UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA. DIRECCIÓN DE POSTGRADO DE INVESTIGACIÓN E INFORMÁTICA APLICADA CAMPUS CENTRAL. MAESTRIA EN INFORMÁTICA APLICADA A BANCA Y/O COMUNICACIONES. “PROPUESTA DE ESTRATEGIAS PARA LA PROTECCIÓN DE LA INFRAESTRUCTURA DE BANCA EN LÍNEA” PRESENTADO A AUTORIDADES DE LA DIRECCIÓN DE POSTGRADO DE LA UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA. POR: GUMERCINDO ARMANDO MONZON ESCOBAR. “CONOCERÉIS LA VERDAD, Y LA VERDAD OS HARÁ LIBRES” GUATEMALA, OCTUBRE DE 2015
55
Embed
“PROPUESTA DE ESTRATEGIAS PARA LA PROTECCIÓN DE LA INFRAESTRUCTURA DE BANCA EN LÍNEA”
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA.
DIRECCIÓN DE POSTGRADO DE INVESTIGACIÓN E
INFORMÁTICA APLICADA
CAMPUS CENTRAL.
MAESTRIA EN INFORMÁTICA APLICADA A BANCA Y/O COMUNICACIONES.
“PROPUESTA DE ESTRATEGIAS PARA LA PROTECCIÓN DE LA
INFRAESTRUCTURA DE BANCA EN LÍNEA”
PRESENTADO A AUTORIDADES DE LA DIRECCIÓN DE POSTGRADO DE LA
UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA.
POR:
GUMERCINDO ARMANDO MONZON ESCOBAR.
“CONOCERÉIS LA VERDAD, Y LA VERDAD OS HARÁ LIBRES”
1.1. Planteamiento del problema: ............................................................................................................. 3
1.2 Descripción del problema:.................................................................................................................. 3
1.2.1 Formulación del problema: ........................................................................................................... 3
1.2.2 Preguntas de investigación: ........................................................................................................... 4
1.3 Objetivo de investigación: .................................................................................................................. 5
1.3.2 General ............................................................................................................................................ 5
1.5 Justificación de la Investigación ........................................................................................................ 6
2. MARCO TEÓRICO ..................................................................................................................................... 7
4.2 Conocimiento de usuarios acerca de la seguridad de infraestructura de banca en línea: ...........34
4.3 Porque el desinterés por conocer sobre este tema ...........................................................................34
4.4 Estrategias para la seguridad de la infraestructura de banca en línea. ........................................35
4.5 Establecer la factibilidad de la puesta en práctica de las estrategias para la seguridad de la
infraestructura de banca en línea. ..................................................................................................................36
4.6 Importancia de contar con estrategias para la seguridad de la infraestructura de banca en línea.
36
4.7 Beneficios para los usuarios que genera la utilización de estrategias. ...........................................41
4.8 Elementos dominados a nivel técnico por los beneficiarios de la estrategia presentada: ...........42
4.9 Necesidades de formación técnica: ...................................................................................................42
9.1 Ley de Delitos Informáticos de Guatemala .............................................................................................. 52
1
Índice de Imágenes
Imagen 1 Sitio HTTPS BAM ......................................................................................................... 38 Imagen 2 Sitio HTTPS Bienlinea ................................................................................................... 38 Imagen 3 Detalle de Certificado sitio www.bamnet.com.gt .......................................................... 39 Imagen 4 Detalle de Certificado sitio www.bienlinea.com.gt ....................................................... 39 Imagen 5 Ingreso banca en línea, BI en Linea ............................................................................... 40 Imagen 6 Ingreso banca en línea, BAMNet ................................................................................... 40
Índice de Diagramas
Diagrama 1 Conceptual Enlaces de Internet .................................................................................. 17 Diagrama 2 Configuracion BGP .................................................................................................... 19 Diagrama 3 Infraestructura CDN ................................................................................................... 19 Diagrama 4 Análisis de balanceo de enlaces ................................................................................. 20 Diagrama 5 Alta disponibilidad de firewalls .................................................................................. 21 Diagrama 6 Denegación de Servicios ............................................................................................ 23 Diagrama 7 Sistema de IPS Infraestructura Interna ....................................................................... 25 Diagrama 8 Sistema Prevención de Intrusos .................................................................................. 25 Diagrama 9 Proteccion del Firewall de Aplicaciones .................................................................... 26 Diagrama 10 Secuencia de Autenticación ...................................................................................... 28 Diagrama 11 Proceso de generación de Certificados Digitales ..................................................... 29 Diagrama 12 Generación de respuesta del Certificado Digital ...................................................... 29 Diagrama 13 Infraestructura para la protección de sitios en linea ................................................. 31
Índice de Tablas
Tabla 1 Instrumentos ...................................................................................................................... 16 Tabla 2 Información detalla de Equipo para actualización en Inventario de Activos .................... 18 Tabla 3 Detección de trafico malicioso. ......................................................................................... 24
2
Introducción
El crecimiento del internet a nivel mundial ha dado como resultado la adquisición de nuevas
tecnologías a la mayor parte de los bancos en nuestro país, esto ha traído nuevas oportunidades a
los cuentahabientes al contar con herramientas basadas en internet al poder realizar las operaciones
que solo se podían realizar al visitar una agencia o sucursal del banco.
