Computer Security: Data and Identity Management Piratería tecnológica: Seguridad de la información y conciencia

Transcripción

1 Computer Security: Data and Identity Management Piratería tecnológica: Seguridad de la información y conciencia 10/13/2011

2 Conciencia La carencia de reconocimiento de la seguridad contribuye directamente a una pobre conciencia de la seguridad, notablemente a nivel del personal. Este es uno de los principales contribuyentes al factor de error humano en la mayoría de las violaciones a la seguridad. La seguridad tiene que ser asunto de todos. Las empresas y las dependencias gubernamentales tienen la responsabilidad directa de proteger la información personal que les confían sus consumidores, por lo que hay que tomar medidas para aumentar la conciencia en el ambiente tecnológico en el día a día. El paso más crítico para cambiar el comportamiento de los usuarios es el de crear una cultura de conciencia de seguridad desde la propia base. Para crear esta cultura, todos los empleados deben ser educados y sometidos a pruebas sobre las amenazas para la seguridad y cómo su comportamiento en el uso de las computadoras en el día a día puede afectar la condición de seguridad de su organización. 10/13/ CIO Magazine

3 10/13/ Piratas informáticos

4 Botnets Zombies 10/13/2011

5 Historia de la piratería informática La necesidad de seguridad comenzó con la computación de escritorio, cuando la única forma de comprometer los datos era insertar un disquete contaminado en una PC o abrir un adjunto contaminado en un mensaje de correo electrónico. Se trataba de la época del anti virus. La necesidad de seguridad evolucionó con la Internet, en la medida en que más empresas desarrollaron redes internas y externas. Se trataba de la época de la seguridad en las redes. Ahora que las compañías están apalancando el poder de la Web, la seguridad de la información ha evolucionado una vez más: estamos en la era de la seguridad en las aplicaciones. Hoy día, ahora mismo, las amenazas persistentes avanzadas involucran la ingeniería social y los ataques del día cero, que no se evitan con anti virus. Muchos ataques implican la obtención de contraseñas. 10/13/2011

6

7 Los Hackers Criminales La industria estadounidense de las tarjetas de pago lucha por la seguridad Continúan las riñas entre los comerciantes y las firmas financieras sobre la tecnología, y el costo de las actualizaciones a los sistemas continúan impidiendo el progreso Albert González y su banda de hackers criminales violaron más de 230 millones de registros 10/13/2011

8 Piratas informáticos

9 La piratería informática por dinero Un aumento del 81% en los ataques de los hackers a bancos desde el año 2006 Secureworks Un aumento del 62% en los ataques de los hackers a las cooperativas de crédito desde el año 2006 Secureworks 10/13/2011

10 La piratería informática por dinero

11

12

13

14 Violaciones a los datos 10/13/2011

15 Violaciones a los datos Violaciones a tarjetas 213 millones de tarjetahabientes; millones de tarjetas en Estados Unidos Hay millones de tarjetas de pago en circulación ( $ millones en pérdidas por fraude en el año 2010 Javelin Strategy & Research Se han incrementado las tarjetas clonadas en un 22% 10/13/2011

16 Violaciones a los datos Hacking (piratería informática) Persona interna irresponsable Persona interna maliciosa Culpa de un tercero Hurto en una computadora portátil Hurto Pérdida 10/13/2011

17 Más de millones en pérdidas, debido a fraude, virus, spyware y phishing, solamente en Estados 10/13/ Unidos

18 10/13/2011

19 Los criminales están organizados y son sofisticadossoph 10/13/2011

20 La piratería informática por dinero Intromisión en redes no protegidas Sistemas operativos / navegadores desactualizados Amigos haciendo phishing los pajaritos y las abejitas (de dónde vienen los niños) Vera 10/13/2011

21 eterioro en la confianza de los consumidores Un 85% de los consumidores considera que les puede pasar a ellos 3 de cada 5 consumidores dicen que los bancos no están haciendo lo suficiente Sólo un 22 por ciento de los consumidores considera que sus bancos son extremadamente competentes en la protección de su información Gartner Los bancos deben fortalecer sus programas de educación para ayudarles a los consumidores a evitar estafas en línea, tales como phishing, que pueden llevar al secuestro de cuentas y otras formas de hurto de identidad, y emprender las acciones apropiadas con el fin de limitar su responsabilidad FDIC 10/13/2011

22 Hurto de Identidad Identity Theft Definición: El hurto de la identidad y el fraude con la identidad son términos que se utilizan para referirse a todo tipo de crímenes en los que alguien obtiene fraudulentamente y utiliza los datos personales de otra persona en forma tal que represente fraude o engaño, típicamente para obtener provecho económico. 10/13/2011

