Por Jorge Contreras
Este 14 de agosto, ISSA, con el auspicio de diversas firmas, llevó a cabo la conferencia sobre
Cybercrimen 2013, en los ambientes del Swiss hotel en el distrito de
San Isidro, en Lima, en el que se analizó la situación actual y tendencias
futuras de los ciber delitos y la banca.
Entre sus importantes conclusiones un repunte en los
próximos años en la banca, requiere prestar atención al desarrollo de tecnología de
servicios, acorde a los beneficios y educación de sus usuarios (clientes). El espectro de la inseguridad se mueve en los campos de seguridad informática y la seguridad de las informaciones. Entre
los riesgos, la “identidad” y el “hurto de datos” constituyen uno de los más
importantes riesgos. Felicitaciones a todos los que tuvimos la oportunidad de ver.
Los invitamos a leer este artículo, con algunas pinceladas
de las presentaciones.
Utilizando el
teléfono móvil para hacer transacciones bancarias...
“El caso del banco BCI en Chile”. Esta presentación a cargo
de Héctor Contreras nos mostró la necesidad de
compatibilizar las necesidades del usuario, con las capacidades de la
tecnología y las ofertas que la banca puede ofrecer. El caso del banco BCI en
Chile ha llegado a una solución para acceder a la banca a través del teléfono
celular inteligente fijando una solución efectiva contra el fraude electrónico,
el hurto de cuentas y el hurto de celulares, lo que ha colocado al BCI entre
los primeros bancos de su mercado.
La “solución del BCI” la suite de seguridad desarrollada
por la firma Safe Designer fue presentada por Mauricio Palma, en ella Mauricio mostró como se puede hacer
transacciones seguras a través de un programa desarrollado con creatividad y
seguridad, sin duda una experiencia de avanzada.
Asegurando la empresa
de la siguiente generación
En esta presentación, Francisco
Robayo de la firma Check Point evidenció las necesidades de emplear
programas de seguridad y resaltó las tendencias de riesgo en los próximos tres
años. Entre los riesgos clasificó como número uno: “El aumento de las redes
infecciosas (botnet)”, número dos: “El alto promedio de riesgo en la navegación
personal y su incremento futuro (un alto porcentaje, aún sin quererlo accede o recibe imágenes maliciosas, pornografía
y sexo) ” y número tres: “ El software ilegal es el más vulnerable del mundo
(programas y películas piratas), y entre los legales los que requieren más
actualizaciones son: Windows, el Adobe y el Androide.
Francisco cerró su
presentación con una frase que concita atención: “Twitter y Facebook han
triunfado porque le han dado la oportunidad al pueblo de expresarse”, “Se
espera que dada su popularidad Twitter y Facebook tengan más riesgo de ataques.”
Como gestionan los
Bancos la Seguridad en conjunto
En esta presentación Roberto
Puyó, representante de ISSA llevó a cabo las preguntas referentes a la
estrategia conjunta que han adoptando los bancos y recibió las respuestas y comentarios
de Carlos Morales (Banca Saga
Falabella), Claudia Vásquez (Mi
Banco), Javier Ríos (Interbank) y
de Denis Cabrejos (Interbank).
La conclusión positiva, las firmas en la banca están afrontando procesos
críticos en conjunto, los incidentes y la información fluye en todos, se busca
fortalecer la parte más vulnerable de su sistema, los recursos humanos. Se
reconoce a la “identidad como el problema más grave” y al acercamiento entre
organizaciones como una de las maneras más efectivas de respuesta.
Banca móvil, riesgos
de seguridad
La presentación estuvo a cargo de José Díaz de la firma Thales E-Seguridad . José explicó claramente que “el
conocimiento y posesión de datos, es
tan peligroso como el conocimiento y posesión de plutonio”, su valor lo conocen
solo algunos. La amenaza en los
dispositivos móviles es global, las industrias son las más afectadas.