Las instituciones bancarias de nuestro país, se han visto afectadas por hechos fraudulentos
cometidos por los mismos empleados y personas ajenas al banco, hechos de delincuencia
común en los cuales la sustracción indebida de recursos ha sido frecuente, acciones en las cuales
han sido afectados clientes .
Sin embargo, muchos de estos hechos no salen a la luz pública, esto obedece a la
confidencialidad que deben guardar estas instituciones ya que manejan fondos de muchas personas.
Las instituciones bancarias, han ido creciendo y adaptándose a las nuevas tecnologías, y muchas
veces dejan a un lado los controles básicos, sin los cuales se vuelven vulnerables para que
los delincuentes comentan hechos no acordes a la ley.
El presente trabajo de graduación se elabora con el fin de analizar si el acceso hacia los portales
de banca electrónica de los bancos del sistema son seguros, al aplicar la seguridad de la
información, y prevenir riesgos en los bancos. Al exponer los riesgos y las posibles soluciones para
ofrecerle al cuentahabiente la disponibilidad y confiabilidad de estos servicios.
3
1. DISEÑO CONCEPTUAL:
1.1. Planteamiento del problema:
Uno de los temas más críticos en el área de sistemas se ve enfocado al conocimiento técnico y
actividades que realiza el profesional en el área de tecnologías. En muchas ocasiones se tienen
documentación general sobre temas generales, mas no así estrategias que puedan ayudar al
Ingeniero a conocer más acerca de un punto o tema específico.
Con este documento se pretende que el lector pueda entender más allá de la teoría que representa
el aseguramiento de la infraestructura que se utiliza para la publicación de servicios o banca en
línea del sistema bancario guatemalteco. Con esto solo se pretende tener una visión más amplia del
tema y presentar la posible infraestructura que se necesita para poder montar toda la protección del
perímetro bancario.
Durante el desarrollo en la lectura del presente estudio podremos ir conociendo más a detalle la
infraestructura que deberá de ser utilizada para la protección y publicación de los servicios, claro,
limitándonos solo a la parte perimetral, el tema de análisis, diseño y codificación de software
desarrollado por la empre está fuera del alcance de esta estrategia.
Uno de los temas más importantes es poder entender de igual forma el ciclo de vida de todos los
equipos perimetrales, ya que con el paso del tiempo será necesario realizar el cambio en las
tecnologías a unas más recientes para ir innovando y con ello tener una protección integral.
1.2 Descripción del problema:
1.2.1 Formulación del problema:
Se realizará una investigación que presentar una estrategia para dar a conocer la infraestructura
mínima que se podrá de tomar en cuenta para la protección perimetral al realizar la publicación de
servicios en línea de los bancos del sistema en Guatemala.
4
1.2.2 Preguntas de investigación:
1.2.2.1. Que Problemas más frecuentes se presentan en la seguridad perimetral?
1.2.2.1. ¿Qué contenido técnico tendrá la estrategia para lograr una seguridad perimetral
sea confiable?
1.2.2.2. ¿Es necesaria la disponibilidad del sitio para realizar las transacciones?
1.2.2.3. ¿A qué nivel de personal administrativo va dirigida esta estrategia?
1.2.2.4. ¿En qué áreas se enfocará esta estrategia?
1.2.2.5. ¿Cuáles son los posibles riesgos que representa no tener estrategias técnicas de los
equipos de protección perimetral?
1.2.2.6. ¿Qué beneficios obtiene un profesional en el área de sistemas de información al
contar con estrategias de esta clase?
1.2.2.7. ¿Qué estándares de seguridad se incluirán en esta estrategia?
1.2.2.8. ¿Cuál es el tiempo de vigencia de las estrategias? (Ciclo de vida de las propuestas)
5
1.3 Objetivo de investigación:
1.3.2 General
Realizar una investigación del Análisis de la seguridad en los servicios de banca en línea en
Guatemala y establecer el impacto de las vulnerabilidades de estos a través de un esquema general
aplicable al sistema bancario guatemalteco.
Esto permitirá proponer estrategias que permitan a los usuarios conocer más acerca de las
tecnologías de seguridad que realizan la publicación y protección de estos servicios y con ello tener
el conocimiento técnico para la implementación de estos proyectos.
1.3.2 Específicos
1.3.2.1 Establecer las causas de los ataques que ponen en riesgo la seguridad de los servicios
de banca en línea.
