Delitos informticos en el sector

financiero
Armando Carvajal
Gerente Consultora - globalteksecurity
Master en seguridad inform
informtica Universidad Oberta de
Catalunya
Especialista en construcci
construccin de software para redes Uniandes
Ing. Sistemas Universidad Incca de Colombia

Antecedentes

QU ES EL RIESGO?
Es la Incertidumbre sobre la ocurrencia de un evento
que afecte el logro de los objetivos de la organizacin
mediante el siniestro de activos
Amenazas?
Vulnerabilidades?
Impacto?

EL RIESGO OPERACIONAL

Es la posibilidad de incurrir en prdidas por deficiencias,

fallas o inadecuaciones, en el recurso humano, los
procesos, la Tecnologa, la infraestructura o por la
ocurrencia de acontecimientos externos

EL RIESGO DE LAVADO DE ACTIVOS Y

FINANCIACIN DEL TERRORISMO
Es la posibilidad de prdida o dao que puede sufrir una
entidad vigilada por su propensin a ser utilizada
directamente o a travs de sus operaciones como
instrumento para el lavado de activos y/o canalizacin
de recursos hacia la realizacin de actividades
terroristas, o cuando se pretenda el ocultamiento de
activos provenientes de dichas actividades

Mapa mundial - Riesgo operativo

Circulares Superfinanciera

La Circular Externa 041 de 2007, aprob

la implementacin del Sistema de
Administracin de Riesgo Operativo

Circulares Superfinanciera
La Circular Externa 052 de 2007, trata
sobre los requerimientos mnimos de
seguridad y calidad en el manejo de
informacin a travs de medios y canales
de distribucin de productos y servicios
para clientes y usuarios

Administracin del riesgo - Estrategia Reactiva

Las estrategias de riesgo reactivas se
han
denominado
humorsticamente
"Escuela de gestin del riesgo de Indiana
Jones
En las pelculas, Indiana Jones, cuando
se
enfrentaba
a
una
dificultad
insuperable, siempre deca "No te
preocupes, pensar en algo!".
Nunca se preocupaba de los problemas
hasta
que
ocurran,
entonces
reaccionaba como un hroe
Tomado de: http://www.um.es/docencia/barzana/IAGP/Iagp5.html

Administracin del riesgo - Estrategia Proactiva

Identifique
Retroalimenta
r y Medir

Controlar y (minimizar)
las amenazas

Se
identifican
los
riesgos
potenciales,
se
valoran
su
probabilidad y su impacto y se
establece una prioridad segn su
importancia
Tomado de: http://www.um.es/docencia/barzana/IAGP/Iagp5.html

Evale

La estrategia proactiva empieza

mucho antes de que comiencen los
trabajos tcnicos

Identificar
riesgos y
amenazas

Mida

Una estrategia considerablemente

ms inteligente para el control del
riesgo es ser proactivo

Controle

Evaluar el
impacto en A.
xxxxxx

La Informacin es un activo?

La informacin es un activo y
como cualquier otro activo que
genera valor al patrimonio, ste
es
importante
para
la
organizacin y por consiguiente
debe
ser
adecuadamente
protegido

Relacin entre riesgos y activos

Los riesgos son inherentes a los activos
de la organizacin y la nica forma de
administrarlos es gestionndolos
Se debe hacer anlisis de riesgos para
hacer gestin de la seguridad de la
informacin

Matriz de Riesgo Consolidada

Una vez Evaluados los activos, las amenazas, la

probabilidad de ocurrencia de los riesgos y el nivel del
impacto en el sistema de informacin, podemos construir
esta matriz de riesgo consolidada la cual nos da las
prioridades de inversin en seguridad informtica
(sealados en rojo)

Por que medir el riesgo?

"La medicin es el primer paso para el control y la mejora.
puede medir, no se puede entender. Si no se entiende,
controlar. Si no se puede controlar, no se puede mejorar.

