Ataques Informáticos
Contra Entidades
Financieras
Alvaro X. Andrade Sejas
Oficial Nacional de Seguridad Informática CISO
VIVA GSM - Nuevatel PCS de Bolivia S.A.
www.nuevatel.com
[email protected] | [email protected]
Agenda
Terminología correcta
Tipos de ataques
Seguridad Actual de la Banca Privada en Bolivia
Nuevo modelo de ataque a los bancos
Medidas de contingencia y contramedidas de seguridad
Delitos Informáticos
Análisis de la actual Legislación boliviana sobre Delitos
Informáticos
Tipificación de los delitos
Agenda
Delitos orientados a la banca privada
Análisis técnico legal de estos delitos
Medidas y contramedidas a tomar en cuenta
Informática Forense
Introducción
Prueba Vs Evidencia Digital
Marco Judicial y Extra judicial de la informática forense
Informática Forense como herramienta de apoyo a la
resolución de Delitos Informáticos
Agenda
Peritajes informático forenses
Seguimiento de amenazas por email
Seguimiento de amenazas por celular
Ubicación geográfica de atacantes
Fallas de carácter procedimental
Análisis de un caso práctico
Physhing, scaming, carding y spaming al banco
Mercantil Scz, Banco de Crédito y Banco Unión.
Vulnerabilidad Dan Kaminsky el último peligro contra
los DNS de los Bancos y entidades financieras.
Ataques Informáticos – Terminología Correcta
Hacker
Persona con elevados conocimientos en seguridad informática con un alto
grado de curiosidad.
Cracker
Expertos en el arte de romper contraseñas de acceso y claves de
programas comerciales.
Carder
Aquellos que hacen uso de forma fraudulenta de las tarjetas de crédito de
otras personas, moviendo el dinero por Internet.
Black Hats
White Hats
Piratas informáticos que usan sus
conocimientos para sacar provecho
de la tecnología de forma ilegal o
atacar otros sistemas.
Piratas reformados o especialistas
en seguridad informática que
prestan sus servicios a la protección
de los sistemas de información.
Tipos de Ataques a Entidades Financieras
Carding
Uso fraudulento de tarjetas de crédito y débito y sus
números y claves a través de Internet
Phishing
Es una nueva modalidad de estafa, que consiste en el envío masivo de
mensajes electrónicos con una web falsa clonada de una entidad bancaria.
Spaming
Es el envío masivo de correo electrónico u otro tipo de mensajes no
solicitados, en la mayoría de los casos con fines publicitarios.
Scam
Sistema para captar 'muleros'. Básicamente con anuncios de trabajo en
prensa e Internet quienes cooperan (a veces de manera inconsciente) en la
comisión de delitos, por ejemplo transfiriendo fondos entre cuentas.
Seguridad Actual de la Banca Privada en Bolivia
Cada año los bancos invierten mayores sumas de dinero en dispositivos de
seguridad y cada año también sufren mayor cantidad de ataques de los
cuales el 30% cumplen su cometido.
Nuevo Modelo de Ataque a los Bancos
Phishing
Banco
Clonado
Firewall
Spam
Bancos
Pirata
Usuarios incautos
Delitos Informáticos - Concepto
"delitos informáticos" son todos aquellas conductas ilícitas
susceptibles de ser sancionadas por el derecho penal, que
hacen uso indebido de cualquier medio Informático.
Conducta típica, antijurídica, culpable o dolosa y punible, en
que se tiene a los equipos informáticos como instrumento o fin
Utilización de la computadora y/o los programas de otra
persona, sin autorización, con el fin de obtener beneficios
propios y en perjuicio de otro
Utilización de la computadora con fines fraudulentos
Delitos Informáticos – Clasificación y Tipificación
Como instrumento o medio
Son las conductas criminógenas que se valen de las
computadoras o dispositivos electrónicos como medio para
la comisión de un fin ilícito.
Conductas criminógenas en donde para realizar un delito
utilizan una computadora como medio o símbolo.
Como fin u objetivo
Conductas criminógenas que van dirigidas en contra de la
computadora, accesorios o programas como entidad física.
conductas criminógenas dirigidas contra la entidad física
del objeto o máquina electrónica o su material con objeto de
dañarla.
