa plan de emergencia, bloque unión holkanholman zamora zamora
 
Pep contaduria cucuta
Pep contaduria cucutaPep contaduria cucuta
Pep contaduria cucutaAndrea Nieto
 
Avances tecnológicos en la arquitectura e ingeniería
Avances tecnológicos en la arquitectura e ingeniería Avances tecnológicos en la arquitectura e ingeniería
Avances tecnológicos en la arquitectura e ingeniería Elena_vargas27
 

Recomendados

Boletin convocatorias empleo 11-11-14
Boletin convocatorias empleo 11-11-14Boletin convocatorias empleo 11-11-14
Boletin convocatorias empleo 11-11-14Biblioteca De Pozo Cañada
 
Crmapp
CrmappCrmapp
CrmappAndres Ldño
 
Informatica
InformaticaInformatica
InformaticaNestyuniandesr
 
Boletin oferta empleo p, 29 oct a 4 nov
Boletin oferta empleo p, 29 oct a 4 novBoletin oferta empleo p, 29 oct a 4 nov
Boletin oferta empleo p, 29 oct a 4 novArea de Orientación Laboral USC
 
Boletin convocatorias empleo 150303
Boletin convocatorias empleo 150303Boletin convocatorias empleo 150303
Boletin convocatorias empleo 150303Biblioteca De Pozo Cañada
 
Empresa plan de emergencia, bloque unión holkan
Empresa plan de emergencia, bloque unión holkanEmpresa plan de emergencia, bloque unión holkan
Empresa plan de emergencia, bloque unión holkanholman zamora zamora
 
Pep contaduria cucuta
Pep contaduria cucutaPep contaduria cucuta
Pep contaduria cucutaAndrea Nieto
 
Avances tecnológicos en la arquitectura e ingeniería
Avances tecnológicos en la arquitectura e ingeniería Avances tecnológicos en la arquitectura e ingeniería
Avances tecnológicos en la arquitectura e ingeniería Elena_vargas27
 
Telefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America LatinaTelefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America LatinaDeepSmarts
 
Prevencion y control de tbc
Prevencion y control de tbcPrevencion y control de tbc
Prevencion y control de tbcRuth Vargas Gonzales
 
Manual para la Información y Atención al ciudadano en el SESCAM (2010)
Manual para la Información y Atención al ciudadano en el SESCAM (2010)Manual para la Información y Atención al ciudadano en el SESCAM (2010)
Manual para la Información y Atención al ciudadano en el SESCAM (2010)Rodrigo Gutiérrez Fernández
 
La evolucion de internet reducido
La evolucion de internet reducidoLa evolucion de internet reducido
La evolucion de internet reducidocpjk
 
El_Papel_de_las_TIC_en_el_Desarrollo.pdf
El_Papel_de_las_TIC_en_el_Desarrollo.pdfEl_Papel_de_las_TIC_en_el_Desarrollo.pdf
El_Papel_de_las_TIC_en_el_Desarrollo.pdfGestionAcademica1
 
Telefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latinaTelefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latinaMOMO BUENOSAIRES
 
Manual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaManual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaDiego Pacheco
 
21222
2122221222
21222glacious
 
El desafío hacia el gobierno abierto en la hora de la igualdad
El desafío hacia el gobierno abierto en la hora de la igualdadEl desafío hacia el gobierno abierto en la hora de la igualdad
El desafío hacia el gobierno abierto en la hora de la igualdadAlejandra Naser
 
Hora de la igualdad cepal semana 2
Hora de la igualdad cepal semana 2Hora de la igualdad cepal semana 2
Hora de la igualdad cepal semana 2zqr
 
9789587416169 eFuentes de abastecimientos de agua.pdf
9789587416169 eFuentes de abastecimientos de agua.pdf9789587416169 eFuentes de abastecimientos de agua.pdf
9789587416169 eFuentes de abastecimientos de agua.pdfkarol598469
 
693platano labores
693platano labores693platano labores
693platano laboresAlba Perez
 
Clasificación automática de vinos utilizando redes neuronales
Clasificación automática de vinos utilizando redes neuronalesClasificación automática de vinos utilizando redes neuronales
Clasificación automática de vinos utilizando redes neuronalesPedro Chavez
 
Tesis final
Tesis finalTesis final
Tesis finalByronRomero19
 
Tecnicas de Desinformacion
Tecnicas de DesinformacionTecnicas de Desinformacion
Tecnicas de DesinformacionRadio Bronka 104.5 FM
 
Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327
Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327
Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327osmarbarrios6
 
Informatica
InformaticaInformatica
Informaticamarcelomachaado
 
Cripto
CriptoCripto
CriptoEliza Hernandez Jauregui
 
Planeamiento y control de la producción
Planeamiento y control de la producciónPlaneamiento y control de la producción
Planeamiento y control de la producciónJavier Rojas Salazar
 
Manual y protocolo para la atención y servicio al ciudad
Manual y protocolo para la atención y servicio al ciudadManual y protocolo para la atención y servicio al ciudad
Manual y protocolo para la atención y servicio al ciudadorientacionderechoalciudadano
 
Umg coban
Umg cobanUmg coban
Umg cobanIng. Armando Monzon Escobar, MA.
 
Owasp Guatemala 2018
Owasp Guatemala 2018Owasp Guatemala 2018
Owasp Guatemala 2018Ing. Armando Monzon Escobar, MA.
 

Más contenido relacionado

Similar a “PROPUESTA DE ESTRATEGIAS PARA LA PROTECCIÓN DE LA INFRAESTRUCTURA DE BANCA EN LÍNEA”

Telefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America LatinaTelefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America LatinaDeepSmarts
 
Manual para la Información y Atención al ciudadano en el SESCAM (2010)
Manual para la Información y Atención al ciudadano en el SESCAM (2010)Manual para la Información y Atención al ciudadano en el SESCAM (2010)
Manual para la Información y Atención al ciudadano en el SESCAM (2010)Rodrigo Gutiérrez Fernández
 
La evolucion de internet reducido
La evolucion de internet reducidoLa evolucion de internet reducido
La evolucion de internet reducidocpjk
 
El_Papel_de_las_TIC_en_el_Desarrollo.pdf
El_Papel_de_las_TIC_en_el_Desarrollo.pdfEl_Papel_de_las_TIC_en_el_Desarrollo.pdf
El_Papel_de_las_TIC_en_el_Desarrollo.pdfGestionAcademica1
 
Telefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latinaTelefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latinaMOMO BUENOSAIRES
 
Manual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaManual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaDiego Pacheco
 
El desafío hacia el gobierno abierto en la hora de la igualdad
El desafío hacia el gobierno abierto en la hora de la igualdadEl desafío hacia el gobierno abierto en la hora de la igualdad
El desafío hacia el gobierno abierto en la hora de la igualdadAlejandra Naser
 
Hora de la igualdad cepal semana 2
Hora de la igualdad cepal semana 2Hora de la igualdad cepal semana 2
Hora de la igualdad cepal semana 2zqr
 
9789587416169 eFuentes de abastecimientos de agua.pdf
9789587416169 eFuentes de abastecimientos de agua.pdf9789587416169 eFuentes de abastecimientos de agua.pdf
9789587416169 eFuentes de abastecimientos de agua.pdfkarol598469
 
693platano labores
693platano labores693platano labores
693platano laboresAlba Perez
 
Clasificación automática de vinos utilizando redes neuronales
Clasificación automática de vinos utilizando redes neuronalesClasificación automática de vinos utilizando redes neuronales
Clasificación automática de vinos utilizando redes neuronalesPedro Chavez
 
Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327
Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327
Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327osmarbarrios6
 
Planeamiento y control de la producción
Planeamiento y control de la producciónPlaneamiento y control de la producción
Planeamiento y control de la producciónJavier Rojas Salazar
 
Manual y protocolo para la atención y servicio al ciudad
Manual y protocolo para la atención y servicio al ciudadManual y protocolo para la atención y servicio al ciudad
Manual y protocolo para la atención y servicio al ciudadorientacionderechoalciudadano
 

Similar a “PROPUESTA DE ESTRATEGIAS PARA LA PROTECCIÓN DE LA INFRAESTRUCTURA DE BANCA EN LÍNEA” (20)

Telefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America LatinaTelefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America Latina
 
Prevencion y control de tbc
Prevencion y control de tbcPrevencion y control de tbc
Prevencion y control de tbc
 
Manual para la Información y Atención al ciudadano en el SESCAM (2010)
Manual para la Información y Atención al ciudadano en el SESCAM (2010)Manual para la Información y Atención al ciudadano en el SESCAM (2010)
Manual para la Información y Atención al ciudadano en el SESCAM (2010)
 
La evolucion de internet reducido
La evolucion de internet reducidoLa evolucion de internet reducido
La evolucion de internet reducido
 
El_Papel_de_las_TIC_en_el_Desarrollo.pdf
El_Papel_de_las_TIC_en_el_Desarrollo.pdfEl_Papel_de_las_TIC_en_el_Desarrollo.pdf
El_Papel_de_las_TIC_en_el_Desarrollo.pdf
 
Telefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latinaTelefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latina
 
Manual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaManual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria Informatica
 
21222
2122221222
21222
 
El desafío hacia el gobierno abierto en la hora de la igualdad
El desafío hacia el gobierno abierto en la hora de la igualdadEl desafío hacia el gobierno abierto en la hora de la igualdad
El desafío hacia el gobierno abierto en la hora de la igualdad
 
Hora de la igualdad cepal semana 2
Hora de la igualdad cepal semana 2Hora de la igualdad cepal semana 2
Hora de la igualdad cepal semana 2
 
9789587416169 eFuentes de abastecimientos de agua.pdf
9789587416169 eFuentes de abastecimientos de agua.pdf9789587416169 eFuentes de abastecimientos de agua.pdf
9789587416169 eFuentes de abastecimientos de agua.pdf
 
693platano labores
693platano labores693platano labores
693platano labores
 
Clasificación automática de vinos utilizando redes neuronales
Clasificación automática de vinos utilizando redes neuronalesClasificación automática de vinos utilizando redes neuronales
Clasificación automática de vinos utilizando redes neuronales
 
Tesis final
Tesis finalTesis final
Tesis final
 
Tecnicas de Desinformacion
Tecnicas de DesinformacionTecnicas de Desinformacion
Tecnicas de Desinformacion
 
Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327
Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327
Dialnet fuentes deabastecimientodeaguaparaconsumohumano-579327
 
Informatica
InformaticaInformatica
Informatica
 
Cripto
CriptoCripto
Cripto
 
Planeamiento y control de la producción
Planeamiento y control de la producciónPlaneamiento y control de la producción
Planeamiento y control de la producción
 
Manual y protocolo para la atención y servicio al ciudad
Manual y protocolo para la atención y servicio al ciudadManual y protocolo para la atención y servicio al ciudad
Manual y protocolo para la atención y servicio al ciudad
 

Más de Ing. Armando Monzon Escobar, MA.

Riesgos sociotecnolgicos en niños y adolecentes de guatemala vision general
Riesgos sociotecnolgicos en niños y adolecentes de guatemala vision generalRiesgos sociotecnolgicos en niños y adolecentes de guatemala vision general
Riesgos sociotecnolgicos en niños y adolecentes de guatemala vision generalIng. Armando Monzon Escobar, MA.
 
El teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacionEl teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacionIng. Armando Monzon Escobar, MA.
 

Más de Ing. Armando Monzon Escobar, MA. (15)

Umg coban
Umg cobanUmg coban
Umg coban
 
Owasp Guatemala 2018
Owasp Guatemala 2018Owasp Guatemala 2018
Owasp Guatemala 2018
 
Estan seguros nuestros datos en el internet
Estan seguros nuestros datos en el internetEstan seguros nuestros datos en el internet
Estan seguros nuestros datos en el internet
 
Disrupcion de la tecnologia
Disrupcion de la tecnologiaDisrupcion de la tecnologia
Disrupcion de la tecnologia
 
Impacto de los Riesgos Sociotecnologicos
Impacto de los Riesgos SociotecnologicosImpacto de los Riesgos Sociotecnologicos
Impacto de los Riesgos Sociotecnologicos
 
La seguridad de la Informacion
La seguridad de la InformacionLa seguridad de la Informacion
La seguridad de la Informacion
 
Inteligencia cognitiva
Inteligencia cognitivaInteligencia cognitiva
Inteligencia cognitiva
 
Gestión empresarial
Gestión empresarialGestión empresarial
Gestión empresarial
 
Riesgos sociotecnolgicos en niños y adolecentes de guatemala vision general
Riesgos sociotecnolgicos en niños y adolecentes de guatemala vision generalRiesgos sociotecnolgicos en niños y adolecentes de guatemala vision general
Riesgos sociotecnolgicos en niños y adolecentes de guatemala vision general
 
El riesgo verdadero de la tecnología
El riesgo verdadero de la tecnologíaEl riesgo verdadero de la tecnología
El riesgo verdadero de la tecnología
 
A donde va guatemala
A donde va guatemalaA donde va guatemala
A donde va guatemala
 
Inteligencia artificial
Inteligencia artificialInteligencia artificial
Inteligencia artificial
 
El teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacionEl teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacion
 
La biometría le pondrá fin a las contraseñas
La biometría le pondrá fin a las contraseñasLa biometría le pondrá fin a las contraseñas
La biometría le pondrá fin a las contraseñas
 
El impacto de los riesgos sociotecnologicos en Guatemala
El impacto de los riesgos sociotecnologicos en GuatemalaEl impacto de los riesgos sociotecnologicos en Guatemala
El impacto de los riesgos sociotecnologicos en Guatemala
 

Último

ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 

Último (19)

ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 

“PROPUESTA DE ESTRATEGIAS PARA LA PROTECCIÓN DE LA INFRAESTRUCTURA DE BANCA EN LÍNEA”