Si algo no se
no se puede

H.James Harrington

Delitos Informticos

Que es un delito?
El delito es definido como una conducta
tpica (tipificada por la ley), antijurdica
(contraria a Derecho) y culpable
Supone una conducta infraccional del
Derecho penal, es decir, una accin u
omisin tipificada y penada por la ley

Es lo mismo crimen y delito?

Crimen y delito son trminos equivalentes:
Su diferencia radica en que delito es
genrico y por crimen se entiende un
delito ms grave o especficamente un
delito ofensivo en contra de las personas

Es un delito explorar puertos?

Crear delitos, crmenes y castigos son
facultades soberanas de quienes estn a la
cabeza de un sistema normativo
Eso explica que en Singapur sea un delito
mascar chicle en lugares pblicos y un crimen
botarlo en el piso y en Chile sea un delito fumar
marihuana incluso dentro de un espacio privado,
o en Alemania el negar el holocausto

Que es el cibercrimen?
El alcance de este trmino es an incierto,
curiosamente el trmino aparece en el portal
www.wikipedia.org, as: Cybercrime is a term
used broadly to describe activity in which
computers or networks are a tool, a target, or a
place of criminal activity
These categories are not exclusive and many
activities can be characterized as falling in one
or more categories

Por que el cibercrimen?

Por el desconocimiento de los riesgos e
implicaciones de la tecnologa
Porque libremente en Internet se
encuentran herramientas para explotar
vulnerabilidades, Ej.: metaesploit.org
Las nuevas generaciones de terroristas
estn creciendo en un mundo digital

Por que el cibercrimen?

Autoridades con limitaciones graves de
presupuesto y atados a la lentitud de la
ley
La mentalidad de los criminales es la
misma respecto de delitos informticos
Internet es un nuevo canal para cometer
delitos

Ciberterror
Es la convergencia entre el terrorismo y el
ciberespacio
Son las amenazas y ataques contra la
infraestructura informtica y la informacin
de un gobierno o empresa
Causan dao a sistemas crticos para
buscar el pnico

Ciberterror
No lo sentimos pero el ciberespacio
esta bajo constante ataque
Por el momento el carro-bomba
representa una mayor amenaza que la
bomba lgica. Dorothy E. Denning

Security Trends

Escenario promedio de
intrusin en un delito
informtico

1: Reconnaissance: reconocim
El intruso hace reconocimiento de la
victima mediante:
Google, Prueba de conectividad con ping,
traceroute, dig, nslookup, enumeracin de
servicios (nmap) y finalmente hace
anlisis de vulnerabilidades (nessus)

2: Exploitation: (ataque)
El intruso basado en el anlisis de
vulnerabilidades busca el cdigo que
ataca la vulnerabilidad
El objetivo mas atacado es el servidor
web mediante exploits o encontrando
errores de validacion en formularios
Siempre se hace desde un IP diferente al
Ip desde donde se hizo el reconocimiento

3: Reinforcement:(afianzar)
El intruso dentro de la victima obtiene sus
programas o utilitarios de ataque usando tftp, ftp
o scp
Borra las pistas de la penetracin
Instala un backdoor para prximas
penetraciones
Generalmente se parcha el sistema para que
otro atacante no entre

4: Consolidation
Usando otro IP diferente a los anteriores
Penetra la victima por medio del backdoor ya
instalado que escucha por un puerto de tipo
servidor
Otra opcin es que un proceso en la victima
cliente IRC llama al servidor del atacante y
permite ejecutar comandos remotos

5: Pillage(pillaje)

El intruso ejecuta la ultima parte del plan

Generalmente roba informacin critica
Ataca a otras victimas basados en el IP de
la victima anterior
Podra hacer lo que desee con nuestro
servidor atacado

Ejemplo de delitos
informticos

Caso Colombiano

Total 535

Segun Dijin, Fredy Bautista

Garcia, Octubre de 2007

Ejemplo de delitos
informticos en el sector
financiero: Phising

http://www.elpais.com.co/paisonline/notas/Noviem
bre272007/robos.html

http://www.eltiempo.com/bogota/2007-11-30/ARTICULO-WEB-NOTA_INTERIOR-3838706.html