1.3.2.2 Determinar los elementos necesarios para prever los ataques a los sitios de banca en
línea.
1.3.2.3 Referenciar los esquemas de la infraestructura de la seguridad de los sitios de banca
en línea.
1.3.2.4 Impacto en la seguridad de los servicios bancarios
1.3.2.5 Que el lector Que el lector conozca conceptos generales de normativas utilizadas para la
publicación de servicios y las medidas necesarias para la protección de los servicios en
línea del sistema bancario. Con esto se pretende que se conozcan más a detalle el
funcionamiento tecnológico de estos servicios
6
1.4 Alcance y Limitaciones:
1.4.1 Alcance:
Esta investigación sólo tomará en cuenta el estudio y análisis de la seguridad de las
transacciones en los portales en línea, al tomar en consideración aquellos elementos que aporten
criterios con los cuales se puedan realizar el entendimiento de la protección del perímetro y la
publicación de servicios de banca a los cuentahabientes del sistema bancario en Guatemala.
1.4.2 Limitaciones:
La principal limitante para realizar ésta investigación es la falta de infraestructura necesaria
para poder aplicar las recomendaciones que se exponen esta investigación. Y con ello solo servirá
de conocimiento general para poder aplicarla.
1.5 Justificación de la Investigación
Como profesionales en el área de seguridad es importante el conocimiento básico sobre los
temas de seguridad y como proteger el perímetro, y con ello el de las publicaciones de los sitios en
línea de banca electrónica del sistema financiero en Guatemala. Con esta investigación se busca que
el lector tenga un conocimiento técnico acerca de la infraestructura que se utiliza en su gran mayoría
para lograr la protección integral de los sitios web, si es cierto que no toda la tecnología puede ser
aplicable a cierto escenario, con esto lograremos que el conocimiento sobre estas tecnologías sea de
fácil entendimiento.
7
2. MARCO TEÓRICO
2.1. Definición:
La seguridad en el sector financiero: Para este sector siempre ha representado una gran
preocupación los bancos y los cuentahabientes. Ahora buena parte de los bienes bancarios se
maneja a través de medios electrónicos y por el auge que internet ha desarrollado todos los servicios
son administrables ya sea desde computadoras, teléfonos, tabletas, etc., y ésta información es tan
valiosa como los que se resguardar directamente en el banco.
Uno de los mayores peligros que corren los usuarios al acceder a los servicios de banca en línea
de sus respectivos bancos es el phishing (Security, n.d.), con lo cual es posible:
2.1.1. Fraude y robo
2.1.2. Realización de ataques controlados
2.1.3. Robo de datos personales a cuentahabientes
2.1.4. Suplantación de identidad
Para lograr su finalidad, pudieran realizar estas acciones
2.1.5 Solicitud de información por medio de correos electrónicos de datos personales,
bancarios, credenciales.
2.1.6 Envío de links en un correo electrónico que lleva a una web similar a la página
original de servicios bancarios
2.1.7 Solicitud de envío de credenciales por medio de SMS
Para combatir este tipo de fraudes, los bancos tienen políticas para informar al usuario acerca
de este tipo de ellos, pero no siempre son tomados en cuenta. Esto se puede ver reflejado en cada
una de las páginas de los bancos del sistema de Guatemala.
8
2.2. ¿Qué iniciativas tienen los bancos para evitar este tipo de amenazas?:
Según expertos en Seguridad de la Información aunque los bancos del sistema utilicen muchos
mecanismos de defensa altamente tecnológicos, las medidas para afrontar el problema abarcan
otros puntos desde campañas de capacitación y sensibilización a empleados y clientes, hasta la
implementación de soluciones tecnológicas.
Una de las formas más efectivas para amortiguar el riesgo de fraude es el monitoreo de
operaciones, como las transacciones con tarjetas de crédito y las efectuadas por medio de portales
web en el Internet. Con la sensibilización se pueden prevenir acciones fraudulentas, puesto que la
falta de cultura es una de las mayores causas de riesgo por el uso de equipos obsoletos, la falta de
actualización de herramientas y la realización de transacciones financieras en cafés internet, entre
otros. (SEMANA, 2015)
Los controles en la ejecución de transacciones en los portales de los bancos son ahora
concertados con los clientes con el fin de no entorpecer sus actividades. Así, los clientes pueden
definir el monto y el número máximo de operaciones en un lapso de tiempo e inscribir previamente
el pago de servicios, y otros parámetros que le permiten al cliente definir su propio perfil, contra el
que se comparan las transacciones antes de hacerlas efectivas.
