“propuesta de estrategias para la protecciÓn de la infraestructura de banca en lÍnea”
TRANSCRIPT
UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA.
DIRECCIÓN DE POSTGRADO DE INVESTIGACIÓN E
INFORMÁTICA APLICADA
CAMPUS CENTRAL.
MAESTRIA EN INFORMÁTICA APLICADA A BANCA Y/O COMUNICACIONES.
“PROPUESTA DE ESTRATEGIAS PARA LA PROTECCIÓN DE LA
INFRAESTRUCTURA DE BANCA EN LÍNEA”
PRESENTADO A AUTORIDADES DE LA DIRECCIÓN DE POSTGRADO DE LA
UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA.
POR:
GUMERCINDO ARMANDO MONZON ESCOBAR.
“CONOCERÉIS LA VERDAD, Y LA VERDAD OS HARÁ LIBRES”
GUATEMALA, OCTUBRE DE 2015
Índice
Introducción ............................................................................................................................................................ 2
1. DISEÑO CONCEPTUAL: ........................................................................................................................... 3
1.1. Planteamiento del problema: ............................................................................................................. 3
1.2 Descripción del problema:.................................................................................................................. 3
1.2.1 Formulación del problema: ........................................................................................................... 3
1.2.2 Preguntas de investigación: ........................................................................................................... 4
1.3 Objetivo de investigación: .................................................................................................................. 5
1.3.2 General ............................................................................................................................................ 5
1.3.2 Específicos ....................................................................................................................................... 5
1.4 Alcance y Limitaciones: ...................................................................................................................... 6
1.4.1 Alcance: ........................................................................................................................................... 6
1.4.2 Limitaciones: ................................................................................................................................... 6
1.5 Justificación de la Investigación ........................................................................................................ 6
2. MARCO TEÓRICO ..................................................................................................................................... 7
2.1. Definición:............................................................................................................................................ 7
2.1.1. Fraude y robo .................................................................................................................................... 7
2.1.2. Realización de ataques controlados .................................................................................................. 7
2.1.3. Robo de datos personales a cuentahabientes .................................................................................... 7
2.1.4. Suplantación de identidad ................................................................................................................. 7
2.2. ¿Qué iniciativas tienen los bancos para evitar este tipo de amenazas?: ........................................ 8
2.3 Las Transacciones Bancarias: ............................................................................................................. 9
2.4 La Seguridad en el Internet: ............................................................................................................... 9
2.4.1 . ¿Cómo garantizar la seguridad en internet?...............................................................................10
2.5 Seguridad Bancaria: ...........................................................................................................................11
2.5.1 Robo de información: .....................................................................................................................12
2.5.2 Suplantación de identidad: ............................................................................................................12
2.5.3 Modificación de información: ........................................................................................................12
2.5.4 Repudio: ..........................................................................................................................................12
2.5.5 Denegación del servicio: .................................................................................................................12
2.6 Delitos Informáticos, Fraudes por Internet: .....................................................................................13
2.6.1 Phishing: .........................................................................................................................................13
2.6.2 Keyloggers: .....................................................................................................................................13
2.7 La Seguridad de las Personas: ...........................................................................................................13
3. MARCO METODOLÓGICO .................................................................................................................... 15
3.1. Tipo de investigación .........................................................................................................................15
3.2. Diseño de investigación: ....................................................................................................................15
3.3 Instrumentos: .....................................................................................................................................16
3.4 Estrategias para la Protección de la Infraestructura de Banca en Línea: ....................................16
4. ANÁLISIS Y DISCUSIÓN DE RESULTADOS....................................................................................... 33
4.1 Interpretación: ...................................................................................................................................33
4.2 Conocimiento de usuarios acerca de la seguridad de infraestructura de banca en línea: ...........34
4.3 Porque el desinterés por conocer sobre este tema ...........................................................................34
4.4 Estrategias para la seguridad de la infraestructura de banca en línea. ........................................35
4.5 Establecer la factibilidad de la puesta en práctica de las estrategias para la seguridad de la
infraestructura de banca en línea. ..................................................................................................................36
4.6 Importancia de contar con estrategias para la seguridad de la infraestructura de banca en línea.
36
4.7 Beneficios para los usuarios que genera la utilización de estrategias. ...........................................41
4.8 Elementos dominados a nivel técnico por los beneficiarios de la estrategia presentada: ...........42
4.9 Necesidades de formación técnica: ...................................................................................................42
5. CONCLUSIONES:...................................................................................................................................... 43
6. RECOMENDACIONES ............................................................................................................................. 44
7. GLOSARIO ................................................................................................................................................. 45
8. BIBLIOGRAFÍA ......................................................................................................................................... 50
9. Anexos .......................................................................................................................................................... 52
9.1 Ley de Delitos Informáticos de Guatemala .............................................................................................. 52
1
Índice de Imágenes
Imagen 1 Sitio HTTPS BAM ......................................................................................................... 38 Imagen 2 Sitio HTTPS Bienlinea ................................................................................................... 38 Imagen 3 Detalle de Certificado sitio www.bamnet.com.gt .......................................................... 39 Imagen 4 Detalle de Certificado sitio www.bienlinea.com.gt ....................................................... 39 Imagen 5 Ingreso banca en línea, BI en Linea ............................................................................... 40 Imagen 6 Ingreso banca en línea, BAMNet ................................................................................... 40
Índice de Diagramas
Diagrama 1 Conceptual Enlaces de Internet .................................................................................. 17 Diagrama 2 Configuracion BGP .................................................................................................... 19 Diagrama 3 Infraestructura CDN ................................................................................................... 19 Diagrama 4 Análisis de balanceo de enlaces ................................................................................. 20 Diagrama 5 Alta disponibilidad de firewalls .................................................................................. 21 Diagrama 6 Denegación de Servicios ............................................................................................ 23 Diagrama 7 Sistema de IPS Infraestructura Interna ....................................................................... 25 Diagrama 8 Sistema Prevención de Intrusos .................................................................................. 25 Diagrama 9 Proteccion del Firewall de Aplicaciones .................................................................... 26 Diagrama 10 Secuencia de Autenticación ...................................................................................... 28 Diagrama 11 Proceso de generación de Certificados Digitales ..................................................... 29 Diagrama 12 Generación de respuesta del Certificado Digital ...................................................... 29 Diagrama 13 Infraestructura para la protección de sitios en linea ................................................. 31
Índice de Tablas
Tabla 1 Instrumentos ...................................................................................................................... 16 Tabla 2 Información detalla de Equipo para actualización en Inventario de Activos .................... 18 Tabla 3 Detección de trafico malicioso. ......................................................................................... 24
2
Introducción
El crecimiento del internet a nivel mundial ha dado como resultado la adquisición de nuevas
tecnologías a la mayor parte de los bancos en nuestro país, esto ha traído nuevas oportunidades a
los cuentahabientes al contar con herramientas basadas en internet al poder realizar las operaciones
que solo se podían realizar al visitar una agencia o sucursal del banco.
Las instituciones bancarias de nuestro país, se han visto afectadas por hechos fraudulentos
cometidos por los mismos empleados y personas ajenas al banco, hechos de delincuencia
común en los cuales la sustracción indebida de recursos ha sido frecuente, acciones en las cuales
han sido afectados clientes .
Sin embargo, muchos de estos hechos no salen a la luz pública, esto obedece a la
confidencialidad que deben guardar estas instituciones ya que manejan fondos de muchas personas.
Las instituciones bancarias, han ido creciendo y adaptándose a las nuevas tecnologías, y muchas
veces dejan a un lado los controles básicos, sin los cuales se vuelven vulnerables para que
los delincuentes comentan hechos no acordes a la ley.
El presente trabajo de graduación se elabora con el fin de analizar si el acceso hacia los portales
de banca electrónica de los bancos del sistema son seguros, al aplicar la seguridad de la
información, y prevenir riesgos en los bancos. Al exponer los riesgos y las posibles soluciones para
ofrecerle al cuentahabiente la disponibilidad y confiabilidad de estos servicios.
3
1. DISEÑO CONCEPTUAL:
1.1. Planteamiento del problema:
Uno de los temas más críticos en el área de sistemas se ve enfocado al conocimiento técnico y
actividades que realiza el profesional en el área de tecnologías. En muchas ocasiones se tienen
documentación general sobre temas generales, mas no así estrategias que puedan ayudar al
Ingeniero a conocer más acerca de un punto o tema específico.
Con este documento se pretende que el lector pueda entender más allá de la teoría que representa
el aseguramiento de la infraestructura que se utiliza para la publicación de servicios o banca en
línea del sistema bancario guatemalteco. Con esto solo se pretende tener una visión más amplia del
tema y presentar la posible infraestructura que se necesita para poder montar toda la protección del
perímetro bancario.
Durante el desarrollo en la lectura del presente estudio podremos ir conociendo más a detalle la
infraestructura que deberá de ser utilizada para la protección y publicación de los servicios, claro,
limitándonos solo a la parte perimetral, el tema de análisis, diseño y codificación de software
desarrollado por la empre está fuera del alcance de esta estrategia.
Uno de los temas más importantes es poder entender de igual forma el ciclo de vida de todos los
equipos perimetrales, ya que con el paso del tiempo será necesario realizar el cambio en las
tecnologías a unas más recientes para ir innovando y con ello tener una protección integral.
1.2 Descripción del problema:
1.2.1 Formulación del problema:
Se realizará una investigación que presentar una estrategia para dar a conocer la infraestructura
mínima que se podrá de tomar en cuenta para la protección perimetral al realizar la publicación de
servicios en línea de los bancos del sistema en Guatemala.
4
1.2.2 Preguntas de investigación:
1.2.2.1. Que Problemas más frecuentes se presentan en la seguridad perimetral?
1.2.2.1. ¿Qué contenido técnico tendrá la estrategia para lograr una seguridad perimetral
sea confiable?
