Prevención de fraudes electrónicos
-
Upload
karina-astudillo -
Category
Documents
-
view
269 -
download
0
description
Transcript of Prevención de fraudes electrónicos
1
Ing. Karina Astudillo B.
Gerente de IT
Prevención de Fraudes
Electrónicos
Agenda
Introducción a la seguridad informática
Entorno de seguridad informática actual
Confidencialidad, Integridad y Disponibilidad de la Información
Vulnerabilidades, Amenazas y Ataques
Ataques de Ingeniería Social
Ataques directos o telefónicos
Tailgating y Dumpster Diving
Ataques haciendo uso de computadoras: mail scams y phishing, virus,
gusanos y troyanos
Mecanismos de defensa
Entorno de Seguridad y Políticas
Política de Seguridad Corporativa
Importancia de la Política de Seguridad Corporativa
Ley ecuatoriana de Comercio Electrónico
Un vistazo al estándar ISO 27001
2
INTRODUCCIÓN A LA
SEGURIDAD INFORMÁTICA
3
Entorno de seguridad informática actual Casos en Ecuador: Ataques a websites del
gobierno (defacements)
Laptop Raúl Reyes
Pornografía en Internet
Revisión de Microfilm del Banco Central
Caso Peñaranda (Discos Duros)
Estafas / Suplantación de identidad
Infracciones de Propiedad Intelectual
Clonación de Tarjetas
¡1300 denuncias de phishing en 1er trimestre del 2011!
4
Tendencias que afectan la seguridad informática
Incremento en los ataques de red
Mayor sofisticación de los ataques Aumento en la dependencia de la red Falta de personal capacitado Poca atención a los riesgos informáticos Ausencia de políticas de seguridad Popularidad de las redes inalámbricas Huecos legislativos
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 5
Amenazas actuales: más peligrosas y fáciles de usar
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 6
Terminología esencial
Amenaza – Una acción o evento que podría perjudicar la seguridad. Una amenaza es una violación potencial de la seguridad.
Vulnerabilidad – Existencia de una debilidad en el diseño o error de implementación que podría conllevar a un evento no deseado que comprometa la seguridad de la información.
Objetivo o Víctima– Un sistema, producto o empresa que ha sido identificado como sujeto de un ataque malicioso o de una auditoría de hacking ético.
Ataque – Un asalto a un sistema informático que se deriva de una amenaza inteligente. Un ataque es cualquier acción que viole la seguridad.
Explotación – Una forma definida de romper la seguridad de un sistema informático a tráves del aprovechamiento de una vulnerabilidad.
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 7
Terminología esencial Hacker – Persona experta en seguridad
informática.
Hacker Ético o de Sombrero Blanco – Profesional que usa sus habilidades de hacking con fines preventivos.
Cracker o Hacker de Sombrero Negro– Delincuente informático que utiliza sus conocimientos tecnológicos con fines maliciosos.
Hacker de Sombrero Gris – Individuo que usa sus habilidades de forma preventiva u ofensiva de acuerdo a sus intereses.
Hacktivismo – Hacker “por una causa”. Ej: hacking político, hacking verde.
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 8
Objetivos de Seguridad
Integridad
Confidencialidad
Disponibilidad
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 9
Tipos de Vulnerabilidades
Tecnológicas
Configuración
Políticas
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 10
Tipos de Amenazas
Externas
Internas
Estructuradas
No - Estructuradas
Internet
Internal
exploitation Dial-in
exploitation
Compromise
d host
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz
Ataques a la seguridad
INTERRUPCIÓN: Este es un ataque a la disponibilidad
INTERCEPCIÓN: Ataque a la confidencialidad
MODIFICACIÓN: Ataque a la integridad
FABRICACIÓN: Ataque a la autenticidad
12
Fases del hacking
13
Obtener acceso
Mantener acceso
Borrar huellas
Reconocimiento
Ataques de reconocimiento
Los ataques de reconocimiento tienen por objetivo recolectar la mayor cantidad de información sobre la víctima, utilizando información pública disponible, ataques de ingeniería social o haciendo uso de herramientas de software especiales.
Un tipo especial de ataque de reconocimiento lo constituyen los ataques de ingeniería social.
