Entidades Financieras Latino Americanas tardan demasiado en implementar soluciones a los problemas de seguridad de la banca en línea.

No hay duda que la seguridad en Internet debería ser una de las mayores preocupaciones de las entidades bancarias y financieras de nuestra América Latina. Sin embargo la velocidad de reacción ante los diferentes métodos de usurpación de identidad, las amenazas de seguridad latentes y los crecientes tipos de fraude en línea por parte de dichas entidades es por decirlo de un modo muy amigable, "demasiado lenta".

Existen en las entidades financieras de América Latina ciertos factores que impiden que un sistema de banca en línea se actualice y mejore a la velocidad requerida, en algunos casos haciendo que la ausencia de dichas mejoras cuesten tanto a las entidades como sus usuarios sumas de dinero varias veces superiores a los costos de implementar las soluciones requeridas.

¿Cuáles son estos factores?

Resistencia al cambio:
Es indudable que este factor está presente siempre que se desee hacer un cambio de relativa envergadura en un sistema. Sucede que según las juntas directivas de las entidades, hasta que no se demuestre que el sistema tiene un error no es necesaria la corrección del mismo y mucho menos el cambio. Es decir, según aquellos que se dedican principalmente a hacer dinero con nuestro dinero, hay que esperar a que se genere la estafa o el problema para que se tomen las medidas necesarias. En asuntos de seguridad definitivamente no se puede ser reactivo, hay que ser pro-activo y prevenir.

Personal de sistemas no actualizado:
El personal de sistemas de las entidades financieras de nuestra región en su gran mayoría cumplen con los estándares de lo que los hackers denominan como "code grinders". Este término despectivo es aplicado por los hackers al personal de sistemas que trabaja de 9 am. a 5 pm. y viste con camisa de cuello y corbata, para primordialmente crear rutinas de pago de nómina en RPG en "pantalla verde" u otros "horrores similares". Definitivamente no se pueden combatir las amenazas existentes en la actualidad con las herramientas que se vienen usando en algunas entidades desde hace más de 15 años.

Velocidad de reacción lenta o nula:

¿Se ha preguntado cuanto tiempo tarda una entidad financiera en responder correctamente ante un ataque de phishing? La falta de procesos de respuesta, la lentitud de reacción, los horarios inflexibles y otros factores, hacen que la entidad normalmente empiece a responder ante un posible ataque con un retardo de hasta 72 horas o más en algunos casos. En esos casos el daño mayor ya ha sido causado y probablemente el capital se encuentre para entonces en alguno de los países del otro lado del globo. A esto hay que agregarle el tiempo necesario para colocar los ajustes necesarios en línea que deben pasar por protocolos de validación y puesta en marcha completamente ineficientes para estos casos de emergencias. Las estructuras actuales no se ajustan a la velocidad de respuesta ante un ataque.

Protocolos de control de versiones y puesta en marcha demasiado lentos:

Colocar ajustes en línea en la aplicación que usted normalmente usa es un proceso largo y tedioso. Lógicamente debe ser así para garantizar que la aplicación funcione correctamente. Para explicarlo en forma rápida, los cambios y ajustes normalmente pasan por las etapas de "desarrollo" y "control de calidad" antes de llegar al público o a lo que se conoce como "ambiente de producción" o ambiente definitivo. Cada proceso es controlado por personal diferente, y cada personal tiene su propio tiempo de reacción. No existen procedimientos de emergencia que permitan saltar los controles de código ante ataques como el phishing o el pharming, lo que hace que el tiempo de reacción ante el ataque convierta dicha reacción en inútil.