1.2.2.2. ¿Es necesaria la disponibilidad del sitio para realizar las transacciones?
1.2.2.3. ¿A qué nivel de personal administrativo va dirigida esta estrategia?
1.2.2.4. ¿En qué áreas se enfocará esta estrategia?
1.2.2.5. ¿Cuáles son los posibles riesgos que representa no tener estrategias técnicas de los
equipos de protección perimetral?
1.2.2.6. ¿Qué beneficios obtiene un profesional en el área de sistemas de información al
contar con estrategias de esta clase?
1.2.2.7. ¿Qué estándares de seguridad se incluirán en esta estrategia?
1.2.2.8. ¿Cuál es el tiempo de vigencia de las estrategias? (Ciclo de vida de las propuestas)
5
1.3 Objetivo de investigación:
1.3.2 General
Realizar una investigación del Análisis de la seguridad en los servicios de banca en línea en
Guatemala y establecer el impacto de las vulnerabilidades de estos a través de un esquema general
aplicable al sistema bancario guatemalteco.
Esto permitirá proponer estrategias que permitan a los usuarios conocer más acerca de las
tecnologías de seguridad que realizan la publicación y protección de estos servicios y con ello tener
el conocimiento técnico para la implementación de estos proyectos.
1.3.2 Específicos
1.3.2.1 Establecer las causas de los ataques que ponen en riesgo la seguridad de los servicios
de banca en línea.
1.3.2.2 Determinar los elementos necesarios para prever los ataques a los sitios de banca en
línea.
1.3.2.3 Referenciar los esquemas de la infraestructura de la seguridad de los sitios de banca
en línea.
1.3.2.4 Impacto en la seguridad de los servicios bancarios
1.3.2.5 Que el lector Que el lector conozca conceptos generales de normativas utilizadas para la
publicación de servicios y las medidas necesarias para la protección de los servicios en
línea del sistema bancario. Con esto se pretende que se conozcan más a detalle el
funcionamiento tecnológico de estos servicios
6
1.4 Alcance y Limitaciones:
1.4.1 Alcance:
Esta investigación sólo tomará en cuenta el estudio y análisis de la seguridad de las
transacciones en los portales en línea, al tomar en consideración aquellos elementos que aporten
criterios con los cuales se puedan realizar el entendimiento de la protección del perímetro y la
publicación de servicios de banca a los cuentahabientes del sistema bancario en Guatemala.
1.4.2 Limitaciones:
La principal limitante para realizar ésta investigación es la falta de infraestructura necesaria
para poder aplicar las recomendaciones que se exponen esta investigación. Y con ello solo servirá
de conocimiento general para poder aplicarla.
1.5 Justificación de la Investigación
Como profesionales en el área de seguridad es importante el conocimiento básico sobre los
temas de seguridad y como proteger el perímetro, y con ello el de las publicaciones de los sitios en
línea de banca electrónica del sistema financiero en Guatemala. Con esta investigación se busca que
el lector tenga un conocimiento técnico acerca de la infraestructura que se utiliza en su gran mayoría
para lograr la protección integral de los sitios web, si es cierto que no toda la tecnología puede ser
aplicable a cierto escenario, con esto lograremos que el conocimiento sobre estas tecnologías sea de
fácil entendimiento.
7
2. MARCO TEÓRICO
2.1. Definición:
La seguridad en el sector financiero: Para este sector siempre ha representado una gran
preocupación los bancos y los cuentahabientes. Ahora buena parte de los bienes bancarios se
maneja a través de medios electrónicos y por el auge que internet ha desarrollado todos los servicios
son administrables ya sea desde computadoras, teléfonos, tabletas, etc., y ésta información es tan
valiosa como los que se resguardar directamente en el banco.
Uno de los mayores peligros que corren los usuarios al acceder a los servicios de banca en línea
de sus respectivos bancos es el phishing (Security, n.d.), con lo cual es posible:
2.1.1. Fraude y robo
2.1.2. Realización de ataques controlados
2.1.3. Robo de datos personales a cuentahabientes
2.1.4. Suplantación de identidad
Para lograr su finalidad, pudieran realizar estas acciones
2.1.5 Solicitud de información por medio de correos electrónicos de datos personales,
bancarios, credenciales.
2.1.6 Envío de links en un correo electrónico que lleva a una web similar a la página
original de servicios bancarios
2.1.7 Solicitud de envío de credenciales por medio de SMS
Para combatir este tipo de fraudes, los bancos tienen políticas para informar al usuario acerca
de este tipo de ellos, pero no siempre son tomados en cuenta. Esto se puede ver reflejado en cada
una de las páginas de los bancos del sistema de Guatemala.
8
2.2. ¿Qué iniciativas tienen los bancos para evitar este tipo de amenazas?:
Según expertos en Seguridad de la Información aunque los bancos del sistema utilicen muchos
mecanismos de defensa altamente tecnológicos, las medidas para afrontar el problema abarcan
otros puntos desde campañas de capacitación y sensibilización a empleados y clientes, hasta la
implementación de soluciones tecnológicas.
Una de las formas más efectivas para amortiguar el riesgo de fraude es el monitoreo de
operaciones, como las transacciones con tarjetas de crédito y las efectuadas por medio de portales
web en el Internet. Con la sensibilización se pueden prevenir acciones fraudulentas, puesto que la
falta de cultura es una de las mayores causas de riesgo por el uso de equipos obsoletos, la falta de
actualización de herramientas y la realización de transacciones financieras en cafés internet, entre
otros. (SEMANA, 2015)
Los controles en la ejecución de transacciones en los portales de los bancos son ahora
concertados con los clientes con el fin de no entorpecer sus actividades. Así, los clientes pueden
definir el monto y el número máximo de operaciones en un lapso de tiempo e inscribir previamente
el pago de servicios, y otros parámetros que le permiten al cliente definir su propio perfil, contra el
que se comparan las transacciones antes de hacerlas efectivas.
Existen recomendaciones que frecuentemente que las instituciones bancarias genera y transmite
para evitar las diferentes modalidades de robo. Se sugieren a los clientes tomar precauciones para
el manejo seguro de sus transacciones, a continuación solo algunas de estas:
2.2.1 Cambiar por lo menos una vez al mes la clave personal.
2.2.2 Recordar que las credenciales del portal de banca electrónica es personal no se debe
prestar nunca a terceras personas.
2.2.3 Al realizar una transacción electrónica de compra en un establecimiento, se deben
guardar los comprobantes en formatos digitales.
2.2.4 No escribir la clave en ninguna parte, ésta debe memorizarse. Nunca se debe
revelar.
9
2.2.5 No aceptar colaboración de extraños al momento de realizar transacciones en el
portal web.
2.2.6 Cuando digite la clave, se debe hacer con precaución y evitar que otras personas
puedan verla.
Actualmente, estas son las modalidades que más están afectando al sector financiero, pero además,
algunas otras incursiones de troyanos, para los cuales los clientes deberán tener instaladas en sus
computadoras las medidas de seguridad necesarias para contrarrestar esta modalidad, que ha afectado
muchos países como Estados Unidos y algunos otros de Centroamérica.
2.3 Las Transacciones Bancarias:
“La banca electrónica hace referencia al tipo de banca que se realiza por medios electrónicos
como puede ser cajeros electrónicos, teléfono y otras redes de comunicación. Tradicionalmente, este
término ha sido atribuido a la banca por Internet o banca online. (eleconomista.es, 2014)
2.4 La Seguridad en el Internet:
“La seguridad en Internet es un tema cuya importancia va aumentando en la medida en que el uso
de las transacciones en la red se hace más accesible. Paralelamente, se incrementa la necesidad de
que la Seguridad en Internet sea reforzada. Con este propósito, la tecnología SSL ofrece las
herramientas con los estándares más altos y las Marcas de Confianza se empeñan en sus procesos
para avalar a las Organizaciones. Ambas convergen en que los usuarios web obtengan los mejores
resultados en calidad y confianza.” (certsuperior.com, 2014)
Actualmente, incluye servicios y estrategias para resguardar el intercambio de información y
quienes la emiten o reciben. Y cada vez existen instrumentos más precisos que proporcionan
seguridad en toda la red al proteger los servidores con acceso a Internet y a redes privadas.
Asimismo, la Seguridad en Internet se ha convertido en un asunto vital para las organizaciones
que transmiten información confidencial por las redes. De ella depende la confianza de los visitantes
10
a su sitio web porque los consumidores se resisten a facilitar datos personales, números de tarjetas
de crédito, contraseñas o cualquier información confidencial por temor a que sea interceptada y
manipulada con malas intenciones y los exponga a riesgos como fraude o robo de identidad.
En consecuencia, para evitar el abandono de transacciones, por los temores y riesgos por parte de
los usuarios, se ha convertido en un reto para el comercio electrónico. Existen evidencias estadísticas
de que el 21 por ciento de los consumidores en línea han dejado a medias alguna compra porque les
preocupaba la seguridad de los datos de su tarjeta de crédito y, por motivos similares, otros
compradores consumen en menores cantidades.
Por lo anterior, se presenta como una necesidad constante de garantías para que los
cuentahabientes sepan que sus transacciones en línea están protegidas.
2.4.1 . ¿Cómo garantizar la seguridad en internet?
Afortunadamente, las organizaciones tienen a su disposición tecnologías destinadas a proteger a
sus clientes, autentificar sus sitios web y mejorar el grado de confianza de sus visitantes. Y poder
elegir entre varias opciones, pueden ofrecer medios a los consumidores para distinguir con facilidad
los sitios web auténticos de las posibles réplicas que pueda haber creado un usuario malintencionado.