Continuacion

Marco Legal de los delitos en

Colombia

Marco legal Colombiano

Ley 527 de 1999, comercio electrnico
Ley 599 de 2000 Cdigo Penal - Artculos
195, 240, 247, 270,271, 272
Ley 679 de 2000 Estatuto para
contrarrestar la Pornografa Infantil
Ley 906 Cdigo de Procedimiento Penal
Artculos 235,236,275

Marco legal Colombiano

Faltan mas normas y leyes para tratar los
delitos informticos
La falta de legislacin nos lleva a que la
conducta punible no sea castigada
Estamos evolucionando en 2007 leyes
penales se modifican

Educar y concientizar a los usuarios

Colombia necesita un marco jurdico
robusto
Capacitar al personal tcnico en seguridad
informtica
Crear grupos elite de investigacin forense
en las organizaciones
Seguir estndares 17799:2005
(27002:2005), 27001, Cobit

Reflexiones

Reflexiones (1/3)
Si software maligno se robara la base de datos
de las tarjetas de credito con sus claves cuanto
perderia la organizacion?
Se cuenta con estadisticas de manejo de
incidentes de robos informaticos?
Si una entidad de control nos pide las politicas
de seguridad de la informacion, la tenemos?

Reflexiones (2/3)
Podria facturar si se diera un atentado de
bomba o terremoto ?
Que pasaria si la competencia tiene la
base de datos de nuestros clientes?
Si nos piden el ultimo analisis de riesgos?

Reflexiones (3/3)
Si una entidad de control nos pide el plan
con fechas del disenio e implementacion
del SGSI, lo tenemos?
Si una entidad de control nos pide el BIA
para sustentar el BCP, lo tenemos?
Si nos piden las ultimas 3 auditorias
tecnicas al SGSI lo tenemos?

En general las organizaciones no cuentan

con un sistema de gestin para la
seguridad de la informacin
Por que?

Problemtica comn (1/4)

El Cambio, los nuevos proyectos, los
requerimientos de entes de Gobierno no
dan tiempo al rea de Tecnologa para
concentrarse en la seguridad de La
informacin
No se ha hecho un Anlisis de Riesgos que
permita determinar los riesgos, amenazas y
vulnerabilidades que puedan afectar la
continuidad del negocio

Problemtica comn (2/4)

No se han definido las polticas de
seguridad de la informacin dentro de la
Compaa
y por tanto no existe un
documento disponible para todos los
funcionarios.
No existe un
plan de inversin en
seguridad de la informacin que responda
a los riesgos y amenazas ms relevantes

Problemtica Comn (3/4)

No hay suficientes controles concretos para
disminuir los riesgos y amenazas contra la
seguridad de la informacin y contra la
productividad,
los
que
existen
son
componentes bsicos de la infraestructura de
computacin
No hay anlisis de impacto del negocio (BIA)
ni planes de contingencia que garanticen la
continuidad de las operaciones en caso de
desastre

Problemtica Comn (4/4)

La seguridad fsica del centro de cmputo de la
oficina principal, ha presentado deficiencias y
problemas que no han sido evaluados y corregidos
apropiadamente
Dado que no existe el anlisis de riesgos, no hay
forma
sistemtica
de
gestionarlos
para
disminuirlos hasta un nivel razonable

Solucin propuesta

Solucin: Disear un SGSI basados en ISO

27002 y 27001

Se debe disear un SGSI

que reporte mtricas
Debe permitir asegurar la
informacin hasta alcanzar el
equilibrio entre el ahorro
logrado por la seguridad
brindada y el costo de los
salvaguardas

Ciclo Metodolgico propuesto

Debe ser un ciclo metodolgico
estructurado y articulado de la
siguiente manera:
Entendimiento de los
Requerimientos
Cualquier segmento

Determinacin de la
Brecha
Anlisis GAP

Anlisis del Riesgo

Elaboracin Planes de
Tratamiento

Evaluacin del Riesgo

Documentacin e
implantacin SGSI

Definicin Polticas de
Seguridad

Acompaamiento de un
tercero experto

Anlisis GAP de requerimientos de Seguridad

Activos
de
Informacin,
documentacin y
Controles
Existentes

Requerimientos de Certificacin

Anlisis
GAP
(Brecha)
Activos Valorados

Requerimientos de Seguridad

Estado de
Implantacin

Estado Deseable = ? Una ilusin ?

