Retos de seguridad en banca móvil

Transcripción

1 7 de Noviembre de 2013 Retos de seguridad en banca móvil Antonio Ayala I.

2

3 En el 2016, cerca de 550 millones de personas, utilizarán servicios bancarios móviles Forrester, 2012 Mobile Banking for Developed & Developing Markets

4 En Q1 de 2013 se crearon más de 14 millones de nuevos malwares. McAffe, Marzo 2013 Mobile Threat Report

5 El fraude cibernético a consumidores alcanza los US $113,000 millones. Norton, octubre 2013 NORTON REPORT

6 Agenda 1. Qué tan serio es el problema de fraudes en la banca móvil?. 2. Riesgos y amenazas del servicio de banca móvil. 3. Seguridad y controles en la prestación del servicio de banca móvil. 4. Conclusiones.

7 1. Qué tan serio es el problema de fraudes en la banca móvil?

8 Realidad y no ficción. Existen más de 128 millones de variantes de programas maliciosos (malware). Más del 90% de los malwares existentes afectan teléfonos inteligentes que utilizan el sistema operativo Android. Ataques a teléfonos inteligentes, ya no son sólo desde Rusia y China; ahora son realizados también, desde otros países. Usuarios de servicios banca móvil en Italia, Tailandia y Australia fueron afectados por el malware Android/Fksite.A, cuando los usuarios instalaban lo que decía ser un appsde seguridad para banca móvil. Para distribuir los códigos maliciosos, las bandas utilizan SMS, Facebook y juegos infectados en ciertas app stores.

9 Comodidad vs precaución. Los cibercriminales seguirán lucrando de fraudes en estos dispositivos gracias a: Lo vulnerable que son los teléfonos inteligentes y Tablets al compararlos con los computadores personales. Lo poco cuidadosos y confiados que son los dueños de estos dispositivos, al instalar apps indiscriminadamente en sus dispositivos.

10 2. Riesgos y amenazas

11 Amenazas en dispositivos móviles 1. Amenazas basadas en aplicaciones 2. Amenazas basadas en la Web 3. Amenazas de red 4. Amenazas físicas 5. Amenazas en gestión 6. Amenazas humana

12 Amenazas basadas en: Tipos Aplicaciones Malware Spyware Vulnerabilidad de las aplicaciones Web Esquemas de phishing Descargas de archivos maliciosos Fallas en los navegadores Red Parte del tráfico de mensajes SMS no es encriptado Sniffer en la red GSM Parte del tráfico (en el operador) no es encriptado. Físicas Robo de dispositivo Gestión Controles inefectivos de acceso BD Bitácoras sin integridad Ausencia de NTP Humana Poco o ningún cuidado de parte del usuario Limitada educación por parte de los bancos

13 Amenazas y riesgos de seguridad Mobile Payments Utilidad para cliente Transfers Funds Remote Data Capture Alerts Pay Bills Mantain Account Balance Checking Riesgos para cliente

14 3. Seguridad y Controles en la prestación de servicios de banca móvil

15 Consejos de seguridad para el Banco Antena Operador Antena Operador Operador Red Celular Operador Red Celular Dependiendo del canal utilizado (STK, JavaME, WAP, USSD y SMS) los datos pueden viajar encriptados de punto a punto. En ciertos segmentos del operador de celular, los datos pueden viajar en texto plano.

16 Consejos de seguridad para el Banco Preferentemente utilizar STK, JavaME y WAP, en lugar de USSD y SMS. Evite almacenar datos personales del cliente localmente (teléfono y computadores del banco). Revise los segmentos del tráfico que no son encriptados, y define un plan de mitigación. Utilice un modelo de seguridad por capas para brindar el servicio. Integridad del NTP.

17 Canal de Banca Móvil STK (SIM Application Toolkit) WAP (Wireless Application Protocol) JAVAME (Java Micro Edition) USSD (Unstructured Supplementary Service Data) SMS (Short Message Service) Nivel de Seguridad

18 Consejos de seguridad para el Banco No asuma que lo inseguro es el tráfico del operador GSM y que del lado del banco es segura. Instale herramientas de software que diferencien comportamiento legítimo vs fraudulento. En caso parte del tráfico-proceso resida fuera del operadorbanco, por favor evalúe el control interno. Incremente los programas de concienciación de buen uso a los clientes. Obtenga pólizas de seguro para este tipo de fraudes.

19 Y con esas actividades es suficiente? Que pena con usted, pero que tal si le digo que No.

20 4. Reflexiones finales

21 1. El riesgo existe y es real. 2. Mida riesgos, implante controles e implante los servicios BM. 3. No asuma que la seguridad en el Banco en sólida. 4. La confianza de los clientes es muy volátil. Si puede utilice más de una canal. 5. La educación y concienciación al cliente es clave, pero no podemos descansar en ellas.

22 Todos los derechos reservados. RISCCO y su logo son una marca registrada de RISCCO, S. de R. L. RISCCO no está registrada ni licenciada como una firma de contadores públicos y no emite opinión sobre estados financieros u ofrece servicios de atestación.