Your SlideShare is downloading. ×
0
Prevención de Fraudes
Electrónicos
Ing. Karina Astudillo B.
Gerente de IT

1
Agenda


Introducción a la seguridad informática






Ataques de Ingeniería Social









Entorno de segurida...
INTRODUCCIÓN A LA

SEGURIDAD INFORMÁTICA

3
Entorno de seguridad
informática actual
Casos en Ecuador:














Ataques a websites del
gobierno (defacemen...
Tendencias que afectan la
seguridad informática









Incremento en los ataques de red
Mayor sofisticación de l...
Amenazas actuales: más
peligrosas y fáciles de usar

Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz

6
Terminología esencial










Amenaza – Una acción o evento que podría perjudicar la
seguridad. Una amenaza es una ...
Terminología esencial










Hacker – Persona experta en seguridad
informática.

Hacker Ético o de Sombrero Blanco...
Objetivos de Seguridad

Confidencialidad

Integridad

Disponibilidad

Copyright © 2011, Elixircorp S.A. – http://www.elixi...
Tipos de Vulnerabilidades


Tecnológicas



Configuración



Políticas

Copyright © 2011, Elixircorp S.A. – http://www....
Tipos de Amenazas
Externas

Internal
Internet

Internas

Dial-in
exploitation

Estructuradas

No

- Estructuradas
...
Ataques a la seguridad








INTERRUPCIÓN: Este es
un ataque a la
disponibilidad
INTERCEPCIÓN: Ataque a
la confidenc...
Fases del hacking
Reconocimiento

Borrar
huellas

Obtener
acceso

Mantener
acceso
13
Ataques de reconocimiento




Los ataques de reconocimiento
tienen por objetivo recolectar
la mayor cantidad de
informac...
Ataques de reconocimiento

15
Escaneo






Verificación de servicios
disponibles en los
objetivos detectados.
Detección de versión de
Sistema Operat...
Ataques de acceso


En este tipo de ataque
el cracker toma
contacto directo con
la víctima o sus
sistemas.



Ejemplos d...
Denegación de Servicio
(DoS)


En este tipo de
ataque el cracker
agota los
recursos de un
sistema o red,
volviéndolo
inut...
Denegación de Servicio
Distribuida (DDoS)


En este ataque el
cracker infecta
previamente
cientos o miles de
máquinas y l...
ATAQUES DE INGENIERÍA

SOCIAL

20
¿Qué es la ingeniería
social?


Es la manipulación
de personas mediante
engaños para obtener
información
confidencial sob...
Debilidad humana






Las personas son el eslabón
más débil de la cadena de
seguridad.
Una defensa exitosa depende
en ...
Tipos comunes de
ingeniería social


La ingeniería social puede
dividirse en dos tipos:
basada en humanos y
basada en com...
Basada en Humanos
Categorías:





Personificación
Suplantar una persona
importante
Acercamiento de tercera
persona


...
Llamada al soporte técnico
Un hombre llama al soporte técnico
y dice que ha olvidado su clave.
En pánico agrega que si no ...
Dumpster diving
Un ejecutivo bota papeles corporativos a la
papelera.
El personal de limpieza toma la basura y la
coloca e...
Tailgating o Piggybacking




Se refiere al acto de
ingresar a un área
restringida siguiendo a
otra persona que sí está
...
Dejando una “carnada”




En este método se incita la
curiosidad de las personas
dejando un “objeto
valioso” en un sitio...
Basada en computadoras


Categorías










Adjuntos de correo
electrónico
Ventanas emergentes
Sitios webs falsos...
Virus, Gusanos y Troyanos






Un virus es un aplicativo malicioso
que se adjunta a otro programa para
efectuar una ac...
Phishing


Uso de sitios “réplica”
de páginas webs
legítimas, para capturar
las credenciales de
usuarios ingenuos, con
el...
Mails falsos




El correo puede ser
falsificado fácilmente.
Las personas tienden a
confiar mucho en lo que
una persona ...
Mecanismos de defensa






Definición de una Política
de Seguridad Corporativa.
Implantación de un
Sistema de Gestión ...
Sistemas de protección
Herramientas Comerciales


Antivirus / Antispam














Cisco ASA, Cisco Security
A...
Auditoría de Hacking Ético
Tipos de Hacking Ético





Externo
Interno
Computador Robado
Ingeniería Social

Modalidade...
ENTORNO DE SEGURIDAD
Y
POLÍTICAS

36
¿Qué es una Política de
Seguridad?




