mejores prácticas de seguridad de la información aplicadas ... · • ios, android, windows,...

Mejores prácticas de

Seguridad de la Información

aplicadas a la Banca Móvil

Oscar Tzorín

Superintendencia de

Bancos de Guatemala

1

Panorama del acceso de alta velocidad a Internet, para América Central

Las APP como soporte tecnológico del modelo de negocio de Banca Móvil

Panorama actual de la seguridad

Anatomía de ataques a los sistemas operativos iOS y Android

Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil

1

2

3

4

5

Panorama del acceso de alta velocidad a Internet, para América Central 1

Panorama del acceso de alta velocidad a Internet, para América Central 1

Ref. 4gamericas.org

Panorama del acceso de alta velocidad a Internet, para América Central

Las APP como soporte tecnológico del modelo de negocio de Banca Móvil

Panorama actual de la seguridad

Anatomía de ataques a los sistemas operativos iOS y Android

Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil

1

2

3

5

4

Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2

Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2

• Modelos Aditivos: Dirigidos principalmente a clientes de la banca y

se suma al servicio que poseen. Mejora la fidelidad de los clientes y

eficiencia del servicio.

• Modelos Transformacionales: Buscan llegar a segmentos no

bancarizados a través de productos que se orientan a cubrir

necesidades específicas.

Seleccionar el aplicativo con base al modelo de servicio financiero

móvil.

Modelos para prestar servicios financieros móviles:

Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2

Uso del teléfono móvil como terminal de acceso remoto a servicios

financieros:

• La versatilidad del teléfono móvil permite ofrecer servicios que van

más allá de la voz.

• El teléfono móvil ofrece un canal que permite acceder a información

personal importante en cualquier momento y lugar.

• Es una clara alternativa frente a la inversión en infraestructuras para

acceder al dinero como cajeros y tarjetas de crédito.

• El teléfono móvil puede ofrecer acceso tanto a servicios financieros

de consulta como transaccionales.

Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2

Ref. Mobile Marketing Association Spain MMA/Seeketing

Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2

Ref. Mobile Marketing Association Spain MMA/Seeketing

Panorama del acceso de alta velocidad a Internet, para América Central

Las APP como soporte tecnológico del modelo de negocio de Banca Móvil

Panorama actual de la seguridad

Anatomía de ataques a los sistemas operativos iOS y Android

Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil

1

2

3

5

4

Panorama actual de la seguridad 3

Panorama actual de la seguridad 3

Aplicaciones falsas detectadas en Google Play (muestra de 50 aplicaciones)

Ref. Trend Micro

Panorama actual de la seguridad 3

Ref. Trend Micro

Código malicioso detectado en Google Play (muestra de 50 aplicaciones)

Panorama actual de la seguridad 3

Eventos de fraude en Google Play

Ref. Trend Micro

Panorama actual de la seguridad 3

Eventos que han impactado a la seguridad de los aplicativos móviles de Bancos

Ref. Pcmagazine.com

Panorama actual de la seguridad 3

Ref. Intego.com

Panorama del acceso de alta velocidad a Internet, para América Central

Las APP como soporte tecnológico del modelo de negocio de Banca Móvil

Panorama actual de la seguridad

Anatomía de ataques a los sistemas operativos iOS y Android

Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil

1

2

3

5

4

Anatomía de ataques a los sistemas operativos iOS y Android 4

Acceso Físico

Ingeniería Social

Puntos de Acceso WiFi Inseguros

1 2 3 Google Play Market

4

Anatomía de ataques a los sistemas operativos iOS y Android 4

Acceso físico Ingeniería social Puntos de acceso WiFi inseguros

Realizar Jailbreak e

incorporar Troyano

para acceder

remotamente.

Perfiles maliciosos (LinkedIn

Intros). Certificados falsos

(FinSpy).

Crear puntos de accesos sin

contraseña, con el objeto de escuchar

tráfico para robar información.

iOS

Acceso físico Ingeniería social Google Play Puntos de acceso

WiFi inseguros

Realizar Root e

incorporar

Troyano para

acceder

remotamente

Engaño a través de

correos y sitios web,

para instalar nuevas

aplicaciones o

actualizaciones de las

mismas, con código

malicioso.

Repackaged Apps

(aplicaciones falsas).

Aplicaciones con falsos

comentarios positivos y

calificaciones de 5

estrellas.

Crear puntos de

accesos sin

contraseña, con el

objeto de escuchar

tráfico

Android

Anatomía de ataques a los sistemas operativos IOS y Android 4

LinkedIn Intros

Anatomía de ataques a los sistemas operativos IOS y Android 4

Ref. Wikileaks

FinSpy

Panorama del acceso de alta velocidad a Internet, para América Central

Las APP como soporte tecnológico del modelo de negocio de Banca Móvil

Panorama actual de la seguridad

Anatomía de ataques a los sistemas operativos iOS y Android

Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil

1

2

3

5

4

Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5

Comprender nuestro entorno

• ¿Qué metodología de desarrollo seguimos?

• ¿Qué lenguajes de programación utilizamos?

• ¿Qué marcos de riesgos/seguridad seguimos?

• ¿Qué bibliotecas de terceros utilizamos?

• ¿Qué etapas en el proceso de desarrollo requieren la aprobación del

equipo de seguridad?

• ¿Qué normativa debemos cumplir? JM-102-2011 y JM-120-2011

Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5

Comprender las plataformas que utilizamos

• iOS, Android, Windows, BlackBerry

Cuatro controles de seguridad clave

• Requisitos de seguridad definidos: Plan del proyecto, contrato con el

proveedor, entre otros.

• Revisiones de seguridad del código fuente: revisiones manuales.

• Pruebas de seguridad en el control de calidad: casos de prueba

positivos y negativos.

• Análisis del aplicativo que fue implementado: escaneos

automatizados, análisis manuales, entre otros.

Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5

OWASP Top 10 Mobile Risks

Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5

OWASP iOS AppSec Cheat Sheet

Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5

iOS: Archivos objetivo Android: Archivos objetivo

Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5

Estándares de seguridad

• ISO 27000, Information Security Management Systems

• NIST -National Institute of Standards and Technology- Cybersecurity

Framework

• OWASP -Open Web Application Security Project-

Dudas o comentarios?

Oscar Tzorín Superintendencia de Bancos de Guatemala.

9 avenida 22-00 zona 1, Ciudad de Guatemala, Guatemala.

Guatemala, Julio de 2015.