La Seguridad en Internet cuenta con opciones como la tecnología SSL y el respaldo de las Marcas
de Confianza que garantizan a los clientes la seguridad de una transacción y la autenticidad de los
sitios web que visitan, respectivamente. (certsuperior.com, 2014)
Así, los sellos de las Autoridades de Certificación son una forma de comprobar a los clientes que
están protegidos y de ganarse su confianza mediante un signo de seguridad visible. Su presencia
puede ser un factor determinante para usar o realizar compras en un sitio web de comercio
electrónico. Cuando los usuarios ven el sello de la Autoridad de Confianza saben que pueden confiar
en el enlace, sitio web y transacción.
El sello de Symantec™ es el distintivo de Seguridad en Internet más usado y reconocido del
mundo. Al desplegarse muestra también el nombre del propietario del Certificado, su periodo de
11
validez, información general sobre los servicios de seguridad incluidos y otros datos sobre el proceso
de validación que sigue Symantec™ antes de emitir el certificado.
Por otro lado, la Seguridad en Internet cuenta con más soluciones avanzadas que dan tranquilidad
a los clientes en otras fases de la interacción electrónica, tales como el escaneo de malware de sitio
web y la prevención de phishing. Ambas estrategias están encaminadas a fomentar la tranquilidad de
los clientes y reducir los riesgos de fraude.
Con los argumentos antes mencionados, los clientes y usuarios confiarán en sus relaciones con
Organizaciones. Para acompañarlas, CertSuperior.com con el respaldo de Symantec™, les ofrece las
opciones con los estándares más altos de Seguridad en Internet y espera el contacto con ellas para
trabajar en esta tarea. (certsuperior.com, 2014)
2.5 Seguridad Bancaria:
En el diseño de Internet, parte de la seguridad en Internet fue delegada en el mutuo respeto y honor
de los usuarios, así como el conocimiento de un código de conducta considerado “apropiado” en la
red. Una mínima seguridad se basa en una protección “blanda”, consistente en una identificación del
usuario mediante un identificador y una clave secreta que sólo éste conoce (login y password).
La red Internet tiene problemas de autenticidad, integridad, confidencialidad y repudio afectando
a los requerimientos de las transacciones electrónicas u operaciones de banca virtual de la siguiente
forma:
12
2.5.1 Robo de información:
El robo de información, permite obtener información del usuario como números de cuentas,
tarjetas de crédito e información personal, Estos ataques, también permiten el robo de servicios
normalmente limitados a suscriptores. Esto ocurre en muchas ocasiones por la falta de interés en
resguardar esta. (Norton, 2015)
2.5.2 Suplantación de identidad:
La suplantación de identidad permite al atacante realizar operaciones en nombre de otro. Es decir
cuando una persona llega a saber mucha información de otra, puede utilizar esta información para
suplantar su identidad en sitios web. Los atacantes utilizan muchas técnicas para el robo de identidad,
dentro de ellas la ingeniería social. (Microsoft, 2015)
2.5.3 Modificación de información:
La modificación de datos permite alterar el contenido de ciertas transacciones como el pago, la
cantidad o incluso la propia orden de compra de una transacción. (CNN, 2015)
2.5.4 Repudio:
El rechazo o negación de una operación por una de las partes puede causar problemas a los
sistemas de pago. Si una parte rechaza un previo acuerdo con la respectiva, ésta deberá soportar unos
costos adicionales de facturación. (Seguridad, 2015)
2.5.5 Denegación del servicio:
Un ataque de denegación de servicio inhabilita al sistema para que éste pueda operar en su
normalidad, por lo tanto imposibilita a las partes la posibilidad de realización de operaciones
transaccionales. Éstos son de extrema sencillez y la identificación del atacante puede llegar a ser
imposible. Las soluciones pueden no son únicas y no se tratarán en adelante. (CCM, 2015)
13
2.6 Delitos Informáticos, Fraudes por Internet:
A continuación se describen tres modalidades de fraude mayormente observadas en el Internet.
Las mismas nos muestran la creatividad y originalidad que poseen algunas personas u organizaciones
con fines malvados e ilegítimos. Como podrán apreciar, en el pasado los focos de ataques estaban
centrados en las organizaciones o compañías; sin embargo, en el presente podemos observar que los
ataques se han extendido a los individuos. (AlertaEnLinea, 2015)
2.6.1 Phishing:
Al utilizar esta práctica solicitan información personal o confidencial con la intención de robar la
identidad y más tarde cometer fraude, vender o publicar en la Internet dicha información (spoofing).
Típicamente, estos email requieren contraseñas (passwords), nombres, cuentas de banco y además
tarjetas de crédito; información que una organización y/o persona legítima ya tiene. (Antiphising,
2015)
2.6.2 Keyloggers:
Los keyloggers son programas catalogados como spywares. Usualmente los keyloggers van
registrando información entrada en su computadora para utilizar el teclado tales como, los nombres
de usuarios y sus contraseñas. Las contraseñas recopiladas son almacenadas en un archivo y luego
enviadas a la persona que desea hacer el hurto de la información. (keyloggers.com, 2015)
Una de las fuentes más frecuentes para adquirir o instalar este tipo de spyware es a través de
los mensajes de correo electrónico con uno o varios adjuntos. Típicamente, este tipo de correo
electrónico contiene mensajes o imágenes que llama la atención del usuario, para así comprometer
el equipo. (Viruslist.com, 2015)
2.7 La Seguridad de las Personas:
Con el crecimiento del internet y la posibilidad de compartir aplicaciones y servicios ha hecho que
la mayor parte de información de una persona se encuentre ingresada en sitios gratuitos o de pago,
14
con ello cada uno de estos sitios necesita prever que toda esta información este resguardada de la
mejor forma. Si es cierto que toda el área de seguridad está definida por sus pilares, los mismos son:
2.7.1 Integridad: garantizar que los datos sean los que se supone que son
2.7.2 Confidencialidad: Prever que sólo los individuos autorizados tengan acceso a los
recursos que se intercambian
2.7.3 Disponibilidad: garantizar el correcto funcionamiento de los sistemas de
información
2.7.4 Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
2.7.5 Autenticación: Prever que sólo los individuos autorizados tengan acceso a los
recursos.
(http://datateca.unad.edu.co, 2015)
15
3. MARCO METODOLÓGICO
3.1.Tipo de investigación
La investigación presentada es de tipo documental, cualitativo e investigativo, se enfoca en la
descripción y análisis de tema sometido a estudio, la metodología cualitativa, hace referencia en su
sentido más amplio, a la investigación que produce información descriptiva, a partir de la
recopilación en diferentes documentos de modelos sobre seguridad informática y la experiencia
concreta sobre implementación de esta índole para describirla de la manera más libre y rica posible,
de tal forma que la investigación no se vea limitada por datos o por paradigmas que delimiten el
tema, todo lo anterior con base a conductas observables de vulnerabilidades de los sitios en línea
de banca electrónica de los portales de Guatemala; al tomar en cuenta el contexto y las vivencias
de las personas respecto a robos, usurpación de identidad, o comprometer las credenciales para el
acceso a los sitios en línea de banca electrónica, por falta de infraestructura necesaria para la
protección del perímetro y desconocimiento de los cuentahabientes acerca de la seguridad personal
en el acceso a los sitios.
Por la naturaleza de la investigación descrita anteriormente el método utilizado para el análisis
de esta investigación, tuvo sus bases en revisiones bibliográficas y documentos técnicos, a partir
del supuesto de múltiples realidades y de la interacción entre los usuarios, red bancaria y los
posibles atacantes, que influyen en la disponibilidad, integridad y confidencialidad.
La finalidad de esta investigación es realizar un análisis de la seguridad en los servicios de banca
en línea de Guatemala y establecer el impacto de las vulnerabilidades de estos a través de un esquema
general aplicable al sistema bancario guatemalteco, además dar a conocer estrategias que permitan a
los lectores conocer más acerca de las tecnologías de seguridad y protección de estos servicios
3.2. Diseño de investigación:
El diseño de este estudio se fundamenta en la recopilación de información relacionada a la
seguridad en los servicios de banca en línea de Guatemala, en la cual se toman diferentes
metodologías para la elaboración de una estrategia, que permita al lector entender más allá de la
16
teoría que representa el aseguramiento de la infraestructura que se utiliza para la publicación de
servicios o banca en línea del sistema bancario del país.
3.3 Instrumentos:
Se utilizó una lista de cotejo que contempló los diversos temas relacionados a, seguridad,
infraestructura, vulnerabilidades, y mejores prácticas relacionadas a la Biblioteca de Infraestructura
de Tecnologías de Información, de acuerdo a criterios específicos para la correcta recolección de
información.
Documentos
Manuales técnicos de hardware a utilizar
Diagramas de Infraestructura de Perímetro
Inventario de equipo utilizado
Configuraciones realizadas en cada uno de los equipos
Afinación de configuraciones.
Listado de dispositivos móviles soportados.
Listados de exploradores de internet soportados por el portal.
Tabla 1 Instrumentos
3.4 Estrategias para la Protección de la Infraestructura de Banca en Línea:
A partir de los conceptos básicos de protección y los riesgos que conlleva la publicación de los
servicios de banca en línea del sistema bancario, a continuación se realiza el análisis de los puntos
más importantes; este análisis se inicia con los conceptos básicos hasta llegar a un nivel aceptable
de conocimiento para el entendimiento de lo que en las estrategias se pretende tratar.
Básicamente uno de los puntos fundamentales es la adquisición de servicios públicos de
internet con un proveedor local, llamados ISP por sus siglas en inglés, y con ello se iniciaría el
diagrama del diseño de protección. En la mayoría de los casos es necesaria la adquisición de varios
17
enlaces de internet para la publicación de estos servicios, y aunque en ocasiones solo se utiliza una
IP Publica, en muchos casos es necesario el balanceo de estos enlaces.
