Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Boletin Informativo - YAPE, Análisis de Un Ciberataque

    Cargado por

    Juan Perez
    141 vistas4 páginas

    Título original

    Boletin Informativo - YAPE, Análisis de Un Ciberataque (1)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    141 vistas4 páginas

    Boletin Informativo - YAPE, Análisis de Un Ciberataque

    Cargado por

    Juan Perez

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    BOLETÍN INFORMATIVO

    www.kunak .com.pe

    ¿Qué pasó con YAPE?


    Análisis de un ciberataque

    Ing. Stanley Velando


    Especialista en ciberseguridad y seguridad de información
    Director y Socio Principal - KUNAK
    Febrero 8, 2021
    ¿Qué pasó con YAPE?
    Análisis de un ciberataque
    Un reciente ataque ha llamado la atención de Ahora se preguntaran… ok ¿pero cómo
    todas las empresas que estamos en contacto obtuvieron el numero de tarjeta y la clave de
    con la industria financiera y que, además, cuatro dígitos?.  
    somos felices usuarios de las
    innovaciones tecnológicas, tales como YAPE. Bien acá entra la segunda fase del ataque.  Lo
    mas probable es que haya habido un ROBO
    En seguridad informática existen los conceptos O FUGA DE INFORMACION del banco.  Es
    de Blue Team y Red Team, son conceptos que decir a través de alguna brecha de seguridad
    vienen de estrategias de guerra, donde un o un empleado malintencionado, se obtuvo
    equipo ataca (Red Team) y el otro equipo una lista o reporte de clientes nuevos
    defiende (Blue Team). Lo que ha sucedido con (digamos de los últimos 6 meses), con el dato
    YAPE es que los ciber-delincuentes han del número de la tarjeta, el número celular y
    utilizado técnicas de Red Team, es decir, han el correo electrónico.
    analizado al enemigo -en este caso YAPE- para
    identificar sus debilidades y atacarlo justo ahí. En este punto entra la tercera fase del ataque:
    INGENIERIA SOCIAL.  A través de mensajes de
    Pero, ¿qué es lo que identificaron? texto o WhatsApp al teléfono registrado o a
    través de correos electrónicos a la dirección
    Identificaron que si eras cliente del BCP pero de las víctimas se hacen llegar mensajes en
    aun no tienes cuenta YAPE (por eso se los cuales te piden “actualizar” datos,
    orientaron a clientes nuevos), era muy sencillo “verificar algún movimiento de tu cuenta”,
    afiliar cualquier teléfono a YAPE.  Los únicos "anular alguna transaccion posiblemente
    datos reales que necesitabas eran tu número fraudulenta", etc. El objetivo es conseguir tu
    de tarjeta y tu clave de cuatro dígitos del cajero clave de cuatro dígitos del cajero.  Las
    automático.  Los otros datos, como el número estadísticas nos dicen que en promedio el 5%
    del celular y el correo electrónico podían ser de de estos ataques tienen éxito, entonces si
    cualquier persona.   lanzaron el ataque, digamos a 5000 personas,
    tendríamos 250 claves de cuatro dígitos. Listo
    El proceso de afiliación NO VALIDABA ningún ya tenemos todo lo que se necesita: el
    dato adicional, por ejemplo si el número del número de la tarjeta y la clave de cuatro
    celular donde querías instalar YAPE era el dígitos.
    mismo número de celular que se había
    registrado en el banco, o si el correo Ahora todo lo que tenemos que hacer es
    electrónico a utilizar era el mismo registrado conseguir 250 chips de celulares en el
    en el banco.   mercado negro, afiliarlos a YAPE y empezar a
    pagar usando YAPE.  
    Toda esta “facilidad” con la finalidad de no
    hacer complicado o tedioso el proceso de
    afiliación.  La consigna era “hagámoslo simple”.
    Con estas dos simples verificaciones se evitaba
    Claro, los montos son limitados, 500 soles al
    el ataque.
    día, pero ya se está monetizando el ataque, si
    se cuantifica en masa, se ha robado un
    RECOMENDACIONES FINALES
    montón de dinero, además no sabemos en
    realidad a cuantas personas se lanzó el ataque,
    Para las empresas en general:
    entonces no se sabe (ni se sabrá) el impacto
    real.  El banco obviamente no va a revelar esa
    • Es muy bueno INNOVAR, pero siempre se
    información y va a decir que todo ya esta
    deben analizar a detalle los RIESGOS que
    controlado y solucionado. Evidentemente
    éstas innovaciones implican.
    tomará acción para corregir el problema.
    • Para las innovaciones tecnológicas, se
    deben profundizar las técnicas de análisis
    Existe otra posibilidad.  Que los ciber-
    de ataques tipo Red Team.
    delincuentes hayan identificado el algoritmo
    de generación de números de tarjeta.  Es decir
    Para las personas:
    que hayan “deducido” una serie de números
    posibles de tarjetas nuevas y con técnicas de
    • NUNCA brinden datos a través de
    ADIVINACION DE CONTRASEÑAS hayan
    mensajes de texto, WhasApp, llamadas
    intentando crear las cuentas YAPE, es decir telefónicas o correos electrónicos
    usando claves fáciles de cuatro dígitos como • Usen contraseñas seguras hasta en el
    “1234”, “4321”, “5555”, etc.  Entonces con los cajero automático, NO ES UNA BUENA
    números de tarjetas nuevas e intentando IDEA poner “1234”, “4321” o algún patrón
    claves fáciles hayan dado con la contraseña y como la técnica de los cuadrados “1245” o
    creado las cuentas YAPE. Esta opción es “2356” (teclas adyacentes).
    mucho más trabajosa y menos probable, pero • Siempre tapen su contraseña cuando la
    no por eso imposible. ingresan en el cajero o en los POS (puntos
    de venta).
    • Sean muy desconfiados de ofertas,
    EN CONCLUSIÓN: sorteos, gangas, etc, cuando algo es muy
    bueno para ser cierto, por lo general no lo
    Toda innovación siempre trae riesgos, YAPE es es..
    una gran idea, es muy útil  pero con la
    consigna de hacer todo más fácil, se saltaron Disfrutemos de las innovaciones, pero siempre
    pasos de seguridad básicos, como la pensemos en la seguridad.
    VALIDACION DE DATOS.
    KUNAK CONSULTING
    La validación de datos debió haber incluido: Think big. Think Secure.