  • 1. UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA. DIRECCIÓN DE POSTGRADO DE INVESTIGACIÓN E INFORMÁTICA APLICADA CAMPUS CENTRAL. MAESTRIA EN INFORMÁTICA APLICADA A BANCA Y/O COMUNICACIONES. “PROPUESTA DE ESTRATEGIAS PARA LA PROTECCIÓN DE LA INFRAESTRUCTURA DE BANCA EN LÍNEA” PRESENTADO A AUTORIDADES DE LA DIRECCIÓN DE POSTGRADO DE LA UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA. POR: GUMERCINDO ARMANDO MONZON ESCOBAR. “CONOCERÉIS LA VERDAD, Y LA VERDAD OS HARÁ LIBRES” GUATEMALA, OCTUBRE DE 2015
  • 2. Índice Introducción ............................................................................................................................................................2 1. DISEÑO CONCEPTUAL: ...........................................................................................................................3 1.1. Planteamiento del problema: ............................................................................................................. 3 1.2 Descripción del problema:.................................................................................................................. 3 1.2.1 Formulación del problema: ........................................................................................................... 3 1.2.2 Preguntas de investigación: ........................................................................................................... 4 1.3 Objetivo de investigación: .................................................................................................................. 5 1.3.2 General ............................................................................................................................................ 5 1.3.2 Específicos ....................................................................................................................................... 5 1.4 Alcance y Limitaciones:...................................................................................................................... 6 1.4.1 Alcance: ........................................................................................................................................... 6 1.4.2 Limitaciones:................................................................................................................................... 6 1.5 Justificación de la Investigación ........................................................................................................ 6 2. MARCO TEÓRICO .....................................................................................................................................7 2.1. Definición:............................................................................................................................................ 7 2.1.1. Fraude y robo.................................................................................................................................... 7 2.1.2. Realización de ataques controlados.................................................................................................. 7 2.1.3. Robo de datos personales a cuentahabientes .................................................................................... 7 2.1.4. Suplantación de identidad................................................................................................................. 7 2.2. ¿Qué iniciativas tienen los bancos para evitar este tipo de amenazas?:........................................ 8 2.3 Las Transacciones Bancarias:............................................................................................................. 9 2.4 La Seguridad en el Internet: ............................................................................................................... 9 2.4.1 . ¿Cómo garantizar la seguridad en internet?...............................................................................10 2.5 Seguridad Bancaria:...........................................................................................................................11 2.5.1 Robo de información:.....................................................................................................................12 2.5.2 Suplantación de identidad: ............................................................................................................12 2.5.3 Modificación de información:........................................................................................................12 2.5.4 Repudio:..........................................................................................................................................12 2.5.5 Denegación del servicio:.................................................................................................................12 2.6 Delitos Informáticos, Fraudes por Internet: .....................................................................................13 2.6.1 Phishing: .........................................................................................................................................13 2.6.2 Keyloggers: .....................................................................................................................................13 2.7 La Seguridad de las Personas: ...........................................................................................................13 3. MARCO METODOLÓGICO....................................................................................................................15 3.1. Tipo de investigación .........................................................................................................................15 3.2. Diseño de investigación: ....................................................................................................................15 3.3 Instrumentos: .....................................................................................................................................16 3.4 Estrategias para la Protección de la Infraestructura de Banca en Línea: ....................................16
  • 3. 4. ANÁLISIS Y DISCUSIÓN DE RESULTADOS.......................................................................................33 4.1 Interpretación: ...................................................................................................................................33 4.2 Conocimiento de usuarios acerca de la seguridad de infraestructura de banca en línea: ...........34 4.3 Porque el desinterés por conocer sobre este tema...........................................................................34 4.4 Estrategias para la seguridad de la infraestructura de banca en línea. ........................................35 4.5 Establecer la factibilidad de la puesta en práctica de las estrategias para la seguridad de la infraestructura de banca en línea...................................................................................................................36 4.6 Importancia de contar con estrategias para la seguridad de la infraestructura de banca en línea. 36 4.7 Beneficios para los usuarios que genera la utilización de estrategias............................................41 4.8 Elementos dominados a nivel técnico por los beneficiarios de la estrategia presentada: ...........42 4.9 Necesidades de formación técnica: ...................................................................................................42 5. CONCLUSIONES:......................................................................................................................................43 6. RECOMENDACIONES.............................................................................................................................44 7. GLOSARIO .................................................................................................................................................45 8. BIBLIOGRAFÍA.........................................................................................................................................50 9. Anexos ..........................................................................................................................................................52 9.1 Ley de Delitos Informáticos de Guatemala..............................................................................................52
  • 4. 1 Índice de Imágenes Imagen 1 Sitio HTTPS BAM.........................................................................................................38 Imagen 2 Sitio HTTPS Bienlinea...................................................................................................38 Imagen 3 Detalle de Certificado sitio www.bamnet.com.gt ..........................................................39 Imagen 4 Detalle de Certificado sitio www.bienlinea.com.gt .......................................................39 Imagen 5 Ingreso banca en línea, BI en Linea ...............................................................................40 Imagen 6 Ingreso banca en línea, BAMNet ...................................................................................40 Índice de Diagramas Diagrama 1 Conceptual Enlaces de Internet ..................................................................................17 Diagrama 2 Configuracion BGP ....................................................................................................19 Diagrama 3 Infraestructura CDN ...................................................................................................19 Diagrama 4 Análisis de balanceo de enlaces .................................................................................20 Diagrama 5 Alta disponibilidad de firewalls..................................................................................21 Diagrama 6 Denegación de Servicios ............................................................................................23 Diagrama 7 Sistema de IPS Infraestructura Interna.......................................................................25 Diagrama 8 Sistema Prevención de Intrusos..................................................................................25 Diagrama 9 Proteccion del Firewall de Aplicaciones ....................................................................26 Diagrama 10 Secuencia de Autenticación......................................................................................28 Diagrama 11 Proceso de generación de Certificados Digitales .....................................................29 Diagrama 12 Generación de respuesta del Certificado Digital......................................................29 Diagrama 13 Infraestructura para la protección de sitios en linea .................................................31 Índice de Tablas Tabla 1 Instrumentos......................................................................................................................16 Tabla 2 Información detalla de Equipo para actualización en Inventario de Activos....................18 Tabla 3 Detección de trafico malicioso..........................................................................................24
  • 5. 2 Introducción El crecimiento del internet a nivel mundial ha dado como resultado la adquisición de nuevas tecnologías a la mayor parte de los bancos en nuestro país, esto ha traído nuevas oportunidades a los cuentahabientes al contar con herramientas basadas en internet al poder realizar las operaciones que solo se podían realizar al visitar una agencia o sucursal del banco. Las instituciones bancarias de nuestro país, se han visto afectadas por hechos fraudulentos cometidos por los mismos empleados y personas ajenas al banco, hechos de delincuencia común en los cuales la sustracción indebida de recursos ha sido frecuente, acciones en las cuales han sido afectados clientes . Sin embargo, muchos de estos hechos no salen a la luz pública, esto obedece a la confidencialidad que deben guardar estas instituciones ya que manejan fondos de muchas personas. Las instituciones bancarias, han ido creciendo y adaptándose a las nuevas tecnologías, y muchas veces dejan a un lado los controles básicos, sin los cuales se vuelven vulnerables para que los delincuentes comentan hechos no acordes a la ley. El presente trabajo de graduación se elabora con el fin de analizar si el acceso hacia los portales de banca electrónica de los bancos del sistema son seguros, al aplicar la seguridad de la información, y prevenir riesgos en los bancos. Al exponer los riesgos y las posibles soluciones para ofrecerle al cuentahabiente la disponibilidad y confiabilidad de estos servicios.
  • 6. 3 1. DISEÑO CONCEPTUAL: 1.1. Planteamiento del problema: Uno de los temas más críticos en el área de sistemas se ve enfocado al conocimiento técnico y actividades que realiza el profesional en el área de tecnologías. En muchas ocasiones se tienen documentación general sobre temas generales, mas no así estrategias que puedan ayudar al Ingeniero a conocer más acerca de un punto o tema específico. Con este documento se pretende que el lector pueda entender más allá de la teoría que representa el aseguramiento de la infraestructura que se utiliza para la publicación de servicios o banca en línea del sistema bancario guatemalteco. Con esto solo se pretende tener una visión más amplia del tema y presentar la posible infraestructura que se necesita para poder montar toda la protección del perímetro bancario. Durante el desarrollo en la lectura del presente estudio podremos ir conociendo más a detalle la infraestructura que deberá de ser utilizada para la protección y publicación de los servicios, claro, limitándonos solo a la parte perimetral, el tema de análisis, diseño y codificación de software desarrollado por la empre está fuera del alcance de esta estrategia. Uno de los temas más importantes es poder entender de igual forma el ciclo de vida de todos los equipos perimetrales, ya que con el paso del tiempo será necesario realizar el cambio en las tecnologías a unas más recientes para ir innovando y con ello tener una protección integral. 1.2 Descripción del problema: 1.2.1 Formulación del problema: Se realizará una investigación que presentar una estrategia para dar a conocer la infraestructura mínima que se podrá de tomar en cuenta para la protección perimetral al realizar la publicación de servicios en línea de los bancos del sistema en Guatemala.
