Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 4, Número 40, Junio de 2005

La banca mexicana en línea. Un estudio académico

Martha Patricia García Morales

 

La tecnología al servicio del bienestar humano permite, gracias a la infraestructura de Internet, satisfacer necesidades en todos los ámbitos; uno de ellos, el financiero, apoyándose en dicha tecnología, da soporte a todo tipo de transacciones bancarias, las cuales se han visto afectadas por actividades maliciosas de intrusos que manipulan la información de múltiples usuarios en detrimento de su propio funcionamiento, no por falta de eficiencia de las instituciones bancarias, sino por agentes externos a ellas convertidos en amenazas reales de atacantes que usan la red de redes con fines fraudulentos.

Situaciones vía red, como mensajes sospechosos, fraudes por mal uso de passwords, estructuración inadecuada de nombres de dominio, así como falta de control de los mismos y uso indebido de información confidencial a través de servidores intermediarios, son algunos de los aspectos que padece la banca en México, por lo cual se buscó el apoyo de una institución de educación superior con autoridad en la materia, como la UNAM, para buscar estrategias y respuestas que aporten soluciones a este problema de gran magnitud: el delito cibernético.

Por tal motivo, en la DGSCA de la UNAM, Juan Carlos Guel López, Jefe del Departamento de Seguridad en Cómputo (DSC) y Coordinador de UNAM-CERT, y José Inés Gervacio Gervacio, también del DSC, realizaron un estudio académico, considerando el comportamiento actual de la banca mexicana en línea, del cual presentaron sus resultados en la conferencia magistral que tuvo lugar durante el Congreso de Seguridad en Cómputo 2005, celebrado del 20 al 27 de mayo.

Dado que en México, como en otros países, los atacantes han aumentado se ha vuelto un imponderable la seguridad en cómputo, ya que se ataca un sistema o una red, con base en tres objetivos primordiales: las personas, quienes sin tener fines maliciosos o criminales, por curiosidad o reto atacan; los intrusos que quieren usar a un sistema determinado como puente de acceso para atacar a otros sistemas; y los intrusos que tienen como único fin, entrar a un sistema para provocar daño a la organización propietaria, o que persiguen consultar, copiar, robar y vender datos; existe también el crimen organizado y el espionaje industrial.

Estos fundamentos contextualizan el estudio mencionado, donde la muestra de instituciones analizadas fue de 25, contemplando aquéllas que mantienen sitios web o banca electrónica en México; los datos se retomaron de un listado disponible en la página de la Asociación de Bancos de México.

Específicamente, el objetivo del estudio fue evaluar las distintas amenazas de seguridad en cómputo existentes actualmente en Internet, considerando los reportes de distintos equipos de respuesta a incidentes que impactan a instituciones financieras en todo el mundo.

De dichos reportes se retomaron las amenazas existentes en Internet: Key loggers (herramientas diseñadas para capturar todas las teclas ejecutadas, incluyendo contraseñas y nombres de usuario), Phishing scam (intento por conseguir que un usuario confirme información personal como una cuenta bancaria, tarjeta de crédito o número de servicio social), entre otras.

Actualmente, las vulnerabilidades generales que los intrusos siempre buscan son cuentas sin contraseña, servicios mal configurados, contraseñas débiles, vulnerabilidades de los usuarios y sus cuentas, así como de protocolos y sistemas operativos; pero principalmente, se aprovechan de la deficiente cultura de seguridad en cómputo prevaleciente.

El estudio implicó pruebas no intrusivas que se realizaron en ambientes controlados desde los laboratorios de seguridad del UNAM-CERT1, las cuales fueron ejecutadas bajo sistemas operativos Windows y Linux. Para dichas pruebas, se utilizaron herramientas como:

  • Sock: herramienta simple para atacar de forma manual aplicaciones basadas en web.
  • Burp Proxy: servidor Proxy interactivo para atacar y analizar aplicaciones basadas en web, con la posibilidad de interceptar, modificar e inspeccionar el tráfico entre el navegador y el sitio web.
  • WinHex: herramienta adecuada para análisis forense que permite editar procesos, memoria virtual, analizar y comparar archivos.

Como producto de los resultados obtenidos, se contempló que la conexión en página Web por SSL2, es muy utilizada por las instituciones financieras de la muestra, básicamente para obtener información confidencial como es el caso de los números de tarjetas de crédito.

Asimismo, otra cuestión importante obtenida del estudio, se refiere a aquel atacante con acceso al sistema, quien lee la información en memoria para realizar búsquedas de contraseñas almacenadas por los navegadores de Internet, o sea, haciendo un vaciado de memoria, se adueña de información que usará de manera indebida.

Los realizadores de la investigación plantearon algunas conclusiones, entre ellas están:

  • La necesidad de implementar estándares de seguridad en las corporaciones: ISO1779, BS779, ITIL, entre otros, donde la unión de todas las instituciones financieras será vital, así como el análisis de otros modelos utilizados en otras partes del mundo.
  • La implementación de análisis de riesgo y planes de contingencia en las organizaciones.
  • Reducir riesgos mediante la estándarización y creación de dominios cortos y claros.
  • Un estándar financiero con página antifraudes donde se analicen y realicen pruebas periódicas de seguridad.
  • Documentar mejores prácticas.
  • Estándarización de tecnologías, certificados y adopción de nuevas tecnologías.

La puesta en práctica de dichas medidas técnicas será, sin duda, relevante pero, de igual modo, el compartir conocimiento y experiencia entre bancos, así como no olvidar que la seguridad en cómputo es un proceso que demanda toda organización.

En una sociedad de información que cada día basa más sus dinámicas y procesos en sistemas de cómputo y redes, la seguridad debe ser no sólo una responsabilidad, sino una prioridad, tanto de empresas e instituciones como de todo usuario; inclusive de los propios gobiernos, los cuales tendrán y tienen de hecho ya, la tarea de definir políticas claras e integrales sobre seguridad en informática.

 

REFERENCIAS:

1 Equipo de respuesta a incidentes de la DGCSA con reconocimiento internacional, conformado por un grupo de especialistas en seguridad en cómputo, que atiende a instituciones de cualquier tipo que han sido víctimas de algún ataque, tanto en sus sistemas de cómputo como en sus sitios de Internet. De forma periódica, publica información actualizada sobre alertas y vulnerabilidades, implantación de políticas, elabora análisis de riesgo y realiza investigación dentro de esta área para contribuir a hacer más seguros los sistemas y las redes. Más información http://www.cert.org.mx

2 Secure Sockets Layer (SSL) es un protocolo desarrollado por Netscape para transmisión de documentos privados vía Internet. SSL funciona utilizando una llave privada para encriptar los datos que son transferidos por dicha conexión. Tanto Netscape Navigator como Internet Explorer soportan SSL, y muchos sitios web usan este protocolo para obtener información confidencial, como números de tarjetas de crédito. Por convención, los URLs que requieren una conexión SSL, empiezan con https: en vez de http:

Inicio | Contacto |