Existen recomendaciones que frecuentemente que las instituciones bancarias genera y transmite
para evitar las diferentes modalidades de robo. Se sugieren a los clientes tomar precauciones para
el manejo seguro de sus transacciones, a continuación solo algunas de estas:
2.2.1 Cambiar por lo menos una vez al mes la clave personal.
2.2.2 Recordar que las credenciales del portal de banca electrónica es personal no se debe
prestar nunca a terceras personas.
2.2.3 Al realizar una transacción electrónica de compra en un establecimiento, se deben
guardar los comprobantes en formatos digitales.
2.2.4 No escribir la clave en ninguna parte, ésta debe memorizarse. Nunca se debe
revelar.
9
2.2.5 No aceptar colaboración de extraños al momento de realizar transacciones en el
portal web.
2.2.6 Cuando digite la clave, se debe hacer con precaución y evitar que otras personas
puedan verla.
Actualmente, estas son las modalidades que más están afectando al sector financiero, pero además,
algunas otras incursiones de troyanos, para los cuales los clientes deberán tener instaladas en sus
computadoras las medidas de seguridad necesarias para contrarrestar esta modalidad, que ha afectado
muchos países como Estados Unidos y algunos otros de Centroamérica.
2.3 Las Transacciones Bancarias:
“La banca electrónica hace referencia al tipo de banca que se realiza por medios electrónicos
como puede ser cajeros electrónicos, teléfono y otras redes de comunicación. Tradicionalmente, este
término ha sido atribuido a la banca por Internet o banca online. (eleconomista.es, 2014)
2.4 La Seguridad en el Internet:
“La seguridad en Internet es un tema cuya importancia va aumentando en la medida en que el uso
de las transacciones en la red se hace más accesible. Paralelamente, se incrementa la necesidad de
que la Seguridad en Internet sea reforzada. Con este propósito, la tecnología SSL ofrece las
herramientas con los estándares más altos y las Marcas de Confianza se empeñan en sus procesos
para avalar a las Organizaciones. Ambas convergen en que los usuarios web obtengan los mejores
resultados en calidad y confianza.” (certsuperior.com, 2014)
Actualmente, incluye servicios y estrategias para resguardar el intercambio de información y
quienes la emiten o reciben. Y cada vez existen instrumentos más precisos que proporcionan
seguridad en toda la red al proteger los servidores con acceso a Internet y a redes privadas.
Asimismo, la Seguridad en Internet se ha convertido en un asunto vital para las organizaciones
que transmiten información confidencial por las redes. De ella depende la confianza de los visitantes
10
a su sitio web porque los consumidores se resisten a facilitar datos personales, números de tarjetas
de crédito, contraseñas o cualquier información confidencial por temor a que sea interceptada y
manipulada con malas intenciones y los exponga a riesgos como fraude o robo de identidad.
En consecuencia, para evitar el abandono de transacciones, por los temores y riesgos por parte de
los usuarios, se ha convertido en un reto para el comercio electrónico. Existen evidencias estadísticas
de que el 21 por ciento de los consumidores en línea han dejado a medias alguna compra porque les
preocupaba la seguridad de los datos de su tarjeta de crédito y, por motivos similares, otros
compradores consumen en menores cantidades.
Por lo anterior, se presenta como una necesidad constante de garantías para que los
cuentahabientes sepan que sus transacciones en línea están protegidas.
2.4.1 . ¿Cómo garantizar la seguridad en internet?
Afortunadamente, las organizaciones tienen a su disposición tecnologías destinadas a proteger a
sus clientes, autentificar sus sitios web y mejorar el grado de confianza de sus visitantes. Y poder
elegir entre varias opciones, pueden ofrecer medios a los consumidores para distinguir con facilidad
los sitios web auténticos de las posibles réplicas que pueda haber creado un usuario malintencionado.
La Seguridad en Internet cuenta con opciones como la tecnología SSL y el respaldo de las Marcas
de Confianza que garantizan a los clientes la seguridad de una transacción y la autenticidad de los
sitios web que visitan, respectivamente. (certsuperior.com, 2014)
Así, los sellos de las Autoridades de Certificación son una forma de comprobar a los clientes que
están protegidos y de ganarse su confianza mediante un signo de seguridad visible. Su presencia
puede ser un factor determinante para usar o realizar compras en un sitio web de comercio
electrónico. Cuando los usuarios ven el sello de la Autoridad de Confianza saben que pueden confiar
en el enlace, sitio web y transacción.
El sello de Symantec™ es el distintivo de Seguridad en Internet más usado y reconocido del
mundo. Al desplegarse muestra también el nombre del propietario del Certificado, su periodo de
11
validez, información general sobre los servicios de seguridad incluidos y otros datos sobre el proceso
de validación que sigue Symantec™ antes de emitir el certificado.
Por otro lado, la Seguridad en Internet cuenta con más soluciones avanzadas que dan tranquilidad
a los clientes en otras fases de la interacción electrónica, tales como el escaneo de malware de sitio
web y la prevención de phishing. Ambas estrategias están encaminadas a fomentar la tranquilidad de
los clientes y reducir los riesgos de fraude.
