“seguridad de la banca online” -...

“Seguridad de la Banca Online ”

Eugenio Herrero Calvé

Responsable Banca TransaccionalTR Aragón, Navarra y Rioja

SEGURIDAD EN LA BANCA ON LINE Y COMERCIO ELECTRÓNICOZaragoza, 1 Marzo de 2006

Eugenio Herrero CalvéResponsable Banca TransaccionalTR Aragón, Navarra y Rioja.

2

SEGURIDAD EN LA BANCA ON LINE Y COMERCIO ELECTRÓNICO

• INDICE

•1.- SEGURIDAD EN LA BANCA ON LINE

QUE ES LA SEGURIDAD PARA EL BANCOPRINCIPALES ATAQUES A LA BANCA ON LINEMEDIDAS DE SEGURIDAD

2.- SEGURIDAD EN EL COMERCIO ELECTRÓNICO

3.- CONCLUSIONES

SEGURIDAD EN LA BANCA ON LINE

4

apuesta por Banca Electrónica por :+ Beneficio

+ Retención

+ Seguridad

- Costes

Multiplicador de beneficio

Una banca electrónica de excelencia:– Es puerta de entrada para captar clientes– Crea barrera de salida para clientes vinculados

Alerta temprana de posible desvinculación

Mayor información, seguridad y calidad de servicio frente a canales físicos

Información valiosa y fácilmente accesible sobre comportamiento de clientes

Ahorro de costes de transacción para el cliente y el banco y liberar tiempo para acción comercial

1.- SEGURIDAD EN LA BANCA ON LINE

5

apuesta por Banca Electrónica por :

“POR ELLO EL BANCO DEBE Y TIENE QUE INVERTIR EN SEGURIDAD”

+ Beneficio

+ Retención

+ Seguridad

- Costes

Multiplicador de beneficio

Una banca electrónica de excelencia:– Es puerta de entrada para captar clientes– Crea barrera de salida para clientes vinculados

Alerta temprana de posible desvinculación

Mayor información, seguridad y calidad de servicio frente a canales físicos

Información valiosa y fácilmente accesible sobre comportamiento de clientes

Ahorro de costes de transacción para el cliente y el banco y liberar tiempo para acción comercial


6

1.-SEGURIDAD EN LA BANCA ON LINE

basa la seguridad de la Banca On Line en tres pilares:

SEGURIDADEQUIPO

Y ACTUACIÓN

DEL CLIENTE

SEGURIDADTRANSMISIÓN

POR INTERNET

SEGURIDAD SISTEMAS

DELBANCO

SEGURIDAD

7


Seguridad de los sistemas del Banco

• Infraestructura técnica.

• Infraestructura organizativa.

• Estar al día en medidas de seguridad.

• Anticiparse a los fraudes.

• Seguridad del cliente que implica también la seguridad e imagen del Banco.

8


Seguridad transmisión por Internet

• Criptografía.

• Certificado por ACE/Verising lo que garantiza que las comunicaciones se realizan de forma cifrada.

• Diálogo cifrado entre cliente y Banco.

• En definitiva: IMPLANTAR LOS MEDIOS QUE HAGAN POSIBLE LA TRANSMISION DE UN MODO SEGURO DE LA INFORMACIÓN DEL BANCO AL CLIENTE Y VICEVERSA.

9


Seguridad del equipo y actuación del clienteSeguridad del equipo:

• Antivirus actualizado.• Cortafuegos.•Versión actualizada del navegador.•Precaución en la instalación de sofware de procedencia extraña o sospechosa.•No abrir correos de origen desconocido.

Actuación del cliente:

• Comprobar SIEMPRE que está introduciendo sus datos bajo una conexión segura y auténtica.•No utilizar en su navegador la característica de “autocompletar” para rellenar los datos de acceso a su banco.•Asegurarse de introducir sus claves en ordenadores de confianza.•Si utiliza sus claves en ordenadores públicos, al acabar, borrar la memoria cache del navegador.• Jamás se han de dar las claves a nadie por teléfono o por e-mail.•Cambiar frecuentemente de clave de acceso.

10


1.2.- Principales ataques a la seguridad de la Banca On line:

PHISHING

• El término viene de la palabra inglesa “fishing” (pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este modo obtener información financiera y principalmente contraseñas.

