infosecurity 2014 seguridad de la información · buen día mi nombre es liseth guevara deleon...
TRANSCRIPT
InfoSecurity 2014 Seguridad de la Información
Jaime González Suvillaga
PRINCIPALES OBJETIVOS DE LOS
ATAQUES INFORMATICOS Robo de Dinero
Robo de Información
Hactivismo
Protesta
Curiosidad
¿QUIÉNES SON LOS ATACANTES?
Atacantes Individuales
Internos
Externos
Crimen organizado
Nacional
Supranacional
Robo de Dinero
Canales más Vulnerables
ATM´s
POS con Tarjetas de Débito y Crédito
Banca por Internet
Banca Móvil
Robo de Dinero
ATM´s
Robo de efectivo (Cash)
Como el ATM tiene dos factores de autenticación se necesitan la Tarjeta y el PIN
Se obtienen suplantando el card reader para copiar banda y el pin por una cámara, observador o ingeniería social.
Robo de Dinero
ATM´s
Robo de Dinero
Compras en POS con TC/TD
Compras con tarjeta presente y no presente (Internet, call centers, etc)
Clonación de tarjetas
Suplantación de Identidad copiando los DUI´s y reverso de las tarjetas el CVV2
Banca por Internet
Transferencia a cuentas
de terceros y retiro en
ATM´s
Pago de servicios de
terceros
Robo de Usuario y
password
Banca por Internet
Modalidades de fraude
Imagen cortesía de Easy Solutions
Banca por Internet
Phishing (En El Salvador desde 2010)
Email enviado a una base de
datos de correos aleatoria,
donde se solicitan datos de los
clientes como usuarios,
passwords, cvv2, Número de
Tarjeta de Crédito,
Todos los datos los toma el
delincuente y comienza el
fraude
Retiros de efectivo en ATM´s
y/o pago de servicios
Banca por Internet
Keylogger, Screenloggers (En El Salvador desde 2010)
Email enviado a una base de
datos de correos aleatoria, al
dar click en el link que dice
llevar al curriculum baja el
trojano (keylogger)
Todo lo digitado se guarda en
un archivo y luego es enviado
al sitio del hacker
Buen día mi nombre es Liseth Guevara Deleon estoy en búsqueda de un puesto de
trabajo. Le adjunto mi currículo vitae en este email. También cuento con una
página web donde podrá descargar mi hoja de vida para que pueda analizarlo.
Espero tener noticias a esta dirección de correo electrónico o al teléfono que
menciono en mi sitio.
Liseth Guevara Deleon
Elempleo.com
Copyright © 2010, Leadersearch S.A
Banca por Internet
Pharming (En El Salvador desde 2011)
Email enviado a una base de
datos de correos aleatoria,
donde se envía un link a una
noticia relevante o situaciones
del banco
Cambia el direccionamiento
de un website en este caso el
de tu banco a un website del
fraude, cambiando ya sea el
host o DNS
Banca por Internet
Pharming (En El Salvador desde 2011)
Cambio en el DNS Redireccionamiento
Banca Móvil
Imagen cortesía de EasySolutions
Hactivismo (Hacker y Activismo)
Fuente: http://hackmageddon.com
Hactivismo (Hacker y Activismo)
El Salvador
Operación Justicia SV,
6/11/2011
PNC, CAPRES, Asamblea,
MAG. Recientemente
ministerio de Gobernación
Ataques de denegación
de servicio
Modificación de página
web
¿Qué hacer para mitigar el Riesgo de
fraude?
Direccionar Mejores Análisis de Riesgo
Adoptar Métodos de Autenticación más Robustos
Explorar técnicas de Autenticación Avanzadas
Empujar por capas de Seguridad Avanzadas
Mejorar la protección y educación de los Clientes
Direccionar la Gestión del Riesgo
Implementar el proceso de Análisis de Riesgo de los procesos y transacciones existentes una vez al año y cada vez que se implemente una nueva transacción
Deben considerarse los posibles impactos en pérdidas esperadas, daño reputacional, violaciones de ley, etc
Considerar lo siguiente entre otros:
Tipo de Cliente
Sensibilidad de la Información
Facilidad de Uso
Volumen Transaccional
Canales donde estará disponible
Adoptar Métodos de Autenticación más
Robustos
Hoy se requiere más autenticación a los usuarios que su ID
de Usuario y Password
Considerar las reglas de la Autenticación
Algo que se
Algo que tengo
Algo que es Unico
Adoptar Métodos de Autenticación más
Robustos
Dependiendo de la transacción, canal, monto, cliente así debe
implementarse múltiples factores de autenticación entre ellos:
Token físicos
SoftTokens
OTP (One time Password) por SMS o Email
Autenticación Push
Aprobación de Transacción Push
Magnetic Card
Explorar técnicas de Autenticación Avanzadas
El Fraude cada vez es más sofisticado por tanto debemos
explorar la implementación de técnicas de autenticación
avanzadas que sean únicas entre ellas:
Credenciales de Hardware: PC, Tablets, Celulares
Credenciales biométricas:huella, iris, reconocimiento
facial
Manejar Múltiples capas de Seguridad
Avanzadas
Imagen Cortesía de
EasySolutions
Mejorar la protección y educación de los
Clientes
Involucrar a nuestros clientes en
los temas de seguridad de uso en ATM´s, tarjetas de crédito, Banca por Internet, Banca móvil, etc
Involucrar a nuestros clientes en la denuncia cuando sospechan o no están seguros.
Permitir la accesibilidad de educarse y denunciar a nuestros clientes por call center, email, chat, etc
Educar a nuestras autoridades para que se apruebe una Ley contra los delitos informáticos ya sea por fraude, robo de información, hactivismo, etc
Gracias