“Una política de seguridad es una
declaración formal de reglas a las cuales
se de...
¿Por qué crear una Política
de Seguridad?











Para crear una línea base de su postura actual sobre
seguridad ...
Estándar ISO 27001
(antes 17799)







Es un estándar de seguridad
informática reconocido
internacionalmente.

“Es un ...
¿Por qué certificarse en ISO 27001?




“Ha sido diseñado para servir como un único punto de
referencia para la identifa...
Legislación - Ecuador

1

2

Ley Orgánica de Transparencia y Acceso a
la Información Pública
Ley de Comercio Electróni...
Ley de Comercio Electrónico




Ley publicada en el registro oficial No. 67. Suplemento
557 de 17 de Abril del 2002
Ver ...
Conceptos introducidos por la ley
Mensajes de Datos




Son los documentos
electrónicos, correo
electrónico y adjuntos,
...
Conceptos introducidos por la ley
Firma Electrónica

Mensajes de Datos como
medio de prueba


El mensaje de datos
cualqui...
Conceptos introducidos por la ley


Penalización


Delito de fraude informático




Delito de falsificación electrónic...
Infracciones Informáticas (CPP)
INFRACCIONES INFORMATICAS

REPRESION

MULTAS

6 m. - 1 año
3 años
3 a 6 años
9 años
2 m. -...
Técnicas de Investigación Forense




Informática Forense: Ciencia de adquirir,
preservar, obtener y presentar datos que...
Informática Forense
Identificación del incidente
Identificación

de los procesos

Recopilación de Evidencias
Recuperar

...
Perito – Aspecto Legal




Perito: Experto en una materia, capaz de aportar al
juez conocimientos que no posee, con el f...
Perito ante un caso judicial







Peritos CPP y CPC
Organismo de Acreditación de Peritos
Procedimientos de acredit...
Perfil del Consultor Forense








Profesional con experiencia
comprobada en seguridad
informática
Conocimiento sobr...
Iniciativas Internas y Externas




Internas
 Departamento de Criminalística de la Policía
Nacional
 Creación de la Un...
Retos futuros


Marco Legal






Formación profesional





Rama del derecho
Rama informática

Limitaciones tecnol...
¿Preguntas?
Mayor información








Website: http://www.elixircorp.biz
Blog:
http://www.SeguridadInformaticaFacil.co
m
Facebook...
¡Gracias por su tiempo!

Karina.Astudillo@elixircorp.biz

Twitter:

KAstudilloB
Facebook: Kastudi
Upcoming SlideShare
Loading in...5
×

Prevención de fraudes electrónicos

274

Published on

Información acerca del entorno de seguridad informática, los fraudes electrónicos comunes, ejemplos, demo y medidas preventivas.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
274
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Prevención de fraudes electrónicos"