Uno de los protocolos utilizados en la mayoría de Bancos es la implementación de BGP, ya
sea equipos con fin específico o con el firewall perimetral, a continuación se muestra lo que se ha
explicado.
Diagrama Conceptual Enlaces de Intenet
Diagrama 1 Conceptual Enlaces de Internet
Fuente Propia
Como muestra la imagen anterior, es necesario llevar la información de cada uno de los
equipos, desde las IP Publicas que cada ISP ha configurado en los routers y las IP que serán
configuradas en las interfaces públicas del Firewall. Tomar en cuenta que se recomienda que de
igual forma para el balanceo de los enlaces se deberá de tomar en cuenta la Alta Disponibilidad de
los Firewall para ofrecer continuidad del negocio si uno de los equipos llegara a fallar.
18
La información necesaria a recabar para cada uno de estos equipos se detalla en la tabla
siguiente:
Tabla de inventario de equipos:
Tabla 2 Información detalla de Equipo para actualización en Inventario de Activos
Fuente Propia.
Explicación de Escenario:
Esta sección de la gráfica explica el servicio de internet que se debería de tener disponible
en la infraestructura para permitir la publicación de los servicios.
Acá están ubicados los routers que contienen la información de IP Publica para la
publicación de los servicios. Como se explicó anteriormente esto puede ser directamente desde el
segmento público o la utilización del protocolo BGP para la publicación de los servicios. Otra de
Descripción Detalle
Nombre del Equipo
Modelo del Equipo
Nombre en Inventario
Dirección IP
Mascara de Red
Gateway
DNS Primario
DNS Secundario
Nombre de Rack
Posición en Rack
19
las opciones podría ser la utilización de CDN (Red de Entrega de Contenidos) por sus siglas en
ingles.
A continuación se muestra un diagrama acerca de la configuración de BGP.
:
Configuración Border Gateway Protocol BGP
Diagrama 2 Configuración BGP
Fuente: (BGPExpert.com, 2015)
Se muestra además el diagrama lógico de la red de distribución de Contenido (CDN)
Infraestructura De Content Delivery Network
Diagrama 3 Infraestructura CDN
Fuente: (manueldelgado.com, n.d.)
20
El Balanceador de Enlaces será el encargado balancear la carga de sesiones de servidores
internos hacia el internet, es decir será capaz de elegir el Balanceo de Carga y Ruteo de Camino
Múltiple – ECMP por sus siglas en ingles.
Se muestra a continuación el detalle de la configuración de ECMP.
Análisis de balanceo de enlaces.
Diagrama 4 Análisis de balanceo de enlaces
Fuente: (Etutorials.org, 2015)
Parte fundamental en la protección de los servicios de banca en línea es el Firewall, en esta
sección, se da a conocer de forma general la instalación física del mismo, y los factores que se
utilizan para realizar la implementación en un modo Activo-Activo, claro tomando en cuenta que
de igual forma se tienen el modelo Activo-Pasivo.
21
A continuación se muestra un diagrama general de todas las configuraciones que conllevan
la creación de un escenario para un Firewall Activo / Activo.
Alta Disponibilidad De Firewall Perimetral
Diagrama 5 Alta disponibilidad de firewalls
Fuente: (ExactNetworks.net, n.d.)
Dicho diagrama es con fines de estudio, y para la explicación esta estrategia no especifica
la explicación detallada de configuraciones.
Una de las complicaciones más grandes en Guatemala en el área de seguridad, es la
evolución de todo tipos de ataques, ya que los mismos han tratado de afectar la Disponibilidad,
Integridad y Confidencialidad de los portales de banca en línea, y con esto, obligan a las entidades
bancarias a adquirir nuevos equipos para la protección de su infraestructura, y con esto se ha
22
logrado la adquisición de nueva tecnología ya que los firewalls actuales no cuentan con la
capacidad para proteger el perímetro.
Luego de conocer la información del perímetro será necesaria además la adición de algunos
equipos que nos permita n la protección de los sitios web, entre estos:
- IPS – Intrusion Prevention System
- APS – Availability Protection System
- WAF – Web Application Firewall
- Two-Factor Authentication
- Entre Otros.
La implementación de estos equipos en el datacenter de las entidades financieras, para llevar el
control de red y con ello la administración integral de todos los dispositivos, será ingresada como
lo indica la siguiente tabla.
Tabla de inventario de equipos:
Uno de los ataques más críticos para la disponibilidad de los sitios de banca en línea es la
Denegación de Servicios Distribuidos o – DDOS- que son los causantes de la caída de los sitios,
con el fin de evitar que los cuentahabientes puedan realizar sus transacciones.
Descripción Detalle
Nombre del Equipo
Modelo del Equipo
Nombre en Inventario
Dirección IP
Mascara de Red
Gateway
DNS Primario
DNS Secundario
Nombre de Rack
Posición en Rack
23
A continuación se muestra una imagen donde podemos observar el modo de operación de un
posible ataque de Denegación de Servicios, y es básicamente la creación de Zombies (tema
expuesto en la sección anterior)
Diagrama conceptual de Denegación de Servicios
Diagrama 6 Denegación de Servicios
Fuente: (Guiar.com.mx, 2015)
Una vez adquirida la protección perimetral contra ataques de DDOS se puede seguir
manteniendo la disponibilidad de los portales en línea de las entidades bancarias, protegiéndolos
de una inundación o ataques más directos.
Dentro del listado también se cuenta con un IPS Sistema de Prevención de Intrusos por sus
siglas en inglés, son capaces de poder realizar la protección de los servidores donde se encuentran
publicados los accesos hacia sitios https o http y conjuntamente con la integración de bases de datos
(tema que será explicado al momento de tener la protección de un equipo WAF). Los Sistemas de
Detección de Intrusos (IPS) tienen como ventaja respecto de los Firewalls tradicionales, el que
24
toman decisiones de control de acceso basados en los contenidos del tráfico, en lugar basarse en
direcciones o puertos IP.
La diferencia entre un Sistema de Prevención de Intrusos (IPS) frente a un Sistema de
Detección de Intrusos (IDS), es que este último es reactivo pues alerta al administrador ante la
detección de un posible intruso (usuario que activó algún sensor), mientras que un Sistema de
Prevención de Intrusos (IPS) es proactivo, pues establece políticas de seguridad para proteger el
equipo o la red de un posible ataque.
Los Sistemas de Prevención de Intrusos (IPS) tienen varias formas de detectar el tráfico
malicioso:
Detección Basada en Firmas: Como lo hace un antivirus
Detección Basada en Políticas: El IPS requiere que se declaren muy
específicamente las políticas de seguridad
Detección Basada en Anomalías: Funciona con el patrón de comportamiento
normal de tráfico ( el cual se obtiene de mediciones reales de tráfico o es
predeterminado por el administrador de la red) el cual es comparado
permanentemente con el tráfico en línea para enviar una alarma cuando el tráfico real
varía mucho con respecto del patrón normal, y
Detección Honey Pot: Este utiliza un equipo que se configura para que llame la
atención de los hackers de forma que estos ataquen el equipo y dejen evidencia de
sus formas de acción con lo cual posteriormente se pueden implementar políticas de
seguridad.
Tabla 3 Detección de trafico malicioso.
25
Diagrama Conceptual Del Sistema De Prevención De Intrusos Infraestructura Interna
Diagrama 7 Sistema de IPS Infraestructura Interna
Fuente: (HP, 2015)
Diagrama Conceptual De Sistema Prevención De Intrusos
Diagrama 8 Sistema Prevención de Intrusos
Fuente: (HP, 2015)
26
Luego de validar el acceso por medio del IPS, se necesita el análisis de base de datos para
controlar toda la auditoria de las transacciones en las bases de datos disponibles. La idea principal
al desarrollar una aplicación web, es que, sea disponible desde cualquier lugar y que todo el mundo
pueda acceder a ella. Este es el gran factor diferenciador respecto a las aplicaciones de escritorio.
Al ser empleadas por más usuarios, son más vulnerables a sufrir ataques, aunque la idea es
construir aplicaciones tolerantes a fallos y sin vulnerabilidades, por diferentes razones (en las que
no entraremos) no siempre pasa eso.
El WAF solo es una herramienta complementaria y no pretende sustituir las medidas de
protección que el desarrollador tiene que llevar a cabo al programar una aplicación.
Se trata de un dispositivo físico que analiza el tráfico web (entre el servidor web y la WAN),
los datos recibidos por parte del usuario y protege de diferentes ataques web como: SQL Injection,
Cross Site Scripting, Remote and Local File Inclusión, , Buffer Overflows, Cookie Poisoning, etc.
Este dispositivo, trata de proteger de los ataques dirigidos al servidor web que los IDS/IPS no nos
pueden defender. (pcihispano.com, 2015)
Diagrama De Protección Del Firewall De Aplicaciones
Diagrama 9 Protección del Firewall de Aplicaciones
Fuente: (Imperva, 2015)
27
Como se ilustro se utilizan varios equipos para la protección de los sitios en línea de banca
electrónica, ahora bien, cuando tenemos usuarios que no cumplen con los requerimientos básicos
de conocimiento de acceso a los sitios, las entidades bancarias se dedican a forzar el acceso a los
sitios, esto con adicionar dobles factores de autenticación, esto significa que además de tener un
usuario y contraseña es necesario agregar un nuevo factor para que el acceso sea más seguro.
La autenticación robusta o por varios factores requiere que los usuarios de un sistema
expongan su identidad al proporcionar más de una manera de verificación para poder acceder a
este.