Con los argumentos antes mencionados, los clientes y usuarios confiarán en sus relaciones con
Organizaciones. Para acompañarlas, CertSuperior.com con el respaldo de Symantec™, les ofrece las
opciones con los estándares más altos de Seguridad en Internet y espera el contacto con ellas para
trabajar en esta tarea. (certsuperior.com, 2014)
2.5 Seguridad Bancaria:
En el diseño de Internet, parte de la seguridad en Internet fue delegada en el mutuo respeto y honor
de los usuarios, así como el conocimiento de un código de conducta considerado “apropiado” en la
red. Una mínima seguridad se basa en una protección “blanda”, consistente en una identificación del
usuario mediante un identificador y una clave secreta que sólo éste conoce (login y password).
La red Internet tiene problemas de autenticidad, integridad, confidencialidad y repudio afectando
a los requerimientos de las transacciones electrónicas u operaciones de banca virtual de la siguiente
forma:
12
2.5.1 Robo de información:
El robo de información, permite obtener información del usuario como números de cuentas,
tarjetas de crédito e información personal, Estos ataques, también permiten el robo de servicios
normalmente limitados a suscriptores. Esto ocurre en muchas ocasiones por la falta de interés en
resguardar esta. (Norton, 2015)
2.5.2 Suplantación de identidad:
La suplantación de identidad permite al atacante realizar operaciones en nombre de otro. Es decir
cuando una persona llega a saber mucha información de otra, puede utilizar esta información para
suplantar su identidad en sitios web. Los atacantes utilizan muchas técnicas para el robo de identidad,
dentro de ellas la ingeniería social. (Microsoft, 2015)
2.5.3 Modificación de información:
La modificación de datos permite alterar el contenido de ciertas transacciones como el pago, la
cantidad o incluso la propia orden de compra de una transacción. (CNN, 2015)
2.5.4 Repudio:
El rechazo o negación de una operación por una de las partes puede causar problemas a los
sistemas de pago. Si una parte rechaza un previo acuerdo con la respectiva, ésta deberá soportar unos
costos adicionales de facturación. (Seguridad, 2015)
2.5.5 Denegación del servicio:
Un ataque de denegación de servicio inhabilita al sistema para que éste pueda operar en su
normalidad, por lo tanto imposibilita a las partes la posibilidad de realización de operaciones
transaccionales. Éstos son de extrema sencillez y la identificación del atacante puede llegar a ser
imposible. Las soluciones pueden no son únicas y no se tratarán en adelante. (CCM, 2015)
13
2.6 Delitos Informáticos, Fraudes por Internet:
A continuación se describen tres modalidades de fraude mayormente observadas en el Internet.
Las mismas nos muestran la creatividad y originalidad que poseen algunas personas u organizaciones
con fines malvados e ilegítimos. Como podrán apreciar, en el pasado los focos de ataques estaban
centrados en las organizaciones o compañías; sin embargo, en el presente podemos observar que los
ataques se han extendido a los individuos. (AlertaEnLinea, 2015)
2.6.1 Phishing:
Al utilizar esta práctica solicitan información personal o confidencial con la intención de robar la
identidad y más tarde cometer fraude, vender o publicar en la Internet dicha información (spoofing).
Típicamente, estos email requieren contraseñas (passwords), nombres, cuentas de banco y además
tarjetas de crédito; información que una organización y/o persona legítima ya tiene. (Antiphising,
2015)
2.6.2 Keyloggers:
Los keyloggers son programas catalogados como spywares. Usualmente los keyloggers van
registrando información entrada en su computadora para utilizar el teclado tales como, los nombres
de usuarios y sus contraseñas. Las contraseñas recopiladas son almacenadas en un archivo y luego
enviadas a la persona que desea hacer el hurto de la información. (keyloggers.com, 2015)
Una de las fuentes más frecuentes para adquirir o instalar este tipo de spyware es a través de
los mensajes de correo electrónico con uno o varios adjuntos. Típicamente, este tipo de correo
electrónico contiene mensajes o imágenes que llama la atención del usuario, para así comprometer
el equipo. (Viruslist.com, 2015)
2.7 La Seguridad de las Personas:
Con el crecimiento del internet y la posibilidad de compartir aplicaciones y servicios ha hecho que
la mayor parte de información de una persona se encuentre ingresada en sitios gratuitos o de pago,
14
con ello cada uno de estos sitios necesita prever que toda esta información este resguardada de la
mejor forma. Si es cierto que toda el área de seguridad está definida por sus pilares, los mismos son:
2.7.1 Integridad: garantizar que los datos sean los que se supone que son
2.7.2 Confidencialidad: Prever que sólo los individuos autorizados tengan acceso a los
recursos que se intercambian
2.7.3 Disponibilidad: garantizar el correcto funcionamiento de los sistemas de
información
2.7.4 Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
2.7.5 Autenticación: Prever que sólo los individuos autorizados tengan acceso a los
recursos.
