Publicacion 11532

Gabriel
Bergel
Gabriel Bergel
•  Cursando Magister de Ciberseguridad Universidad Camilo José

Cela
•  CISSP, C|CISO, CISM, CBCP, ISO 27001 LA
•  15 años de experiencia, Consultor, JP, ISO, CISO, Rockstar.
•  CSA en Eleven Paths / Director de Estrategia (CSO) en Dreamlab
Technologies
•  Profesor de Seguridad de la Información en UNAB
•  Fundador y Organizador de 8.8 Computer Security Conference
•  Vicepresidente del Capítulo de (ISC)2 y Director Académico del
Capitulo de ISSA
•  Miembro de LAAC de (ISC)2
•  Coordinador del Centro de CiberSeguridad Industrial (CCI)
•  Relator de Charlas de Seguridad en Colegios

Agenda
Introducción FAAS –
Sector Financiero (DBIR 2016)
Cibercrimen en Sector Financiero
Contramedidas de la Industria
Desa@os
Recomendaciones
Conclusiones

Introducción
FAAS SECTOR
FINANCIERO
FAAS
Sólo es necesario tener Servicios garan^zados, Cibercrimen

un PC, conexión a postventa, soporte, Organizado
internet, Tor y Bitcoins devolución del dinero “Ellos si comparten la
información”

FAAS

información”

FAAS

información”

FAAS

información”

FAAS

información”

FAAS

información”

FAAS

información”

FAAS

información”

FAAS

información”

FAAS

información”

FAAS

información”

FAAS

información”

Sector Financiero (Fuente DBIR 2016)

3 -> 9 patrones de
ataques= 88%

Referencia: hgp://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
High Lights

• 89% de las brechas tenía un
mo^vo económico o
espionaje.
• 63% de las violaciones
confirmadas involucraban
auten^cación débil, o por
defecto o contraseñas
robadas.
• 30% de los mensajes de
phishing se abrieron en 2015
y el 12% de los obje^vos hace
clic en el archivo adjunto
malicioso o enlace.
• 85% del trafico exitoso de
exploit era a par^r de los 10
principales vulnerabilidades.
El otro 15% cubrió 900
vulnerabilidades.
Brechas Mundiales hgp://www.informaônisbeau^ful.net/visualizaôns/worlds-biggest-data-breaches-hacks/
CIBERCRIMEN SECTOR
FINANCIERO
Ejemplos Noticias
Ejemplos Noticias
Ejemplos Noticias
Ejemplos Noticias
Ejemplos Noticias
Ejemplos Noticias
Ejemplos Noticias
Ejemplos Noticias
Ejemplos Noticias
Ejemplos Noticias
Ejemplos Noticias
Ejemplos Noticias
Ejemplos Noticias
Malware Bancario
Malware Bancario
Malware Bancario
Ataques Web
Esto es cuando los

atacantes u^lizan
credenciales robadas
o explotan
vulnerabilidades en
aplicaciones Web, a
menudo sistemas de
ges^ón de contenidos
(CMS) o plataformas
de comercio
electrónico.
¿Qué se puede hacer?

•  U^lice la auten^cación de dos factores.
•  Parche con pron^tud.
•  Control de todas las entradas en los formularios.

Denegacion de Servicio (DOS)
Los ataques DoS son

un técnica maliciosa
de interrupción de
servicios. U^lizan por
lo general redes de
bots con el obje^vo
de inundar el canal
de datos o hacer
colapsar algún
disposi^vo en la ruta
de los servicios en
línea.

•  Aislar los ac^vos.
•  Tener un plan de mi^gación.
•  Analisis de Gaps.
Skimmers de Sistemas de Pago
“Él pregunta si alguien sabe como

Instalar un skimmer”
Skimmers de Sistemas de Pago
skimmers de tarjetas
de pago u^lizan un
"skimmer" ssico en
un cajero automá^co,
terminal punto de
venta (POS) o bomba
de gas/bencina para
leer los datos de la
banda magné^ca de
la tarjeta cuando se
paga.

•  Monitorear los terminales de pago.
•  Considere reemplazar los cajeros automá^cos.
•  Use controles a prueba de manipulaciones

(tamper).
Factor Humano
Años edad
41 promedio de
las vic^mas
80%
De los
Ataques se
deben a
Errores
humanos y
no temas
tecnologicos
90%
Del correo es
Spam o virus
88%
77%
De los ataques
de IS son
Phishing
De las personas hizo
click en un email de
Phishing
41
Ingeniería Social
Phishing
Smishing Pharmining
Vishing
42
Cibercrimen Modo Presencial
ATM Skimmers
hgp://www.cbsnews.com/videos/more-thieves-using-
atm-skimmers-to-steal-credit-card-info/
44
ATM Skimmers
45
ATM Skimmers
46
ATM Skimmers
47
ATM Skimmers
48
ATM Skimmers
49
ATM Skimmers
50
ATM Skimmers
51
ATM Skimmers
52
ATM Skimmers
53
ATM Skimmers
54
ATM Skimmers
55
ATM Skimmers
56
ATM Skimmers
57
ATM Skimmers
58
ATM Skimmers
59
ATM Skimmers
60
7 Razones de porque es tan Fácil
61
Referencia: hgps://blog.kaspersky.com/atm-jackpovng-explained/11323/
62
63
64
Point Of Sale (POS)

ü  2 marcas principales en Latam:
Verifone (USA) e Ingenico
(Francia).
ü  Sistema Opera^vo propietario,
Linux.
ü  Poseen tamper (secuencial y
paralelo).
ü  Poseen Hardware Security
Module (HSM) para llaves de
encriptación.
ü  Soportan protocolos de
encriptación (DES, 3DES, DUKPT).
ü  Control de acceso con clave,
perfiles.
ü  Cumplen con norma^va PCI PTS
(1.0 - 4.0)
Point Of Sale (POS)