  1. 1. Prevención de Fraudes Electrónicos Ing. Karina Astudillo B. Gerente de IT 1
  2. 2. Agenda  Introducción a la seguridad informática     Ataques de Ingeniería Social      Entorno de seguridad informática actual Confidencialidad, Integridad y Disponibilidad de la Información Vulnerabilidades, Amenazas y Ataques Ataques directos o telefónicos Tailgating y Dumpster Diving Ataques haciendo uso de computadoras: mail scams y phishing, virus, gusanos y troyanos Mecanismos de defensa Entorno de Seguridad y Políticas     Política de Seguridad Corporativa Importancia de la Política de Seguridad Corporativa Ley ecuatoriana de Comercio Electrónico Un vistazo al estándar ISO 27001 2
  3. 3. INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 3
  4. 4. Entorno de seguridad informática actual Casos en Ecuador:         Ataques a websites del gobierno (defacements) Laptop Raúl Reyes Pornografía en Internet Revisión de Microfilm del Banco Central Caso Peñaranda (Discos Duros) Estafas / Suplantación de identidad Infracciones de Propiedad Intelectual Clonación de Tarjetas ¡1300 denuncias de phishing en 1er trimestre del 2011! 4
  5. 5. Tendencias que afectan la seguridad informática         Incremento en los ataques de red Mayor sofisticación de los ataques Aumento en la dependencia de la red Falta de personal capacitado Poca atención a los riesgos informáticos Ausencia de políticas de seguridad Popularidad de las redes inalámbricas Huecos legislativos Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 5
  6. 6. Amenazas actuales: más peligrosas y fáciles de usar Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 6
  7. 7. Terminología esencial      Amenaza – Una acción o evento que podría perjudicar la seguridad. Una amenaza es una violación potencial de la seguridad. Vulnerabilidad – Existencia de una debilidad en el diseño o error de implementación que podría conllevar a un evento no deseado que comprometa la seguridad de la información. Objetivo o Víctima– Un sistema, producto o empresa que ha sido identificado como sujeto de un ataque malicioso o de una auditoría de hacking ético. Ataque – Un asalto a un sistema informático que se deriva de una amenaza inteligente. Un ataque es cualquier acción que viole la seguridad. Explotación – Una forma definida de romper la seguridad de un sistema informático a tráves del aprovechamiento de una vulnerabilidad. Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 7
  8. 8. Terminología esencial      Hacker – Persona experta en seguridad informática. Hacker Ético o de Sombrero Blanco – Profesional que usa sus habilidades de hacking con fines preventivos. Cracker o Hacker de Sombrero Negro– Delincuente informático que utiliza sus conocimientos tecnológicos con fines maliciosos. Hacker de Sombrero Gris – Individuo que usa sus habilidades de forma preventiva u ofensiva de acuerdo a sus intereses. Hacktivismo – Hacker “por una causa”. Ej: hacking político, hacking verde. Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 8
  9. 9. Objetivos de Seguridad Confidencialidad Integridad Disponibilidad Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 9
  10. 10. Tipos de Vulnerabilidades  Tecnológicas  Configuración  Políticas Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 10
  11. 11. Tipos de Amenazas Externas Internal Internet Internas Dial-in exploitation Estructuradas No - Estructuradas Compromise d host Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz exploitation
  12. 12. Ataques a la seguridad     INTERRUPCIÓN: Este es un ataque a la disponibilidad INTERCEPCIÓN: Ataque a la confidencialidad MODIFICACIÓN: Ataque a la integridad FABRICACIÓN: Ataque a la autenticidad 12
  13. 13. Fases del hacking Reconocimiento Borrar huellas Obtener acceso Mantener acceso 13
  14. 14. Ataques de reconocimiento   Los ataques de reconocimiento tienen por objetivo recolectar la mayor cantidad de información sobre la víctima, utilizando información pública disponible, ataques de ingeniería social o haciendo uso de herramientas de software especiales. Un tipo especial de ataque de reconocimiento lo constituyen los ataques de ingeniería social. Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz
  15. 15. Ataques de reconocimiento 15
  16. 16. Escaneo    Verificación de servicios disponibles en los objetivos detectados. Detección de versión de Sistema Operativo y aplicaciones activas. Determinación de vulnerabilidades presentes.
  17. 17. Ataques de acceso  En este tipo de ataque el cracker toma contacto directo con la víctima o sus sistemas.  Ejemplos de ataques de acceso:     Ataques de claves Captura de paquetes activa (sniffing de red) Phishing Explotación de vulnerabilidades detectadas 17
  18. 18. Denegación de Servicio (DoS)  En este tipo de ataque el cracker agota los recursos de un sistema o red, volviéndolo inutilizable. 18
  19. 19. Denegación de Servicio Distribuida (DDoS)  En este ataque el cracker infecta previamente cientos o miles de máquinas y las convierte en botnets o zombies, para atacar al unísono a un tercero. 19
  20. 20. ATAQUES DE INGENIERÍA SOCIAL 20
  21. 21. ¿Qué es la ingeniería social?  Es la manipulación de personas mediante engaños para obtener información confidencial sobre un objetivo o víctima. 21
  22. 22. Debilidad humana    Las personas son el eslabón más débil de la cadena de seguridad. Una defensa exitosa depende en tener buenas políticas implementadas y educar a los empleados para que cumplan con las políticas. La ingeniería social es la forma de ataque más difícil de combatir porque no puede defenderse con hardware o software solamente.
  23. 23. Tipos comunes de ingeniería social  La ingeniería social puede dividirse en dos tipos: basada en humanos y basada en computadores 1. La Ingeniería Social Basada en Humanos se refiere a la interacción persona-a-persona para recuperar la información deseada. 2. La Ingeniería Social Basada en Computadoras s refiere al uso de software/hardware para recuperar la información deseada. 23
  24. 24. Basada en Humanos Categorías:    Personificación Suplantar una persona importante Acercamiento de tercera persona  Soporte técnico  Búsqueda en la basura  “Surfing” de hombros 24
  25. 25. Llamada al soporte técnico Un hombre llama al soporte técnico y dice que ha olvidado su clave. En pánico agrega que si no entrega un documento a tiempo su jefe podría despedirlo. La persona de soporte siente pena por él y resetea la clave, dándole acceso a la red corporativa. 25
  26. 26. Dumpster diving Un ejecutivo bota papeles corporativos a la papelera. El personal de limpieza toma la basura y la coloca en los tanques provistos para que los recoja el barrendero. Espías maliciosos se apropian de los papeles desde la basura antes de que se los lleve el camión. Los papeles contienen información de nombres, cargos y extensiones de ejecutivos de la empresa y balances financieros. Esta información es suficiente para lanzar un ataque exitoso de ingeniería social. 26
  27. 27. Tailgating o Piggybacking   Se refiere al acto de ingresar a un área restringida siguiendo a otra persona que sí está autorizada. Métodos:    Haciendo de “escolta” Pretendiendo ser parte del grupo Fingiendo haber perdido la credencial o tener las manos ocupadas 27
  28. 28. Dejando una “carnada”   En este método se incita la curiosidad de las personas dejando un “objeto valioso” en un sitio de fácil acceso en la empresa víctima. Ejemplos:  Pendrive o CD con malware “olvidados” en el baño 28
  29. 29. Basada en computadoras  Categorías       Adjuntos de correo electrónico Ventanas emergentes Sitios webs falsos o maliciosos Correo basura (spam) Mails falsos Software “gratis” o pirata 29
  30. 30. Virus, Gusanos y Troyanos    Un virus es un aplicativo malicioso que se adjunta a otro programa para efectuar una acción no deseada. El gusano a diferencia del virus puede replicarse a sí mismo de forma automática. El troyano es sólo diferente en que la aplicación completa ha sido escrita para lucir como algo diferente, cuando en efecto es una herramienta de ataque. 30
  31. 31. Phishing  Uso de sitios “réplica” de páginas webs legítimas, para capturar las credenciales de usuarios ingenuos, con el objetivo de perpetrar estafas electrónicas. 31
  32. 32. Mails falsos   El correo puede ser falsificado fácilmente. Las personas tienden a confiar mucho en lo que una persona conocida y con autoridad les solicita vía mail. 32