(http://datateca.unad.edu.co, 2015)
15
3. MARCO METODOLÓGICO
3.1.Tipo de investigación
La investigación presentada es de tipo documental, cualitativo e investigativo, se enfoca en la
descripción y análisis de tema sometido a estudio, la metodología cualitativa, hace referencia en su
sentido más amplio, a la investigación que produce información descriptiva, a partir de la
recopilación en diferentes documentos de modelos sobre seguridad informática y la experiencia
concreta sobre implementación de esta índole para describirla de la manera más libre y rica posible,
de tal forma que la investigación no se vea limitada por datos o por paradigmas que delimiten el
tema, todo lo anterior con base a conductas observables de vulnerabilidades de los sitios en línea
de banca electrónica de los portales de Guatemala; al tomar en cuenta el contexto y las vivencias
de las personas respecto a robos, usurpación de identidad, o comprometer las credenciales para el
acceso a los sitios en línea de banca electrónica, por falta de infraestructura necesaria para la
protección del perímetro y desconocimiento de los cuentahabientes acerca de la seguridad personal
en el acceso a los sitios.
Por la naturaleza de la investigación descrita anteriormente el método utilizado para el análisis
de esta investigación, tuvo sus bases en revisiones bibliográficas y documentos técnicos, a partir
del supuesto de múltiples realidades y de la interacción entre los usuarios, red bancaria y los
posibles atacantes, que influyen en la disponibilidad, integridad y confidencialidad.
La finalidad de esta investigación es realizar un análisis de la seguridad en los servicios de banca
en línea de Guatemala y establecer el impacto de las vulnerabilidades de estos a través de un esquema
general aplicable al sistema bancario guatemalteco, además dar a conocer estrategias que permitan a
los lectores conocer más acerca de las tecnologías de seguridad y protección de estos servicios
3.2. Diseño de investigación:
El diseño de este estudio se fundamenta en la recopilación de información relacionada a la
seguridad en los servicios de banca en línea de Guatemala, en la cual se toman diferentes
metodologías para la elaboración de una estrategia, que permita al lector entender más allá de la
16
teoría que representa el aseguramiento de la infraestructura que se utiliza para la publicación de
servicios o banca en línea del sistema bancario del país.
3.3 Instrumentos:
Se utilizó una lista de cotejo que contempló los diversos temas relacionados a, seguridad,
infraestructura, vulnerabilidades, y mejores prácticas relacionadas a la Biblioteca de Infraestructura
de Tecnologías de Información, de acuerdo a criterios específicos para la correcta recolección de
información.
Documentos
Manuales técnicos de hardware a utilizar
Diagramas de Infraestructura de Perímetro
Inventario de equipo utilizado
Configuraciones realizadas en cada uno de los equipos
Afinación de configuraciones.
Listado de dispositivos móviles soportados.
Listados de exploradores de internet soportados por el portal.
Tabla 1 Instrumentos
3.4 Estrategias para la Protección de la Infraestructura de Banca en Línea:
A partir de los conceptos básicos de protección y los riesgos que conlleva la publicación de los
servicios de banca en línea del sistema bancario, a continuación se realiza el análisis de los puntos
más importantes; este análisis se inicia con los conceptos básicos hasta llegar a un nivel aceptable
de conocimiento para el entendimiento de lo que en las estrategias se pretende tratar.
Básicamente uno de los puntos fundamentales es la adquisición de servicios públicos de
internet con un proveedor local, llamados ISP por sus siglas en inglés, y con ello se iniciaría el
diagrama del diseño de protección. En la mayoría de los casos es necesaria la adquisición de varios
17
enlaces de internet para la publicación de estos servicios, y aunque en ocasiones solo se utiliza una
IP Publica, en muchos casos es necesario el balanceo de estos enlaces.
Uno de los protocolos utilizados en la mayoría de Bancos es la implementación de BGP, ya
sea equipos con fin específico o con el firewall perimetral, a continuación se muestra lo que se ha
explicado.
Diagrama Conceptual Enlaces de Intenet
Diagrama 1 Conceptual Enlaces de Internet
Fuente Propia
Como muestra la imagen anterior, es necesario llevar la información de cada uno de los
equipos, desde las IP Publicas que cada ISP ha configurado en los routers y las IP que serán
configuradas en las interfaces públicas del Firewall. Tomar en cuenta que se recomienda que de
igual forma para el balanceo de los enlaces se deberá de tomar en cuenta la Alta Disponibilidad de
los Firewall para ofrecer continuidad del negocio si uno de los equipos llegara a fallar.