23 Estadísticas 10 millones: las personas afectadas el año pasado por día, por hora, y 19 por minuto $ millones: las pérdidas a los establecimientos e instituciones financieras $5.000 millones: los gastos de bolsillo para las víctimas $6.700: monto promedio por víctima que obtuvo el ladrón $1.100: monto promedio en gastos de bolsillo por víctima $20.000: monto que algunas víctimas tuvieron que sufragar 372 millones: monto de ofertas de tarjetas de crédito aprobadas por anticipado y que fueron enviadas por correo 70%: Hurto por personal con información interna 74%: víctimas no conocidas por el ladrón 26%: víctimas que conocía el ladrón 175 a 600 horas: tiempo que se requiere para limpiar su buena reputación y nombre 1 año, y hasta siempre: tiempo que se requiere para que se aclaren todos los registros 25%: víctimas que nunca logran recuperarse completamente

24 Sistema fallido 1) SSN (número de seguridad social) 2) Crédito 3) Identificación falsa

25 Tipos de hurto de identidad Hurto de identidad comercial o de negocios La utilización de la razón social de un negocio con el fin de obtener crédito o aun, facturarle a clientes comerciales por productos y servicios. Los autores que cometen el hurto de la identidad comercial, con frecuencia son personas con información interna, empleados con acceso directo a documentos de operaciones, que alteran los libros para favorecer sus esquemas. Fraude con cuentas nuevas La utilización de la información personal que identifica a otra persona para obtener productos y servicios utilizando el buen crédito de dicha persona. Abrir un nuevo servicio, conseguir un nuevo celular y establecer nuevas tarjetas de crédito son las formas más frecuentes de fraude con cuentas nuevas. Fraude apropiándose de cuentas Usar los números de cuenta de otra persona, tales como un número de tarjeta de crédito, para obtener productos y servicios utilizando las cuentas de dicha persona, o sacar dinero de la cuenta bancaria de una persona. 10/13/2011

26 Tipos de hurto de identidad Hurto de identidad para fines criminales Alguien comete un crimen y utiliza ficticiamente el nombre de otra persona. El ladrón, en el crimen o cuando lo arrestan, se hace pasar por la víctima cuya identidad hurtó. Con frecuencia, el autor del crimen tiene una identificación falsificada pero con la fotografía del impostor. Hurto de identidad para fines médicos La forma más mortífera de hurto de identidad. La motivación que tiene el ladrón es lograr procedimientos médicos o cualquier forma de atención que tiene que ver con la salud Clonación de identidad Comprende todas las formas de hurto de identidad. El ladrón está, de hecho, viviendo y obrando ex profeso como la víctima. Podría estar ocultándose a plena vista en razón de que está huyendo de la ley, evadiendo el pago de la pensión alimenticia, o podría sufrir de enfermedad mental.

27 Identificación Nombre Número de Seguridad Social Dirección Fecha de nacimiento 10/13/2011

28 Formas legales de circulación de documentos de identidad 49 versiones válidas de tarjetas del Seguro Social tipos de registros de nacimiento Más de 200 formatos de licencia de conducción 14 estados no exigen fotografía Firma? 10/13/2011

29 Forgery Qué es una firma? 10/13/2011

30 Qué es una firma? Contratos Solicitudes Préstamos Tarjetas de crédito Cheques Etc., etc., etc. Verificación automatizada de firma (ASV) Es interesante anotar que la firma de puño y letra vive una vida de contradicciones. De una parte, es un autenticador primario que se usa millones de veces cada día en finanzas, atención a la salud, gobierno y demás, y se acepta culturalmente, es no invasiva y carece de todos los temores de la biométrica en cuanto a la privacidad. De otra parte, existe poca o ninguna verificación para el uso práctico en muchas de estas aplicaciones. Nunca ha habido un mejor momento para incorporar la verificación automatizada de firma (ASV) que asigna total rendición de cuentas y elimina el hurto de identidad. Joe Gregory, Orbograph

31 Identificaciones falsificadas

32 Identificaciones falsificadas

33 Números de Seguridad Social 10/13/2011

34 Registros Públicos Estimado de la Oficina de Rendición de Cuentas del Gobierno sobre registros públicos disponibles en línea: 28% 10/13/2011

35 Jeb Bush SSN 10/13/2011

36 Colin Powell SSN 10/13/2011

37 Porter Goss CIA SSN 10/13/2011

38

39 Esquemas de fraude Estafas Fraudes con cheque Ingeniería social Hurto de identidad en medios sociales Intercambio de archivos P2P Phishing 419 nigeriano Fraude / skimming con tarjetas Hacking 10/13/2011