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz
Ataques de reconocimiento
15
Escaneo
Verificación de servicios disponibles en los objetivos detectados.
Detección de versión de Sistema Operativo y aplicaciones activas.
Determinación de vulnerabilidades presentes.
Ataques de acceso
En este tipo de ataque el cracker toma contacto directo con la víctima o sus sistemas.
Ejemplos de ataques de acceso:
Ataques de claves
Captura de paquetes
activa (sniffing de red)
Phishing
Explotación de
vulnerabilidades
detectadas
17
Denegación de Servicio (DoS)
En este tipo de ataque el cracker agota los recursos de un sistema o red, volviéndolo inutilizable.
18
Denegación de Servicio Distribuida (DDoS)
En este ataque el cracker infecta previamente cientos o miles de máquinas y las convierte en botnets o zombies, para atacar al unísono a un tercero.
19
ATAQUES DE INGENIERÍA
SOCIAL
20
¿Qué es la ingeniería social?
Es la manipulación de personas mediante engaños para obtener información confidencial sobre un objetivo o víctima.
21
Debilidad humana
Las personas son el eslabón más débil de la cadena de seguridad.
Una defensa exitosa depende en tener buenas políticas implementadas y educar a los empleados para que cumplan con las políticas.
La ingeniería social es la forma de ataque más difícil de combatir porque no puede defenderse con hardware o software solamente.
Tipos comunes de ingeniería social La ingeniería social puede
dividirse en dos tipos: basada en humanos y basada en computadores
1. La Ingeniería Social Basada en Humanos se refiere a la interacción persona-a-persona para recuperar la información deseada.
2. La Ingeniería Social Basada en Computadoras s refiere al uso de software/hardware para recuperar la información deseada.
23
Categorías:
Personificación
Suplantar una persona importante
Acercamiento de tercera persona
Soporte técnico
Búsqueda en la basura
“Surfing” de hombros
Basada en Humanos
24
Llamada al soporte técnico
Un hombre llama al soporte técnico
y dice que ha olvidado su clave.
En pánico agrega que si no entrega
un documento a tiempo su jefe podría
despedirlo.
La persona de soporte siente pena por él y resetea la clave, dándole acceso a la red
corporativa.
25
Dumpster diving
Un ejecutivo bota papeles corporativos a la papelera.
El personal de limpieza toma la basura y la coloca en los tanques provistos para que los recoja el barrendero.
Espías maliciosos se apropian de los papeles desde la basura antes de que se los lleve el camión.
Los papeles contienen información de nombres, cargos y extensiones de ejecutivos de la empresa y balances financieros. Esta información es suficiente para lanzar un ataque exitoso de ingeniería social. 26
Tailgating o Piggybacking
Se refiere al acto de ingresar a un área restringida siguiendo a otra persona que sí está autorizada.
Métodos:
Haciendo de “escolta”
Pretendiendo ser parte del
grupo
Fingiendo haber perdido la
credencial o tener las
manos ocupadas 27
Dejando una “carnada”
En este método se incita la curiosidad de las personas dejando un “objeto valioso” en un sitio de fácil acceso en la empresa víctima.
Ejemplos:
Pendrive o CD con
malware “olvidados” en
el baño
28
Basada en computadoras
Categorías
Adjuntos de correo electrónico
Ventanas emergentes
Sitios webs falsos o maliciosos
Correo basura (spam)
Mails falsos
Software “gratis” o pirata
29
Virus, Gusanos y Troyanos
Un virus es un aplicativo malicioso que se adjunta a otro programa para efectuar una acción no deseada.
El gusano a diferencia del virus puede replicarse a sí mismo de forma automática.
El troyano es sólo diferente en que la aplicación completa ha sido escrita para lucir como algo diferente, cuando en efecto es una herramienta de ataque.
30
Phishing
Uso de sitios “réplica” de páginas webs legítimas, para capturar las credenciales de usuarios ingenuos, con el objetivo de perpetrar estafas electrónicas.
31
Mails falsos
El correo puede ser falsificado fácilmente.
Las personas tienden a confiar mucho en lo que una persona conocida y con autoridad les solicita vía mail.
