• Save
Autenticación Adaptativa
Upcoming SlideShare
Loading in...5
×
 

Autenticación Adaptativa

on

  • 152 views

Diego Esteve, Jefe de Seguridad de la Información de Banco Galicia.

Diego Esteve, Jefe de Seguridad de la Información de Banco Galicia.
Federico Varela, Responsable de la Sub-Gerencia de Seguridad de la Información del Banco Santander Río

Statistics

Views

Total Views
152
Views on SlideShare
152
Embed Views
0

Actions

Likes
0
Downloads
6
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Autenticación Adaptativa Autenticación Adaptativa Document Transcript

  • Los robos a bancos existieron desde siempre, anes utilizaban armas, ahora software. Ayer y hoy el objetivo era el mismo, robar dinero. Con la aparición del crimeware empezo un juego del gato y el raton entre fraude y seguridad. En la actualidad el mayor riesgo lo presentan los trojanos. El fraude evoluciono de una etapa artesanal a otra profesional, para alcanzar finalmente un desarrollo industrial. Mediante calculo de riesgo y capas de proteccion multiple, se puede administrar el fraude. Diego Esteve: Licenciado en Informática de la Universidad Argentina de la Empresa y Master en Administración de IDEA. Cuenta con distintas certificaciones relacionadas a Auditoría y Seguridad de la Información (CISA, CISSP y Lead Auditor ISO 27001:2005).Docente de la Universidad de Palermo. Facultad de Ingeniería. Posee más de 15 años de experiencia en temas vinculados a seguridad de la información, análisis de riesgo de TI y Auditoría de Sistemas desarrollados tanto en Bancos Nacionales como Internacionales. Federico Varela: Ingeniero en Telecomunicaciones recibido en la Universidad Argentina de la Empresa (UADE). Lleva 17 años en el Banco Santander Rio. Ocupó el cargo de supervisor en el área de Internet y Servicios de Contenido de la Gcia de Tecnología. A partir del año 2005 es parte del equipo de Seguridad de la información donde ha liderado diversos proyectos alineados con la estrategia del Grupo Santander. Actualmente es el Responsable de la Sub-Gerencia de Seguridad de la Información y coordinador de Riesgo Tecnológico dentro del equipo de Riesgo Operativo de la entidad. LAS IDEAS PRINCIPALES LAS IDEAS PRINCIPALES ACERCA DEL DISERTANTE AUTENTICACIÓN ADAPTATIVA: PROTECCIÓN EN CANALES ELECTRÓNICOS A MEDIDA DEL CLIENTE Diego Esteve Jefe de Seguridad de la Información de Banco Galicia. Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina Tel./Fax: (5411) 4325-6808/4267 amba@ambanet.org | www.ambanet.org Federico Varela Responsable de la Sub-Gerencia de Seguridad de la Información del Banco Santander Río.
  • DIEGO ESTEVE La disertación estuvo organizada en tres partes. Primero, un poco de historia. ¿Qué es esto del fraude? ¿Cómo ha ido evolucionando y creciendo? Segundo, el modelo de seguridadencanales.¿Quéesloquehanvenidohaciendolosbancosparaprotegerse? Por último, algunas ideas finales a modo de conclusión. Los robos de bancos existieron desde siempre. Bonny & Clyde, en la década de 1930, ganaron mucha notoriedad. Ellos actuaban en banda. ¿Atacaban cualquier sucursal? No, planificaban. Usaban armas como herramientas y esto tiene un riesgo asociado para ellos: podés salir herido o preso. El objetivo, claro, era llevarse el dinero. Coneltiempo,losbancosempezaronabrindarnuevosserviciosypornuevoscanales. Esta gente también evolucionó. Ya no sólo operan “de caño” en las sucursales sino en todos los canales en los que trabajamos. Pero el objetivo sigue siendo el mismo: llevarse plata. Estos nuevos criminales trabajan con crimeware. ¿Qué es? Es software destinado a robar información financiera y personal. No sólo datos de los bancos sino de redes sociales, dropbox y otros servicios online para poder armar identidades online. Con estas apariciones, empezó el juego del gato y el ratón. Los keyloggers fueron superados con screenscrappers, después fue el auge del phishing, que también fue controlado. Ahora estamos en la era de los troyanos. ¿Cómo se infectan los clientes? Por varias vías. La primera es la ingeniería social, que es el robo a través del arte del phishing.