40 Fraude con cheques 12% de los crímenes financieros en el % de los crímenes financieros en el 2008 $677 millones robados mediante fraude con cheques en 2003 $969 millones robados mediante fraude con cheques en % robados mediante estafa de devolución de depósitos 27% robados utilizando cheques clonados 28% robados utilizando cheques falsificados 7% robados con cheques alterados o lavados. 10/13/2011

41 Ingeniería social La Ingeniería social es un conjunto de técnicas que se usan para manipular a las personas para que realicen acciones o revelen información confidencial. Aun cuando similar a un truco para timar o fraude simple, el término típicamente se aplica a artimañas para recabar información o lograr acceso a computadoras y en la mayoría de los casos el atacante nunca se enfrenta cara a cara con la víctima. Pretexting es el acto de crear y usar un escenario inventado (el pretexto) para persuadir al objetivo para que divulgue información o emprenda una acción, y generalmente se hace por teléfono. Es algo más que una simple mentira ya que casi siempre implica investigación previa o preparación y el uso de cierta información conocida (por ejemplo, para suplantación: fecha de nacimiento, número de seguridad social, monto de la última cuenta) para establecer legitimidad en la mente del objetivo. El pretexting es la práctica de sacarle su información personal bajo pretextos falsos. Los pretexters le venden su información a personas que la pueden utilizar para obtener créditos a su nombre, robarle sus activos, investigarlo o demandarlo. El pretexting es una violación de la ley. FTC 10/13/2011

42 Hurto de identidad en los medios sociales 400 sitios de medios sociales Apoderarse de la cuenta Enlaces infectados Poner al descubierto los datos Ganancia financiera, acoso 10/13/2011

43 Piratear una compañía W/ Barrer todos los sitios de redes sociales, tales como MySpace, LinkedIn. Plaxo y Facebook.com, buscando empleados de la compañía objetivo Encontrar varias personas que hablan abiertamente acerca de qué hacen para ganarse la vida Crear un sitio de grupo en Facebook identificado como empleados de la compañía. Utilizando una identidad ficticia, proceder a amigo, o invitar a los empleados al sitio de nuestra compañía en Facebook. Los miembros crecen exponencialmente cada día. Al crear un grupo, uno accede a los perfiles de los empleados. El grupo es un lugar en el que aquellos que usted conoce, quiere y en los que confía son sus Amigos y, en este caso, se trata de compañeros de trabajo en los que usted no tiene motivo alguno para desconfiar. Usar la identidad de uno de nuestros empleados amigos en Facebook para lograr acceso al edificio. Según el tamaño de la compañía, uno podría recrear la identidad de un empleado que no es conocido en la sucursal, para violarla. Pero el nombre tiene que estar en el sistema. Con un poco de creatividad, una tarjeta de presentación falsa, y suficiente información cosechada en Facebook, uno ya está adentro.

44 Peer to Peer P2P Intercambio de archivos Peer to Peer Le abre los archivos de las computadoras al mundo entero 10/13/2011

45 Phishing Phishing, Pharming, Spoofing, Spear Phishing La utilización del código HTML existente de una compañía en la Web Solicitar la actualización de la cuenta o la verificación de la información Oportunidad de inversión, recuperar recursos, reclamar un premio Redireccionar a un spoof, incorporando enlaces funcionales Grandes bancos, regionales, locales, corporaciones, asociaciones 5 por ciento de tasa de captura La tercera parte de la población sabe qué es el phishing

46

47 10/13/ Phishing

48 10/13/ Phishing

49 10/13/2011

50 Relacionarse Citas en línea 10/13/2011

51 Spyware (espionaje) Scareware: Fake Anti-virus Keyloggers: Spyware Software Keycatchers: Hardware Cookies Pop-ups = Spyware Drive-bys Updated browser Updated anti-virus

52 Spyware (espionaje) 10/13/2011

53 KeyCatchers

54 Fraude con tarjetas 42% para acceder y crear cuentas de tarjetas de crédito ?bctid= /13/2011

55 El fraude con tarjeta de crédito: el peor temor de los americanos La preocupación sobre el fraude excede el del terrorismo, los virus de computadores y de la salud, y la seguridad personal. El 66 por ciento de los encuestados dijeron que están extremada o muy preocupados con el fraude de identidad Solamente el 58 por ciento manifestó preocupación extrema o mucha preocupación por el terrorismo y la guerra El 41 por ciento manifestó preocupación extrema o gran preocupación de que ocurra una epidemia grave para la salud Unisys Security Index 10/13/2011