Los
dispositivos móviles cuentan con escasa seguridad, las amenazas son desconocidas
y proporcionan datos de valor. En
la banca móvil intervienen como
elementos representativos las tarjetas, los teléfonos móviles, el banco y el
comercio. Explicó que existen riesgos que no se pueden eliminar pero si
controlar, y que se requiere protección acorde a los costos.
Ciber seguridad, un
nuevo paradigma
Marcos Ferrari de
la firma Access Data presentó estadísticas sobre las victimas de Ciber crimen
en America Latina (fuente de reportes de Pablo Ramos y Karspersky), donde
aseguró el mercado de datos es grande, los orígenes del riesgo provienen del
contenido malicioso, de imágenes, del hurto de datos, del delito cibernético y
del fraude y “la seguridad que requieren es como una cebolla”, con múltiples
capas.
Los principales problemas en las empresas aseguró son los delincuentes y
los accesos no autorizados (de identidad)
de los propios empleados o de hasta familiares. Resaltó la necesidad de
seguir los ISO, entre ellos el ISO 27035. Explicó que la respuesta a incidentes
requiere capacitación, tecnología y procedimiento.
Finalizó asentando que si el riesgo se origina en una
identidad, los contratos iniciales deben determinar las responsabilidades.
Ataques DDoS y
técnicas de protección
Cesar Farro
auditor y analista reconocido remarcó de manera muy amena y agradable que los
ataques de DDoS son una nueva amenaza cuya gravedad depende del tiempo que demoran para
dañar la marca (empresas) o la imagen (gobiernos), y encarecer la credibilidad y confianza del público, muy aparte de interrumpir el servicio.
Añadió que es tanta su rentabilidad que están surgiendo
empresas que ofrecen sus servicios para llevarlos a cabo. Resaltó que se
requiere experiencia para enfrentar estos problemas y que hay nuevas
herramientas en la nube que aperturan la posibilidad de soluciones creativas. Una
de sus frases nos hizo ver la necesidad de estar actualizado con la tecnología “Si
no sabes que es Ping o que es DDoS, careces de seguridad para el ciber crimen y
te has equivocado de conferencia”.
¿Por qué tanto Ciber
crimen y Fraude en Internet?
Tony Grey,
ingeniero y experto de la firma Guidance Software (software EnCase, DLP) a cargo
de esta presentación resaltó que el ciber crimen es un negocio tanto más
lucrativo que el de las drogas, que el hurto de información privada y del
espionaje industrial tiene un valor comercial. Sus palabras ”un correo
electrónico que vale 25 centavos
de dólar puede proveer información personal, financiera, servir para vender y
distribuir spam, tener información cosechada (información que se tiene bajo
control hasta que se decida emplear) e información de trabajo (información de
contenidos) con mucho mayor valor.
Añade Tony, “Lo mas grave son las estadísticas de los tiempos
de reacción. Si bien pocas amenazas
son detectadas, en el caso de los fraudes descubiertos, se llegan a conocer 5 años después de
cometidos y por lo general demoran 3 años más de investigación. En el caso de
los virus, una vez aparecida la amenaza, demora unos 10 meses el implementar
una solución antivirus. Así que es
mejor estar actuar con seguridad y estar preparado acorde a las necesidades de
cada uno.
Técnicas de Análisis
de Seguridad de Aplicaciones
Juan Carlos Herrera
de la firma Ushiro Security, resaltó las circunstancias por las que se cae un
programa 1) Por Acceso no autorizado, 2) Por Denegación de servicio y 3) Por
ejecución arbitraria de código. La solución esta en el recurrir a las pruebas
estáticas, dinámicas, de ingeniería reversa (cuya legislación estaría en
revisión en otros países) y a
través del Pentest o hacking etico.
En si un análisis de
seguridad completamente técnico en las aplicaciones que consideran los aspecto preventivo y reactivo.
No hay comentarios:
Publicar un comentario