  • 7. 4 1.2.2 Preguntas de investigación: 1.2.2.1. Que Problemas más frecuentes se presentan en la seguridad perimetral? 1.2.2.1. ¿Qué contenido técnico tendrá la estrategia para lograr una seguridad perimetral sea confiable? 1.2.2.2. ¿Es necesaria la disponibilidad del sitio para realizar las transacciones? 1.2.2.3. ¿A qué nivel de personal administrativo va dirigida esta estrategia? 1.2.2.4. ¿En qué áreas se enfocará esta estrategia? 1.2.2.5. ¿Cuáles son los posibles riesgos que representa no tener estrategias técnicas de los equipos de protección perimetral? 1.2.2.6. ¿Qué beneficios obtiene un profesional en el área de sistemas de información al contar con estrategias de esta clase? 1.2.2.7. ¿Qué estándares de seguridad se incluirán en esta estrategia? 1.2.2.8. ¿Cuál es el tiempo de vigencia de las estrategias? (Ciclo de vida de las propuestas)
  • 8. 5 1.3 Objetivo de investigación: 1.3.2 General Realizar una investigación del Análisis de la seguridad en los servicios de banca en línea en Guatemala y establecer el impacto de las vulnerabilidades de estos a través de un esquema general aplicable al sistema bancario guatemalteco. Esto permitirá proponer estrategias que permitan a los usuarios conocer más acerca de las tecnologías de seguridad que realizan la publicación y protección de estos servicios y con ello tener el conocimiento técnico para la implementación de estos proyectos. 1.3.2 Específicos 1.3.2.1 Establecer las causas de los ataques que ponen en riesgo la seguridad de los servicios de banca en línea. 1.3.2.2 Determinar los elementos necesarios para prever los ataques a los sitios de banca en línea. 1.3.2.3 Referenciar los esquemas de la infraestructura de la seguridad de los sitios de banca en línea. 1.3.2.4 Impacto en la seguridad de los servicios bancarios 1.3.2.5 Que el lector Que el lector conozca conceptos generales de normativas utilizadas para la publicación de servicios y las medidas necesarias para la protección de los servicios en línea del sistema bancario. Con esto se pretende que se conozcan más a detalle el funcionamiento tecnológico de estos servicios
  • 9. 6 1.4 Alcance y Limitaciones: 1.4.1 Alcance: Esta investigación sólo tomará en cuenta el estudio y análisis de la seguridad de las transacciones en los portales en línea, al tomar en consideración aquellos elementos que aporten criterios con los cuales se puedan realizar el entendimiento de la protección del perímetro y la publicación de servicios de banca a los cuentahabientes del sistema bancario en Guatemala. 1.4.2 Limitaciones: La principal limitante para realizar ésta investigación es la falta de infraestructura necesaria para poder aplicar las recomendaciones que se exponen esta investigación. Y con ello solo servirá de conocimiento general para poder aplicarla. 1.5 Justificación de la Investigación Como profesionales en el área de seguridad es importante el conocimiento básico sobre los temas de seguridad y como proteger el perímetro, y con ello el de las publicaciones de los sitios en línea de banca electrónica del sistema financiero en Guatemala. Con esta investigación se busca que el lector tenga un conocimiento técnico acerca de la infraestructura que se utiliza en su gran mayoría para lograr la protección integral de los sitios web, si es cierto que no toda la tecnología puede ser aplicable a cierto escenario, con esto lograremos que el conocimiento sobre estas tecnologías sea de fácil entendimiento.
  • 10. 7 2. MARCO TEÓRICO 2.1. Definición: La seguridad en el sector financiero: Para este sector siempre ha representado una gran preocupación los bancos y los cuentahabientes. Ahora buena parte de los bienes bancarios se maneja a través de medios electrónicos y por el auge que internet ha desarrollado todos los servicios son administrables ya sea desde computadoras, teléfonos, tabletas, etc., y ésta información es tan valiosa como los que se resguardar directamente en el banco. Uno de los mayores peligros que corren los usuarios al acceder a los servicios de banca en línea de sus respectivos bancos es el phishing (Security, n.d.), con lo cual es posible: 2.1.1. Fraude y robo 2.1.2. Realización de ataques controlados 2.1.3. Robo de datos personales a cuentahabientes 2.1.4. Suplantación de identidad Para lograr su finalidad, pudieran realizar estas acciones 2.1.5 Solicitud de información por medio de correos electrónicos de datos personales, bancarios, credenciales. 2.1.6 Envío de links en un correo electrónico que lleva a una web similar a la página original de servicios bancarios 2.1.7 Solicitud de envío de credenciales por medio de SMS Para combatir este tipo de fraudes, los bancos tienen políticas para informar al usuario acerca de este tipo de ellos, pero no siempre son tomados en cuenta. Esto se puede ver reflejado en cada una de las páginas de los bancos del sistema de Guatemala.
  • 11. 8 2.2. ¿Qué iniciativas tienen los bancos para evitar este tipo de amenazas?: Según expertos en Seguridad de la Información aunque los bancos del sistema utilicen muchos mecanismos de defensa altamente tecnológicos, las medidas para afrontar el problema abarcan otros puntos desde campañas de capacitación y sensibilización a empleados y clientes, hasta la implementación de soluciones tecnológicas. Una de las formas más efectivas para amortiguar el riesgo de fraude es el monitoreo de operaciones, como las transacciones con tarjetas de crédito y las efectuadas por medio de portales web en el Internet. Con la sensibilización se pueden prevenir acciones fraudulentas, puesto que la falta de cultura es una de las mayores causas de riesgo por el uso de equipos obsoletos, la falta de actualización de herramientas y la realización de transacciones financieras en cafés internet, entre otros. (SEMANA, 2015) Los controles en la ejecución de transacciones en los portales de los bancos son ahora concertados con los clientes con el fin de no entorpecer sus actividades. Así, los clientes pueden definir el monto y el número máximo de operaciones en un lapso de tiempo e inscribir previamente el pago de servicios, y otros parámetros que le permiten al cliente definir su propio perfil, contra el que se comparan las transacciones antes de hacerlas efectivas. Existen recomendaciones que frecuentemente que las instituciones bancarias genera y transmite para evitar las diferentes modalidades de robo. Se sugieren a los clientes tomar precauciones para el manejo seguro de sus transacciones, a continuación solo algunas de estas: 2.2.1 Cambiar por lo menos una vez al mes la clave personal. 2.2.2 Recordar que las credenciales del portal de banca electrónica es personal no se debe prestar nunca a terceras personas. 2.2.3 Al realizar una transacción electrónica de compra en un establecimiento, se deben guardar los comprobantes en formatos digitales. 2.2.4 No escribir la clave en ninguna parte, ésta debe memorizarse. Nunca se debe revelar.
  • 12. 9 2.2.5 No aceptar colaboración de extraños al momento de realizar transacciones en el portal web. 2.2.6 Cuando digite la clave, se debe hacer con precaución y evitar que otras personas puedan verla. Actualmente, estas son las modalidades que más están afectando al sector financiero, pero además, algunas otras incursiones de troyanos, para los cuales los clientes deberán tener instaladas en sus computadoras las medidas de seguridad necesarias para contrarrestar esta modalidad, que ha afectado muchos países como Estados Unidos y algunos otros de Centroamérica. 2.3 Las Transacciones Bancarias: “La banca electrónica hace referencia al tipo de banca que se realiza por medios electrónicos como puede ser cajeros electrónicos, teléfono y otras redes de comunicación. Tradicionalmente, este término ha sido atribuido a la banca por Internet o banca online. (eleconomista.es, 2014) 2.4 La Seguridad en el Internet: “La seguridad en Internet es un tema cuya importancia va aumentando en la medida en que el uso de las transacciones en la red se hace más accesible. Paralelamente, se incrementa la necesidad de que la Seguridad en Internet sea reforzada. Con este propósito, la tecnología SSL ofrece las herramientas con los estándares más altos y las Marcas de Confianza se empeñan en sus procesos para avalar a las Organizaciones. Ambas convergen en que los usuarios web obtengan los mejores resultados en calidad y confianza.” (certsuperior.com, 2014) Actualmente, incluye servicios y estrategias para resguardar el intercambio de información y quienes la emiten o reciben. Y cada vez existen instrumentos más precisos que proporcionan seguridad en toda la red al proteger los servidores con acceso a Internet y a redes privadas. Asimismo, la Seguridad en Internet se ha convertido en un asunto vital para las organizaciones que transmiten información confidencial por las redes. De ella depende la confianza de los visitantes
  • 13. 10 a su sitio web porque los consumidores se resisten a facilitar datos personales, números de tarjetas de crédito, contraseñas o cualquier información confidencial por temor a que sea interceptada y manipulada con malas intenciones y los exponga a riesgos como fraude o robo de identidad. En consecuencia, para evitar el abandono de transacciones, por los temores y riesgos por parte de los usuarios, se ha convertido en un reto para el comercio electrónico. Existen evidencias estadísticas de que el 21 por ciento de los consumidores en línea han dejado a medias alguna compra porque les preocupaba la seguridad de los datos de su tarjeta de crédito y, por motivos similares, otros compradores consumen en menores cantidades. Por lo anterior, se presenta como una necesidad constante de garantías para que los cuentahabientes sepan que sus transacciones en línea están protegidas. 2.4.1 . ¿Cómo garantizar la seguridad en internet? Afortunadamente, las organizaciones tienen a su disposición tecnologías destinadas a proteger a sus clientes, autentificar sus sitios web y mejorar el grado de confianza de sus visitantes. Y poder elegir entre varias opciones, pueden ofrecer medios a los consumidores para distinguir con facilidad los sitios web auténticos de las posibles réplicas que pueda haber creado un usuario malintencionado. La Seguridad en Internet cuenta con opciones como la tecnología SSL y el respaldo de las Marcas de Confianza que garantizan a los clientes la seguridad de una transacción y la autenticidad de los sitios web que visitan, respectivamente. (certsuperior.com, 2014) Así, los sellos de las Autoridades de Certificación son una forma de comprobar a los clientes que están protegidos y de ganarse su confianza mediante un signo de seguridad visible. Su presencia puede ser un factor determinante para usar o realizar compras en un sitio web de comercio electrónico. Cuando los usuarios ven el sello de la Autoridad de Confianza saben que pueden confiar en el enlace, sitio web y transacción. El sello de Symantec™ es el distintivo de Seguridad en Internet más usado y reconocido del mundo. Al desplegarse muestra también el nombre del propietario del Certificado, su periodo de
  • 14. 11 validez, información general sobre los servicios de seguridad incluidos y otros datos sobre el proceso de validación que sigue Symantec™ antes de emitir el certificado. Por otro lado, la Seguridad en Internet cuenta con más soluciones avanzadas que dan tranquilidad a los clientes en otras fases de la interacción electrónica, tales como el escaneo de malware de sitio web y la prevención de phishing. Ambas estrategias están encaminadas a fomentar la tranquilidad de los clientes y reducir los riesgos de fraude. Con los argumentos antes mencionados, los clientes y usuarios confiarán en sus relaciones con Organizaciones. Para acompañarlas, CertSuperior.com con el respaldo de Symantec™, les ofrece las opciones con los estándares más altos de Seguridad en Internet y espera el contacto con ellas para trabajar en esta tarea. (certsuperior.com, 2014) 2.5 Seguridad Bancaria: En el diseño de Internet, parte de la seguridad en Internet fue delegada en el mutuo respeto y honor de los usuarios, así como el conocimiento de un código de conducta considerado “apropiado” en la red. Una mínima seguridad se basa en una protección “blanda”, consistente en una identificación del usuario mediante un identificador y una clave secreta que sólo éste conoce (login y password). La red Internet tiene problemas de autenticidad, integridad, confidencialidad y repudio afectando a los requerimientos de las transacciones electrónicas u operaciones de banca virtual de la siguiente forma:
  • 15. 12 2.5.1 Robo de información: El robo de información, permite obtener información del usuario como números de cuentas, tarjetas de crédito e información personal, Estos ataques, también permiten el robo de servicios normalmente limitados a suscriptores. Esto ocurre en muchas ocasiones por la falta de interés en resguardar esta. (Norton, 2015) 2.5.2 Suplantación de identidad: La suplantación de identidad permite al atacante realizar operaciones en nombre de otro. Es decir cuando una persona llega a saber mucha información de otra, puede utilizar esta información para suplantar su identidad en sitios web. Los atacantes utilizan muchas técnicas para el robo de identidad, dentro de ellas la ingeniería social. (Microsoft, 2015) 2.5.3 Modificación de información: La modificación de datos permite alterar el contenido de ciertas transacciones como el pago, la cantidad o incluso la propia orden de compra de una transacción. (CNN, 2015) 2.5.4 Repudio: El rechazo o negación de una operación por una de las partes puede causar problemas a los sistemas de pago. Si una parte rechaza un previo acuerdo con la respectiva, ésta deberá soportar unos costos adicionales de facturación. (Seguridad, 2015) 2.5.5 Denegación del servicio: Un ataque de denegación de servicio inhabilita al sistema para que éste pueda operar en su normalidad, por lo tanto imposibilita a las partes la posibilidad de realización de operaciones transaccionales. Éstos son de extrema sencillez y la identificación del atacante puede llegar a ser imposible. Las soluciones pueden no son únicas y no se tratarán en adelante. (CCM, 2015)
