Seguritecnia 368

60 SEGURITECNIA Octubre 2010 Seguridad en Entidades Financieras L a convergencia ha pasado de ser una tendencia a consoli- darse como una necesidad: los usuarios quieren acceder a los servicios independientemente del momento, el lugar y con el dispositivo que estén usando en ese instante. La necesidad cobra un especial protagonismo en en- tornos como el de banca online , en el que encontramos usuarios que deman- dan agilidad en la operativa, exigen usa- bilidad en las aplicaciones y buscan la interoperabilidad entre dispositivos, eso sí, siempre bajo el paraguas de la Segu- ridad. Las entidades financieras responden a estas necesidades a través de las TIC, ofreciendo productos bancarios inno- vadores como, por ejemplo, el servi- cio de Mobile Banking , a través del cual el dispositivo móvil se convierte en una forma más de pago, con el simple gesto de acercar el móvil al terminal punto de venta (TPV). Nuevos enfoques en la prestación de servicios exigen creatividad y versa- tilidad a la hora de enmarcar la seguri- dad en el negocio de la banca online . El comportamiento de los usuarios ha cambiado y la banca está tratando de adaptarse a ello. Y, como era de espe- rar, en este nuevo escenario las amena- zas se han sofisticado abriendo nuevas brechas que alteran la estrategia de se- guridad. Contra el fraude desde la Red Uno de los principales enemigos de la banca online es el conocido problema del fraude informático, en cualquiera de sus formas: phishing, pharming , troyanos, keyloggers , Man-In-The-Middle (MITM), etc. Estos tipos de ataques tienen como objetivo la búsqueda de información sensible de usuarios, como contraseñas de cuentas o tarjetas de crédito. Para ello, utilizan principalmente el envío de correos electrónicos, la mensajería ins- tantánea y la creación de páginas web falsas. Asimismo, los nuevos troyanos se han convertido, junto al phishing, en una verdadera epidemia silenciosa. Son diseñados como ataques dirigidos con el objetivo de robar identidades y fon- dos a clientes de banca y empresas que operan en Internet, como brokers , su- bastas, plataformas de cobro, etc. Las entidades llevan luchando con- tra esta problemática desde su apari- ción en 2001. Desde entonces se vienen aplicando diversos métodos de auten- ticación en la banca online con el fin de ofrecer a sus usuarios ciertas garantías de seguridad a la hora de operar por In- ternet. Hablamos, por ejemplo, de las sesiones seguras, de las tarjetas de co- ordenadas, de los tokens y One-Time- Passwords (OTP) o de la autenticación multicanal. En este sentido, Telefónica apuesta por complementar estas medidas con servicios de gestión del fraude desde la Red. Para ello, ofrece servicios capaces de monitorizar e intervenir desde la pro- pia red, aportando, por ejemplo, funcio- nalidades de bloqueo IP y DNS de las webs fraudulentas. De esta forma, se previene, detecta y mitiga de una ma- nera eficiente y eficaz el acceso a los usuarios antes de que la página fraudu- lenta haya sido retirada por el ISP que la aloja. Inteligencia en la detección Es imprescindible disponer de mecanis- mos capaces de realizar evaluaciones previas del riesgo de una determinada sesión u operación bancaria. Las entida- des financieras cuentan, en su gran ma- yoría, con productos orientados a re- solver esta necesidad, detectando en tiempo real los posibles accesos fraudu- lentos a sesiones de banca electrónica y minimizando los riesgos de autorizar una transacción fraudulenta. Sin embargo, la efectividad de estos sistemas de detección de fraude se verá reforzada siempre y cuando seamos ca- paces de crear perfiles de usuario y per- files de riesgo en base a nuevos pará- metros. Estamos hablando de conocer no sólo el perfil de usuario (patrones de comportamiento como el tipo de compras que realiza con tarjeta y desde dónde, las huellas digitales del dispo- sitivo que suele usar o su dirección IP), sino analizar también la reputación IP y la localización desde donde se realiza la operación online . Evidentemente, todo ello con el consentimiento del cliente y cumpliendo con la legislación vigente. Con sistemas de este estilo, podría- mos llegar a detectar si la IP desde la que el usuario realiza la transacción per- Necesidades a cubrir en la banca TIC convergente Irene Gómez Luque Gestora de Producto de Servicios contra el Fraude de Telefónica Soluciones Es imprescindible disponer de mecanismos capaces de realizar evaluaciones previas del riesgo