18
La información necesaria a recabar para cada uno de estos equipos se detalla en la tabla
siguiente:
Tabla de inventario de equipos:
Tabla 2 Información detalla de Equipo para actualización en Inventario de Activos
Fuente Propia.
Explicación de Escenario:
Esta sección de la gráfica explica el servicio de internet que se debería de tener disponible
en la infraestructura para permitir la publicación de los servicios.
Acá están ubicados los routers que contienen la información de IP Publica para la
publicación de los servicios. Como se explicó anteriormente esto puede ser directamente desde el
segmento público o la utilización del protocolo BGP para la publicación de los servicios. Otra de
Descripción Detalle
Nombre del Equipo
Modelo del Equipo
Nombre en Inventario
Dirección IP
Mascara de Red
Gateway
DNS Primario
DNS Secundario
Nombre de Rack
Posición en Rack
19
las opciones podría ser la utilización de CDN (Red de Entrega de Contenidos) por sus siglas en
ingles.
A continuación se muestra un diagrama acerca de la configuración de BGP.
:
Configuración Border Gateway Protocol BGP
Diagrama 2 Configuración BGP
Fuente: (BGPExpert.com, 2015)
Se muestra además el diagrama lógico de la red de distribución de Contenido (CDN)
Infraestructura De Content Delivery Network
Diagrama 3 Infraestructura CDN
Fuente: (manueldelgado.com, n.d.)
20
El Balanceador de Enlaces será el encargado balancear la carga de sesiones de servidores
internos hacia el internet, es decir será capaz de elegir el Balanceo de Carga y Ruteo de Camino
Múltiple – ECMP por sus siglas en ingles.
Se muestra a continuación el detalle de la configuración de ECMP.
Análisis de balanceo de enlaces.
Diagrama 4 Análisis de balanceo de enlaces
Fuente: (Etutorials.org, 2015)
Parte fundamental en la protección de los servicios de banca en línea es el Firewall, en esta
sección, se da a conocer de forma general la instalación física del mismo, y los factores que se
utilizan para realizar la implementación en un modo Activo-Activo, claro tomando en cuenta que
de igual forma se tienen el modelo Activo-Pasivo.
21
A continuación se muestra un diagrama general de todas las configuraciones que conllevan
la creación de un escenario para un Firewall Activo / Activo.
Alta Disponibilidad De Firewall Perimetral
Diagrama 5 Alta disponibilidad de firewalls
Fuente: (ExactNetworks.net, n.d.)
Dicho diagrama es con fines de estudio, y para la explicación esta estrategia no especifica
la explicación detallada de configuraciones.
Una de las complicaciones más grandes en Guatemala en el área de seguridad, es la
evolución de todo tipos de ataques, ya que los mismos han tratado de afectar la Disponibilidad,
Integridad y Confidencialidad de los portales de banca en línea, y con esto, obligan a las entidades
bancarias a adquirir nuevos equipos para la protección de su infraestructura, y con esto se ha
22
logrado la adquisición de nueva tecnología ya que los firewalls actuales no cuentan con la
capacidad para proteger el perímetro.
Luego de conocer la información del perímetro será necesaria además la adición de algunos
equipos que nos permita n la protección de los sitios web, entre estos:
- IPS – Intrusion Prevention System
- APS – Availability Protection System
- WAF – Web Application Firewall
- Two-Factor Authentication
- Entre Otros.
La implementación de estos equipos en el datacenter de las entidades financieras, para llevar el
control de red y con ello la administración integral de todos los dispositivos, será ingresada como
lo indica la siguiente tabla.
Tabla de inventario de equipos:
Uno de los ataques más críticos para la disponibilidad de los sitios de banca en línea es la
Denegación de Servicios Distribuidos o – DDOS- que son los causantes de la caída de los sitios,
con el fin de evitar que los cuentahabientes puedan realizar sus transacciones.
Descripción Detalle
Nombre del Equipo
Modelo del Equipo
Nombre en Inventario
Dirección IP
Mascara de Red
Gateway
DNS Primario
DNS Secundario
Nombre de Rack
Posición en Rack
23
A continuación se muestra una imagen donde podemos observar el modo de operación de un
posible ataque de Denegación de Servicios, y es básicamente la creación de Zombies (tema
expuesto en la sección anterior)
Diagrama conceptual de Denegación de Servicios
Diagrama 6 Denegación de Servicios
Fuente: (Guiar.com.mx, 2015)
Una vez adquirida la protección perimetral contra ataques de DDOS se puede seguir
manteniendo la disponibilidad de los portales en línea de las entidades bancarias, protegiéndolos
de una inundación o ataques más directos.