  33. 33. Mecanismos de defensa    Definición de una Política de Seguridad Corporativa. Implantación de un Sistema de Gestión de Seguridad de Información (SGSI). Capacitación de todo el personal sobre fraudes electrónicos y medidas preventivas.     Capacitación del personal de sistemas en seguridad informática. Rediseño de la red para incorporar dispositivos y protocolos de seguridad. Uso de tecnologías Anti-X. Ejecución de auditorías de seguridad informática anuales. 33
  34. 34. Sistemas de protección Herramientas Comerciales  Antivirus / Antispam          Cisco ASA, Cisco Security Agent Juniper Fortinet Checkpoint Sistemas de Correlación   Cisco MARS Checkpoint Smart Event Antivirus / Antispam       ClamAV Firewalls e IPS’s  Firewalls e IPS’s   Kaspersky Eset McAffee Norton Herramientas Open Source Linux IPTables Solaris IPFilter FWBuilder Snort Sistemas de Correlación    AlienVault Open Source SIEM (OSSIM) Hyperic Nagios 34
  35. 35. Auditoría de Hacking Ético Tipos de Hacking Ético     Externo Interno Computador Robado Ingeniería Social Modalidades    Black Box Gray Box White Box 35
  36. 36. ENTORNO DE SEGURIDAD Y POLÍTICAS 36
  37. 37. ¿Qué es una Política de Seguridad?   “Una política de seguridad es una declaración formal de reglas a las cuales se deben atener las personas a las que se les brinda acceso a los activos de información y tecnología de la empresa”. Tomado del RFC 2196, Site Security Handbook. Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 37
  38. 38. ¿Por qué crear una Política de Seguridad?       Para crear una línea base de su postura actual sobre seguridad informática Para establecer el marco referencial para una implementación de seguridad Para definir los comportamientos permitidos y prohibidos Para ayudar a determinar las herramientas y procedimientos necesarios en la organización Para comunicar consenso y definir roles Para definir cómo se deben manejar los incidentes de seguridad Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz 38
  39. 39. Estándar ISO 27001 (antes 17799)    Es un estándar de seguridad informática reconocido internacionalmente. “Es un conjunto de controles que comprenden las mejores prácticas en seguridad de información” Consta de dos partes: un código de práctica y una especificación para un sistema de administración de la seguridad de la información. 39 Copyright © 2011, Elixircorp S.A. – http://www.elixircorp.biz
  40. 40. ¿Por qué certificarse en ISO 27001?   “Ha sido diseñado para servir como un único punto de referencia para la identifación de un rango de controles requeridos para la mayoría de las situaciones en que se usan sistemas informáticos para la industria y el comercio.” Facilita las negociaciones comerciales proveyendo un ambiente confiable para el intercambio de información. 40
  41. 41. Legislación - Ecuador  1  2 Ley Orgánica de Transparencia y Acceso a la Información Pública Ley de Comercio Electrónico Firmas Electrónicas y Mensajes de Datos  Ley de Propiedad Intelectual  Ley Especial de Telecomunicaciones 3 4  5 Constitución de la República (Habeas Data) Código de Procedimiento Penal (CPP) Código de Procedimiento Civil (CPC) 41
  42. 42. Ley de Comercio Electrónico   Ley publicada en el registro oficial No. 67. Suplemento 557 de 17 de Abril del 2002 Ver el reglamento en http://www.corpece.org.ec 42
  43. 43. Conceptos introducidos por la ley Mensajes de Datos   Son los documentos electrónicos, correo electrónico y adjuntos, páginas web, telegrama, telex, fax, facsímil e intercambio electrónico de datos entre otros. Principio de Equivalencia Funcional  Se refiere a que el contenido de un documento electrónico surte los mismos efectos jurídicos que el contenido de un documento en papel. (Artículo 2) Pueden ser admitidos en trámites judiciales; sin embargo tienen validez sólo si están debidamente firmados. 43