  • 16. 13 2.6 Delitos Informáticos, Fraudes por Internet: A continuación se describen tres modalidades de fraude mayormente observadas en el Internet. Las mismas nos muestran la creatividad y originalidad que poseen algunas personas u organizaciones con fines malvados e ilegítimos. Como podrán apreciar, en el pasado los focos de ataques estaban centrados en las organizaciones o compañías; sin embargo, en el presente podemos observar que los ataques se han extendido a los individuos. (AlertaEnLinea, 2015) 2.6.1 Phishing: Al utilizar esta práctica solicitan información personal o confidencial con la intención de robar la identidad y más tarde cometer fraude, vender o publicar en la Internet dicha información (spoofing). Típicamente, estos email requieren contraseñas (passwords), nombres, cuentas de banco y además tarjetas de crédito; información que una organización y/o persona legítima ya tiene. (Antiphising, 2015) 2.6.2 Keyloggers: Los keyloggers son programas catalogados como spywares. Usualmente los keyloggers van registrando información entrada en su computadora para utilizar el teclado tales como, los nombres de usuarios y sus contraseñas. Las contraseñas recopiladas son almacenadas en un archivo y luego enviadas a la persona que desea hacer el hurto de la información. (keyloggers.com, 2015) Una de las fuentes más frecuentes para adquirir o instalar este tipo de spyware es a través de los mensajes de correo electrónico con uno o varios adjuntos. Típicamente, este tipo de correo electrónico contiene mensajes o imágenes que llama la atención del usuario, para así comprometer el equipo. (Viruslist.com, 2015) 2.7 La Seguridad de las Personas: Con el crecimiento del internet y la posibilidad de compartir aplicaciones y servicios ha hecho que la mayor parte de información de una persona se encuentre ingresada en sitios gratuitos o de pago,
  • 17. 14 con ello cada uno de estos sitios necesita prever que toda esta información este resguardada de la mejor forma. Si es cierto que toda el área de seguridad está definida por sus pilares, los mismos son: 2.7.1 Integridad: garantizar que los datos sean los que se supone que son 2.7.2 Confidencialidad: Prever que sólo los individuos autorizados tengan acceso a los recursos que se intercambian 2.7.3 Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información 2.7.4 Evitar el rechazo: garantizar de que no pueda negar una operación realizada. 2.7.5 Autenticación: Prever que sólo los individuos autorizados tengan acceso a los recursos. (http://datateca.unad.edu.co, 2015)
  • 18. 15 3. MARCO METODOLÓGICO 3.1.Tipo de investigación La investigación presentada es de tipo documental, cualitativo e investigativo, se enfoca en la descripción y análisis de tema sometido a estudio, la metodología cualitativa, hace referencia en su sentido más amplio, a la investigación que produce información descriptiva, a partir de la recopilación en diferentes documentos de modelos sobre seguridad informática y la experiencia concreta sobre implementación de esta índole para describirla de la manera más libre y rica posible, de tal forma que la investigación no se vea limitada por datos o por paradigmas que delimiten el tema, todo lo anterior con base a conductas observables de vulnerabilidades de los sitios en línea de banca electrónica de los portales de Guatemala; al tomar en cuenta el contexto y las vivencias de las personas respecto a robos, usurpación de identidad, o comprometer las credenciales para el acceso a los sitios en línea de banca electrónica, por falta de infraestructura necesaria para la protección del perímetro y desconocimiento de los cuentahabientes acerca de la seguridad personal en el acceso a los sitios. Por la naturaleza de la investigación descrita anteriormente el método utilizado para el análisis de esta investigación, tuvo sus bases en revisiones bibliográficas y documentos técnicos, a partir del supuesto de múltiples realidades y de la interacción entre los usuarios, red bancaria y los posibles atacantes, que influyen en la disponibilidad, integridad y confidencialidad. La finalidad de esta investigación es realizar un análisis de la seguridad en los servicios de banca en línea de Guatemala y establecer el impacto de las vulnerabilidades de estos a través de un esquema general aplicable al sistema bancario guatemalteco, además dar a conocer estrategias que permitan a los lectores conocer más acerca de las tecnologías de seguridad y protección de estos servicios 3.2. Diseño de investigación: El diseño de este estudio se fundamenta en la recopilación de información relacionada a la seguridad en los servicios de banca en línea de Guatemala, en la cual se toman diferentes metodologías para la elaboración de una estrategia, que permita al lector entender más allá de la
  • 19. 16 teoría que representa el aseguramiento de la infraestructura que se utiliza para la publicación de servicios o banca en línea del sistema bancario del país. 3.3 Instrumentos: Se utilizó una lista de cotejo que contempló los diversos temas relacionados a, seguridad, infraestructura, vulnerabilidades, y mejores prácticas relacionadas a la Biblioteca de Infraestructura de Tecnologías de Información, de acuerdo a criterios específicos para la correcta recolección de información. Documentos Manuales técnicos de hardware a utilizar Diagramas de Infraestructura de Perímetro Inventario de equipo utilizado Configuraciones realizadas en cada uno de los equipos Afinación de configuraciones. Listado de dispositivos móviles soportados. Listados de exploradores de internet soportados por el portal. Tabla 1 Instrumentos 3.4 Estrategias para la Protección de la Infraestructura de Banca en Línea: A partir de los conceptos básicos de protección y los riesgos que conlleva la publicación de los servicios de banca en línea del sistema bancario, a continuación se realiza el análisis de los puntos más importantes; este análisis se inicia con los conceptos básicos hasta llegar a un nivel aceptable de conocimiento para el entendimiento de lo que en las estrategias se pretende tratar. Básicamente uno de los puntos fundamentales es la adquisición de servicios públicos de internet con un proveedor local, llamados ISP por sus siglas en inglés, y con ello se iniciaría el diagrama del diseño de protección. En la mayoría de los casos es necesaria la adquisición de varios
  • 20. 17 enlaces de internet para la publicación de estos servicios, y aunque en ocasiones solo se utiliza una IP Publica, en muchos casos es necesario el balanceo de estos enlaces. Uno de los protocolos utilizados en la mayoría de Bancos es la implementación de BGP, ya sea equipos con fin específico o con el firewall perimetral, a continuación se muestra lo que se ha explicado. Diagrama Conceptual Enlaces de Intenet Diagrama 1 Conceptual Enlaces de Internet Fuente Propia Como muestra la imagen anterior, es necesario llevar la información de cada uno de los equipos, desde las IP Publicas que cada ISP ha configurado en los routers y las IP que serán configuradas en las interfaces públicas del Firewall. Tomar en cuenta que se recomienda que de igual forma para el balanceo de los enlaces se deberá de tomar en cuenta la Alta Disponibilidad de los Firewall para ofrecer continuidad del negocio si uno de los equipos llegara a fallar.
  • 21. 18 La información necesaria a recabar para cada uno de estos equipos se detalla en la tabla siguiente: Tabla de inventario de equipos: Tabla 2 Información detalla de Equipo para actualización en Inventario de Activos Fuente Propia. Explicación de Escenario: Esta sección de la gráfica explica el servicio de internet que se debería de tener disponible en la infraestructura para permitir la publicación de los servicios. Acá están ubicados los routers que contienen la información de IP Publica para la publicación de los servicios. Como se explicó anteriormente esto puede ser directamente desde el segmento público o la utilización del protocolo BGP para la publicación de los servicios. Otra de Descripción Detalle Nombre del Equipo Modelo del Equipo Nombre en Inventario Dirección IP Mascara de Red Gateway DNS Primario DNS Secundario Nombre de Rack Posición en Rack
  • 22. 19 las opciones podría ser la utilización de CDN (Red de Entrega de Contenidos) por sus siglas en ingles. A continuación se muestra un diagrama acerca de la configuración de BGP. : Configuración Border Gateway Protocol BGP Diagrama 2 Configuración BGP Fuente: (BGPExpert.com, 2015) Se muestra además el diagrama lógico de la red de distribución de Contenido (CDN) Infraestructura De Content Delivery Network Diagrama 3 Infraestructura CDN Fuente: (manueldelgado.com, n.d.)
  • 23. 20 El Balanceador de Enlaces será el encargado balancear la carga de sesiones de servidores internos hacia el internet, es decir será capaz de elegir el Balanceo de Carga y Ruteo de Camino Múltiple – ECMP por sus siglas en ingles. Se muestra a continuación el detalle de la configuración de ECMP. Análisis de balanceo de enlaces. Diagrama 4 Análisis de balanceo de enlaces Fuente: (Etutorials.org, 2015) Parte fundamental en la protección de los servicios de banca en línea es el Firewall, en esta sección, se da a conocer de forma general la instalación física del mismo, y los factores que se utilizan para realizar la implementación en un modo Activo-Activo, claro tomando en cuenta que de igual forma se tienen el modelo Activo-Pasivo.
  • 24. 21 A continuación se muestra un diagrama general de todas las configuraciones que conllevan la creación de un escenario para un Firewall Activo / Activo. Alta Disponibilidad De Firewall Perimetral Diagrama 5 Alta disponibilidad de firewalls Fuente: (ExactNetworks.net, n.d.) Dicho diagrama es con fines de estudio, y para la explicación esta estrategia no especifica la explicación detallada de configuraciones. Una de las complicaciones más grandes en Guatemala en el área de seguridad, es la evolución de todo tipos de ataques, ya que los mismos han tratado de afectar la Disponibilidad, Integridad y Confidencialidad de los portales de banca en línea, y con esto, obligan a las entidades bancarias a adquirir nuevos equipos para la protección de su infraestructura, y con esto se ha
  • 25. 22 logrado la adquisición de nueva tecnología ya que los firewalls actuales no cuentan con la capacidad para proteger el perímetro. Luego de conocer la información del perímetro será necesaria además la adición de algunos equipos que nos permita n la protección de los sitios web, entre estos: - IPS – Intrusion Prevention System - APS – Availability Protection System - WAF – Web Application Firewall - Two-Factor Authentication - Entre Otros. La implementación de estos equipos en el datacenter de las entidades financieras, para llevar el control de red y con ello la administración integral de todos los dispositivos, será ingresada como lo indica la siguiente tabla. Tabla de inventario de equipos: Uno de los ataques más críticos para la disponibilidad de los sitios de banca en línea es la Denegación de Servicios Distribuidos o – DDOS- que son los causantes de la caída de los sitios, con el fin de evitar que los cuentahabientes puedan realizar sus transacciones. Descripción Detalle Nombre del Equipo Modelo del Equipo Nombre en Inventario Dirección IP Mascara de Red Gateway DNS Primario DNS Secundario Nombre de Rack Posición en Rack
  • 26. 23 A continuación se muestra una imagen donde podemos observar el modo de operación de un posible ataque de Denegación de Servicios, y es básicamente la creación de Zombies (tema expuesto en la sección anterior) Diagrama conceptual de Denegación de Servicios Diagrama 6 Denegación de Servicios Fuente: (Guiar.com.mx, 2015) Una vez adquirida la protección perimetral contra ataques de DDOS se puede seguir manteniendo la disponibilidad de los portales en línea de las entidades bancarias, protegiéndolos de una inundación o ataques más directos. Dentro del listado también se cuenta con un IPS Sistema de Prevención de Intrusos por sus siglas en inglés, son capaces de poder realizar la protección de los servidores donde se encuentran publicados los accesos hacia sitios https o http y conjuntamente con la integración de bases de datos (tema que será explicado al momento de tener la protección de un equipo WAF). Los Sistemas de Detección de Intrusos (IPS) tienen como ventaja respecto de los Firewalls tradicionales, el que
  • 27. 24 toman decisiones de control de acceso basados en los contenidos del tráfico, en lugar basarse en direcciones o puertos IP. La diferencia entre un Sistema de Prevención de Intrusos (IPS) frente a un Sistema de Detección de Intrusos (IDS), es que este último es reactivo pues alerta al administrador ante la detección de un posible intruso (usuario que activó algún sensor), mientras que un Sistema de Prevención de Intrusos (IPS) es proactivo, pues establece políticas de seguridad para proteger el equipo o la red de un posible ataque. Los Sistemas de Prevención de Intrusos (IPS) tienen varias formas de detectar el tráfico malicioso: Detección Basada en Firmas: Como lo hace un antivirus Detección Basada en Políticas: El IPS requiere que se declaren muy específicamente las políticas de seguridad Detección Basada en Anomalías: Funciona con el patrón de comportamiento normal de tráfico ( el cual se obtiene de mediciones reales de tráfico o es predeterminado por el administrador de la red) el cual es comparado permanentemente con el tráfico en línea para enviar una alarma cuando el tráfico real varía mucho con respecto del patrón normal, y Detección Honey Pot: Este utiliza un equipo que se configura para que llame la atención de los hackers de forma que estos ataquen el equipo y dejen evidencia de sus formas de acción con lo cual posteriormente se pueden implementar políticas de seguridad. Tabla 3 Detección de trafico malicioso.