56 Carders y Dumps Los "Carders" son personas que compran, venden e intercambian los datos de tarjetas de crédito robados en sitios de phishing o de grandes ataques a las tiendas minoristas. Dumps (se deshacen de) datos de las tarjetas de crédito de una base de datos para la venta Fullz proporciona el conjunto completo de información personal identificable, lo que incluye el nombre, la dirección, el teléfono, los números de cuenta y, con frecuencia el 10/13/ número de seguridad social

57 10/13/ Skimming de tarjetas

58 Skimming de tarjetas Así funcionó la estafa: uno de los hombres distrae a la vendedora mientras los demás intercambiaban los terminales PIN-pad de la tienda con dispositivos casi idénticos que habían sido modificados electrónicamente para capturar los números de las cuentas de los clientes y sus PIN, un proceso que tardó apenas unos 12 segundos Los investigadores en Citizens Bank se dieron cuenta de transacciones que se realizaban tanto en la costa Este como en la Oeste para ciertos clientes. Citizens descubrió que todas las cuentas comprometidas habían sido utilizadas antes en las tiendas de Stop & Shop en el estado de Rhode Island. Alertado, el personal de seguridad de Stop & Shop revisó después las grabaciones de las cámaras de seguridad y vieron a los defraudadores cambiando los terminales PIN-pad. Una búsqueda en las habitaciones de los defraudadores en hoteles de Connecticut mostró dispositivos para robar información de tarjetas de crédito y débito y una computadora portátil con miles de números de cuentas y contraseñas de tarjetas de crédito y débito, almacenados en archivos ingeniosamente guardados con el titulo de "Stop & Shop La respuesta de seguridad en Stop & Shop? Fijar y anclar sus terminales en los puntos de venta para que no puedan ser retirados por los clientes. 10/13/2011

59 Estos dispositivos son rediseñados por los ladrones para recolectar datos de las tarjetas y las contraseñas Luego, los dispositivos son instalados, ahí mismo en la línea del cajero! 10/13/2011

60 10/13/2011

61 Skimming en los cajeros electrónicos Datos en bruto 10/13/

62 30% el de las pérdidas por fraude son por falsificación de tarjetas en los cajeros automáticos 10/13/ Uri Rivner RSA Consumer Solutions

63 10/13/2011

64 10/13/2011

65 10/13/2011

66 10/13/2011

67 10/13/ Skimmed from KrebsOnSecurity.com

74 Lo que se debe hacer como prevención en los negocios 10/13/2011

75 Seguridad en la computación Firewalls Inalámbrico Virus Spyware Actualización de Windows

76

77 10/13/2011

78 10/13/2011

79

80 Michael Chertoff, Secretario del DHS (Departamento de Seguridad Interna) Michael Chertoff Someto a su consideración que en el Siglo XXI, el activo más importante que tenemos que proteger como personas y como parte de nuestra nación es el control de nuestra identidad, quiénes somos, cómo nos identificamos, si se les permite a otras personas que se disfracen y se hagan pasar por nosotros y en esa forma dañen nuestro modo de vivir, dañen nuestros activos, dañen nuestra reputación, dañen nuestro buen nombre en nuestra comunidad. 10/13/2011

81 Robert Siciliano ROBERT SICILIANO, Presidente y Director Ejecutivo de IDTheftSecurity.com, está comprometido vigorosamente en el empeño de informar, educar y facultar a los americanos para que se puedan proteger de la violencia y el crimen en el mundo físico y virtual. Su estilo de diga las cosas como son es buscado por los medios, los ejecutivos en la C-Suite de las compañías líderes, los planificadores de reuniones y los líderes comunitarios para que se les hable claro sobre lo que necesitan para mantenerse seguros en un mundo en el que el crimen físico y virtual es común. Siciliano es accesible, real, profesional y está listo para intervenir y comentar en cualquier momento sobre las últimas noticias. Las credenciales de Siciliano en los medios incluyen contribuciones que incitan a la reflexión y que dan en el clavo en The Today Show, CBS Early Show, CNN, MSNBC, CNBC, Fox News, Inside Edition, EXTRA, Tyra Banks, Sally Jessie, Montel, Maury, Howard Stern, The Wall Street Journal, USA Today, Forbes, BusinessWeek, Cosmopolitan, Good Housekeeping, Reader s Digest, Consumer Digest, Smart Money, The New York Times, The Washington Post y muchos otros medios. Robert@IDTheftSecurity.com (617) IDTheftSecurity.com Inc, P.O. Box 15145, Boston, MA /13/2011