Libros de Seguridad de la Información

lunes, 19 de mayo de 2008

Fraude Electrónico en Latinoamérica

Hoy en días bancos y otras instituciones financieras han incrementado el menú de servicios de transacciones financieras de tal forma que el cliente ya no quiere ir al banco sino para realizar depósitos, cobro de cheques u otra transacción que requiera la su presencia. Esta tendencia de utilizar todos los medios electrónicos también ha sido de interés de grupos criminales que ven en el fraude electrónico una manera más segura de cometer sus delitos, evitando su presencia o compromiso de su identidad en gran parte de los casos.

Latinoamérica no es la excepción a esta tendencia criminal y se ha convertido en una gran fuente de negocios criminales los cuales se han diversificado de maneras bastantes creativas. Al igual que Asia y Europa Oriental, el usuario de computadora personal promedio utiliza sistemas operativos no licenciados, mayormente Windows XP y Windows Vista. Esto implica que las debilidades del sistema operativo hacen vulnerables a los PCs de cualquier código malicioso, incluyendo el troyano “Banker”, el cual se concentra en recopilar identidades al ingresar a la página de algún banco que este en la lista. Incluso el antivirus, en el supuesto que este funcionando debidamente, no es suficiente para evitar una infección de este estilo.

Otra característica que da pie al creciente negocio del fraude electrónico es el que el latinoamericano no es tímido a la hora de usar los servicios electrónicos ofertados por la banca.

El troyano bancario es original de Europa Oriental y en Latinoamérica se utiliza la versión brasilera, siendo este puesto a la venta para quien quiera aplicarlo. El negocio es el siguiente: en Brasil se tiene el código fuente base del troyano y su personalización es ofertada a quien la quiera explotar, tal cual una franquicia, siendo posible realizar los contactos por correo o canales de chat. Esta personalización radica en colocar la lista de bancos en el código de forma que este actives los procesos de captura al momento de que la página de navegación se conecte al banco en la lista. Luego de capturar los datos de entrada usando técnicas de captura de teclado y de captura de las imágenes en un cuadrado alrededor de donde se pincha con el ratón, estos son enviados vía correo u otra conexión al delincuente. Este puede o cometer los fraudes en cualquiera de los canales de servicio electrónico (ATM, IVR, Internet Bancario, etc.); o bien puede vender la información a otro grupo delictivo. Finalmente contratan a “mulas” con promesa de dinero fácil y sin complicaciones, los cuales van a recibir y sacar el dinero.

En cuanto al troyano la solución brasilera de infectar al muy vulnerable PC, es haciendo uso de la ingeniería social, donde este pasa a través de imágenes, videos que se transportan en la mayoría de los casos de los canales IRC o el muy utilizado Microsoft Messenger. Es bien aclarar, que las debilidades de un producto radican en la falta de aplicar las actualizaciones debido al uso de un software ilegal, y no por el hecho de utilizar un producto en particular.

Los bancos al verse blanco de estos ataques delictivos están planificando el incremento de sus medidas de seguridad, pero es mucho el impacto de cambiar sus procesos de autenticación, por lo que estamos aun a la espera de que se hagan visibles estas medidas. Si está ausente en la mayoría una campaña de concienciación a sus clientes. Los gobiernos también han reaccionado incrementado las exigencias en materia de seguridad a las instituciones bancarias, pero no hay exigencias hacia el usuario final, que si bien recuerdan están usando software ilegal. Realmente debe haber un equilibrio en las responsabilidades entre la institución financiera y su cliente.

Próximamente, escribiré de las medidas para tratar de evitar ser victima de este tipo de fraudes.

sábado, 26 de abril de 2008

La Organización de la Seguridad de la Información

Si podemos echar un vistazo a diferentes empresas podemos conseguir que la Seguridad de la Información es enfocada desde perspectivas muy diversas. Nos podemos conseguir con diversidad de funciones, algunos cubren las necesarias otros no, podemos encontrarnos con duplicación de funciones con Administradores de Sistemas, si poseen o no un programa de concienciación de la seguridad, etc.

Lo primero que hay que pensar es si es requerida la existencia de un Departamento que concentre funciones de seguridad de la información o no, esto dependerá más del tamaño de la organización y de la necesidad o preocupación del negocio por los asuntos de seguridad. La necesidad por la seguridad esta relacionada con la dependencia del negocio a la tecnología y a los niveles de servicios deseados o requeridos para mantener los objetivos del negocio. Un ejercicio recomendado sería realizar la lista de necesidades basadas en los tres objetivos de seguridad esenciales como son: confidencialidad, integridad y disponibilidad. Del resultado de esta abstracción podemos ver que tan complicado seria definir los requerimientos de seguridad, en algunos casos podemos estar seguro que un buen administrador de sistemas se ocupara de estas necesidades, pero si se percibe una preocupación por este asunto y existe cierto nivel de complejidad al realizar esta definición, es entonces donde se debe tomar la decisión de adquirir los servicios de un profesional de la seguridad de la información.

Como profesional de la seguridad de la información el resto es plantear cual es la funcionalidad que debe realizar o la que debe tener la unidad organizacional que lleve los asuntos de seguridad. Esta funcionalidad varía de acuerdo a las necesidades del negocio y a la cultura de seguridad de la organización. Lo mejor para definir estas funciones es o la de realizar un análisis de vulnerabilidad como el planteado por MEHARI, el cual contiene un cuestionario que mide si determinada función de seguridad es llevada a cabo o no. ISM3 (ISM Cubo) es una metodología bastante interesante, lo primero es leerla de aquí se puede construir un cuestionario interesante en una hoja de calculo, donde puedas realizar la medición basada en la madures, incluso con relaciones a COBIT e ISO27002. El análisis y los resultados del mismo determinaran el estado de la seguridad de la información, aparte que se tendría una línea base para llevar a cabo la mejora continua de esta gestión.

Definir quien hace que, es el próximo paso. Aquí lo principal es tener en cuenta la segregación de funciones. El que define las reglas, no puede ser el que las aplica, ni el que las monitorea. Otro punto a considerar es el definir bien los limites entre los operativos de seguridad y lo administradores de sistemas o redes, deforma que no halla puntos grises y se incurra en evasión de la responsabilidad de alguno aludiendo que no le corresponde, aparte que es muy ineficiente no confiar en al administrador de sistema o redes para configurar reglas de seguridad, sin embargo todas estas actividades deben ser monitoreadas. Se debe incluir en esta definición los roles y responsabilidades que el resto de la organización tienen en materia de seguridad. El conseguir un sponsor en la dirección de la organización es vital, de esta forma todo el trabajo que se realice no será en vano ya que formará parte de las prioridades de la organización.

Por último definir metas y un sistema de medición es importante, de esta forma puede aplicar calidad a la gestión de seguridad de la información. Se puede llevar un plan a corto, mediano y largo plazo acorde con la línea base, así se pueden definir los indicadores de gestión. Se deben incluir los servicios que la unidad asuma y metas para cerrar brechas de seguridad que hallan resultado de los análisis de riesgo realizados, auditorias, etc.

Referencias:

https://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES

http://www.ism3.com/index.php?option=com_docman&Itemid=9


Google