Delitos Informáticos - Análisis de nuestra Legislación
ARTICULO 363 bis.- (MANIPULACIÓN INFORMÁTICA).-
El que con la intención de obtener un beneficio indebido
para sí o un tercero, manipule un procesamiento o
transferencia de datos informáticos que conduzca a un
resultado incorrecto o evite un proceso tal cuyo resultado
habría sido correcto, ocasionando de esta manera una
transferencia patrimonial en perjuicio de tercero, será
sancionado con reclusión de uno a cinco años y con
multa de sesenta a doscientos días
Delitos Informáticos - Análisis de nuestra Legislación
ARTICULO 363 Ter.- (ALTERACIÓN, ACCESO Y USO
INDEBIDO DE DATOS INFORMÁTICOS).-
El que sin estar autorizado se apodere, acceda, utilice,
modifique, suprima o inutilice, datos almacenados en una
computadora o en cualquier soporte informático,
ocasionando perjuicio al titular de la información, será
sancionado con prestación de trabajo hasta un año o
multa hasta doscientos días.
Delitos Orientados a la Banca Privada
Suplantación de Identidad
Uso fraudulento de tarjetas de crédito
Delitos contra el patrimonio
Desviar fondos ilegalmente
Estafa por Internet
Clonación de tarjetas de crédito
Delitos Informáticos – Prevención y Corrección
Fórmula de atención a estos delitos:
• Legislación
• Información
• Preparación de Justicia
• Cooperación Internacional
Delitos Informáticos - Conclusiones
Situación de debilidad o indefensión
Ausencia de
Informáticos”
tipificación
de
los
“Delitos
Urge avanzar en la legislación penal de este tipo
de conductas
Es preciso adecuar también la legislación penal
adjetiva para admitir la prueba de mensaje de
datos
Informática Forense
El futuro de la investigación Forense…
Informática Forense - Generalidades
El análisis forense permite obtener la mayor cantidad
posible de información sobre:
• El método utilizado por el atacante para introducirse en el
sistema
• Las actividades ilícitas realizadas por el intruso en el
sistema
• El alcance y las implicaciones de dichas actividades
• Las “puertas traseras” instaladas por el intruso
Informática Forense - Generalidades
Un buen análisis forense debe dar respuestas a varias
cuestiones, entre las que se encuentran las siguientes:
•¿En que fecha exacta se ha realizado la intrusión o el
cambio?
•¿Quién realizó la intrusión?
•¿Cómo entró en el sistema el atacante?
•¿Qué daños ha producido en el sistema?
Informática Forense – De que se encarga
La Informática Forense se
encarga de analizar sistemas
informáticos en busca de
evidencia que colabore a llevar
adelante una causa judicial o
una negociación extrajudicial.
Informática Forense – Bases de la Informática Forense
Experticias, Auditoria e Inspecciones en Computadores y
Páginas Web.
Ubicación de origen de correos anónimos y archivos anexos.
Determinación de propietarios de Dominios .com .net .org y
otros.
Pruebas de violación de derechos de autor.
Control preventivo y restricción de uso de computadores e
Internet.
Protección de información y derechos de autor.
Recuperación de data y archivos borrados intencionalmente o
por virus.
Recuperación y descifrado de las claves.
Informática Forense – Evidencia Digital
Uno de los pasos a tener en cuenta en toda
investigación, sea la que sea, consiste en la captura de
la/s evidencia/s. Por evidencia entendemos toda
información que podamos procesar en un análisis.
Por supuesto que el único fin del análisis de la/s
evidencia/s es saber con la mayor exactitud qué fue lo que
ocurrió.
Que entendemos por Evidencia Digital
El último acceso a un fichero o aplicación (unidad de
tiempo)
Un Log en un fichero
Una cookie en un disco duro
El uptime de un sistema (Time to live o tiempo encendido)
Un fichero en disco
Un proceso en ejecución
Archivos temporales
Restos de instalación
Un disco duro, pen-drive, etc..
Características de la Evidencia Digital
La evidencia digital es:
• Volátil
• Duplicable
• Borrable
• Remplazable
• Alterable
En que casos podemos utilizar la Informática Forense
Detección e Identificación de ataques web (Demo)
Intrusión a sistemas remotos
Borrado, alteración o modificación de rutinas (Demo)
Seguimiento de amenazas por e-mail o celulares (Demo)
Investigación en casos de Pornografía Infantil
Trazado geográfico de los atacantes (Demo)
Intervención de correos electrónicos (Demo)
Recopilación de datos forenses post mortem
Verificación del grado de veracidad de fotografía digitales
etc, etc ….
Gracias por
Su Atención
Alvaro X. Andrade Sejas
Oficial Nacional de Seguridad Informática CISO
VIVA GSM - Nuevatel PCS de Bolivia S.A.
www.nuevatel.com
[email protected] | [email protected]
Descargar

Diapositiva 1 - Ethical Hacking Consultores |