La autenticación de doble factor aprovecha una combinación de varios factores; dos factores
principales consisten en la verificación por parte del usuario de algo que ya conoce (por ejemplo,
una contraseña) y algo que tiene el usuario (por ejemplo, una tarjeta inteligente o un token de
seguridad). Gracias a su creciente complejidad, los sistemas de autenticación que utilizan una
configuración de varios factores son más difíciles de poner en peligro que los sistemas que utilizan
un solo factor. (insystems.com.ar, 2015)
Al identificador de usuario le debe acompañar algo más para que el sistema confíe en él y le
permita el acceso. Hay tres factores de autenticación: Algo que el usuario sabe: password, pin,
passphrase, etc. Algo que el usuario tiene: USB, llave, tarjeta, generador de claves, etc. Algo que
el usuario posee: huella dactilar, iris, secuencia ADN, firma, reconocimiento facial, reconocimiento
de voz u otros identificadores biométricos, etc.
Los métodos tradicionales de autenticación, familiares ya para todos, se basan en el uso de un
identificador único de usuario acompañado de una contraseña que solo el usuario conoce. Pero,
¿qué pasa cuando la contraseña es interceptada o robada por otro usuario? Nadie quiere
comprobarlo
28
Diagrama De Secuencia De Autenticación De Doble Factor
Diagrama 10 Secuencia de Autenticación
Fuente: (Heboluba, 2015)
Como podemos ir observando a lo largo de la descripción se van utilizando nuevas tecnologías
para la protección de los portales online de la banca en Guatemala.
Un nuevo factor de validación para la seguridad del portal online de los bancos se basa en la
utilización de sitios HTTPS, y la adición de un certificado digital, esto para dar más seguridad al
sitio y presentar ante el cuentahabiente que el sitio es válido y confiable, para la integración del
certificado digital es necesario que la Autoridad Verificadora confirme la información jurídica que
cada sitio, el proceso se muestra a continuación
29
Proceso De Generación De Un Certificado Digital
Diagrama 11 Proceso de generación de Certificados Digitales
Fuente: (www.contentverification.com, 2015)
Luego de la verificación de toda la información del sitio se procede ya a la integración de CSR
generado por la Autoridad Verificadora.
GENERACIÓN DE LA RESPUESTA DEL CERTIFICADO DIGITAL
Diagrama 12 Generación de respuesta del Certificado Digital
Fuente: (www.servicetechmag.com, 2015)
30
SIEM (Security Information and Event Management): Esta es una herramienta que es capaz de
poder monitorear el estado de dispositivos para conocer el estado de seguridad. Y poder obtener la
información total del equipo monitoreado.
3.5 Beneficios de implementación de estrategias para prever la infraestructura de Banca
en Línea:
Al conocer más acerca de los equipos que pueden ayudar a la protección integral de la seguridad
de la publicación de los servicios del sistema bancario, es necesaria la creación del diagrama que
de visibilidad sobre toda la infraestructura.
Si se toma como referencia lo anterior, se puede describir que la seguridad del sitio no
solamente se enforsa en toda la infraestructura que actualmente se tiene disponible, sino además
de ello la seguridad de las personas, esto conlleva a muchos temas que permitirán a los
cuentahabientes tener la disponibilidad a los sitios, pero además también la seguridad para el
ingreso de la información que se requiera por parte de este, esto para evitar que se pueda dar el
robo de datos confidenciales del cliente.
Como responsables de la infraestructura se deberán de conocer ciertos factores de cada uno de
los equipos, y para ello llevar un control de cambios para documentar las modificaciones que se
realicen; ya sean bajo demanda o en ventanas de mantenimiento.
Una vez montada la infraestructura en el Data Center de la entidad, será necesaria la validación
de todos los aspectos de seguridad, iniciando desde el circuito eléctrico, organización de cableado,
disponibilidad de los equipos en un área específica, entre otros.
ITIL ayudará a poder conocer más acerca de los procesos y procedimientos en el ciclo de vida
del sistema. Y al hablar de este, será la forma de administrar todos los dispositivos y dar la
visibilidad sobre las configuraciones y mitigaciones en un momento dado.
A continuación se muestra el diagrama de red conceptual donde se observa la integración con
los equipos descritos anteriormente:
31
Diagrama Conceptual De Infraestructura Para La Protección De Sitios En Línea:
Diagrama 13 Infraestructura para la protección de sitios en linea
Fuente: Propia.
Según el diagrama anterior podemos observar que la protección de la publicación interna de
los servidores inicia lo más al norte posible, con la protección del APS a las IP Públicas de la
entidad bancaria. Es decir con esto se logrará la protección de ataques de DDOS y evitar
inundaciones que logren la no disponibilidad del sitio en línea. Como el APS solo analiza la
protección de la Disponibilidad pero no la integridad y confidencialidad, se observa que se tiene
dentro de la infraestructura un IPS que será el encargado de la protección de ataques a las
aplicaciones de la institución bancaria, como se explicó al inicio es muy importante que estos
equipos que se encuentran en el perímetro sean los responsables de mantener la disponibilidad del
sitio y que puedan brindar al cuentahabiente,
Cuando se tenga protegido el perímetro, tanto el balanceado de Carga y el Firewall serán los
responsables de brindar el segundo anillo de protección, es decir, con la disponibilidad de los
servidores se podrá realizar la publicación. Para ello se tomaran en cuenta los servicios de HTTPS
32
u otro servicio para la publicación. En esta estrategia no se tratarán el Port Forwarding hacia otros
puertos, aunque si implementación es sencilla. Una vez se tenga la disponibilidad de la publicación,
se utilizará el Balanceador para asignar las solicitudes de los clientes hacia el servidor, básicamente
estas aplicaciones están basadas en tecnologías de cliente-servidor. La estrategia no detalla el tipo
de Balanceos de Carga, pero dependerá de las necesidades de la institución bancaria si se utiliza el
método de Round Robin o basado en DNS entre otros.
Y aunque el WAF juega un papel importante en el análisis de transacciones en las bases de
datos locales en los servidores, esta protección se dará directamente a las aplicaciones que se
utilizan dentro de la infraestructura, en esta estrategia no se detallan las bases de datos utilizadas
pero estas pueden ser AIX , Unix Solaris, Microsoft SQL, DB2 y PostgreSQL en ambientes UNIX,
Windows y estándares, Uno de los puntos importantes en las verificaciones de transacciones de las
bases de datos, alta disponibilidad y respaldos no son tratados en este documento o estudio.
La presentación de la aplicación en el portal de internet puede ser en varios lenguajes de
programación, y estos deben de ser capaces de poder realizar la integración con las tecnologías de
doble factor de autenticación, algunos bancos utilizan tokens de hardware para realizar esta tarea,
otros más aplicaciones para Smartphone o el simple hecho de enviar mensajes de texto a los
números de teléfonos registrados por los cuentahabientes. Para esta integración la infraestructura
deberá de dar protección adicional con los certificados digitales que son los que ofrecerán la
protección; para ello se necesita una auditoria que confirme que todo el código utilizado por la
página web sea lo sufrientemente seguro.
Como toda la seguridad es integral se deberá de adicionar el SIEM dispositivo que nos ayudará
a la interpretación de los logs que se generan en cada uno de los equipos, esta normativa nos
ayudará a entender más acerca de los eventos que se están generando en cada uno de los equipos.
Si bien se han descrito la utilización de estos dispositivos no es mandataria la utilización de
todos estos, pero si es necesario que se tomen como referencia la adquisición de las mismas como
buenas prácticas de seguridad. Cualquier otra tecnología puede ser adicionada a estas estrategias
ya que con el paso del tiempo los equipos de nueva generación van brindado más seguridad integral
a todo nuestro perímetro.
33
4. ANÁLISIS Y DISCUSIÓN DE RESULTADOS
4.1 Interpretación:
La Tecnología, el internet, los buscadores, las redes sociales, los teléfonos móviles, son
herramientas que le han permitido al hombre desarrollar sus actividades laborales y sociales a lo
largo de los últimos años. Sin embargo, al mismo tiempo su uso indebido o desprevenido ha
generado riesgos a quien los utiliza. Tanto los individuos, como las empresas e inclusive
instituciones gubernamentales han sido víctimas de varios delitos informáticos como el fraude,
robo de identidad, robo de base de datos, infiltración, entre muchos otros.
En la actualidad, Guatemala ocupa uno de los lugares en la lista de naciones de la región con
mayor propagación de códigos maliciosos destinados al robo de información bancaria, según lo
revelan varias compañías globales de soluciones de software de seguridad. Y esto conlleva a que
los usuarios de internet sean vulnerados en sus cuentas de correo electrónico, de redes sociales,
información personal y por último la de sus cuentas bancarias. Es responsabilidad de las entidades
bancarias realizar actividades que ayuden a tener protegidos los sitios, son los usuarios los que en
ocasiones no tienen la responsabilidad de salvaguardar sus accesos o el no validar que el sitio al
que está tratando de ingresar sea el correcto.
Si bien actualmente en Guatemala se tiene una Iniciativa 4055 Ley de Delitos Informáticos,
que ayudaría a tipificar estos delitos, aún no ha sido aprobada por el Congreso de la Republica
del país, con esto se podría ayudar no solo a las entidades bancarias del país, sino a cualquier otra
organización, entidad del estado, empresa privada, Organizaciones No Gubernamentales, a la
protección de sus sitios y de la información que se encuentra pública en el internet. Este tema es
muy complicado ya que la mayoría de ataques se realizarían desde fuera de Guatemala y con ello
no tener a un autor del ataque para ser condenado en Guatemala, pero si ayudaría a castigar a los
sospechosos o culpables de realizar este tipo de actividades ilícitas. Se anexa al presente la
iniciativa solo como referencia.
34
4.2 Conocimiento de usuarios acerca de la seguridad de infraestructura de banca en línea:
La tecnología que se requiere para la implementación de la seguridad del perímetro de los
sitios en línea en cualquier entidad bancaria, no es suficiente si los cuentahabientes son el eslabón
más débil, esto porque, aunque se tengan todos los equipos y se cumplan con las mejores prácticas
de seguridad, son ellos los que no cumplen con los requisitos mínimos en la mayoría de ocasiones,
a causa de esto serían los más vulnerables, y aunque esto no representa un ataque directo, la
vulnerabilidad de estas cuentas podrían ser utilizadas para realizar ataques de SQL Injection.