Bajo presupuesto para las aplicaciones y personal de Banca en línea:

En algunos casos en nuestros países no se ha entendido aún el proceso que está llevando a las entidades a la creación de las oficinas virtuales que hoy en día llamamos "Banca en línea". La gran mayoría de los bancos de Latino-américa, tienen más usuarios registrados en línea que en cualquiera de sus agencias principales, sin embargo la "oficina de servicios virtuales" o "unidad de banca electrónica" es sin temor a equivocarme la que menos personal tiene. Al parecer es el negocio del siglo manejar altos volúmenes de transacciones y dinero con la menor cantidad de gastos posible. Dichas unidades no generan siquiera el 10% de los costos operativos de una agencia promedio. Sin embargo pareciera que las entidades están cometiendo los mismos errores que llevaron a la explosión de la burbuja de la primera ola de Internet. Seguro esta vez no les estallará la burbuja en la cara, pero deberán pagar altas sumas para recuperarse de los golpes recibidos por las amenazas actuales. Vemos todos los días como algunos bancos gastan enormes sumas en publicidad para crear el hábito de cambiar nuestra clave, por no haber dedicado ni un céntimo en crear estructuras y sistemas más eficientes para protegerla.

La idea de que el usuario es responsable de sus actos en Internet:

Las entidades y bancos no están renunciando aún al concepto errado de que "lo que le suceda al usuario en su computador es problema exclusivamente de él". En una buena cantidad de países las cortes están fallando a favor de los usuarios que han sido víctimas de phishing y otro tipo de estafas, con argumentos que explican que las entidades tienen aplicaciones en línea fáciles de copiar tanto visual como operativamente y que estas no protegen al usuario al momento de realizar sus transacciones. Más de el 90% de las interfaces de acceso bancarias en línea no resisten un simple copiado por Internet Explorer, y esta es solo una de la gran cantidad de vulnerabilidades que no permiten al usuario distinguir entre un sitio original y uno fraudulento.

En fin para no alargar este documento, es necesario aclarar que las aplicaciones de banca en línea en nuestra región son manejadas aún como complementos del negocio bancario, y por ejemplo son llevadas como se podría manejar quizás las redes de cajeros o los centros de atención telefónica. No se ha percibido aún el hecho de que como en muchas otras industrias y servicios las aplicaciones en Internet han dejado de ser un medio para convertirse en la industria misma. Es necesaria una revisión a fondo de las políticas aplicadas a la banca en línea en nuestros países y con ella la creación de nuevo personal capacitado, no renuente al cambio, que pueda adaptarse a los nuevos procesos rápidamente y con ello a una nueva manera de hacer las cosas que empieza por cambiar el formato de los horarios de trabajo y se basa principalmente en el culto a una mentalidad creativa y abierta.

En el camino muchas entidades relativamente fuertes se están preocupando porque su gran masa de usuarios no tiene mayor monto de dinero en sus cuentas pero en cambio moviliza mucho. ¡Claro es fácil de explicar! Es preferible un banco pequeño pero con una interfaz en línea más segura para guardar nuestro dinero aunque no tenga la gran red de agencias o cajeros que necesitamos ya que siempre podremos hacer transferencias del dinero necesario a otra cuenta en otro banco cuando necesitemos dichos servicios. Gracias a Internet no necesitamos desplazarnos de una agencia a otra para hacerlo. Sin embargo aunque parezca simple aún no se han dado cuenta de esto.

Para terminar, no está de más recordarle a los empresarios de las entidades bancarias de nuestra zona, que en Internet en pez grande no siempre se come al pequeño, porque solo para empezar, en nuestro navegador web no se percibe el tamaño del pez.

La Ley de Murphy y la Seguridad de Aplicaciones Web.

La seguridad de aplicaciones web no escapa a las leyes de Murphy, por lo que me he permitido basado en algunas interpretaciones de las mismas en otros campos, crear una interpretación específica para esta área tan crucial que está dando tanto de que hablar en la actualidad, y además para que puedan ser tomadas como referencia a la hora de crear aplicaciones en línea y prevenir futuras fallas en las mismas. Yo personalmente creo que el mejor lugar para colocarlas es algunas de las paredes de las oficinas de los desarrolladores y expertos en seguridad de sistemas, para que así puedan tenerlas siempre presentes.