Estado Actual

Controles

Alistamiento
para el
Anlisis de
Riesgos

Anlisis de Riesgos
Retomando toda la informacin obtenida, se debe llevar a cabo el
anlisis de riesgos utilizando alguna metodologa: Ejemplo Magerit, AS
NZS4360 (Para Colombia NTC5254)
Comunicacin

Definir el Contexto

Seguimiento y
Monitoreo

Anlisis GAP

Identificar Riesgos

Analizar Riesgos

Evaluar Riesgos
Anlisis Riesgos
Tratar Riesgos

Tratamiento

Propuesta concreta
Se recomienda iniciar por el proceso que le
produce los mayores ingresos a la org
Una vez implantado y definiendo como se
puede verificar y asegurar su correcto
funcionamiento, se plantea ampliar su alcance
e ir aadiendo nuevos procesos al SGSI
De esta manera el costo y el esfuerzo son
menores

Propuesta con foco

El foco debe estar centrado en los
controles legales y en los controles
mnimos comunes que una entidad debe
implantar para la seguridad de su
informacin
Se debe hacer transferencia de
conocimientos por parte de asesores para
que la organizacin sea autnoma

Metodologa para tratamiento de riesgo

Evaluacin de Riesgo

Riesgo
Aceptable?

Eliminar
Comunicacin

Prevenir

Aceptar

Proteger

Transferir

Considerar Posibilidad, Costo y beneficio

Recomendar Estrategias de Tratamiento

Seleccionar Estrategia de tratamiento

Preparar Planes de Tratamiento (Recursos y Tiempo necesarios)

Eliminar

Prevenir

Riesgo
Aceptable?

Proteger

Transferir

Aceptar

Seguimiento y
Monitoreo

Etapas para disear un SGSI

Etapas para disear un SGSI

Anlisis de riesgos: la base de todo el sistema de gestin
SGSI: 1-Poltica
SGSI: 2-Organizacin
SGSI: 3-Gestin de activos
SGSI: 4-Personal
SGSI: 5-Seguridad Fsica
SGSI: 6-Comunicaciones y operaciones
SGSI: 7-Control de acceso
SGSI: 8-Adquisicin, mantenimiento y desarrollo de Sist. Inf.
SGSI: 9-Gestin de incidentes
SGSI: 10-Gestin continuidad del negocio
SGSI: 11-Legislacin Vigente

Etapas de implementacin
La implementacin de la norma ISO 17799:2005
(ahora 27002:2005) considera 11 dominios que a
su vez se reflejan en 39 objetivos de control
que terminan en 133 controles
Se pueden visualizar los dominios como grupos
o etapas que idealmente se deben seguir en
forma secuencial pero no es mandatorio

Anlisis de riesgos: la base de todo el

sistema de gestin
Para la implantacin de un SGSI hay que
tener en cuenta que todas las medidas
que se implementen en la organizacin
debern justificarse sobre la base del
anlisis de riesgos que se haya realizado
previamente
Entregable: Inventario de activos valuado con amenazas,
controles, responsable

SGSI: 1-Politica
La poltica de seguridad tiene por objetivo
aportar las directrices de la seguridad de
la informacin de acuerdo con los
requerimientos y legislacin vigente;
fundamental para la implantacin del
resto de los controles
Entregable: Politica de seguridad publicada y firmada por
junta directiva

SGSI: 2-Organizacin
Implica la creacin de un comit que
supervisar los diferentes aspectos de la
seguridad de la informacin; ser el grupo
que tendr el apoyo directo de la alta
gerencia y podr conceptuar y decidir
sobre los cambios del SGSI
Entregable: Documento de creacion del comite, sus
miembros y funciones

SGSI: 3-Gestion de activos

Este dominio promueve la proteccin y
tratamiento de los activos de informacin
importantes para la organizacin;
establece responsabilidades sobre ellos y
clasifica la informacin basada en su
confidencialidad
Entregable: Documento con la clasificacion de los activos
de informacion

