Analytics

miércoles, 25 de mayo de 2016

Crónica del 2do. Congreso Security Bank & Government, Quito, Ecuador 2016

El pasado jueves 19 de Mayo se celebró el máximo y único evento que tiene como finalidad mostrar las tendencias, estrategias, herramientas, normas internacionales y equipamiento relacionado a la seguridad de la información, seguridad de los sectores Bancario y Gobierno Latinoamericano, especialmente en Ecuador.

Se impartieron algunas de las siguientes conferencias:

Perspectivas de la seguridad en la información
Las conferencias iniciaron con la presentación de Giovanni Roldan, Presidente del CIO Forum y CIONET Ecuador, quien hizo una cronología del desarrollo de la seguridad desde los años 50 explicando cómo ha evolucionado la forma de protección y la inseguridad en los sistemas hasta llegar a niveles elevados con el nacimiento del Internet.

 

Seguridad en canales alternos de ATMs
Rafael Revent del Grupo Cyttek habló sobre los ataques que están sufriendo las mayores marcas de cajeros automáticos: Diebold, NCR y Wincor Nixdorf. La mayoría de estos cajeros automáticos trabajan sobre sistemas operativos Windows y un porcentaje muy bajo con Linux (Brasil tiene incorporado este sistema en sus cajeros) y también comienza a estar presente Android.

Indicó que todos los cajeros requieren comunicarse con el Core Network para verificar las transacciones, y que el sistema operativo que usan es Windows. Éste utiliza TCP/IP para la comunicación fiable con el Core Network desde el ATM, mencionó que toda la información del protocolo se trasmite en Texto Plano.

Por ejemplo, en un ataque de Radio Frecuencia, utilizando un medidor de radio frecuencia, se podría saber cuándo una persona inserta la tarjeta o está tecleando el PIN. La medición es de 56Hz en cualquiera de los dos casos anteriores.

 

También habló sobre el Malware Skimmer.A para ATM’s, que fue creado a principios del 2009, basado en un software que permitía clonar la información de tarjeta habiente, este malware ha sido modificado dando como resultado el Backdoor.Win32.Skimmer (17 de Mayo de 2016) que incluye muchas más funciones, no sólo clonar la tarjeta si no que también permite sacar dinero y ocultarse en el sistema operativo de forma cifrada. Podemos ver un ejemplo en el siguiente enlace:

https://www.youtube.com/watch?v=hOcFy02c7x0

 

Ataques de Fuerza Bruta:  https://www.youtube.com/watch?v=uqQwY-T6tE0

Para finalizar su intervención indicó los problemas que ha identificado respecto a la industria en LATAM:
  • Falta de entendimiento entre profesionales de redes de ATMs y operarios en las áreas de prevención de fraudes.
  • Entendimientos de errores y logs.
  • Seguridad de software del sistema operativo y software XFR
  • Falta de visibilidad de la red ATM.
  • Falta de capacidades técnicas en estas áreas.
La biometria como fuente entre seguridad y conveniencia para las nuevas generaciones de clientes
La conferencia de German Patiño de Easy Solutions, Colombia, fue diferente a lo que normalmente estamos acostumbrados ya que el enfoque de su charla fue hacia el comportamiento de una sociedad comprendida entre los 20 y 35 años, es decir a la generación millennials que son los nacidos entre 1981 y 1995.

El 30 % de la población latinoamericana es Millennials y en el 2025 representará el 75% de la fuerza laboral del mundo, por lo tanto los Millennials son la futura generación de consumidores y usuarios.
Indicó que este tipo de usuarios cuentan con una media de 30 cuentas en diferentes aplicaciones y el 38% usa app’s para realizar pagos, sin embargo son el sector más vulnerable, ya que el 44% reciclan sus contraseñas y el 84% usan wi-fi inseguro, es por eso que se obliga a tomar acciones importantes para este sector. Expresó que para los Millennials “Las mejores medidas de seguridad son aquellas que el usuario no ve o siente”.

Las características principales de los Millennials son:
  • Nomófobos (Adicción al móvil)
  • Appdictos
  • Multitasking
  • Extremadamente sociales
  • Críticos y exigentes
Explicó como la banca quiere seducir a los Millennials mediante la biometría para realizar pagos y cualquier tipo de transacciones, detalló algunos ejemplos: utilización de una pulsera para autenticarse a través de nuestro ritmo cardíaco, uso de la huella dactilar, reconocimiento facial y de voz y mediante selfies, a futuro se quiere proyecta el pago mediante la estructura molecular del pelo y de la saliva.

El evento finalizó con un agradable lunch donde se pudo charlar personalmente con los expositores y tuve la oportunidad de conocer a los organizadores, había alrededor de 250 profesionales entre Directivos y responsables de empresas. El próximo Evento se realizara en Chile en el mes de Julio.

 Autor: Karen Sánchez - CEH
Departamento Auditoría