Leyes de Murphy aplicadas a la seguridad de aplicaciones web:

• Si un aplicación web tiene una vulnerabilidad, esta saldrá a la luz tarde o temprano y lo hará en el peor momento posible.
• Si una aplicación web tiene varias fallas de seguridad, el atacante descubrirá siempre la más dañina para el sistema.
• Una vulnerabilidad en la aplicación aunque pareciera aparecer espontáneamente no desaparece de igual forma.
•  Corregir una vulnerabilidad siempre lleva más tiempo del que uno piensa, incluso si se toma en cuenta este enunciado.
• No existe una aplicación web completamente segura, siempre aparecerá un usuario inexperto que lo demuestre.
• Si has logrado cubrir cuatro posibles vulnerabilidades, inmediatamente y espontáneamente aparecerá la quinta.
• No existe control único de seguridad inviolable, solo hacen falta el tiempo y las herramientas necesarias para demostrarlo.
• Internet siempre está del lado de la vulnerabilidad y esta a su vez del lado del atacante.
• Las soluciones “mágicas” de seguridad  se reconocen porque son aquellas que al ser vulneradas dejan al sistema completamente indefenso.
• Cualquier solución en seguridad de aplicaciones web al ser implantada inmediatamente se vuelve obsoleta.
• Cualquier vulnerabilidad perjudicará al sistema en orden inversamente proporcional a la importancia que se le otorgue.

Espero las tomen en serio!

Navegar seguro en las Redes Sociales

Las Redes Sociales, (Facebook, MySpace, etc) siguen popularizándose especialmente entre adolescentes y gente joven, La naturaleza de estos sitios introduce riesgos de seguridad por lo que usted debería tomar ciertas precauciones:

¿Que son los sitios llamados Redes sociales?

Los sitios de Redes Sociales, conocidos a veces como sitios "friend-of-a-friend", están basadas en el concepto de las redes sociales tradicionales en las que usted es conectado con nuevas personas a través de personas que usted ya conoce. El propósito de algunos de estos sitios puede ser puramente social, permitiendo a los usuarios entablar amistad o relaciones románticas, mientras otros pueden estar enfocados en crear relaciones de negocios.

A pesar de que las funciones de los diferentes sitios de redes sociales difieren, todos ellos le permiten proveer información acerca de usted y ofrecen algun tipo de mecanismo de comunicación(foros, salas de chat, email, mensajería instantánea) que le permite conectarse con otros usuarios. En algunos sitios, usted puede hacer búsquedas de personas basadas en ciertos criterios, mientras otros sitios requieren que usted sea "introducido" a gente nueva a través de una conexión compartida. Muchos de estos sitios tienen comunidades o subgrupos que pueden estar basados en algún interés particular.

¿Que implicaciones de seguridad representan estos sitios?

Los sitios de redes sociales dependen de conecciones y comunicación, por lo que lo estimulan a usted a proveer cierta cantidad de información personal. A la hora de decidir qué información revelar, las personas no ejercitan la misma cantidad de precauciones que si estuvieran conociendose persona a persona debido a:

• Internet provee un cierto sentido de anonimidad.

• La falta de interacción física provee un falso sentido de seguridad.

• Ellos preparan la información para sus amigos olvidando que puede ser vista por otros.

• A veces quieren ofrecer detalles específicos para impresionar a sus amigos y conexiones de negocios.

Mientras la mayoría de las personas que usa estos sitios no representa ninguna amenaza, personas maliciosas si podrían utilizar la cantidad de información personal disponible para usos ilegales o indebidos. Mientras más información tengan las personas maliciosas acerca de usted, más fácil les resultará sacar ventaja de esta. Los predadores pueden hacer relaciones en línea y convencer a sus victimas para conocelos persnalmente. Esto puede degenerar en situaciones peligrosas. La información personal también puede ser utilizada para conducir un ataque de ingeniería social. Usando la información que usted provee acerca de su ubicación, hobbies, intereses y amigos, una persona maliciosa puede hacerse pasar por un amigo de confianza o convencerlo de que tienen la autoridad suficiente para acceder otros datos financieros o personales.

Adicionalmente, debido a la popularidad de estos sitios, los atacantes pueden usarlos para distribuir código malicioso. Los sitios que ofrecen aplicaciones desarrollados por terceros son particularmente suceptibles de esta técnica. Los atacantes pueden ser capaces de crear aplicaciones personalizadas que aparentan ser inocentes miestras infectan su computador sin su conociemiento.

¿Cómo puede usted protegerse?