    • Verificar que el número del celular donde


    se instala YAPE es el mismo número de
    teléfono que la persona ha registrado en
    el banco.
    • Verificar que el correo electrónico de la
    persona es el mismo que la persona ha
    registrado en el banco.
    La Seguridad es nuestra pasión
    KUNAK es una firma peruana de consultoría especializada en
    ciberseguridad y seguridad de la información. Con más de 09
    años en el mercado, ha desarrollado más de 300 proyectos de
    consultoría en más de 150 clientes, tanto privados como
    públicos en el Perú, habiendo también desarrollado servicios
    en Chile y Ecuador.

    KUNAK cuenta con una planta estable de consultores


    CERTIFICADOS y con experiencia en todos los servicios
    desarrollados, donde la calificación de nuestros clientes como
    “Excelente” o “Muy bueno” dan fe de la calidad y atención
    post-venta de nuestros servicios. Nuestras palabras clave son:
    servicio de calidad, flexibilidad y valores agregados.

    +300
    Proyectos de consultoría

    +150
    Clientes

    RISK MANAGEMENT +09


    Ing. STANLEY VELANDO - Socio Años en el mercado
    svelando@kunak.com.pe
    +51 997-146-749
    Servicios ISO27001, ISO22301
    Gestión de riesgos, Auditorías TI, LPDP
    Programas Disruptivos de Concienciación

    CYBER SECURITY +51(1) 206-4204


    Ing. OMAR PALOMINO - Socio
    www.kunak.com.pe
    opalomino@kunak.com.pe
    +51 987-559-346
    info@kunak.com.pe
    Hackeo ético
    Servicio de cibervigilancia
    Diagnóstico de ciberseguridad NIST-CSF

    También podría gustarte