“Los ataques de phishing aumentaran en 2006”Fuente: El País 29/12/2005

“Uno de cada 125 e-mails enviados en el mundo es un intento de “phishing”. España tercer país emisor de ataques.

Fuente: La Vanguardia, 20/09/2005

11

1- SEGURIDAD EN LA BANCA ON LINE

1.2- Principales ataques a la seguridad de la Banca On line:

PHISHING

* http://www.antiphishing.org/

“El 3,5% de los servidores desde los que se lanzan los ataques a todo el mundose alojan en nuestro país”

Fuente: La Vanguardia, 20/09/2005

12



PHISHING

* http://www.antiphishing.org/

13



PHISHING

14

1.- SEGURIDAD EN LA BANCA ON LINE1.2.-Principales ataques a la seguridad de la Banca On line:

Ejemplo de PHISHING----- Original Message -----From: Santander Cantral HispanoTo: [email protected]: Saturday, February 18, 2006 5:43 PMSubject: Aviso de Santander SuperNet

Estimado Cliente,Según nuestros registros informáticos, hemos detectado recientemente que los accesos a su cuenta a través de banca electrónica han sido realizados desde diferentes direcciones IP.Esto seguramente se debe a que la dirección IP de su ordenador es dinámica y varía constantemente, o debido a que usted ha utilizado más de un ordenador para acceder a su cuenta.Debido a este suceso y en cumplimiento con la legislación vigente, hemos actualizado nuestros sistemas informáticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectúe una verificación de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del *25 de Febrero del 2006*. De no ser así, transcurrida esta fecha, el sistema informático automatizado de banca electrónica suspenderá su cuenta indefinidamente.Desde ya le agradecemos su cooperación en este aspecto.Para ingresar a su cuenta a través de SUPERNET y verificar la actividad de la misma, debe utilizar el siguiente enlace:http://www.gruposantander.es/bog/sbi (http://www.animals.or.kr/bbs/data/santander.es.php)Apreciamos su ayuda y compresión, pues trabajamos juntos para que Santander Central Hispano sea cada día un lugar mas seguro para hacer negocios.Departamento de SeguridadSantander Central Hispano.Por favor no responda a este correo electrónico, esto es un correo automatizado solo para notificaciones.© 2006 Banco Santander Central Hispano, S.A. Santander Central Hispano es una marca registrada. Todos los derechosReservados.

mailto:[email protected]

mailto:[email protected]

http://www.gruposantander.es/bog/sbi

15



PHARMING

•Consiste en la redirección de la página solicitada por el usuario a otra predeterminada por el atacante con el objetivo de hacerle creer que se encuentra en la original y actúe dentro de ella con total normalidad.

•Suele emplearse para redirigir a la víctima a una dirección falsa, en la que introducirá sus datos, que pasarán a estar en poder de los atacantes.

•Estas redirecciones se pueden efectuar por varios métodos (alterando el fichero hosts, modificando las tablas del servidor DNS, cambiando el DNS asignado, etc.)

16


1.3.- MEDIDAS DE SEGURIDAD

CLAVES DE ACCESO

17


1.3.-MEDIDAS DE SEGURIDAD

CLAVES DE ACCESO

18


1.3 MEDIDAS DE SEGURIDAD

FIRMAS “ELECTRÓNICAS”

• Solo damos firma a los apoderados de las cuentas y cumplido la estructura solidaria o mancomunada de los poderes. No podemos dejar firmar en internet a una persona que no puede firmar fisicamente.

• Tenemos distintas formas de ”firmas electrónicas”:

Firma “electrónica”.Firma con criptocalculadora.Firma en destino.

• Permitimos hacer usuarios a medida y restricciones de entradas por IPs.

• Hacemos contratos a medida. (Consultivos, operativos, operativosrestringidos…)

SEGURIDAD EN EL COMERCIO ELCTRONICO

20


En el 2004 el comercio electrónico ha tenido un crecimiento del 20%, sensiblemente menor que en el 2003 cuyo crecimiento fue de un 31%.

21


La forma de pago por excelencia es la tarjeta de crédito.

Fuente: Informe AECE “Estudio sobre comercio electrónico B2C 2005”

22


TPV VIRTU@L

El TPV Virtu@l gestiona una operación de pago con tarjeta de forma similar a un TPV físico, consultando con el banco emisor tanto la validez y estado de la tarjeta como la disponibilidad de límite de crédito (tarjetas de crédito) o saldo suficiente (tarjeta de débito) para realizar la operación.