Actualmente el conocimiento de los usuarios en relación a la seguridad de la infraestructura
de la banca en línea básicamente se resume en el acceso a un sitio web en el internet donde tienen
que ingresar un nombre de usuarios; en muchas ocasiones su nombre y apellido o una combinación
de las mismas y una contraseña sencilla para que no se les pueda olvidar; como su fecha de
nacimiento, nombre de familiares, apodos, entre otros, o si en su caso fuera una contraseña
compleja listarla en un documento sobre su escritorio, una nota de texto en su teléfono, celular o
notas en su computadora personal; si es cierto que el banco recomienda buenas prácticas para la
seguridad de los cuentahabientes no todos las toman como referencia, y por estas razones se
considera que la vulnerabilidad de la información de los beneficiarios es aún mayor.
4.3 Porque el desinterés por conocer sobre este tema
Actualmente las tecnologías de información utilizadas por las entidades bancarias tanto a nivel
nacional e internacional son de última generación, y administradas directamente por los
empleados de estas, y son ellos quienes se capacitan en el uso de las tecnologías de información
por ser los responsables de toda esta infraestructura, y aunque los nuevos profesionales en el área
de Sistemas, no tienen acceso a esta información detallada por no trabajar directamente en estas
áreas, los fabricantes de los equipos de seguridad las comparten y estas son de acceso público,
pero los ingenieros de tecnologías de información no cuentan con la experiencia ni conocimiento
necesario para la administración y comprensión de esta nueva tecnología.
35
Una de las ventajas de estos equipos es que los fabricantes cuentan con certificaciones para
capacitar al personal técnico de cada una de estas instituciones no así a profesionales individuales
por el alto costo de la capacitación o falta de aplicación en un ambiente controlado. Otro de los
puntos fundamentales es la falta de especialización de cada uno de los profesionales en el área de
Tecnologías de Información, ya que al no tener la necesidad de conocer o especializarse en estos
temas, no les interesa profundizar en ello.
4.4 Estrategias para la seguridad de la infraestructura de banca en línea.
Los beneficios de las estrategias se refiere en su sentido más amplio al proceso que pone planes
y estrategias en acción para alcanzar objetivos, al consignar quién, dónde, cuándo y cómo se
obtendrán los objetivos y las metas deseadas, en este sentido como bien se sabe el objetivo
perseguido es precisamente el análisis de la seguridad en los servicios de banca en línea en
Guatemala para establecer el impacto de las vulnerabilidades de estos; con base en lo descrito
anteriormente se puede prever que la implementación de estrategias no solo para el análisis sino para
reducir la vulnerabilidad de los usuarios es indispensable.
Si se toma como base la información descrita anteriormente se puede utilizar la estrategia
presentada como solución ante los problemas planteados y también como un referente de
conocimiento para los profesionales en el área de seguridad, es decir tener que obtengan por medio
de ella, los conocimientos básicos de qué equipos se tendrán en el perímetro para poder brindar a
los cuentahabientes la seguridad, siempre para tomar en cuenta, las recomendaciones de las
mejores prácticas de seguridad.
36
4.5 Establecer la factibilidad de la puesta en práctica de las estrategias para la
seguridad de la infraestructura de banca en línea.
La factibilidad es una variable indispensable al momento de la implementación de estrategias
a cualquier nivel, puesto que por medio de evaluaciones, se podrá observar si la misma puede
mantenerse, al mostrar evidencias de lo planificado cuidadosamente, considerar los problemas que
involucra y si al final es funcional.
Al hacer un análisis de la ley y su impacto para prevenir y sancionar las conductas ilícitas que
afecten a los sistemas y datos informáticos cometidos por la utilización de tecnologías de
información, ésto con la finalidad de garantizar la lucha contra la ciberdelincuencia. Esta tendrá
como objetivo la protección de los sistemas que utilicen tecnologías de información, es decir
medios tecnológicos en este caso la publicación de servicios en línea, así como también la
protección, prevención y sanción de este tipo de delitos cometidos por el mal uso de las tecnologías,
pues en la actualidad la violación de la privacidad de información es un fenómeno creciente y muy
común, por ello, se considera indispensable la implementación de estas estrategias.
En este punto también es importante reflexionar sobre el trabajo de los bancos y como éstos
pueden tener toda la infraestructura para brindar a los usuarios toda esta protección, sin que ellos
sean objeto de vulnerabilidades lejos de la tecnología. Tal es el caso de la ingeniería social, que
era uno de los puntos más fáciles de utilizar sin que el cuentahabiente supiese que se estaba
extrayendo la información no solo de sus cuentas bancarias sino de algún otro sitio.
4.6 Importancia de contar con estrategias para la seguridad de la infraestructura
de banca en línea.
Haciendo la reflexión de como los bancos logran dar seguridad de la información a los usuarios
sin tener el conocimiento tecnológico sobre el manejo integral de esta, se puede concluir que se
tienen campañas para que los cuentahabientes tomen las recomendaciones en cuenta, dentro de
estas se pueden listar las siguientes:
4.6.1 Los bancos nunca piden por correo electrónico datos personales, contraseñas o
información confidencial
37
4.6.2 Confirmar que el acceso al banco es por medio del protocolo https://
4.6.3 Para mayor seguridad verificar que se tenga un certificado digital instalado, esta
será una figura de un candado cerrado en la barra de direcciones.
4.6.4 Mantener a salvo su identidad electrónica, sin escribir contraseñas a la vista de
nadie.
4.6.5 Mantenga en su computadora un Antimalware que sea actualizado
permanentemente.
4.6.6 Evitar utilizar computadoras de sitios públicos como cafés internet
4.6.7 Cambia su acceso o clave frecuentemente
La mayoría de los fraudes de banca en línea son basados en la robo de información personal de
los cuentahabientes por no mantener o tomar en cuenta las recomendaciones de las entidades
financieras. Si bien es cierto que todos estos servicios ofrecen a los cuentahabientes.
Si es cierto que al momento de acceder a los portales en línea, estos ya están preparados para
dar a los cuentahabientes la seguridad necesaria para que se puedan realizar todas las transacciones
con toda la seguridad posible.
Otro punto crucial en la protección de los sitios en línea, es la confirmación que sea un sitio
correcto, ya que con el Phishing, la usurpación de sitios es muy común en el internet, y esto se da
por la no validación de los sitios, y aunque el mismo cuente con un certificado digital que indique
que el sitio es válido, en muchas ocasiones no sucede así.
La implementación de esta estrategia es indispensable puesto que por medio de ella se podrán
resolver problemas como los descritos a continuación:
Se tomarán como ejemplo 2 portales web de la banca en línea de 2 entidades financieras en
Guatemala, esto solo como referencia para poder validar que los temas tratados y tecnologías
recomendadas sean eficientes y eficaces estén en el portal, ahora bien, es muy complicado que se
confirme que alguno de ellos cuenta con la infraestructura recomendada en esta estrategia. Las
entidades financieras serán, Banco Agromercantil S.A. y Banco Industrial.
38
Como parte del análisis iniciaremos observando que al momento de acceder a los portales web,
estos muestran como primer factor de seguridad el acceso a su sitio por medio de HTTPS y con
ello la carga del certificado digital, como se muestra a continuación.
Banco Agromercantil
Imagen 1 Sitio HTTPS BAM
Fuente: (BAM, 2015)
Banco Industrial
Imagen 2 Sitio HTTPS Bienlinea
Fuente: (BI, 2015) Nota: El Banco Industrial cuenta con varios portales para el acceso a sus
servicios en línea, y para esta estrategia se tomará bienlinea.bi.com.gt
La información de cada uno de los certificados digitales se pueden observar de igual forma en
la misma página y pueden ser consultados, esta se muestra a continuación.
39
Detalle de Visor de Certificados del sitio bamnet.ba.com.gt
Imagen 3 Detalle de Certificado sitio www.bamnet.com.gt
Fuente: (BAM, 2015)
Visor del sitio www.bienlinea.com.gt
Imagen 4 Detalle de Certificado sitio www.bienlinea.com.gt
Fuente: (BI, 2015)
40
Como se puede observar los 2 portales en línea muestra los detalles para prestar a sus
cuentahabientes la información necesaria para confirmar la identidad del banco.
Además de esta protección veremos el doble factor de autenticación en los sitios, aportando así
un elemento más a la seguridad de los cuentahabientes.
Ingreso de información a banca en línea de usuarios registrados.
Imagen 5 Ingreso banca en línea, BI en Linea
Fuente: (BI, 2015)
Ingreso de información a banca en línea de usuarios registrados.
Imagen 6 Ingreso banca en línea, BAMNet
Fuente: (BAM, 2015)
41
4.7 Beneficios para los usuarios que genera la utilización de estrategias.
Un SGSI es un elemento para la administración relacionada con la seguridad de la
información, este implica la creación de un plan de diseño, implementación y mantenimiento de
procesos que permitan gestionar de manera eficiente toda la información que se pueda generar
dentro de los sistemas de información esto para prever la disponibilidad, confidenciales e
integridad.
Como parte de los procesos internos de cada entidad bancaria es fundamental que se tenga
este tipo de procesos y con ello pueda ser aplicado el aseguramiento del perímetro de las
publicaciones de los servicios de banca en línea.
¿De qué forma se pueden diseñar políticas de seguridad integrales? Es una pregunta muy
complicada ya que aunque en muchas ocasiones el profesional de tecnologías de información tenga
el conocimiento es responsabilidad de las instituciones bancarias la adquisición de estos equipos
y/o actualización de los mismos, al tomar como base el ciclo de vida de cada uno de estos equipos,
se recomienda puedan ser utilizados como mínimo 5 años ya que las instituciones no las cumplen.