“Hay un ejemplo en que la AFIP –supuestamente- explica una anomalía en los datos del cliente. Otras son ofertas con grandes descuentos en los que la gente hace click y se infecta. Otros son los mecanismos stealth en las que con sólo navegar ciertos sitios –sin protección- la máquina está infectada”, relató Esteve. En la actualidad, el mayor riesgo lo representan los troyanos: software que infecta los equipos del cliente con fines de fraude. Hay tres generaciones de troyanos. La primera es la de acceso remoto, que utiliza la propia IP del cliente para acceder, por lo cual es difícil de controlar. A la segunda se la conocecomoHTMLInjection,softwarequesimulaloscuadrosdeaccesodecódigosy el cliente les dan los datos.“Mann in the browser es la técnica más avanzada. El cliente se conecta a través del sitio del banco y opera con ese código. Ese código puede modificar el monto de la transferencia, busca una cuenta mula y hace la transferencia”, detalló Esteve. Hubo un primer período del fraude que fue artesanal, seguido otro profesional y un último industrial Los primeros eran oportunistas, utilizaban herramientas caseras y actuaban muy esporádicamente.“El desafío pasaba más por tomar control de una máquina o de un cliente más que el fraude en sí. Usuario y clave nos alcanzaba para evitar esto. Entre 2002 y 2006 el nivel de fraude era una risa, lo atacábamos a demanda y de manera manual”. Más tarde esta gente se profesionalizó. Había una infraestructura técnica de armado de estos troyanos y una infraestructura operacional que sostenía los envíos de mail “Sólo el 30% a 50% de los antivirus pueden detectar un nuevo troyano. Son sumamente efectivos”, aseguró Diego Esteve “Los bancos empezamos a incorporar la tecnología de tarjeta coordenada. También los primeros modelos de capas:”. Miercoles, 2 de Julio de 2014Autenticación adaptativa... Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina Tel./Fax: (5411) 4325-6808/4267 amba@ambanet.org | www.ambanet.org
  • o alojaban las estrategias de phishing. Además se armó un comercio de tarjetas de crédito, de identidades digitales, etc. “Los bancos empezamos a incorporar la tecnología de tarjeta coordenada. También los primeros modelos de capas: uno para que empiece a usar el canal y otro para concretar transacciones. Empezamos a analizar los movimientos habituales de los clientes (familiares, hijos y hasta amantes que comparten las claves, por ejemplo)”, dijo Esteve. “El período industrial es el de una economía underground que vende troyanos, los envíosdemailsyherramientastécnicasdealtacomplejidad.Haypocosgruposactivos acá en la argentina. Nosotros estamos trabajando con policía y fiscalías, porque están bastante identificados”, agregó Esteve. Internet, entonces, es considerado un canal expuesto. La industria está recurriendo a formas externas –fuera de banda- de chequear que efectivamente se está tratando con el cliente. FEDERICO VARELA Antes de revisar el modelo de seguridad Varela propuso repasar algunas premisas sobre las que se basa. La primera es que no existe una bala de plata.