  • 28. 25 Diagrama Conceptual Del Sistema De Prevención De Intrusos Infraestructura Interna Diagrama 7 Sistema de IPS Infraestructura Interna Fuente: (HP, 2015) Diagrama Conceptual De Sistema Prevención De Intrusos Diagrama 8 Sistema Prevención de Intrusos Fuente: (HP, 2015)
  • 29. 26 Luego de validar el acceso por medio del IPS, se necesita el análisis de base de datos para controlar toda la auditoria de las transacciones en las bases de datos disponibles. La idea principal al desarrollar una aplicación web, es que, sea disponible desde cualquier lugar y que todo el mundo pueda acceder a ella. Este es el gran factor diferenciador respecto a las aplicaciones de escritorio. Al ser empleadas por más usuarios, son más vulnerables a sufrir ataques, aunque la idea es construir aplicaciones tolerantes a fallos y sin vulnerabilidades, por diferentes razones (en las que no entraremos) no siempre pasa eso. El WAF solo es una herramienta complementaria y no pretende sustituir las medidas de protección que el desarrollador tiene que llevar a cabo al programar una aplicación. Se trata de un dispositivo físico que analiza el tráfico web (entre el servidor web y la WAN), los datos recibidos por parte del usuario y protege de diferentes ataques web como: SQL Injection, Cross Site Scripting, Remote and Local File Inclusión, , Buffer Overflows, Cookie Poisoning, etc. Este dispositivo, trata de proteger de los ataques dirigidos al servidor web que los IDS/IPS no nos pueden defender. (pcihispano.com, 2015) Diagrama De Protección Del Firewall De Aplicaciones Diagrama 9 Protección del Firewall de Aplicaciones Fuente: (Imperva, 2015)
  • 30. 27 Como se ilustro se utilizan varios equipos para la protección de los sitios en línea de banca electrónica, ahora bien, cuando tenemos usuarios que no cumplen con los requerimientos básicos de conocimiento de acceso a los sitios, las entidades bancarias se dedican a forzar el acceso a los sitios, esto con adicionar dobles factores de autenticación, esto significa que además de tener un usuario y contraseña es necesario agregar un nuevo factor para que el acceso sea más seguro. La autenticación robusta o por varios factores requiere que los usuarios de un sistema expongan su identidad al proporcionar más de una manera de verificación para poder acceder a este. La autenticación de doble factor aprovecha una combinación de varios factores; dos factores principales consisten en la verificación por parte del usuario de algo que ya conoce (por ejemplo, una contraseña) y algo que tiene el usuario (por ejemplo, una tarjeta inteligente o un token de seguridad). Gracias a su creciente complejidad, los sistemas de autenticación que utilizan una configuración de varios factores son más difíciles de poner en peligro que los sistemas que utilizan un solo factor. (insystems.com.ar, 2015) Al identificador de usuario le debe acompañar algo más para que el sistema confíe en él y le permita el acceso. Hay tres factores de autenticación: Algo que el usuario sabe: password, pin, passphrase, etc. Algo que el usuario tiene: USB, llave, tarjeta, generador de claves, etc. Algo que el usuario posee: huella dactilar, iris, secuencia ADN, firma, reconocimiento facial, reconocimiento de voz u otros identificadores biométricos, etc. Los métodos tradicionales de autenticación, familiares ya para todos, se basan en el uso de un identificador único de usuario acompañado de una contraseña que solo el usuario conoce. Pero, ¿qué pasa cuando la contraseña es interceptada o robada por otro usuario? Nadie quiere comprobarlo
  • 31. 28 Diagrama De Secuencia De Autenticación De Doble Factor Diagrama 10 Secuencia de Autenticación Fuente: (Heboluba, 2015) Como podemos ir observando a lo largo de la descripción se van utilizando nuevas tecnologías para la protección de los portales online de la banca en Guatemala. Un nuevo factor de validación para la seguridad del portal online de los bancos se basa en la utilización de sitios HTTPS, y la adición de un certificado digital, esto para dar más seguridad al sitio y presentar ante el cuentahabiente que el sitio es válido y confiable, para la integración del certificado digital es necesario que la Autoridad Verificadora confirme la información jurídica que cada sitio, el proceso se muestra a continuación
  • 32. 29 Proceso De Generación De Un Certificado Digital Diagrama 11 Proceso de generación de Certificados Digitales Fuente: (www.contentverification.com, 2015) Luego de la verificación de toda la información del sitio se procede ya a la integración de CSR generado por la Autoridad Verificadora. GENERACIÓN DE LA RESPUESTA DEL CERTIFICADO DIGITAL Diagrama 12 Generación de respuesta del Certificado Digital Fuente: (www.servicetechmag.com, 2015)
  • 33. 30 SIEM (Security Information and Event Management): Esta es una herramienta que es capaz de poder monitorear el estado de dispositivos para conocer el estado de seguridad. Y poder obtener la información total del equipo monitoreado. 3.5 Beneficios de implementación de estrategias para prever la infraestructura de Banca en Línea: Al conocer más acerca de los equipos que pueden ayudar a la protección integral de la seguridad de la publicación de los servicios del sistema bancario, es necesaria la creación del diagrama que de visibilidad sobre toda la infraestructura. Si se toma como referencia lo anterior, se puede describir que la seguridad del sitio no solamente se enforsa en toda la infraestructura que actualmente se tiene disponible, sino además de ello la seguridad de las personas, esto conlleva a muchos temas que permitirán a los cuentahabientes tener la disponibilidad a los sitios, pero además también la seguridad para el ingreso de la información que se requiera por parte de este, esto para evitar que se pueda dar el robo de datos confidenciales del cliente. Como responsables de la infraestructura se deberán de conocer ciertos factores de cada uno de los equipos, y para ello llevar un control de cambios para documentar las modificaciones que se realicen; ya sean bajo demanda o en ventanas de mantenimiento. Una vez montada la infraestructura en el Data Center de la entidad, será necesaria la validación de todos los aspectos de seguridad, iniciando desde el circuito eléctrico, organización de cableado, disponibilidad de los equipos en un área específica, entre otros. ITIL ayudará a poder conocer más acerca de los procesos y procedimientos en el ciclo de vida del sistema. Y al hablar de este, será la forma de administrar todos los dispositivos y dar la visibilidad sobre las configuraciones y mitigaciones en un momento dado. A continuación se muestra el diagrama de red conceptual donde se observa la integración con los equipos descritos anteriormente:
  • 34. 31 Diagrama Conceptual De Infraestructura Para La Protección De Sitios En Línea: Diagrama 13 Infraestructura para la protección de sitios en linea Fuente: Propia. Según el diagrama anterior podemos observar que la protección de la publicación interna de los servidores inicia lo más al norte posible, con la protección del APS a las IP Públicas de la entidad bancaria. Es decir con esto se logrará la protección de ataques de DDOS y evitar inundaciones que logren la no disponibilidad del sitio en línea. Como el APS solo analiza la protección de la Disponibilidad pero no la integridad y confidencialidad, se observa que se tiene dentro de la infraestructura un IPS que será el encargado de la protección de ataques a las aplicaciones de la institución bancaria, como se explicó al inicio es muy importante que estos equipos que se encuentran en el perímetro sean los responsables de mantener la disponibilidad del sitio y que puedan brindar al cuentahabiente, Cuando se tenga protegido el perímetro, tanto el balanceado de Carga y el Firewall serán los responsables de brindar el segundo anillo de protección, es decir, con la disponibilidad de los servidores se podrá realizar la publicación. Para ello se tomaran en cuenta los servicios de HTTPS
  • 35. 32 u otro servicio para la publicación. En esta estrategia no se tratarán el Port Forwarding hacia otros puertos, aunque si implementación es sencilla. Una vez se tenga la disponibilidad de la publicación, se utilizará el Balanceador para asignar las solicitudes de los clientes hacia el servidor, básicamente estas aplicaciones están basadas en tecnologías de cliente-servidor. La estrategia no detalla el tipo de Balanceos de Carga, pero dependerá de las necesidades de la institución bancaria si se utiliza el método de Round Robin o basado en DNS entre otros. Y aunque el WAF juega un papel importante en el análisis de transacciones en las bases de datos locales en los servidores, esta protección se dará directamente a las aplicaciones que se utilizan dentro de la infraestructura, en esta estrategia no se detallan las bases de datos utilizadas pero estas pueden ser AIX , Unix Solaris, Microsoft SQL, DB2 y PostgreSQL en ambientes UNIX, Windows y estándares, Uno de los puntos importantes en las verificaciones de transacciones de las bases de datos, alta disponibilidad y respaldos no son tratados en este documento o estudio. La presentación de la aplicación en el portal de internet puede ser en varios lenguajes de programación, y estos deben de ser capaces de poder realizar la integración con las tecnologías de doble factor de autenticación, algunos bancos utilizan tokens de hardware para realizar esta tarea, otros más aplicaciones para Smartphone o el simple hecho de enviar mensajes de texto a los números de teléfonos registrados por los cuentahabientes. Para esta integración la infraestructura deberá de dar protección adicional con los certificados digitales que son los que ofrecerán la protección; para ello se necesita una auditoria que confirme que todo el código utilizado por la página web sea lo sufrientemente seguro. Como toda la seguridad es integral se deberá de adicionar el SIEM dispositivo que nos ayudará a la interpretación de los logs que se generan en cada uno de los equipos, esta normativa nos ayudará a entender más acerca de los eventos que se están generando en cada uno de los equipos. Si bien se han descrito la utilización de estos dispositivos no es mandataria la utilización de todos estos, pero si es necesario que se tomen como referencia la adquisición de las mismas como buenas prácticas de seguridad. Cualquier otra tecnología puede ser adicionada a estas estrategias ya que con el paso del tiempo los equipos de nueva generación van brindado más seguridad integral a todo nuestro perímetro.
  • 36. 33 4. ANÁLISIS Y DISCUSIÓN DE RESULTADOS 4.1 Interpretación: La Tecnología, el internet, los buscadores, las redes sociales, los teléfonos móviles, son herramientas que le han permitido al hombre desarrollar sus actividades laborales y sociales a lo largo de los últimos años. Sin embargo, al mismo tiempo su uso indebido o desprevenido ha generado riesgos a quien los utiliza. Tanto los individuos, como las empresas e inclusive instituciones gubernamentales han sido víctimas de varios delitos informáticos como el fraude, robo de identidad, robo de base de datos, infiltración, entre muchos otros. En la actualidad, Guatemala ocupa uno de los lugares en la lista de naciones de la región con mayor propagación de códigos maliciosos destinados al robo de información bancaria, según lo revelan varias compañías globales de soluciones de software de seguridad. Y esto conlleva a que los usuarios de internet sean vulnerados en sus cuentas de correo electrónico, de redes sociales, información personal y por último la de sus cuentas bancarias. Es responsabilidad de las entidades bancarias realizar actividades que ayuden a tener protegidos los sitios, son los usuarios los que en ocasiones no tienen la responsabilidad de salvaguardar sus accesos o el no validar que el sitio al que está tratando de ingresar sea el correcto. Si bien actualmente en Guatemala se tiene una Iniciativa 4055 Ley de Delitos Informáticos, que ayudaría a tipificar estos delitos, aún no ha sido aprobada por el Congreso de la Republica del país, con esto se podría ayudar no solo a las entidades bancarias del país, sino a cualquier otra organización, entidad del estado, empresa privada, Organizaciones No Gubernamentales, a la protección de sus sitios y de la información que se encuentra pública en el internet. Este tema es muy complicado ya que la mayoría de ataques se realizarían desde fuera de Guatemala y con ello no tener a un autor del ataque para ser condenado en Guatemala, pero si ayudaría a castigar a los sospechosos o culpables de realizar este tipo de actividades ilícitas. Se anexa al presente la iniciativa solo como referencia.
  • 37. 34 4.2 Conocimiento de usuarios acerca de la seguridad de infraestructura de banca en línea: La tecnología que se requiere para la implementación de la seguridad del perímetro de los sitios en línea en cualquier entidad bancaria, no es suficiente si los cuentahabientes son el eslabón más débil, esto porque, aunque se tengan todos los equipos y se cumplan con las mejores prácticas de seguridad, son ellos los que no cumplen con los requisitos mínimos en la mayoría de ocasiones, a causa de esto serían los más vulnerables, y aunque esto no representa un ataque directo, la vulnerabilidad de estas cuentas podrían ser utilizadas para realizar ataques de SQL Injection. Actualmente el conocimiento de los usuarios en relación a la seguridad de la infraestructura de la banca en línea básicamente se resume en el acceso a un sitio web en el internet donde tienen que ingresar un nombre de usuarios; en muchas ocasiones su nombre y apellido o una combinación de las mismas y una contraseña sencilla para que no se les pueda olvidar; como su fecha de nacimiento, nombre de familiares, apodos, entre otros, o si en su caso fuera una contraseña compleja listarla en un documento sobre su escritorio, una nota de texto en su teléfono, celular o notas en su computadora personal; si es cierto que el banco recomienda buenas prácticas para la seguridad de los cuentahabientes no todos las toman como referencia, y por estas razones se considera que la vulnerabilidad de la información de los beneficiarios es aún mayor. 4.3 Porque el desinterés por conocer sobre este tema Actualmente las tecnologías de información utilizadas por las entidades bancarias tanto a nivel nacional e internacional son de última generación, y administradas directamente por los empleados de estas, y son ellos quienes se capacitan en el uso de las tecnologías de información por ser los responsables de toda esta infraestructura, y aunque los nuevos profesionales en el área de Sistemas, no tienen acceso a esta información detallada por no trabajar directamente en estas áreas, los fabricantes de los equipos de seguridad las comparten y estas son de acceso público, pero los ingenieros de tecnologías de información no cuentan con la experiencia ni conocimiento necesario para la administración y comprensión de esta nueva tecnología.