SGSI: 4-Personal
La seguridad de la informacin depende del
recurso humano (ing.social), deberan
implantarse controles de seguridad que
abarquen el ciclo de vida de los
trabajadores, desde su seleccin hasta el
momento en que dejen la organizacin
Entregable: Documento con plan de capacitacion sobre
politicas de seguridad de la informacion

SGSI: 5-Seguridad Fsica

Aspectos relativos a la seguridad fsica de la
organizacin, especialmente los
destinados a reducir los riesgos de que se
produzcan accesos no autorizados o
Interrupciones en las actividades; incluye
desde los edificios hasta la seguridad
fsica de los equipos
Entregable: Documento de auditoria sobre controles existentes y mejoras

SGSI: 6-Comunicaciones y
operaciones
Se tratan todos los aspectos relativos a la
seguridad de las operaciones
Considera el mayor numero de controles
legales y mecanismos conocidos de
proteccin de la informacin
Entregable: Documento con sugerencias y soluciones
especificas ademas de la segregacion de
funciones

SGSI: 7-Control de acceso

En este punto se trata de evitar que personal
no autorizado pueda lograr el acceso a la
informacin que se est protegiendo,
puede considerarse que este dominio se
refiere a los accesos lgicos a la
informacin; no tiene que ver con lo fisico
Entregable: Documento de politicas con segregacion de
roles, gestion contrasenias

SGSI: 8-Adquisicion, mantenimiento y desarrollo

de Sistemas de Informacin

Realizar pruebas tcnicas como:

Anlisis de vulnerabilidades de la red
Pruebas de penetracin a cada servidor de
datos
Revisin de configuraciones de dispositivos
de red
Entregable: Documento con el resultado de las pruebas
tecnicas

SGSI: 9-Gestion de incidentes

A pesar de los anteriores controles pueden
presentarse incidentes de seguridad que
se deben gestionar de manera que el
impacto que puedan provocar sea el
mnimo posible
Entregable: Documento de tipo plantilla para
que el rea de atencin de incidentes pueda
manejarlos

SGSI: 10-Gestion continuidad

del negocio

El objetivo de la seguridad de la informacin es

evitar que las actividades propias de la
organizacin se vean interrumpidas por alguna
circunstancia; los planes de continuidad de
negocio para cualquier organizacin son
imprescindibles
Entregables: Documento que muestre el analisis del impacto del
negocio en caso de desastre

SGSI: 11-Legislacion Vigente

Este ltimo dominio trata de garantizar el
cumplimiento de la legislacin vigente y
de las regulaciones que afecten a la
organizacin. Cada sector en particular
adems de la normatividad general tiene
su propia legislacin
Entregable: Documento con matriz de regulaciones contra
cumplimiento

Conclusiones

Conclusiones (1/2)
Se debe gestionar el riesgo para conocer sus
vulnerabilidades e impacto
Se debe gestionar el riesgo basados en un SGSI para
administrar los incidentes de la SI
Hay que hacer auditorias tcnicas para evaluar si se
estn cumpliendo las normas mnimas
Se debe buscar gradualmente la certificacin ISO
27001:2005 pero esto no se debe hacer en el momento
del diseo del sistema de gestin

Conclusiones (2/2)
La seguridad de la informacin no es un
problema de ndole tecnolgico
Hay que hacer BIA para mejores planes
de contingencia o BCP
Se debe probar con mnimo 6 meses de
diseo e implementacin

Bibliografia
Icontec Norma ISO NSC 17799:2005 (Ahora
27002:2005)
Icontec Norma ISO NSC 27001
Borradores del proyecto sobre SGSI de la
superintendencia financiera
Real Digital Forensics, Keith J. Jones, AddisonWesley, 2006
Revista Sistemas, Acis # 96, Jeimy Cano, abriljunio 2006

Como nos mediran las entidades de control?

Ms informacin en www.globalteksecurity.com, Email: info@globalteksecurity.com