El entorno virtual, a diferencia del físico, condiciona que cada una de las transacciones registradas en un TPV Virtual Santander se clasifique dentro de una de las siguientes categorías:

a) Operaciones no garantizadas (SSL)

•Entorno seguro.

•Utilizan número de la tarjeta y fecha de caducidad.

•El riesgo de repudio lo asume el comercio. Si el titular del medio de pago reclama a su banco emisor el importe de una operación por no haberla realizado, Santander queda facultado para efectuar el cargo contra la cuenta o cuentas que mantenga el comercio.

23


TPV VIRTU@L

b) Operaciones garantizadas (COMERCIO ELECTRÓNICO SEGURO)

• Entorno seguro.

• Utilizan número de la tarjeta y fecha de caducidad.

• Para tarjetas Visa y Mastercard.

• Se pide al banco emisor la verificación del titular de la tarjeta conforme al programa de Comercio Electrónico Seguro (CES). Esta verificación la puede realizar el propio banco emisor, aceptando sin mas el riego de repudio, o solicitar la autenticación al titular por medio de la contraseña CES, el NIP5 Mobipay o cualquier otro método que considere oportuno para verificar su identidad.

• El banco emisor asume el riesgo de repudio, en lugar del comercio, excepto en los supuestos de uso fraudulento o indebido de la tarjeta por el titular de la misma, salvo que dicho titular pruebe que se vio obligado a revelar la clave bajo coacción.


TPV VIRTU@L

Como respuesta a esa variedad de operaciones y a las diferentes necesidades y riesgos a asumir por parte de los comercios, el Banco les ofrece, al contratar un TPV Virtual, las siguientes configuraciones posibles:

TPV Virtual Sólo SSL

•Se desactivan los protocolos garantizados

•Todas las operaciones son no garantizadas (SSL)

•El comercio no tiene ninguna protección ante los repudios excepto en compras por referencia Mobipay

TPV Virtual Básico

•El TPV trata siempre de autorizar la operación de forma garantizada (CES)

•Si la transacción es declinada por el banco emisor, se reintenta en modo no garantizado (SSL)

•Maximiza la aceptación, procurando la mayor garantía posible sin perder ventas

•La creciente implantación del protocolo CES en las tarjetas de diferentes emisores, permite que el porcentaje de transacciones garantizadas (CES) sea cada vez mayor En operaciones SSL el repudio debe ser asumido por el comercio

25

2.- SEGURIDAD EN EL COMERCIO ELECTRÓNICOTPV Virtual Garantizado

• El TPV trata de autorizar la operación exclusivamente de forma garantizada (CES)

• No son aceptadas las transacciones que por normativa no gozan de protección para el comercio (actualmente tarjetas MasterCard no europeas, Visa Business/Corporate o Visa anónima prepago)

• No todos los titulares quieren o tienen la posibilidad de vincularse al programa CES o a Mobipay,esto reduce el número de tarjetas aceptadas y puede limitar las ventas

• En operaciones garantizadas el comercio está protegido ante el posible repudio.

TPV Virtual Garantizado Plus

• Sólo operaciones garantizadas (CES) donde el titular se ha autenticado con éxito (ha introducido su contraseña).

• No permite transacciones SSL ni CES si el banco emisor no identifica al titular

• Compras por referencia Mobipay

• No todos los titulares quieren o tienen la posibilidad de vincularse al programa CES o a Mobipay.Esto reduce el número de tarjetas aceptadas y puede limitar las ventas

• A diferencia del TPV Garantizado, no permite las ventas garantizadas en las que el banco emisor acepta el posible riesgo de repudio sin identificar a su titular.

• En operaciones garantizadas el comercio está protegido ante el posible repudio

26

3.- CONCLUSIONES

• La seguridad depende tanto del Banco como de los usuarios.

• Transmitir confianza en la Banca Electrónica y en el CE.

• Cada vez hay más transacciones por la red y hay que velar por la seguridad de estas.

• Herramienta útil y necesaria en el mundo globalizado en el que vivimos.

• No proporcionar las claves de Banca Electrónica por ningún medio a nadie.

“seguridad de la banca online” -...

Documents