Dentro del listado también se cuenta con un IPS Sistema de Prevención de Intrusos por sus
siglas en inglés, son capaces de poder realizar la protección de los servidores donde se encuentran
publicados los accesos hacia sitios https o http y conjuntamente con la integración de bases de datos
(tema que será explicado al momento de tener la protección de un equipo WAF). Los Sistemas de
Detección de Intrusos (IPS) tienen como ventaja respecto de los Firewalls tradicionales, el que
24
toman decisiones de control de acceso basados en los contenidos del tráfico, en lugar basarse en
direcciones o puertos IP.
La diferencia entre un Sistema de Prevención de Intrusos (IPS) frente a un Sistema de
Detección de Intrusos (IDS), es que este último es reactivo pues alerta al administrador ante la
detección de un posible intruso (usuario que activó algún sensor), mientras que un Sistema de
Prevención de Intrusos (IPS) es proactivo, pues establece políticas de seguridad para proteger el
equipo o la red de un posible ataque.
Los Sistemas de Prevención de Intrusos (IPS) tienen varias formas de detectar el tráfico
malicioso:
Detección Basada en Firmas: Como lo hace un antivirus
Detección Basada en Políticas: El IPS requiere que se declaren muy
específicamente las políticas de seguridad
Detección Basada en Anomalías: Funciona con el patrón de comportamiento
normal de tráfico ( el cual se obtiene de mediciones reales de tráfico o es
predeterminado por el administrador de la red) el cual es comparado
permanentemente con el tráfico en línea para enviar una alarma cuando el tráfico real
varía mucho con respecto del patrón normal, y
Detección Honey Pot: Este utiliza un equipo que se configura para que llame la
atención de los hackers de forma que estos ataquen el equipo y dejen evidencia de
sus formas de acción con lo cual posteriormente se pueden implementar políticas de
seguridad.
Tabla 3 Detección de trafico malicioso.
25
Diagrama Conceptual Del Sistema De Prevención De Intrusos Infraestructura Interna
Diagrama 7 Sistema de IPS Infraestructura Interna
Fuente: (HP, 2015)
Diagrama Conceptual De Sistema Prevención De Intrusos
Diagrama 8 Sistema Prevención de Intrusos
Fuente: (HP, 2015)
26
Luego de validar el acceso por medio del IPS, se necesita el análisis de base de datos para
controlar toda la auditoria de las transacciones en las bases de datos disponibles. La idea principal
al desarrollar una aplicación web, es que, sea disponible desde cualquier lugar y que todo el mundo
pueda acceder a ella. Este es el gran factor diferenciador respecto a las aplicaciones de escritorio.
Al ser empleadas por más usuarios, son más vulnerables a sufrir ataques, aunque la idea es
construir aplicaciones tolerantes a fallos y sin vulnerabilidades, por diferentes razones (en las que
no entraremos) no siempre pasa eso.
El WAF solo es una herramienta complementaria y no pretende sustituir las medidas de
protección que el desarrollador tiene que llevar a cabo al programar una aplicación.
Se trata de un dispositivo físico que analiza el tráfico web (entre el servidor web y la WAN),
los datos recibidos por parte del usuario y protege de diferentes ataques web como: SQL Injection,
Cross Site Scripting, Remote and Local File Inclusión, , Buffer Overflows, Cookie Poisoning, etc.
Este dispositivo, trata de proteger de los ataques dirigidos al servidor web que los IDS/IPS no nos
pueden defender. (pcihispano.com, 2015)
Diagrama De Protección Del Firewall De Aplicaciones
Diagrama 9 Protección del Firewall de Aplicaciones
Fuente: (Imperva, 2015)
27
Como se ilustro se utilizan varios equipos para la protección de los sitios en línea de banca
electrónica, ahora bien, cuando tenemos usuarios que no cumplen con los requerimientos básicos
de conocimiento de acceso a los sitios, las entidades bancarias se dedican a forzar el acceso a los
sitios, esto con adicionar dobles factores de autenticación, esto significa que además de tener un
usuario y contraseña es necesario agregar un nuevo factor para que el acceso sea más seguro.
La autenticación robusta o por varios factores requiere que los usuarios de un sistema
expongan su identidad al proporcionar más de una manera de verificación para poder acceder a
este.
La autenticación de doble factor aprovecha una combinación de varios factores; dos factores
principales consisten en la verificación por parte del usuario de algo que ya conoce (por ejemplo,
una contraseña) y algo que tiene el usuario (por ejemplo, una tarjeta inteligente o un token de
seguridad). Gracias a su creciente complejidad, los sistemas de autenticación que utilizan una
configuración de varios factores son más difíciles de poner en peligro que los sistemas que utilizan
un solo factor. (insystems.com.ar, 2015)
Al identificador de usuario le debe acompañar algo más para que el sistema confíe en él y le
permita el acceso. Hay tres factores de autenticación: Algo que el usuario sabe: password, pin,
passphrase, etc. Algo que el usuario tiene: USB, llave, tarjeta, generador de claves, etc. Algo que