ü  2 marcas principales en Latam:
Verifone (USA) e Ingenico
(Francia).
ü  Sistema Opera^vo propietario,
Linux.
ü  Poseen tamper (secuencial y
paralelo).
ü  Poseen Hardware Security
Module (HSM) para llaves de
encriptación.
ü  Soportan protocolos de
encriptación (DES, 3DES, DUKPT).
ü  Control de acceso con clave,
perfiles.
ü  Cumplen con norma^va PCI PTS
(1.0 - 4.0)
¿Son¿Son
Seguros?
Seguros?
Modalidades del Fraude
§  Skimmer clásico, no depende de la
tecnología (pasado de moda).
§  Extracción y Copia de la data
almacenada en POS
(almacenamiento local y no
encriptada).
§  Evesdroping (Dial Up)
§  POS Fantasma o de Palo (soyware
factory, SO no firmado)
§  Tampering:
§  Circuito integrado (cabezal
magné^co y Pinpad) + Memoria
§  Circuito integrado + Bluetooth
(Ac^vo, on demand)
§  Circuito integrado + GPRS, GSM
68
69
70
71
Principales Modelos Adulterados

•  VX 510
•  VX 670
•  VX 680*
•  Pinpad VX800
•  Pinpad VX810
•  Todos PCI PTS 1.0, en
proceso de caducación,
ya no se pueden
comprar mas equipos
despues de abril 2014.
* PCI PTS 3.0
5100
Pinpad 3070
SCHIM
SCHIM
CONTRAMEDIDAS DE
LA INDUSTRIA
Contramedidas de la Industria PCI DSS - EMV
•  El estándar EMV define la interacción entre las tarjetas IC y los
disposi^vos de procesamiento de tarjetas IC a nivel ssico, eléctrico, de
datos y de aplicación, para transacciones finales.
•  Obje^vo: Liability Shiy
•  2010 S.J. Murdoch, S. Drimer, R Anderson, M Bond, “Chip and Pin is
Broken” – University of Cambridge.
•  2011 A. Barisani, D. Bianco, A. Lauri, Z. Franken “Chip & PIN is Definitely
Broken”
•  Vulnerabilidades:
•  Permite comprar sin PIN
•  CVM Downgrade
•  Schim, Skimer para Chip
•  …Y PCI DSS 3.2? (9.9.1, 9.9.3)
76
Desafío: Tiempo Id de Incidentes en este Ámbito

ü  54% de los incidentes
permaneció sin descubrir durante
semanas.
ü  15% permaneció sin descubrir

durante meses o más.
Rara vez las organizaciones
fi n a n c i e r a s d e t e c t a n
ü  Sistemas del sector financiero se i n c i d e n t e s d e m a n e r a
vieron comprome^dos en
minutos o menos en el 98% de autónoma.
los casos.

ü  Eso sugiere que los atacantes
Lenen un montón de Lempo
para encontrar los datos
potencialmente lucraLvas que
están buscando.
> Len^tud > Impacto
“El Lempo no es relaLvo…”

Recomendaciones
•  Mantener un inventario, Auditar el inventario.
•  Clasificar (CID) el inventario y gesônar el riesgo
•  Modificar, afinar los sistemas de monitoreo y detección de fraude.
•  Incluir al área de Riesgos o Seguridad de la Información en los procesos
de compra de nuevas tecnologías y nuevos proyectos
•  Cumplir con la norma^va legal y exigencias de las marcas.
•  Capacitar y sensibilizar a los colaboradores, proveedores sobre estos
riesgos.
•  “Compar^r” la información, inves^gaciones e incidentes, actuar en
bloque, como industria.
Hacer Ethical Hacking a la web,

App movil, a los POS, ATM,
Kioscos, EMV, NFC, etc. A
todo!!!!(por lo menos anual).

78
Conclusión
•  La tecnología avanza…. avanzan las modalidades de fraude.
•  El fraude es parte del negocio financiero, se deben buscar las formas de
disminuirlo, no se puede eliminar…
•  Se debe aumentar la seguridad asociada a medios de pago, aunque
implique mayor complejidad o êmpo
•  Es necesario adelantarse a las amenazas, más inteligencia…
79
¿Preguntas?
¿Más Información?
Gabriel Bergel
gabriel.bergel@dreamlab.net
@gbergel

Publicacion 11532

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Publicacion 11532

Cargado por

Copyright:

Formatos disponibles

Gabriel

• Cursando Magister de Ciberseguridad Universidad Camilo José

Cibercrimen en Sector Financiero

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Sólo es necesario tener Servicios garan^zados, Cibercrimen

Esto es cuando los

¿Qué se puede hacer?

• Parche con pron^tud.

• Control de todas las entradas en los formularios.

Los ataques DoS son

¿Qué se puede hacer?

• Tener un plan de mi^gación.

“Él pregunta si alguien sabe como

¿Qué se puede hacer?

• Considere reemplazar los cajeros automá^cos.

• Use controles a prueba de manipulaciones

• …Y PCI DSS 3.2? (9.9.1, 9.9.3)

ü 15% permaneció sin descubrir

“El Lempo no es relaLvo…”

Hacer Ethical Hacking a la web,

También podría gustarte

•  Cursando Magister de Ciberseguridad Universidad Camilo José

•  Parche con pron^tud.

•  Control de todas las entradas en los formularios.

•  Tener un plan de mi^gación.

•  Considere reemplazar los cajeros automá^cos.

•  Use controles a prueba de manipulaciones

•  …Y PCI DSS 3.2? (9.9.1, 9.9.3)

ü  15% permaneció sin descubrir