  • 38. 35 Una de las ventajas de estos equipos es que los fabricantes cuentan con certificaciones para capacitar al personal técnico de cada una de estas instituciones no así a profesionales individuales por el alto costo de la capacitación o falta de aplicación en un ambiente controlado. Otro de los puntos fundamentales es la falta de especialización de cada uno de los profesionales en el área de Tecnologías de Información, ya que al no tener la necesidad de conocer o especializarse en estos temas, no les interesa profundizar en ello. 4.4 Estrategias para la seguridad de la infraestructura de banca en línea. Los beneficios de las estrategias se refiere en su sentido más amplio al proceso que pone planes y estrategias en acción para alcanzar objetivos, al consignar quién, dónde, cuándo y cómo se obtendrán los objetivos y las metas deseadas, en este sentido como bien se sabe el objetivo perseguido es precisamente el análisis de la seguridad en los servicios de banca en línea en Guatemala para establecer el impacto de las vulnerabilidades de estos; con base en lo descrito anteriormente se puede prever que la implementación de estrategias no solo para el análisis sino para reducir la vulnerabilidad de los usuarios es indispensable. Si se toma como base la información descrita anteriormente se puede utilizar la estrategia presentada como solución ante los problemas planteados y también como un referente de conocimiento para los profesionales en el área de seguridad, es decir tener que obtengan por medio de ella, los conocimientos básicos de qué equipos se tendrán en el perímetro para poder brindar a los cuentahabientes la seguridad, siempre para tomar en cuenta, las recomendaciones de las mejores prácticas de seguridad.
  • 39. 36 4.5 Establecer la factibilidad de la puesta en práctica de las estrategias para la seguridad de la infraestructura de banca en línea. La factibilidad es una variable indispensable al momento de la implementación de estrategias a cualquier nivel, puesto que por medio de evaluaciones, se podrá observar si la misma puede mantenerse, al mostrar evidencias de lo planificado cuidadosamente, considerar los problemas que involucra y si al final es funcional. Al hacer un análisis de la ley y su impacto para prevenir y sancionar las conductas ilícitas que afecten a los sistemas y datos informáticos cometidos por la utilización de tecnologías de información, ésto con la finalidad de garantizar la lucha contra la ciberdelincuencia. Esta tendrá como objetivo la protección de los sistemas que utilicen tecnologías de información, es decir medios tecnológicos en este caso la publicación de servicios en línea, así como también la protección, prevención y sanción de este tipo de delitos cometidos por el mal uso de las tecnologías, pues en la actualidad la violación de la privacidad de información es un fenómeno creciente y muy común, por ello, se considera indispensable la implementación de estas estrategias. En este punto también es importante reflexionar sobre el trabajo de los bancos y como éstos pueden tener toda la infraestructura para brindar a los usuarios toda esta protección, sin que ellos sean objeto de vulnerabilidades lejos de la tecnología. Tal es el caso de la ingeniería social, que era uno de los puntos más fáciles de utilizar sin que el cuentahabiente supiese que se estaba extrayendo la información no solo de sus cuentas bancarias sino de algún otro sitio. 4.6 Importancia de contar con estrategias para la seguridad de la infraestructura de banca en línea. Haciendo la reflexión de como los bancos logran dar seguridad de la información a los usuarios sin tener el conocimiento tecnológico sobre el manejo integral de esta, se puede concluir que se tienen campañas para que los cuentahabientes tomen las recomendaciones en cuenta, dentro de estas se pueden listar las siguientes: 4.6.1 Los bancos nunca piden por correo electrónico datos personales, contraseñas o información confidencial
  • 40. 37 4.6.2 Confirmar que el acceso al banco es por medio del protocolo https:// 4.6.3 Para mayor seguridad verificar que se tenga un certificado digital instalado, esta será una figura de un candado cerrado en la barra de direcciones. 4.6.4 Mantener a salvo su identidad electrónica, sin escribir contraseñas a la vista de nadie. 4.6.5 Mantenga en su computadora un Antimalware que sea actualizado permanentemente. 4.6.6 Evitar utilizar computadoras de sitios públicos como cafés internet 4.6.7 Cambia su acceso o clave frecuentemente La mayoría de los fraudes de banca en línea son basados en la robo de información personal de los cuentahabientes por no mantener o tomar en cuenta las recomendaciones de las entidades financieras. Si bien es cierto que todos estos servicios ofrecen a los cuentahabientes. Si es cierto que al momento de acceder a los portales en línea, estos ya están preparados para dar a los cuentahabientes la seguridad necesaria para que se puedan realizar todas las transacciones con toda la seguridad posible. Otro punto crucial en la protección de los sitios en línea, es la confirmación que sea un sitio correcto, ya que con el Phishing, la usurpación de sitios es muy común en el internet, y esto se da por la no validación de los sitios, y aunque el mismo cuente con un certificado digital que indique que el sitio es válido, en muchas ocasiones no sucede así. La implementación de esta estrategia es indispensable puesto que por medio de ella se podrán resolver problemas como los descritos a continuación: Se tomarán como ejemplo 2 portales web de la banca en línea de 2 entidades financieras en Guatemala, esto solo como referencia para poder validar que los temas tratados y tecnologías recomendadas sean eficientes y eficaces estén en el portal, ahora bien, es muy complicado que se confirme que alguno de ellos cuenta con la infraestructura recomendada en esta estrategia. Las entidades financieras serán, Banco Agromercantil S.A. y Banco Industrial.
  • 41. 38 Como parte del análisis iniciaremos observando que al momento de acceder a los portales web, estos muestran como primer factor de seguridad el acceso a su sitio por medio de HTTPS y con ello la carga del certificado digital, como se muestra a continuación. Banco Agromercantil Imagen 1 Sitio HTTPS BAM Fuente: (BAM, 2015) Banco Industrial Imagen 2 Sitio HTTPS Bienlinea Fuente: (BI, 2015) Nota: El Banco Industrial cuenta con varios portales para el acceso a sus servicios en línea, y para esta estrategia se tomará bienlinea.bi.com.gt La información de cada uno de los certificados digitales se pueden observar de igual forma en la misma página y pueden ser consultados, esta se muestra a continuación.
  • 42. 39 Detalle de Visor de Certificados del sitio bamnet.ba.com.gt Imagen 3 Detalle de Certificado sitio www.bamnet.com.gt Fuente: (BAM, 2015) Visor del sitio www.bienlinea.com.gt Imagen 4 Detalle de Certificado sitio www.bienlinea.com.gt Fuente: (BI, 2015)
  • 43. 40 Como se puede observar los 2 portales en línea muestra los detalles para prestar a sus cuentahabientes la información necesaria para confirmar la identidad del banco. Además de esta protección veremos el doble factor de autenticación en los sitios, aportando así un elemento más a la seguridad de los cuentahabientes. Ingreso de información a banca en línea de usuarios registrados. Imagen 5 Ingreso banca en línea, BI en Linea Fuente: (BI, 2015) Ingreso de información a banca en línea de usuarios registrados. Imagen 6 Ingreso banca en línea, BAMNet Fuente: (BAM, 2015)
  • 44. 41 4.7 Beneficios para los usuarios que genera la utilización de estrategias. Un SGSI es un elemento para la administración relacionada con la seguridad de la información, este implica la creación de un plan de diseño, implementación y mantenimiento de procesos que permitan gestionar de manera eficiente toda la información que se pueda generar dentro de los sistemas de información esto para prever la disponibilidad, confidenciales e integridad. Como parte de los procesos internos de cada entidad bancaria es fundamental que se tenga este tipo de procesos y con ello pueda ser aplicado el aseguramiento del perímetro de las publicaciones de los servicios de banca en línea. ¿De qué forma se pueden diseñar políticas de seguridad integrales? Es una pregunta muy complicada ya que aunque en muchas ocasiones el profesional de tecnologías de información tenga el conocimiento es responsabilidad de las instituciones bancarias la adquisición de estos equipos y/o actualización de los mismos, al tomar como base el ciclo de vida de cada uno de estos equipos, se recomienda puedan ser utilizados como mínimo 5 años ya que las instituciones no las cumplen. El mayor aporte de contar con estrategias es presentar a los responsables de la seguridad una visión amplia de las características de cada uno de los equipos, la selección de modelos de cada uno de estos se basara en los requerimientos que el responsable de estas tecnologías quiera proteger, desde la cantidad de tráfico de cada uno de los enlaces de internet, cantidad de tráfico que se genera dentro de la infraestructura, tipos de sistemas operativos, tipos de bases de datos, cantidad de sesiones concurrentes generadas, entre otros. Los beneficios que se obtendrán al implementar esta estrategia será que el profesional de TI pueda presentar propuestas para la protección de las publicaciones en el perímetro de la entidad financiera.
  • 45. 42 4.8 Elementos dominados a nivel técnico por los beneficiarios de la estrategia presentada: Si bien es cierto que la presente propuesta no pretende hacer que el Ingeniero sea experto en todas las tecnologías, éste si pueda ampliar su conocimiento acerca de las tecnologías utilizadas en el área de seguridad de la información. Al tener un nuevo conocimiento sobre estas tecnologías, y con esto ampliar su punto de vista acerca de los equipos o software que se utilizarán para la protección del perímetro. Tal como se explica, no es forzosa la adquisición de todas estas tecnologías, ya que se debe de tomar en cuenta un presupuesto anual sobre los equipos que se tendrían que adquirir, tamaño de la institución bancaria y el impacto que este servicio puede proporcionar hacia los cuentahabientes. 4.9 Necesidades de formación técnica: Este trabajo plantea un fenómeno crítico en el área de sistemas, enfocado en el desconocimiento técnico de actividades que realizan los profesionales en el área de seguridad de los portales en línea de las instituciones bancarias de Guatemala. Es necesario contar con lineamientos técnicos como apoyo a dichos profesionales. Realizado el análisis sobre este punto débil dentro del área de sistemas se concluye que la formación técnica de personas inmersas en este ámbito, es crucial pues son los únicos que pueden dar respaldo responsable a los usuarios de banca en línea; pues a través de la implementación de infraestructura, equipo y conocimientos técnicos este punto débil pasará a no ser vulnerable. Como parte de las tecnologías de información los profesionales deben de tener claro que aunque se implementen nuevos sistemas de seguridad de nueva generación las vulnerabilidades siempre seguirán latentes y la innovación que se necesite implementar siempre dará tanto a la entidad financiera un nivel adicional de protección como a los cuentahabientes.
  • 46. 43 5. CONCLUSIONES: 5.1 Los delitos Informáticos son todas aquellas anomalías que se dan dentro de las distintas redes existentes en la web o por algún otro medio de comunicación. Se viola la privacidad de las personas, Instituciones, empresas, etc. Se producen delitos como el Fraudes, Robo de información confidencial, Espionaje Informático, entre otros. 5.2 Muchos de estos delitos se dan a través del Internet, las redes sociales son peligrosas porque los delincuentes informáticos usan esta herramienta para recopilar información de sus posibles víctimas, ignorando cuales son las intenciones de dichas personas. 5.3 Analizando la seguridad del sitio en mención se determina que: La seguridad del portal web es seguro Los factores externos podrían afectar este estado seguro Es indispensable que el cliente sea consiente al momento del acceso al portal. 5.4 De acuerdo al análisis realizado se crearon los esquemas necesarios el cual cumple con los objetivos planteados. Un punto fundamental en las conclusiones es que aunque se cuenta con toda la tecnología de punta montada en la infraestructura de las entidades bancarias para proteger el perímetro y en caso específico las publicaciones de los servicios de los servidores de banca en línea, los sistemas no serán 100% seguros, y quedara latente la actualización y mejoramiento de las tecnologías que se van adaptando a los cambios de los ataques informativos o nuevas vulnerabilidades. 5.5 Se establecieron los diferentes esquemas de la infraestructura de la seguridad de los sitios de banca en línea que ayudaran a la protección del perímetro, desde las diferentes situaciones que puedan presentarse.
  • 47. 44 6. RECOMENDACIONES 6.1.Este trabajo puede ser utilizado como referencia del tema planteado por el o los alumnos que deseen extenderse sobre el mismo 6.2 Como se indicó al inicio esta es solo el planteamiento de estrategias de referencia de toda la infraestructura perimetral que es utilizada por la banca en Guatemala, con ello no se confirma que sea la misma infraestructura o que los diagramas indique que es el orden correcto, al tomar como base esto, se recomienda lo siguiente 6.3.Que se concientice a los cuentahabientes a que se valide el acceso a los sitios correctos para que con ello no sean objeto de robo de su información. 6.4.Como no se conoce la experiencia en el área de informática de todos los cuentahabientes, se recomienda que el sitio sea lo más amigable para que la información ingresada sea lo más fácil posible. 6.5.Que se utilicen algunos de los equipos que se describieron en el presente documento. 6.6.Que se mejore el diagrama o equipos luego de su ciclo de vida, de acuerdo a las especificaciones determinadas anteriormente.
