Dr' Alfredo A' Reyes Krafft

1
Dr. Alfredo A. Reyes Krafft
La tecnología al servicio del cliente
2

• 1863
• Julio Verne describió
• Un sistema de comunicación a distancia,
  automático y secreto
• La foto-telegrafía permitía enviar cualquier
  tipo de escrito, firma o ilustración, o cualquier
  contrato para ser firmado, a una distancia de
  20,000 kilómetros...
• Todas las casas estaban cableadas...
• Manuscrito fechado en 1863,
• París en el siglo XX,
• Publicado en 1994

3
Es la mayor institución financiera privada en
México. Datos a junio 2008
23.7 millones de usuarios
México es de los 12 mercados más grandes del
mundo por el número de usuarios de Internet
Fuente Estudio AMIPCI de Hábitos de Usuarios en
Internet 2007 Internetworldstats.com
4
México está...
más conectado

• 17,8 millones de PC, 62 conectados a Internet
• 37 de los ciudadanos usaron Internet en los
  últimos 90 días
• Aumento del 2200 en conexiones de banda ancha
  (2001-2005)

ingresando a la web 2.0

• 20 de usuarios visitan o mantienen los blogs
• Más del 25 usan sitios de redes sociales por lo
  menos una vez al mes
• 58 usan salas de chat

Fuentes amipci.org.mx, Backbone Magazine,
euromonitor.com, arstechnica.com
5
México es...
el 2 en uso de tecnología inlámbrica en el mundo
Fuentes amipci.org.mx, Backbone Magazine,
euromonitor.com, arstechnica.com
6
Banca Electrónica Nuevas Tecnolgías
lo mismo de siempre?
7
Los consumidores enfrentan desafíos tecnológicos
8
(No Transcript)
9
El importe de las transacciones diarias por medio
de la Banca electrónica han crecido en promedio
83 anualmente durante los últimos años
convirtiéndose en el canal de mayor
participación en este rubro
10
Estudio AMIPCI 2007
11
Estudio AMIPCI 2007
12
Estudio AMIPCI 2007
13
Percepción vs Realidad

• 43 de los usuarios manifiestan que no compran en
  línea porque no confían en la seguridad de las
  transacciones (AMPCI 2006 Y 2007)
• 36 tiene miedo de proporcionar datos personales
  (AMIPCI 2005)
• Solo el 15.6 de los internautas son usuarios de
  servicios bancarios online en los últimos 30 días
  (AMIPCI 2007)
• El 87 de los usuarios de la banca por Internet
  la utilizan principalmente para consulta de
  saldos (AMIPCI 2007)
• El 83 de los usuarios de la banca por internet
  consideran como único responsable al Banco por su
  seguridad (AMIPCI 2007)

• La tecnología no se percibe como segura

?
14
La inseguridad no es algo nuevo ...
15
Métodos Tradicionales

• Venta del billete premiado
• Información en la basura
• Robo de correspondencia
• Obtención interna en una empresa
• Robo interno
• Por medio de sobornos
• Lo pide el jefe
• Solicitando reportes de crédito
• ... Hemos vivido con ellos desde siempre...

16
Métodos Automatizados

• Skimming
• Hacking
• Phishing
• Pharming
• Spyware
• Keyloggers
• Troyanos
• Rootkits

17
La Problemática

• La dificultad de proteger la información valiosa
  crece todos los días
• SISTEMAS
• FACILIDAD DE USO SEGURIDAD
• FUNCIONALIDAD SEGURIDAD
• REDES
• COMPLEJAS SEGURAS
• FORMAS DE ACCESO SEGURAS

.
18
Cómo piensa un Atacante?

• SIEMPRE va a buscar el camino más fácil
• Formas de penetrar
• Adivinando o descifrando contraseñas
• Explotando vulnerabilidades en el diseño o
  configuración de sistemas o equipos
• Interceptando comunicaciones
• Utilizando ingeniería social
• (casi siempre usan una combinación de las
  anteriores)

19
Ataques por nivel de riesgo
20
Ataques al sitio del Banco

• Malas configuraciones o falta de actualizaciones
• Ataques indirectos
• Ataques a la aplicación Web
• Ataques contra usuarios, contraseñas y sesiones
• Defaults
• Adivinar contraseñas y/o usuarios
• Sesiones predecibles o mal administradas
• Administración de contraseñas
• Diseño erróneo o falta de validaciones en el
  backend
• Inyección de Scripts, SQL, Comandos, LDAP

21
Interceptando en Internet

• Ataques DNS
• Vulnerabilidades
• Errores de Configuración
• DNS en Internet (o en el sitio)
• Ataque contra ruteadores y switches
• Mala configuración
• Vulnerabilidades
• Sniffing

22
(No Transcript)
23
Hackeando la Computadora

• Acceso Directo
• Acceso no protegido
• Ataques directos (reinicio en otros sistema op)
• Instalación de Aplicaciones
• Instalación de keyloggers físicos
• Acceso Remoto
• Contraseñas fáciles
• Errores de configuración
• Vulnerabilidades en el software instalado
• Instalación de Spyware

24
Engañando al Usuario

• Phishing
• Pharming
• Engaño Telefónico
• Engaño para la Ejecución de un Programa Malicioso
• Engaño en Navegación por Internet
• Instalación de Spyware

25
Ingenieria Social Principios
26
Robo de identidad
27
(No Transcript)
28
El caso Mexicano
Una parte de la informática se basa en la Web,
pero la seguridad aún se basa en la PC
Algunos usuarios conocen más la tecnología que
otros
A las familias y a los Bancos nos preocupa la
seguridad en Internet
29
(No Transcript)
30
Reclamaciones
Afectación Clientes (millones de pesos)
Reclamaciones Totales(millones de pesos)
Afectación Banco (millones de pesos)
Fuente ABM
31
Datos Enero 2005 a Diciembre 2007
32
(No Transcript)
33
Cómo se logró ésto?