El mayor aporte de contar con estrategias es presentar a los responsables de la seguridad
una visión amplia de las características de cada uno de los equipos, la selección de modelos de cada
uno de estos se basara en los requerimientos que el responsable de estas tecnologías quiera proteger,
desde la cantidad de tráfico de cada uno de los enlaces de internet, cantidad de tráfico que se genera
dentro de la infraestructura, tipos de sistemas operativos, tipos de bases de datos, cantidad de
sesiones concurrentes generadas, entre otros.
Los beneficios que se obtendrán al implementar esta estrategia será que el profesional de
TI pueda presentar propuestas para la protección de las publicaciones en el perímetro de la entidad
financiera.
42
4.8 Elementos dominados a nivel técnico por los beneficiarios de la estrategia
presentada:
Si bien es cierto que la presente propuesta no pretende hacer que el Ingeniero sea experto
en todas las tecnologías, éste si pueda ampliar su conocimiento acerca de las tecnologías utilizadas
en el área de seguridad de la información. Al tener un nuevo conocimiento sobre estas tecnologías,
y con esto ampliar su punto de vista acerca de los equipos o software que se utilizarán para la
protección del perímetro.
Tal como se explica, no es forzosa la adquisición de todas estas tecnologías, ya que se debe
de tomar en cuenta un presupuesto anual sobre los equipos que se tendrían que adquirir, tamaño de
la institución bancaria y el impacto que este servicio puede proporcionar hacia los cuentahabientes.
4.9 Necesidades de formación técnica:
Este trabajo plantea un fenómeno crítico en el área de sistemas, enfocado en el desconocimiento
técnico de actividades que realizan los profesionales en el área de seguridad de los portales en línea
de las instituciones bancarias de Guatemala. Es necesario contar con lineamientos técnicos como
apoyo a dichos profesionales.
Realizado el análisis sobre este punto débil dentro del área de sistemas se concluye que la
formación técnica de personas inmersas en este ámbito, es crucial pues son los únicos que pueden
dar respaldo responsable a los usuarios de banca en línea; pues a través de la implementación de
infraestructura, equipo y conocimientos técnicos este punto débil pasará a no ser vulnerable.
Como parte de las tecnologías de información los profesionales deben de tener claro que aunque
se implementen nuevos sistemas de seguridad de nueva generación las vulnerabilidades siempre
seguirán latentes y la innovación que se necesite implementar siempre dará tanto a la entidad
financiera un nivel adicional de protección como a los cuentahabientes.
43
5. CONCLUSIONES:
5.1 Los delitos Informáticos son todas aquellas anomalías que se dan dentro de las distintas
redes existentes en la web o por algún otro medio de comunicación. Se viola la
privacidad de las personas, Instituciones, empresas, etc. Se producen delitos como el
Fraudes, Robo de información confidencial, Espionaje Informático, entre otros.
5.2 Muchos de estos delitos se dan a través del Internet, las redes sociales son peligrosas
porque los delincuentes informáticos usan esta herramienta para recopilar información de
sus posibles víctimas, ignorando cuales son las intenciones de dichas personas.
5.3 Analizando la seguridad del sitio en mención se determina que:
La seguridad del portal web es seguro
Los factores externos podrían afectar este estado seguro
Es indispensable que el cliente sea consiente al momento del acceso al portal.
5.4 De acuerdo al análisis realizado se crearon los esquemas necesarios el cual cumple con los
objetivos planteados. Un punto fundamental en las conclusiones es que aunque se cuenta
con toda la tecnología de punta montada en la infraestructura de las entidades bancarias
para proteger el perímetro y en caso específico las publicaciones de los servicios de los
servidores de banca en línea, los sistemas no serán 100% seguros, y quedara latente la
actualización y mejoramiento de las tecnologías que se van adaptando a los cambios de
los ataques informativos o nuevas vulnerabilidades.
5.5 Se establecieron los diferentes esquemas de la infraestructura de la seguridad de los sitios de
banca en línea que ayudaran a la protección del perímetro, desde las diferentes situaciones que
puedan presentarse.
44
6. RECOMENDACIONES
6.1.Este trabajo puede ser utilizado como referencia del tema planteado por el o los alumnos que
deseen extenderse sobre el mismo
6.2 Como se indicó al inicio esta es solo el planteamiento de estrategias de referencia de toda la
infraestructura perimetral que es utilizada por la banca en Guatemala, con ello no se confirma
que sea la misma infraestructura o que los diagramas indique que es el orden correcto, al tomar
como base esto, se recomienda lo siguiente
6.3.Que se concientice a los cuentahabientes a que se valide el acceso a los sitios correctos para
que con ello no sean objeto de robo de su información.
6.4.Como no se conoce la experiencia en el área de informática de todos los cuentahabientes, se
recomienda que el sitio sea lo más amigable para que la información ingresada sea lo más fácil
posible.
6.5.Que se utilicen algunos de los equipos que se describieron en el presente documento.
6.6.Que se mejore el diagrama o equipos luego de su ciclo de vida, de acuerdo a las especificaciones
determinadas anteriormente.
45
7. GLOSARIO
Amenaza:
Una amenaza informática es toda circunstancia, evento o persona que tiene el potencial de
causar daño a un sistema en forma de robo, destrucción, divulgación, modificación de datos o
negación de servicio (DoS). (seguridadinformatica.unlu.edu.ar, 2015)
Aplicaciones engañosas:
Las aplicaciones engañosas son programas que intentan engañar a los usuarios informáticos para
que emprendan nuevas acciones que normalmente están encaminadas a causar la descarga de
malware adicional o para que los usuarios divulguen información personal confidencial. Un
ejemplo es el software de seguridad fraudulento, que también se denomina scareware.
(Kaspersky.com, 2015)
Ataques Web:
Un ataque Web es un ataque que se comete contra una aplicación cliente y se origina desde un
lugar en la Web, ya sea desde sitios legítimos atacados o sitios maliciosos que han sido creados
para atacar intencionalmente a los usuarios de ésta. (blog.sucuri.net, 2015)
Bot:
Un bot es una computadora individual infectada con malware , la cual forma parte de una red
de bots (bot net).
Botnet:
Conjunto de equipos bajo el control de un bot maestro, a través de un canal de mando y control.
Estos equipos normalmente se distribuyen a través de Internet y se utilizan para actividades
malintencionadas, como el envío de spam y ataques distribuidos de negación de servicio. Las botnet
se crean al infectar las computadoras con malware, lo cual da al atacante acceso a las máquinas.
Los propietarios de computadoras infectadas generalmente ignoran que su máquina forma parte de
46
una botnet, a menos que tengan software de seguridad que les informe acerca de la infección.
(searchsecurity.techtarget.com, 2015)
Crimeware:
Software que realiza acciones ilegales no previstas por un usuario que ejecuta el software. Estas
acciones buscan producir beneficios económicos al distribuidor del software. (Symantec.com,
2015)
Ciberdelito:
El ciberdelito es un delito que se comete usando una computadora, red o hardware. La
computadora o dispositivo puede ser el agente, el facilitador o el objeto del delito. El delito puede
ocurrir en la computadora o en otros lugares. (delitosinformaticos.com, 2015)
Definiciones de virus:
Una definición de virus es un archivo que proporciona información al software antivirus, para
identificar los riesgos de seguridad. Los archivos de definición tienen protección contra todos los
virus, gusanos, troyanos y otros riesgos de seguridad más recientes. Las definiciones de virus
también se denominan firmas antivirus. (www.seguridadpc.net, 2015)
Descarga inadvertida:
Una descarga inadvertida es una descarga de malware mediante el ataque a una vulnerabilidad
de un navegador Web, equipo cliente de correo electrónico o plug-in de navegador sin intervención
alguna del usuario. Las descargas inadvertidas pueden ocurrir al visitar un sitio Web, visualizar un
mensaje de correo electrónico o pulsar clic en una ventana emergente engañosa. (Microsoft.com,
2015)
Encriptación:
La encriptación es un método de cifrado o codificación de datos para evitar que los usuarios no
autorizados lean o manipulen los datos. Sólo los individuos con acceso a una contraseña o clave
47
pueden descifrar y utilizar los datos. A veces, el malware utiliza la encriptación para ocultarse del
software de seguridad. Es decir, el malware cifrado revuelve el código del programa para que sea
difícil detectarlo. (larevistainformatica.com, 2015)
Exploits o Programas intrusos:
Los programas intrusos son técnicas que aprovechan las vulnerabilidades del software y que
pueden utilizarse para evadir la seguridad o atacar un equipo en la red. (welivesecurity, 2015)
Firewall:
Un firewall es una aplicación de seguridad diseñada para bloquear las conexiones en
determinados puertos del sistema, independientemente de si el tráfico es benigno o maligno. Un
firewall debería formar parte de una estrategia de seguridad estándar de múltiples niveles.