“Lo que hay que hacer es implementar distintas capas de seguridad que se complementen entre sí y así conseguir un nivel de seguridad deseado”, dijo. “Ahora no tenemos fraude no es un argumento válido. Lo que nos cuesta a los bancos un nuevo método de autenticación es mucho tiempo, por lo cual si somos blanco de un ataque la vamos a pasar mal mucho tiempo antes de estar seguros”, agregó Varela. En cuanto al impacto en el cliente, lo que busca la industria es un equilibrio entre seguridad y usabilidad. Elmodelodeseguridadactualeseldecapasquesehanidosumandoconlaevolución del fraude. La primera capa es la protección del entorno del cliente. Por ejemplo educar al cliente que no comparta su clave o, más tarde, que chequee que está en el sitio del banco. Más adelante, por ejemplo, que no copie todos los datos de la tarjeta de coordenadas. Por último, los sistemas que mejor protegen contra troyanos. La segunda capa es la seguridad perimetral. Firewalls, modelos de prevención de intrusiones, el uso de tests de penetración para poder prevenirlos, entre otros. La siguiente capa es la de autenticación. “Acá arrancamos con usuario y contraseña para luego, en operaciones de riesgo, tarjetas de coordenadas y otros mecanismos de seguridad añadida. En la capa de autorización establecimos montos máximos, regulamos las operaciones de riesgo y agregamos algunos medios de control, como la habilitación de nuevos destinatarios de transferencias”, dijo Varela. En cuanto a control y monitoreo, se implementaron servicios de anti phishing y anti troyanos, para poder revisar hasta si la máquina de los clientes están infectadas o no. También alertas de operaciones sospechosas, intentos fallidos y otras. La cantidad de medidas de protección, en resumen, son muy numerosas. “Pero la mala noticia es que el fraude sigue evolucionando. ¿Entonces qué hacemos? ¿Más capas o más inteligencia a las capas existentes? Para nosotros la opción es la segunda “Lo que hay que hacer es implementar distintas capas de seguridad que se complementen entre sí y así conseguir un nivel de seguridad deseado” Federico Varela “la mala noticia es que el fraude sigue evolucionando. ¿Entonces qué hacemos? ¿Más capas o más inteligencia a las capas existentes?“ Federico Varela Miercoles, 2 de Julio de 2014Autenticación adaptativa... Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina Tel./Fax: (5411) 4325-6808/4267 amba@ambanet.org | www.ambanet.org
  • y es autenticación adaptativa. La idea es que el cliente se mantenga operando de la misma manera. Mientras tanto, tomando multiplicidad de variables, calculamos niveles de riesgo y -en base a distintos umbrales de tolerancia al riesgo- vemos qué acciones tomamos. Por ejemplo, podemos llegar a tomar la decisión de asumir un riesgo”, comentó Varela. Lo que se hace es asignar valores de riesgo para cada posibilidad. Esos valores se comparan con las políticas de riesgo, de negocio y de costos, y en base a eso se decide una reacción. El primer driver del proyecto de seguridad es la mitigación del fraude: seguridad preventiva basada en riesgo, detección de anomalías en tiempo real, sistematización del proceso de control. Otrodrivereselnormativo:transferenciasinmediatas,establecidaspornorma,yotras circulares. El tercer driver es el negocio, “si el riesgo es bajo y el negocio lo necesita podemos asumir algún riesgo, sin molestar mucho la experiencia del cliente”, dijo Varela. “Lo que se necesita es una política de gestión de fraude, que parta de una visión holística y no canal por canal. Entendemos que el futuro es ir a las herramientas predictivas que nos permitan anticipar al fraude en lugar de tener que pagar, siempre, lo platos rotos”, añadió. Jugar con el umbral para establecer el modelo y el costo de implementación de ese modelo es una vía de adaptar la seguridad a nuestras necesidades. Como todo proceso de control necesita un dueño definido, un responsable.También hay que mejorar los procesos internos para que la herramienta no esté abandonada sino que alguien la consulte. “Dado que el fraude local no es tan importante, estamos a tiempo de anticiparnos”, concluyó. ““si el riesgo es bajo y el negocio lo necesita podemos asumir algún riesgo, sin molestar mucho la experiencia del cliente” Miercoles, 2 de Julio de 2014Autenticación adaptativa... Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina Tel./Fax: (5411) 4325-6808/4267 amba@ambanet.org | www.ambanet.org