Limite la cantidad de información personal que usted coloca: No coloque ni suba información que pudiera hacerle vulnerable, como su dirección, su agenda o rutina. Si sus contactos colocan información acerca de usted, asegúrese que dicha información combinada no es más que la que usted personalmente colocaría sintiéndose seguro a pesar de que los extraños la conozcan. También sea considerado al respecto a la hora de colocar información acerca de sus contactos.

Recuerde que Internet es un recurso público: Solo coloque información que no lo incomode si cualquiera la pudiera ver. Esto incluye informació y fotos en su perfil, blog y foros. Recuerde que una vez colocada dicha información en línea usted no puede retractarse. Aunque la remueva del sitio original, siempre habrán disponibles versiones cacheadas o guardadas en los equipos de otras personas.

Sea desconfiado con los extraños: Internet hace fácil que las personas tergiversen sus identidades y motivos. Considere limitar la cantidad de personas a las que les permite contactarle en estos sitios. Si interactua con gente que no conoce, sea precavido acerca de la cantidad de información que revele y acerca de conocerle personalmente.

Sea exceptico: No crea todo lo que se coloca en línea. Las personas pueden colocar información falsa o tergiversada acerca de varios tópicos, incluyendo por su puesto su propia identidad. Esto no necesariamente es hecho con intenciones maliciosas; esto puede ser no intencional, una exageración, o una broma. Tome las precauciones apropiadas y trate de verificar la información antes de tomar cualquier acción.

Evalue las propiedades de su usuario: Tome ventaja de las funciones de privacidad ofrecidas por el sitio. La configuración de algunos sitios permite que cualquier persona pueda acceder a sus datos. Usted puede configurar su cuenta, para restringir el acceso a su discreción. De todas formas también existe el riesgo de que la información privada sea vista por lo que preferiblemente no coloque nada que no quiera que sea visto por el público en general. También tenga cuidado acerca de las aplicaciones activas y de que manera estas influyen en la visibilidad de su información.

Use passwords fuertes: Proteja su información con claves que no pueden ser facilmente adivinadas. Si su clave de acceso es comprometida, alguien más puede ser capaz de acceder a su cuenta y hacerse pasar por usted.

Verifique las políticas de privacidad: Algunos sitios pueden compartir información como su dirección de email y sus preferencias con otras empresas. Esto puede derivar en un incremento de spam. Trate de ubicar las políticas del sitio acerca el manejo de referencias para verificar que usted no esté accidentalmente registrando a sus contactos en listas de spam. 

Use y mantenga actualizado su software anti-virus: El software antivirus reconce la mayoría de los virus conocidos y protege su computador de estos, así usted podrá detectar y eliminar el virus antes de que este cause cualquier daño. debido a que los hackers crean virus continuamente, es importante que mantenga las definiciones de virus actualizadas.

Los niños son especialmente suceptibles a las amenazas que los sitios de redes sociales representan. A opesar de que muchos de estos sitios tienen restricciones de edad, los niños pueden engañar en sus edades y registrarse. Enseñando a los niños acerca de la seguridad en Internet, estando alerta de sus hábitos de navegación, y guiándolos a los sitios apropiados, los padres pueden estar seguros de que los niños se convertirán en usuarios responsables.

¿Que es el scareware?

El Scareware es un nuevo término acuñado recientemente, es lo que se conoce como "software de seguridad falso". Normanlmente este software toma ventaja de la intención de los usuarios en mantener sus equipos protegidos, y específicamente utiliza técnicas de ingeniería social que se basan principalmente en crear "paranoia" en los mismos, ofreciéndoles una solución definitiva a sus problemas de seguridad. Una vez instalada, este tipo de programas se dedica a robar información como lo haría cualquier troyano bancario o de usurpación de identidad en el equipo de la víctima.

Suelen prometer resolver problemas de seguridad completamente gratis y por lo general terminan resultando extremadamente caros, ya que transmiten claves de acceso bancarias, números de tarjetas de crédito y otros datos confidenciales que pueden comprometer seriamente a las víctimas.

La forma más eficiente de prevenirlo es no instalar antivirus, firewalls u otro tipo de software de seguridad si no proviene de una fuente conocida y confiable.

