EL CLIENTE Y SU RESPONSABILIDAD EN LA EJECUCIÓN DE

TRANSACCIONES BANCARIAS SEGURAS

Ing. Karina Astudillo B. – Gerente de IT - Elixircorp S.A.

Agenda

• Panorama mundial de fraude

• Entorno de transacciones bancarias actuales – Servicios al cliente y estafas electrónicas en Colombia

– Seguridades implementadas por los bancos colombianos

– Responsabilidad del cliente en la ejecución de transacciones seguras

• Casos prácticos: – Video: troyano que captura claves de ingreso en un sistema de banca

electrónica con clave gráfica y sistema de coordenadas.

– Demostración en vivo: ejecución de un ataque de phishing clonando la página web de un banco y control remoto de la máquina víctima.

• Medidas preventivas – Capacitación en seguridad informática

– Precauciones por parte del cliente

– Mecanismos adicionales de seguridad

Panorama mundial de fraude

Fuente: Global Fraud Report 2010 - Economist Intelligence Unit

Survey Results, Kroll Consulting.

Servicios Bancarios y Estafas Electrónicas

Los Bancos colombianos ofrecen a sus clientes servicios a la par de sus contrapartes a nivel mundial: • Banca electrónica • Banca celular • Aplicación de créditos en línea

De acuerdo a las estadísticas las estafas bancarias más comunes en Colombia son:

1. Clonación de Tarjetas 2. Phishing 3. Smishing

Seguridades implementadas por la Banca colombiana

Responsabilidad del cliente

• Las personas son el eslabón más débil de la cadena de seguridad.

• Una defensa exitosa depende en tener buenas políticas implementadas y educar a las personas para que cumplan con las políticas.

• La ingeniería social es la forma de ataque más difícil de combatir porque no puede defenderse con hardware o software solamente.

Video

Demo

Medidas Preventivas

• Continuar la difusión actual y capacitar a los clientes sobre fraudes electrónicos.

• Concientizando a los clientes sobre los peligros de piratear software.

• Recomendando el uso de tecnologías Anti-X a los clientes.

• Impulsando a los Bancos que aún no han implementado Tokens de Seguridad a que lo hagan.

• Certificación ISO 27001

• Certificando al personal de sistemas en seguridad informática.

• Rediseñando la red para incorporar dispositivos y protocolos de seguridad.

• Ejecución de auditorías de seguridad informática (hacking ético) anuales.

• Acudiendo a expertos en informática forense cuando se presentaren eventos. 9

Sistemas de protección

Herramientas Comerciales • Antivirus / Antispam

– Kaspersky

– Eset

– McAffee

– Norton

• Firewalls e IPS’s – Cisco ASA, Cisco Security Agent

– Juniper

– Fortinet

– Checkpoint

• Sistemas de Correlación – Cisco MARS

– Checkpoint Smart Event

Herramientas Open Source

• Antivirus / Antispam – ClamAV

• Firewalls e IPS’s – Linux IPTables

– Solaris IPFilter

– FWBuilder

– Snort

• Sistemas de Correlación – AlienVault Open Source SIEM

(OSSIM)

– Hyperic

– Nagios 10

Hacking Ético

11

¿Preguntas?

Mayor información

• Website: http://www.elixircorp.biz

• Blog: http://www.SeguridadInformaticaFacil.com

• Facebook: www.facebook.com/elixircorp

• Twitter: www.twitter.com/elixircorp

• Google+: http://google.com/+SeguridadInformaticaFacil

¡Gracias por su tiempo!

Karina.Astudillo@elixircorp.biz

Twitter: KAstudilloB

Facebook: Kastudi