(spi1.nisu.org, 2015)
Ingeniería Social:
Método utilizado por los atacantes para engañar a los usuarios informáticos, para que realicen
una acción que normalmente producirá consecuencias negativas, como la descarga de malware o
la divulgación de información personal. Los ataques de phishing con frecuencia aprovechan las
tácticas de ingeniería social. (hackstory.net, 2015)
Malware:
El malware es la descripción general de un programa informático que tiene efectos no deseados
o maliciosos. Incluye virus, gusanos, troyanos y puertas traseras. El malware a menudo utiliza
herramientas de comunicación populares, como el correo electrónico y la mensajería instantánea,
y medios magnéticos extraíbles, como dispositivos USB, para difundirse. También se propaga a
través de descargas inadvertidas y ataques a las vulnerabilidades de seguridad en el software. La
mayoría del malware peligroso actualmente busca robar información personal que pueda ser
utilizada por los atacantes para cometer fechorías. (Infospyware, 2015)
48
Negación de servicio (DoS):
La negación de servicio es un ataque en el que el delincuente intenta deshabilitar los recursos
de una computadora o lugar en una red para los usuarios. Un ataque distribuido de negación de
servicio (DDoS) es aquel en que el atacante aprovecha una red de computadoras distribuidas, como
por ejemplo una botnet, para perpetrar el ataque. (Symantec, 2015)
Phishing:
A diferencia de la heurística o los exploradores de huella digital, el software de seguridad de
bloqueo de comportamiento se integra al sistema operativo de un equipo anfitrión y supervisa el
comportamiento de los programas en tiempo real en busca de acciones maliciosas. El software de
bloqueo de comportamiento bloquea acciones potencialmente dañinas, antes de que tengan
oportunidad de afectar el sistema. La protección contra el comportamiento peligroso debe ser parte
de una estrategia de seguridad estándar de múltiples niveles. (OnGuardOnline.gov, 2015)
Seguridad basada en la reputación:
La seguridad basada en la reputación es una estrategia de identificación de amenazas que
clasifica las aplicaciones con base en ciertos criterios o atributos para determinar si son
probablemente malignas o benignas. Estos atributos pueden incluir diversos aspectos como la edad
de los archivos, la fuente de descarga de los archivos y la prevalencia de firmas y archivos digitales.
Luego, se combinan los atributos para determinar la reputación de seguridad de un archivo. Las
calificaciones de reputación son utilizadas después por los usuarios informáticos para determinar
mejor lo que es seguro y permitirlo en sus sistemas. La seguridad basada en la reputación debe ser
parte de una estrategia de seguridad estándar de múltiples niveles. (RedesTelecom.es, 2015)
Sistema de prevención de intrusos (IPS):
Un sistema de prevención de intrusos es un dispositivo (hardware o software) que supervisa las
actividades de la red o del sistema en busca de comportamiento no deseado o malicioso y puede
49
reaccionar en tiempo real para bloquear o evitar esas actividades. Un sistema de prevención de
intrusos debe ser parte de una estrategia de seguridad estándar de múltiples niveles. (hp.com, 2015)
Software de seguridad fraudulento (rogue):
Un programa de software de seguridad rogue es un tipo de aplicación engañosa que finge ser
software de seguridad legítimo, como un limpiador de registros o detector antivirus, aunque
realmente proporciona al usuario poca o ninguna protección y, en algunos casos, puede de hecho
facilitar la instalación de códigos maliciosos contra los que busca protegerse. (pcworl.com.mx,
2015)
Vulnerabilidad:
Una vulnerabilidad es un estado viciado en un sistema informático (o conjunto de sistemas) que
afecta las propiedades de confidencialidad, integridad y disponibilidad (CIA) de los sistemas.
(norton.com, 2015) Las vulnerabilidades pueden hacer lo siguiente:
Permitir que un atacante ejecute comandos como otro usuario
Permitir a un atacante acceso a los datos, lo que se opone a las restricciones específicas de
acceso a los datos
Permitir a un atacante hacerse pasar por otra entidad
Permitir a un atacante realizar una negación de servicio
50
8. BIBLIOGRAFÍA
AlertaEnLinea. (25 de octubre de 2015). https://www.alertaenlinea.gov/articulos/s0002-estafas-
comunes-en-internet. Obtenido de https://www.alertaenlinea.gov/articulos/s0002-estafas-
comunes-en-internet: https://www.alertaenlinea.gov/articulos/s0002-estafas-comunes-en-
internet
Antiphising. (25 de octubre de 2015). http://www.antiphishing.org/. Obtenido de
http://www.antiphishing.org/: http://www.antiphishing.org/
BAM. (11 de octubre de 2015). https://bamnet.bam.com.gt/ClientBanking/T00000/AD00001T.
Obtenido de https://bamnet.bam.com.gt/ClientBanking/T00000/AD00001T:
https://bamnet.bam.com.gt/ClientBanking/T00000/AD00001T
BGPExpert.com. (10 de Septiembre de 2015). BGP Expert. Obtenido de
http://www.bgpexpert.com/what.php
BI. (11 de octubre de 2015). https://www.bienlinea.bi.com.gt/login/index.aspx?complete=true.
Obtenido de https://www.bienlinea.bi.com.gt/login/index.aspx?complete=true:
https://www.bienlinea.bi.com.gt/login/index.aspx?complete=true
CCM. (22 de octubre de 2015). http://es.ccm.net/contents/22-ataque-por-denegacion-de-servicio.
Obtenido de http://es.ccm.net/contents/22-ataque-por-denegacion-de-servicio:
http://es.ccm.net/contents/22-ataque-por-denegacion-de-servicio
certsuperior.com. (2014). Recuperado el 30 de 9 de 2015, de
http://www.certsuperior.com/seguridadinternet.aspx
CNN. (25 de octubre de 2015). http://mexico.cnn.com/tecnologia/2012/03/29/legisladores-
definen-cuales-son-los-delitos-informaticos-y-su-castigo. Obtenido de
http://mexico.cnn.com/tecnologia/2012/03/29/legisladores-definen-cuales-son-los-delitos-
informaticos-y-su-castigo: http://mexico.cnn.com/tecnologia/2012/03/29/legisladores-
definen-cuales-son-los-delitos-informaticos-y-su-castigo
eleconomista.es. (2014). Recuperado el 23 de 09 de 2015, de www.eleconomista.es/diccioario-
de-economia-banca-electronica
Etutorials.org. (15 de March de 2015). etutorials.org. Obtenido de
http://etutorials.org/Networking/Integrated+cisco+and+unix+network+architectures/Chap
ter+8.+Static+Routing+Concepts/Equal-Cost+Multi-Path+ECMP+Routing/
ExactNetworks.net. (s.f.). jncie-sec.exactnetworks.net. Obtenido de jncie-sec.exactnetworks.net:
jncie-sec.exactnetworks.net
Guiar.com.mx. (22 de Septiembre de 2015). guiar.com.mx. Obtenido de guiar.com.mx
Heboluba. (1 de Octubre de 2015). heboluba.tumblr.com. Obtenido de heboluba.tumblr.com:
heboluba.tumblr.com
HP, T. P. (15 de Septiembre de 2015). www.tippingpoint.com. Obtenido de
www.tippingpoint.com: www.tippingpoint.com
http://datateca.unad.edu.co. (25 de octubre de 2015).
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/11_leccin_1_pilares_de_la_seguridad_informtica.html. Obtenido de
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/11_leccin_1_pilares_de_la_seguridad_informtica.html:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/11_leccin_1_pilares_de_la_seguridad_informtica.html
51
Imperva. (20 de Septiembre de 2015). www.imperva.com. Obtenido de www.imperva.com:
www.imperva.com
insystems.com.ar. (26 de septiembre de 2015). http://www.insystems.com.ar/software/tokens-usb-
firma-digital-doble-factor-de-autenticacion/. Obtenido de
http://www.insystems.com.ar/software/tokens-usb-firma-digital-doble-factor-de-
autenticacion/: http://www.insystems.com.ar/software/tokens-usb-firma-digital-doble-
factor-de-autenticacion/
keyloggers.com. (22 de octubre de 2015). http://www.keyloggers.com/. Obtenido de
http://www.keyloggers.com/: http://www.keyloggers.com/
manueldelgado.com. (s.f.). Manuel Delgado. Obtenido de Manual Delgado:
http://manueldelgado.com/que-es-una-content-delivery-network-cdn/
Microsoft. (22 de Octubre de 2015). http://windows.microsoft.com/es-419/windows-vista/what-is-
phishing. Obtenido de http://windows.microsoft.com/es-419/windows-vista/what-is-
phishing: http://windows.microsoft.com/es-419/windows-vista/what-is-phishing
Norton. (15 de octubre de 2015). http://mx.norton.com/identity-theft-primer/article. Obtenido de
http://mx.norton.com/identity-theft-primer/article: http://mx.norton.com/identity-theft-
primer/article
pcihispano.com. (25 de octubre de 2015). http://www.pcihispano.com/controles-tecnicos-de-pci-
dss-parte-i-waf-web-application-firewall/. Obtenido de
http://www.pcihispano.com/controles-tecnicos-de-pci-dss-parte-i-waf-web-application-
firewall/: http://www.pcihispano.com/controles-tecnicos-de-pci-dss-parte-i-waf-web-
application-firewall/
Security, P. (s.f.). Panda Security. Obtenido de pandasecurity.com:
http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/phishing/
Seguridad, R. y. (18 de octubre de 2015). http://redyseguridad.fi-
p.unam.mx/proyectos/seguridad/ServNoRepudio.php. Obtenido de http://redyseguridad.fi-
p.unam.mx/proyectos/seguridad/ServNoRepudio.php: http://redyseguridad.fi-
p.unam.mx/proyectos/seguridad/ServNoRepudio.php
SEMANA, P. (2015). Semana.com. Recuperado el 07 de 10 de 2015, de
http://www.semana.com/imprimir/80167
Viruslist.com. (22 de octubre de 2015). http://www.viruslist.com/sp/analysis?pubid=207270912.
Obtenido de http://www.viruslist.com/sp/analysis?pubid=207270912:
http://www.viruslist.com/sp/analysis?pubid=207270912
www.contentverification.com. (10 de Octubre de 2015). www.contentverification.com. Obtenido
de www.contentverification.com: www.contentverification.com
www.servicetechmag.com. (2 de octubre de 2015). www.servicetechmag.com. Obtenido de
www.servicetechmag.com: www.servicetechmag.com
52
9. Anexos
9.1 Ley de Delitos Informáticos de Guatemala