El hecho de que el software de seguridad sea gratis no necesariamente indica que sea realmente un Scareware, ya que existen muy buenos productos en la red que pueden utilizarse para proteger nuestros equipos, pero son conocidos y pocos, por lo que antes de instalar un software pensando en la seguridad de su equipo, consulte a un experto o navegue en la red para verificar que no existan denuncias acerca del mismo. Una simple consulta en Google puede ahorrarle muchas molestias.

¿Cómo denunciar un phishing o sitio fraudulento?

Denunciar una página fraudulenta o de phishing es un proceso mucho más simple de lo que pudiera parece, a tal punto que en los primeros ataques de phishing hacia sus usuarios, algunas instituciones no utilizaron estos métodos por considerarlos extremadamente básicos (nada más lejos de la realidad).

Cuando se habla de "denunciar" nuestra mente evoca automáticamente procesos en los que se involucra personal de seguridad, técnicos especializados y hasta policías. Sin embargo todo eso es inútil en las primeras horas de un ataque de phishing, ya que muy probablemente la página esté ubicada en un servidor en Rusia o Corea del Sur, con lo que todo este gentío estará atado de manos.

Denunciar una página de phishing es extremadamente simple y no por ello deja de ser altamente efectivo. Además es un proceso en el que solo hace falta un navegador como Internet Explorer, Firefox, Opera o Chrome. No incluimos a Safari ya que aunque en su última versión ya presenta esta utilidad, aún muchos usuarios no se han actualizado y es algo nueva.

Empecemos con Internet Explorer:
Vaya a la página fraudulenta (no se preocupe, simplemente no ingrese sus datos en ella) y una vez allí pulse en el menú la opción "Herramientas/Filtro de suplantación de identidad (phishing)/Notificar a Microsoft de este sitio web". Aparecerá una página con la dirección precargada en la que simplemente deberá validar una clave optica y enviar la denuncia. ¿Fácil verdad?

Vayamos con Firefox:
De igual forma que en IE, cargue la página fraudulenta y vaya al menú pero esta vez en la opción "Ayuda/Informar de sitio web fraudulento..." . Nuevamente la dirección aparecerá precargada y solamente deberá validar un par de campos.

Ahora sigamos con Google Chrome:
En este caso una vez cargada la página de fraude, iremos a pulsar un botón con forma de una páginita al lado de la barra de direcciones y aparecerá un menú en el que seleccionaremos "Comunicar error o sitio web defectuoso". Esta vez aparecerá una ventana en la que estará precargada la dirección y solamente tendremos que seleccionar en el primer campo la razón de la comunicación optando por la opción "phishing". Podemos agregar algún comentario y enviar la información.



Y en Opera el procedimiento es aún más fácil si utilizamos un atajo de teclado. Navegue nuevamente la página sospechosa y pulse las teclas Alt+Enter. Inmediatamente se verificará si hay denuncias sobre el sitio y en caso de que aún no haya sido denunciado pulse el botón "Reportar este sitio"

En todos los casos el personal que recibe la denuncia comprobará si es cierta y agregará en caso de serlo el sitio fraudulento a las listas que son revisadas por estos navegadores cada vez que una página es cargada. Este proceso suele tomar entre dos a seis horas. Claro está que para que el usuario pueda disfrutar de este servicio debe tener el filtro anti-phishing activo para que le advierta si está visitando una página frudulenta o problemática.

Denunciando los sitios sospechosos usted estará haciendo lo correcto sin ningún tipo de implicación legal hacia su persona y evitará que otros usuarios puedan ser víctimas de estafa.

Si usted forma parte del equipo del sitio que ha sido clonado o atacado, entonces trate de no entrar en pánico y recuerde a sus compañeros que este es el primer paso a seguir. Una vez realizados estos procedimientos, ya puede llamar a quien quiera e involucrar hasta a la presidencia si así le parece, pero no lo haga sin haber realizado estos procedimientos antes. Cada minuto que tarde otra víctima puede estar siendo estafada.

También existen otra serie de técnicas ya más complejas para tratar de proteger a los usuarios que pueden haber sido víctimas antes de que el proceso de denuncia se haya hecho efectivo, pero estas las colocaré en otro artículo.