  • 48. 45 7. GLOSARIO Amenaza: Una amenaza informática es toda circunstancia, evento o persona que tiene el potencial de causar daño a un sistema en forma de robo, destrucción, divulgación, modificación de datos o negación de servicio (DoS). (seguridadinformatica.unlu.edu.ar, 2015) Aplicaciones engañosas: Las aplicaciones engañosas son programas que intentan engañar a los usuarios informáticos para que emprendan nuevas acciones que normalmente están encaminadas a causar la descarga de malware adicional o para que los usuarios divulguen información personal confidencial. Un ejemplo es el software de seguridad fraudulento, que también se denomina scareware. (Kaspersky.com, 2015) Ataques Web: Un ataque Web es un ataque que se comete contra una aplicación cliente y se origina desde un lugar en la Web, ya sea desde sitios legítimos atacados o sitios maliciosos que han sido creados para atacar intencionalmente a los usuarios de ésta. (blog.sucuri.net, 2015) Bot: Un bot es una computadora individual infectada con malware , la cual forma parte de una red de bots (bot net). Botnet: Conjunto de equipos bajo el control de un bot maestro, a través de un canal de mando y control. Estos equipos normalmente se distribuyen a través de Internet y se utilizan para actividades malintencionadas, como el envío de spam y ataques distribuidos de negación de servicio. Las botnet se crean al infectar las computadoras con malware, lo cual da al atacante acceso a las máquinas. Los propietarios de computadoras infectadas generalmente ignoran que su máquina forma parte de
  • 49. 46 una botnet, a menos que tengan software de seguridad que les informe acerca de la infección. (searchsecurity.techtarget.com, 2015) Crimeware: Software que realiza acciones ilegales no previstas por un usuario que ejecuta el software. Estas acciones buscan producir beneficios económicos al distribuidor del software. (Symantec.com, 2015) Ciberdelito: El ciberdelito es un delito que se comete usando una computadora, red o hardware. La computadora o dispositivo puede ser el agente, el facilitador o el objeto del delito. El delito puede ocurrir en la computadora o en otros lugares. (delitosinformaticos.com, 2015) Definiciones de virus: Una definición de virus es un archivo que proporciona información al software antivirus, para identificar los riesgos de seguridad. Los archivos de definición tienen protección contra todos los virus, gusanos, troyanos y otros riesgos de seguridad más recientes. Las definiciones de virus también se denominan firmas antivirus. (www.seguridadpc.net, 2015) Descarga inadvertida: Una descarga inadvertida es una descarga de malware mediante el ataque a una vulnerabilidad de un navegador Web, equipo cliente de correo electrónico o plug-in de navegador sin intervención alguna del usuario. Las descargas inadvertidas pueden ocurrir al visitar un sitio Web, visualizar un mensaje de correo electrónico o pulsar clic en una ventana emergente engañosa. (Microsoft.com, 2015) Encriptación: La encriptación es un método de cifrado o codificación de datos para evitar que los usuarios no autorizados lean o manipulen los datos. Sólo los individuos con acceso a una contraseña o clave
  • 50. 47 pueden descifrar y utilizar los datos. A veces, el malware utiliza la encriptación para ocultarse del software de seguridad. Es decir, el malware cifrado revuelve el código del programa para que sea difícil detectarlo. (larevistainformatica.com, 2015) Exploits o Programas intrusos: Los programas intrusos son técnicas que aprovechan las vulnerabilidades del software y que pueden utilizarse para evadir la seguridad o atacar un equipo en la red. (welivesecurity, 2015) Firewall: Un firewall es una aplicación de seguridad diseñada para bloquear las conexiones en determinados puertos del sistema, independientemente de si el tráfico es benigno o maligno. Un firewall debería formar parte de una estrategia de seguridad estándar de múltiples niveles. (spi1.nisu.org, 2015) Ingeniería Social: Método utilizado por los atacantes para engañar a los usuarios informáticos, para que realicen una acción que normalmente producirá consecuencias negativas, como la descarga de malware o la divulgación de información personal. Los ataques de phishing con frecuencia aprovechan las tácticas de ingeniería social. (hackstory.net, 2015) Malware: El malware es la descripción general de un programa informático que tiene efectos no deseados o maliciosos. Incluye virus, gusanos, troyanos y puertas traseras. El malware a menudo utiliza herramientas de comunicación populares, como el correo electrónico y la mensajería instantánea, y medios magnéticos extraíbles, como dispositivos USB, para difundirse. También se propaga a través de descargas inadvertidas y ataques a las vulnerabilidades de seguridad en el software. La mayoría del malware peligroso actualmente busca robar información personal que pueda ser utilizada por los atacantes para cometer fechorías. (Infospyware, 2015)
  • 51. 48 Negación de servicio (DoS): La negación de servicio es un ataque en el que el delincuente intenta deshabilitar los recursos de una computadora o lugar en una red para los usuarios. Un ataque distribuido de negación de servicio (DDoS) es aquel en que el atacante aprovecha una red de computadoras distribuidas, como por ejemplo una botnet, para perpetrar el ataque. (Symantec, 2015) Phishing: A diferencia de la heurística o los exploradores de huella digital, el software de seguridad de bloqueo de comportamiento se integra al sistema operativo de un equipo anfitrión y supervisa el comportamiento de los programas en tiempo real en busca de acciones maliciosas. El software de bloqueo de comportamiento bloquea acciones potencialmente dañinas, antes de que tengan oportunidad de afectar el sistema. La protección contra el comportamiento peligroso debe ser parte de una estrategia de seguridad estándar de múltiples niveles. (OnGuardOnline.gov, 2015) Seguridad basada en la reputación: La seguridad basada en la reputación es una estrategia de identificación de amenazas que clasifica las aplicaciones con base en ciertos criterios o atributos para determinar si son probablemente malignas o benignas. Estos atributos pueden incluir diversos aspectos como la edad de los archivos, la fuente de descarga de los archivos y la prevalencia de firmas y archivos digitales. Luego, se combinan los atributos para determinar la reputación de seguridad de un archivo. Las calificaciones de reputación son utilizadas después por los usuarios informáticos para determinar mejor lo que es seguro y permitirlo en sus sistemas. La seguridad basada en la reputación debe ser parte de una estrategia de seguridad estándar de múltiples niveles. (RedesTelecom.es, 2015) Sistema de prevención de intrusos (IPS): Un sistema de prevención de intrusos es un dispositivo (hardware o software) que supervisa las actividades de la red o del sistema en busca de comportamiento no deseado o malicioso y puede
  • 52. 49 reaccionar en tiempo real para bloquear o evitar esas actividades. Un sistema de prevención de intrusos debe ser parte de una estrategia de seguridad estándar de múltiples niveles. (hp.com, 2015) Software de seguridad fraudulento (rogue): Un programa de software de seguridad rogue es un tipo de aplicación engañosa que finge ser software de seguridad legítimo, como un limpiador de registros o detector antivirus, aunque realmente proporciona al usuario poca o ninguna protección y, en algunos casos, puede de hecho facilitar la instalación de códigos maliciosos contra los que busca protegerse. (pcworl.com.mx, 2015) Vulnerabilidad: Una vulnerabilidad es un estado viciado en un sistema informático (o conjunto de sistemas) que afecta las propiedades de confidencialidad, integridad y disponibilidad (CIA) de los sistemas. (norton.com, 2015) Las vulnerabilidades pueden hacer lo siguiente:  Permitir que un atacante ejecute comandos como otro usuario  Permitir a un atacante acceso a los datos, lo que se opone a las restricciones específicas de acceso a los datos  Permitir a un atacante hacerse pasar por otra entidad  Permitir a un atacante realizar una negación de servicio
  • 53. 50 8. BIBLIOGRAFÍA AlertaEnLinea. (25 de octubre de 2015). https://www.alertaenlinea.gov/articulos/s0002-estafas- comunes-en-internet. Obtenido de https://www.alertaenlinea.gov/articulos/s0002-estafas- comunes-en-internet: https://www.alertaenlinea.gov/articulos/s0002-estafas-comunes-en- internet Antiphising. (25 de octubre de 2015). http://www.antiphishing.org/. Obtenido de http://www.antiphishing.org/: http://www.antiphishing.org/ BAM. (11 de octubre de 2015). https://bamnet.bam.com.gt/ClientBanking/T00000/AD00001T. Obtenido de https://bamnet.bam.com.gt/ClientBanking/T00000/AD00001T: https://bamnet.bam.com.gt/ClientBanking/T00000/AD00001T BGPExpert.com. (10 de Septiembre de 2015). BGP Expert. Obtenido de http://www.bgpexpert.com/what.php BI. (11 de octubre de 2015). https://www.bienlinea.bi.com.gt/login/index.aspx?complete=true. Obtenido de https://www.bienlinea.bi.com.gt/login/index.aspx?complete=true: https://www.bienlinea.bi.com.gt/login/index.aspx?complete=true CCM. (22 de octubre de 2015). http://es.ccm.net/contents/22-ataque-por-denegacion-de-servicio. Obtenido de http://es.ccm.net/contents/22-ataque-por-denegacion-de-servicio: http://es.ccm.net/contents/22-ataque-por-denegacion-de-servicio certsuperior.com. (2014). Recuperado el 30 de 9 de 2015, de http://www.certsuperior.com/seguridadinternet.aspx CNN. (25 de octubre de 2015). http://mexico.cnn.com/tecnologia/2012/03/29/legisladores- definen-cuales-son-los-delitos-informaticos-y-su-castigo. Obtenido de http://mexico.cnn.com/tecnologia/2012/03/29/legisladores-definen-cuales-son-los-delitos- informaticos-y-su-castigo: http://mexico.cnn.com/tecnologia/2012/03/29/legisladores- definen-cuales-son-los-delitos-informaticos-y-su-castigo eleconomista.es. (2014). Recuperado el 23 de 09 de 2015, de www.eleconomista.es/diccioario- de-economia-banca-electronica Etutorials.org. (15 de March de 2015). etutorials.org. Obtenido de http://etutorials.org/Networking/Integrated+cisco+and+unix+network+architectures/Chap ter+8.+Static+Routing+Concepts/Equal-Cost+Multi-Path+ECMP+Routing/ ExactNetworks.net. (s.f.). jncie-sec.exactnetworks.net. Obtenido de jncie-sec.exactnetworks.net: jncie-sec.exactnetworks.net Guiar.com.mx. (22 de Septiembre de 2015). guiar.com.mx. Obtenido de guiar.com.mx Heboluba. (1 de Octubre de 2015). heboluba.tumblr.com. Obtenido de heboluba.tumblr.com: heboluba.tumblr.com HP, T. P. (15 de Septiembre de 2015). www.tippingpoint.com. Obtenido de www.tippingpoint.com: www.tippingpoint.com http://datateca.unad.edu.co. (25 de octubre de 2015). http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003- online/11_leccin_1_pilares_de_la_seguridad_informtica.html. Obtenido de http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003- online/11_leccin_1_pilares_de_la_seguridad_informtica.html: http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003- online/11_leccin_1_pilares_de_la_seguridad_informtica.html
  • 54. 51 Imperva. (20 de Septiembre de 2015). www.imperva.com. Obtenido de www.imperva.com: www.imperva.com insystems.com.ar. (26 de septiembre de 2015). http://www.insystems.com.ar/software/tokens-usb- firma-digital-doble-factor-de-autenticacion/. Obtenido de http://www.insystems.com.ar/software/tokens-usb-firma-digital-doble-factor-de- autenticacion/: http://www.insystems.com.ar/software/tokens-usb-firma-digital-doble- factor-de-autenticacion/ keyloggers.com. (22 de octubre de 2015). http://www.keyloggers.com/. Obtenido de http://www.keyloggers.com/: http://www.keyloggers.com/ manueldelgado.com. (s.f.). Manuel Delgado. Obtenido de Manual Delgado: http://manueldelgado.com/que-es-una-content-delivery-network-cdn/ Microsoft. (22 de Octubre de 2015). http://windows.microsoft.com/es-419/windows-vista/what-is- phishing. Obtenido de http://windows.microsoft.com/es-419/windows-vista/what-is- phishing: http://windows.microsoft.com/es-419/windows-vista/what-is-phishing Norton. (15 de octubre de 2015). http://mx.norton.com/identity-theft-primer/article. Obtenido de http://mx.norton.com/identity-theft-primer/article: http://mx.norton.com/identity-theft- primer/article pcihispano.com. (25 de octubre de 2015). http://www.pcihispano.com/controles-tecnicos-de-pci- dss-parte-i-waf-web-application-firewall/. Obtenido de http://www.pcihispano.com/controles-tecnicos-de-pci-dss-parte-i-waf-web-application- firewall/: http://www.pcihispano.com/controles-tecnicos-de-pci-dss-parte-i-waf-web- application-firewall/ Security, P. (s.f.). Panda Security. Obtenido de pandasecurity.com: http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/phishing/ Seguridad, R. y. (18 de octubre de 2015). http://redyseguridad.fi- p.unam.mx/proyectos/seguridad/ServNoRepudio.php. Obtenido de http://redyseguridad.fi- p.unam.mx/proyectos/seguridad/ServNoRepudio.php: http://redyseguridad.fi- p.unam.mx/proyectos/seguridad/ServNoRepudio.php SEMANA, P. (2015). Semana.com. Recuperado el 07 de 10 de 2015, de http://www.semana.com/imprimir/80167 Viruslist.com. (22 de octubre de 2015). http://www.viruslist.com/sp/analysis?pubid=207270912. Obtenido de http://www.viruslist.com/sp/analysis?pubid=207270912: http://www.viruslist.com/sp/analysis?pubid=207270912 www.contentverification.com. (10 de Octubre de 2015). www.contentverification.com. Obtenido de www.contentverification.com: www.contentverification.com www.servicetechmag.com. (2 de octubre de 2015). www.servicetechmag.com. Obtenido de www.servicetechmag.com: www.servicetechmag.com
  • 55. 52 9. Anexos 9.1 Ley de Delitos Informáticos de Guatemala