  44. 44. Conceptos introducidos por la ley Firma Electrónica Mensajes de Datos como medio de prueba  El mensaje de datos cualquiera sea su procedencia o generación, será considerado como medio de prueba con todos los efectos legales que tienen los principios probatorios determinados en las leyes que regulan la materia.  No es un escaneo de una firma manuscrita sino un algoritmo matemático de seguridad que se adjunta en forma de datos al mensaje de datos, para garantizar la identidad del remitente. 44
  45. 45. Conceptos introducidos por la ley  Penalización  Delito de fraude informático   Delito de falsificación electrónica   Alteración funcionamiento de programa informático Modificación del mensaje de datos Delito de daño informático  Destrucción de programas o mensajes 45
  46. 46. Infracciones Informáticas (CPP) INFRACCIONES INFORMATICAS REPRESION MULTAS 6 m. - 1 año 3 años 3 a 6 años 9 años 2 m. - 2 años $500 a $1000 $1.000 - $1500 $2.000 - $10.000 $2.000 - $10.000 $1.000 - $2.000 Destrucción maliciosa de documentos (CCP Art. 262) 6 años --- Falsificación electrónica (CPP Art. 353) 6 años --- Daños informáticos (CPP Art. 415) 1. Daño dolosamente 2. Serv. público o vinculado con la defensa nacional 3. No delito mayor 6 m. - 3 años 5 años 8 m. - 4 años $60 – $150 $200 - $600 $200 - $600 Apropiación ilícita (CPP Art. 553) 1. Uso fraudulento 2. Uso de medios (claves, tarjetas magnéticas, etc.) 6 m. - 5 años 5 años Delitos contra la información protegida (CPP Art. 202) 1. Violentando claves o sistemas 2. Seg. nacional o secretos comerciales o industriales 3. Divulgación o utilización fraudulenta 4. Divulgación o utilización fraudulenta por custodios 5. Obtención y uso no autorizados Estafa (CPP Art. 563) 5 años $500 - $1000 $1.000 - $2.000 $500 - 1.000 46
  47. 47. Técnicas de Investigación Forense   Informática Forense: Ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y almacenados en un medio computacional Auditoría Forense:- Técnica utilizada generalmente para la prevención y detección de fraudes de una manera especializada. Proceso estructurado donde intervienen contadores, auditores, abogados, investigadores, informáticos entre otros. 47
  48. 48. Informática Forense Identificación del incidente Identificación de los procesos Recopilación de Evidencias Recuperar la Operación Técnicas de Investigación Preservación de evidencias Almacenamiento Etiquetado Cadena de Custodia Análisis de Evidencias Reconstrucción Respuestas Documentación y Resultados Informe Técnico Informe Pericial 48
  49. 49. Perito – Aspecto Legal   Perito: Experto en una materia, capaz de aportar al juez conocimientos que no posee, con el fin se servir de lentes de aumento para la justicia con el fin de aclarar el asunto litigioso en revisión. Perito informático: perito especializado en el área de las tecnologías de la información que de acuerdo con el tema requerido puede ser seleccionado según su competencia y experiencia para una labor de análisis 49
  50. 50. Perito ante un caso judicial       Peritos CPP y CPC Organismo de Acreditación de Peritos Procedimientos de acreditación Pérdida de acreditación Implicaciones legales Peritaje Designación Posesión Ejecución Resultados 50
  51. 51. Perfil del Consultor Forense     Profesional con experiencia comprobada en seguridad informática Conocimiento sobre leyes relacionadas en el país o trabajo conjunto con buffete acreditado Certificación Internacional en Computer Forensics Herramientas de Software  CAINE, Helix, Encase Forensics 51
  52. 52. Iniciativas Internas y Externas   Internas  Departamento de Criminalística de la Policía Nacional  Creación de la Unidad de Delitos Informáticos del Ministerio Público  Cuerpo Colegiado de Peritos Externas  Recomendaciones de la OEA  Mercosur 52
  53. 53. Retos futuros  Marco Legal    Formación profesional    Rama del derecho Rama informática Limitaciones tecnológicas    Leyes Infraestructura y tecnología Laboratorios Técnicas Otras  Comunicaciones 53
  54. 54. ¿Preguntas?
  55. 55. Mayor información      Website: http://www.elixircorp.biz Blog: http://www.SeguridadInformaticaFacil.co m Facebook: www.facebook.com/elixircorp Twitter: www.twitter.com/elixircorp Google+: http://google.com/+SeguridadInformatica Facil
  56. 56. ¡Gracias por su tiempo! Karina.Astudillo@elixircorp.biz Twitter: KAstudilloB Facebook: Kastudi
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×