32
Mecanismos de defensa
Definición de una Política de Seguridad Corporativa.
Implantación de un Sistema de Gestión de Seguridad de Información (SGSI).
Capacitación de todo el personal sobre fraudes electrónicos y medidas preventivas.
Capacitación del personal de sistemas en seguridad informática.
Rediseño de la red para incorporar dispositivos y protocolos de seguridad.
Uso de tecnologías Anti-X.
Ejecución de auditorías de seguridad informática anuales.
33
Sistemas de protección Herramientas Comerciales
Antivirus / Antispam
Kaspersky
Eset
McAffee
Norton
Firewalls e IPS’s
Cisco ASA, Cisco Security
Agent
Juniper
Fortinet
Checkpoint
Sistemas de Correlación
Cisco MARS
Checkpoint Smart Event
Herramientas Open Source
Antivirus / Antispam
ClamAV
Firewalls e IPS’s
Linux IPTables
Solaris IPFilter
FWBuilder
Snort
Sistemas de Correlación
AlienVault Open Source
SIEM (OSSIM)
Hyperic
Nagios
34
Auditoría de Hacking Ético
Tipos de Hacking Ético
Externo
Interno
Computador Robado
Ingeniería Social
35
Modalidades
Black Box
Gray Box
White Box
ENTORNO DE SEGURIDAD
Y
POLÍTICAS
36
¿Qué es una Política de Seguridad?
“Una política de seguridad es una declaración formal de reglas a las cuales se deben atener las personas a las que se les brinda acceso a los activos de información y tecnología de la empresa”.
Tomado del RFC 2196, Site Security Handbook.
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 37
¿Por qué crear una Política de Seguridad?
Para crear una línea base de su postura actual sobre seguridad informática
Para establecer el marco referencial para una implementación de seguridad
Para definir los comportamientos permitidos y prohibidos
Para ayudar a determinar las herramientas y procedimientos necesarios en la organización
Para comunicar consenso y definir roles
Para definir cómo se deben manejar los incidentes de seguridad
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 38
Estándar ISO 27001 (antes 17799)
Es un estándar de seguridad informática reconocido internacionalmente.
“Es un conjunto de controles que comprenden las mejores prácticas en seguridad de información”
Consta de dos partes: un código de práctica y una especificación para un sistema de administración de la seguridad de la información.
Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz
39
¿Por qué certificarse en ISO 27001?
“Ha sido diseñado para servir como un único punto de referencia para la identifación de un rango de controles requeridos para la mayoría de las situaciones en que se usan sistemas informáticos para la industria y el comercio.”
Facilita las negociaciones comerciales proveyendo un ambiente confiable para el intercambio de información.
40
Legislación - Ecuador
Código de Procedimiento Penal (CPP)
Código de Procedimiento Civil (CPC)
1
Ley Orgánica de Transparencia y Acceso a la Información Pública
2
Ley de Comercio Electrónico Firmas Electrónicas y Mensajes de Datos
3 Ley de Propiedad Intelectual
4 Ley Especial de Telecomunicaciones
5
Constitución de la República (Habeas Data)
41
Ley publicada en el registro oficial No. 67. Suplemento 557 de 17 de Abril del 2002
Ver el reglamento en http://www.corpece.org.ec
Ley de Comercio Electrónico
42
Conceptos introducidos por la ley
Mensajes de Datos
Son los documentos electrónicos, correo electrónico y adjuntos, páginas web, telegrama, telex, fax, facsímil e intercambio electrónico de datos entre otros.
Pueden ser admitidos en trámites judiciales; sin embargo tienen validez sólo si están debidamente firmados.
Principio de Equivalencia Funcional
Se refiere a que el contenido de un documento electrónico surte los mismos efectos jurídicos que el contenido de un documento en papel. (Artículo 2)
43
Conceptos introducidos por la ley
Mensajes de Datos como medio de prueba
El mensaje de datos cualquiera sea su procedencia o generación, será considerado como medio de prueba con todos los efectos legales que tienen los principios probatorios determinados en las leyes que regulan la materia.