• LEGISLACIÓN
• Y / O
• FORMACIÓN AL USUARIO

34
Ley de Instituciones de Crédito

• Artículo 52.- Los bancos pueden ofrecer servicios
  a sus clientes a través de medios electrónicos
  siempre que se establezcan en los contratos que
  celebren
• Las operaciones y servicios cuya prestación se
  pacte
• Los medios de identificación del usuario y las
  responsabilidades correspondientes a su uso, y
• Los medios por los que se hagan constar la
  creación, transmisión, modificación o extinción
  de derechos y obligaciones inherentes a las
  operaciones y servicios de que se trate.
•   El uso de esos medios de identificación, en
  sustitución de la firma autógrafa, producirá los
  mismos efectos que las leyes otorgan a los
  documentos correspondientes y, en consecuencia,
  tendrán el mismo valor probatorio.
• La CNBV emitirá reglas para la instalación y uso
  de esos medios electrónicos

35
Reforma art. 52 LIC (febrero 2008, DOF)

• Previo acuerdo con sus clientes, el Banco podrá
  suspender o cancelar el trámite de operaciones
  siempre que cuente con elementos suficientes
  para presumir que los medios de identificación
  fueron utilizados en forma indebida o detecten
  algún error.
• También restringir la disposición de los recursos
  (hasta por 15 días y 10 mas si se ve involucrada
  la autoridad correspondiente), en caso de que
  detecte probables hechos ilícitos cometidos en
  virtud de la operación respectiva.
• Todo lo anterior deberá ser notificado al
  cliente respectivo .

36
Medios Electrónicos
37
Circular Única BancariaADMINISTRACIÓN DEL RIESGO
TECNOLÓGICO

• Evaluar la vulnerabilidad
• Controles internos
• Mantener políticas y procedimientos
• Registros de auditoria.
• Niveles de disponibilidad y tiempos de respuesta
• En canales
• Asegurar confidencialidad en la generación,
  almacenamiento, transmisión y recepción de las
  claves de identificación y acceso.
• Medidas de control que garanticen la protección,
  seguridad y confidencialidad de la información
  generada.
• Políticas de operación, autorización y acceso a
  los sistemas, bases de datos y aplicaciones.
• Medios adecuados para respaldar y, en su caso,
  recuperar la información.
• Planes de contingencia,
• Mecanismos para la identificación y resolución
  de
• Fraudes.
• Contingencias
• El uso inadecuado por parte de los usuarios,

38
Medidas Adicionales

• Alertas sobre retiros o depósitos
• Software antiespía
• Mecanismos de cooperación interbancaria
• Redes neuronales (Monitoreo)

4
39
http//www.navegaprotegido.org.mx/ http//www.segu
ridad.unam.mx/usuario-casero/ http//www.esegurida
d.gob.mx
40
Usa un Firewall
Usa software anti Virus, spyware
Configura opciones de de seguridad
En tu red
Al sistema operativo
Instálalo antes de la infección
En tu equipo
Al navegador
Actualízalos! Siempre es más efectiva la
prevención que la corrección
El incorporado al Sistema Operativo o adicional,
Pero parametrizado adecuadamente
A paquetería básica
Instala las actualizaciones de seguridad
Te ayuda a crear una barrera de protección
entre la computadora y posibles intentos de
acceso no autorizado
41
(No Transcript)
42
CORE BANCARIO
La agenda del futuro

• Convergencia de el corazón del negocio bancario
  y tecnologías de la información
• Diferenciación de productos y servicios
• Aparición de nuevos canales de distribución

43
La agenda del futuro
SATISFACCIÓN DEL CLIENTE

• Coparticipación del y con el cliente (web 2.0)
• Los nuevos participantes como PayPal, Google
  Check Out, Click and Buy,

44
cibersource.com
Procesador o Auxiliar en el procesamiento de pagos
Facilitador de pagos entre Bancos y tiendas
virtuales
Método alternativo de pagos por Internet y
herramientas de cobro a comercios
Pago por internet con SMS
45
La agenda del futuro
TECNOLOGÍA

• Nuevos servicios (e-Banking, m-Banking) y
• Nuevos enfoques para prestar los servicios
  bancarios (Automatización de Sucursales, Cajeros
  Automáticos Multifuncionales, Ubicuidad Ejecutiva)

46
Agenda del Futuro
Core Bancario
Orillas del Negocio
AGENDA DEL FUTURO
Satisfacción del Cliente
Tecnología
47
La tecnología al servicio del cliente
Gracias