Algunos comentarios respecto de la

regulacin a aspectos tcnicos de

Seguridad en Internet

Dr. Alfredo Alejandro Reyes Krafft

DERECHOS RESERVADOS

39% Considera que los bancos son responsables de la seguridad

A quin consideras responsable de la seguridad de la banca por

Internet?

1%

Al banco
39%

Yo
Ambos

58%

2%

Otros

NOTA: En 2008 el usuario consideraba al banco en un 83% responsable de la seguridad de

la banca por Internet.

603 respuestas. Fuente :Encuesta en lnea realizada por Elogia

Percepcin vs Realidad
43% de los usuarios manifiestan que no compran en lnea porque no
confan en la seguridad de las transacciones (AMPCI 2006 Y 2007)
La tecnologa no se

percibe como segura

36% tiene miedo de proporcionar datos personales

(AMIPCI 2005)

Solo el 72% de los internautas son usuarios de servicios bancarios y

de estos solo 12.5% usan banca por internet (AMIPCI 2008)
El 95% de los usuarios de la banca por Internet la utilizan
principalmente para consulta de saldos (AMIPCI 2008)
El 39% de los usuarios de la banca por internet consideran como
nico responsable al Banco por su seguridad (AMIPCI 2008)

La Problemtica
La dificultad de proteger la informacin valiosa crece
todos los das:

SISTEMAS
+
+

FACILIDAD DE USO

FUNCIONALIDAD

REDES
+
+

COMPLEJAS

FORMAS DE ACCESO

SEGURIDAD
SEGURIDAD

SEGURAS
SEGURAS
.

Cmo piensa un Atacante?

SIEMPRE va a buscar el camino ms fcil

Formas de penetrar:
1. Adivinando o descifrando contraseas
2. Explotando vulnerabilidades en el diseo o
configuracin de sistemas o equipos
3. Interceptando comunicaciones
4. Utilizando ingeniera social
(casi siempre usan una combinacin de las anteriores)

Aspecto Legal:
Un ejemplo, el captulo X de la Circular
nica Bancaria

Ley de Instituciones de Crdito

Artculo 52.- Los bancos pueden ofrecer servicios a sus clientes a travs de

medios electrnicos siempre que se establezcan en los contratos que

celebren:
I.
II.
III.

Las operaciones y servicios cuya prestacin se pacte;

Los medios de identificacin del usuario y las responsabilidades
correspondientes a su uso, y
Los medios por los que se hagan constar la creacin, transmisin,
modificacin o extincin de derechos y obligaciones inherentes a las
operaciones y servicios de que se trate.

El uso de esos medios de identificacin, en sustitucin de la firma

autgrafa, producir los mismos efectos que las leyes otorgan a los
documentos correspondientes y, en consecuencia, tendrn el mismo
valor probatorio.
La CNBV emitir reglas para la instalacin y uso de esos medios
electrnicos

Reforma art. 52 LIC

(febrero 2008, DOF)

Previo acuerdo con sus clientes, el Banco podr suspender o

cancelar el trmite de operaciones siempre que cuente con
elementos suficientes para presumir que los medios de
identificacin fueron utilizados en forma indebida o detecten
algn error.
Tambin restringir la disposicin de los recursos (hasta por 15
das y 10 mas si se ve involucrada la autoridad
correspondiente), en caso de que detecte probables hechos
ilcitos cometidos en virtud de la operacin respectiva.
Todo lo anterior deber ser notificado al cliente respectivo .

Medios Electrnicos
ESQUEM A CI RCULAR NI CA BANCARI A
Concientizacin - Riesgos y recomendaciones
IDENTIFICADOR
DE
USUARIO

CONTRASEA

Longitud
Estructura
No permitidas
Intentos
Inactividad
Restablecimiento

2 FACTOR
DE
AUTENTICACIN

OTP

SESIN

Una a la vez
Time out

Confidencialidad - Manejo de informacin sensible

Continuidad reas de Soporte y Comit de Auditoria

OPERACIN

OTP cuentas
OTP transacciones
Montos por cliente
Monitoreo
Notificacin
Alertamiento

Circular nica Bancaria

ADMINISTRACIN DEL RIESGO TECNOLGICO

Evaluar la vulnerabilidad
Controles internos:
Mantener polticas y procedimientos
Registros de auditoria.
Niveles de disponibilidad y tiempos de respuesta
En canales:
Asegurar confidencialidad en la generacin, almacenamiento, transmisin y
recepcin de las claves de identificacin y acceso.
Medidas de control que garanticen la proteccin, seguridad y
confidencialidad de la informacin generada.
Polticas de operacin, autorizacin y acceso a los sistemas, bases de datos y
aplicaciones.
Medios adecuados para respaldar y, en su caso, recuperar la informacin.
Planes de contingencia,
Mecanismos para la identificacin y resolucin de:

Fraudes.

Contingencias

El uso inadecuado por parte de los usuarios,

DOF 27 de enero del 2010

DOF 27 de enero del 2010

Controles de acuerdo al grado de riesgo

Banca Mvil ,
BxI , IVR , TPV ,
Host to Host
Registro de cuentas destino mismo Medio

2FA

Registro de cuentas destino en otro Medio

2FA

TPV Mvil

BxT Voz a Voz

Cajero Automtico
Sin registro de cuentas
BxI , Banca Mvil

(Baja cuanta )

Pago Mvil

Pago Mvil

TPV Mvil

(Monedero
Electrnico )

Sin NIP

0
UDIs

Micro
Pago

Tarjeta + EMV

NIP + Control
Compensatorio

70

Baja
Cuanta

250

Lmite del
Usuario

Mediana
Cuanta

Lmite del
Usuario

1,500

Segundo Factor
+
Cifrado / EMV (1) + Seguridad
(2)
+
Registro de Cuentas
Notificaciones
Lmite de acuerdo
a la Institucin
Lmite del
Usuario

Contratacin en CAT
Contratacin en otro Medio Electrnico con

2FA
(1)
(2)

No aplica para BxT

No aplica para TPV

La legislacin
orientada a
mecanismos o
herramientas de
seguridad nos da
ms seguridad o nos
la quita?

 Ladrn invierte en formas de ataque

Estandarizar mecanismos de seguridad implica
fomentar uniformidad
Y por ende mas RIESGO

Ni tanto que queme al santo ni tan poco que no lo alumbre

Medidas Adicionales
Alertas sobre retiros o depsitos
Software antiespa
Mecanismos de cooperacin interbancaria
Redes neuronales (Monitoreo)

http://www.navegaprotegido.org.mx/
http://www.seguridad.unam.mx/usuario-casero/
http://www.eseguridad.gob.mx
http://asi-mexico.org

www.conectateseguro.org

Muchas Gracias
Dr. Alfredo A. Reyes Krafft
aareyes@krafft.mx

Estudio Media Contacts Medios Digitales 2007