Firma Electrónica
No es un escaneo de una firma manuscrita sino un algoritmo matemático de seguridad que se adjunta en forma de datos al mensaje de datos, para garantizar la identidad del remitente.
44
Penalización
Delito de fraude informático
Alteración funcionamiento de
programa informático
Delito de falsificación electrónica
Modificación del mensaje de datos
Delito de daño informático
Destrucción de programas o
mensajes
Conceptos introducidos por la ley
45
Infracciones Informáticas (CPP)
INFRACCIONES INFORMATICAS REPRESION MULTAS
Delitos contra la información protegida (CPP Art. 202)
1. Violentando claves o sistemas
2. Seg. nacional o secretos comerciales o industriales
3. Divulgación o utilización fraudulenta
4. Divulgación o utilización fraudulenta por custodios
5. Obtención y uso no autorizados
6 m. - 1 año
3 años
3 a 6 años
9 años
2 m. - 2 años
$500 a $1000
$1.000 - $1500
$2.000 - $10.000
$2.000 - $10.000
$1.000 - $2.000
Destrucción maliciosa de documentos (CCP Art. 262) 6 años ---
Falsificación electrónica (CPP Art. 353) 6 años ---
Daños informáticos (CPP Art. 415)
1. Daño dolosamente
2. Serv. público o vinculado con la defensa nacional
3. No delito mayor
6 m. - 3 años
5 años
8 m. - 4 años
$60 – $150
$200 - $600
$200 - $600
Apropiación ilícita (CPP Art. 553)
1. Uso fraudulento
2. Uso de medios (claves, tarjetas magnéticas, etc.)
6 m. - 5 años
5 años
$500 - $1000
$1.000 - $2.000
Estafa (CPP Art. 563) 5 años $500 - 1.000
46
Técnicas de Investigación Forense
Informática Forense: Ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y almacenados en un medio computacional
Auditoría Forense:- Técnica utilizada generalmente para la prevención y detección de fraudes de una manera especializada. Proceso estructurado donde intervienen contadores, auditores, abogados, investigadores, informáticos entre otros.
47
Informática Forense
Documentación y Resultados Informe Técnico Informe Pericial
Análisis de Evidencias Reconstrucción Respuestas
Preservación de evidencias Almacenamiento Etiquetado
Cadena de Custodia
Recopilación de Evidencias Recuperar la Operación Técnicas de Investigación
Identificación del incidente Identificación de los procesos
48
Perito – Aspecto Legal
Perito: Experto en una materia, capaz de aportar al juez conocimientos que no posee, con el fin se servir de lentes de aumento para la justicia con el fin de aclarar el asunto litigioso en revisión.
Perito informático: perito especializado en el área de las tecnologías de la información que de acuerdo con el tema requerido puede ser seleccionado según su competencia y experiencia para una labor de análisis
49
Perito ante un caso judicial
Peritos CPP y CPC
Organismo de Acreditación de Peritos
Procedimientos de acreditación
Pérdida de acreditación
Implicaciones legales
Peritaje
Designación Posesión Ejecución Resultados
50
Perfil del Consultor Forense
Profesional con experiencia comprobada en seguridad informática
Conocimiento sobre leyes relacionadas en el país o trabajo conjunto con buffete acreditado
Certificación Internacional en Computer Forensics
Herramientas de Software
CAINE, Helix, Encase Forensics
51
Iniciativas Internas y Externas
Internas
Departamento de Criminalística de la Policía Nacional
Creación de la Unidad de Delitos Informáticos del Ministerio Público
Cuerpo Colegiado de Peritos
Externas
Recomendaciones de la OEA
Mercosur
52
Retos futuros Marco Legal
Leyes
Infraestructura y tecnología
Formación profesional
Rama del derecho
Rama informática
Limitaciones tecnológicas
Laboratorios
Técnicas
Otras
Comunicaciones 53
¿Preguntas?
Mayor información
Website: http://www.elixircorp.biz
Blog: http://www.SeguridadInformaticaFacil.com
Facebook: www.facebook.com/elixircorp
Twitter: www.twitter.com/elixircorp
Google+: http://google.com/+SeguridadInformaticaFacil
¡Gracias por su tiempo!
Twitter: KAstudilloB
Facebook: Kastudi