Seguritecnia 368

SEGURITECNIA Octubre 2010 61 Seguridad en Entidades Financieras garanticen un nivel de seguridad ade- cuado para los sistemas TI. Conclusión La innovación tecnológica y los servi- cios convergentes (fijo+móvil+TI) en la banca online permiten establecer las re- laciones con los clientes en un entorno multicanal sin fronteras. El fraude sigue siendo uno de los principales focos en la definición de la estrategia de seguri- dad en el negocio web. Servicios capa- ces de detectar y mitigar abusos o ca- sos de fraude son imprescindibles, y de- ben ser abordados, en la medida de lo posible, de forma preventiva. Aportando la inteligencia propia de la Red en la de- tección de posibles abusos en los sis- temas de gestión de riesgo se obtiene una nueva dimensión de análisis: la re- putación IP y la geolocalización IP. Igual- mente, se deben potenciar iniciativas de vigilancia preventiva, tanto en la marca por Internet (en las redes sociales, foros, etc.) como en la red móvil (actualmente en el punto de mira como resultado de la evolución tecnológica y de prestación de servicios en este canal, como es la banca online móvil), así como teniendo un respaldo que nos garantice la mitiga- ción de los ataques de DDoS. La seguridad es un factor clave en este marco y, sin duda, adquiere cada vez más un enfoque estratégico. Pero la banca debe tener en cuenta que no basta con saber que se está haciendo bien, hay que generar confianza en los usuarios: la seguridad no se debe dar por supuesta, los usuarios deben per- cibirla en los servicios de banca. Un exceso de transparencia en las medi- das de seguridad aplicadas al eBanking puede provocar un rechazo en el uso de estos servicios, transmitiendo una falsa percepción de inseguridad a los clientes. S un 49 por ciento de los usuarios que utiliza las redes sociales efectúa opera- ciones o consultas de banca online muy frecuentemente (datos de IAB Spain Re- search de noviembre de 2009). Todo esto, que resulta tan atractivo desde el punto de vista del negocio bancario, se traduce en nuevas formas de marketing de la estafa. La finalidad puede ser de diversa índole, aunque podríamos destacar los motivos econó- micos y los de daño de imagen. En el caso económico, se trata de ob- tener beneficio creando confusión en los usuarios. ¿Cómo conseguirlo? Por ejemplo, con cybersquatting (ocupación de dominios relacionados con la marca), aprovechándose de la asociación que sus dominios web producen en los con- sumidores, desviando el tráfico a sitios no oficiales, y estableciendo falsas rela- ciones con la marca. Esta suplantación de la identidad de las entidades busca la obtención de datos sensibles o de ca- rácter personal que, posteriormente, puedan ponerse a la venta en el mer- cado negro. La búsqueda de daño moral sin un objetivo de fraude como tal no abunda tanto como los casos de phishing o tro- yanos bancarios. Sin embargo, el perjui- cio que éste puede causar en la imagen empresarial no debe menospreciarse. Este tipo de casos suele aparecer en los llamados Social Media y, en muchas ocasiones, están estrechamente rela- cionados con distribución de malware o con casos latentes de phishing . En ambas cuestiones, herramientas de vigilancia de marca son capaces de detectar abusos proporcionando una visión clara de las vulnerabilidades y de los riesgos potenciales a los cuales es- tán expuestas las distintas marcas e, incluso, personas físicas, proponiendo medidas correctivas y preventivas que tenece a una localidad diferente desde la cual hace minutos, por poner un ejemplo, ha realizado una retirada de efectivo de un cajero. Incluso podría- mos detectar casos de usuarios que pertenecen a botnets y que están infec- tados con algún tipo de troyano. En es- tas situaciones, el perfil y tipología de riesgo podría desencadenar acciones diferentes a la hora de autorizar las tran- sacciones. En esta línea, el canal móvil de banca online no va a dejar de ser una excepción, por lo que los sistemas de análisis de riesgo deben contemplarlo. La disponibilidad es uno de los pila- res del negocio de banca en Internet. Por lo tanto, es importante disponer de mecanismos para detener con efica- cia posibles ataques de denegación de servicio (DoS o DDoS). Identificar com- portamientos anómalos, monitorizando e inspeccionando los flujos de tráfico, permite detectar tráfico sospechoso, separando el malicioso del legítimo y activando así el proceso de mitigación de los ataques de DDoS. Telefónica está trabajando en estas lí- neas ofreciendo servicios de geoloca- lización, DDoS y trabajando la vigilan- cia móvil y de reputación IP, capaces de ofrecer esta inteligencia añadida desde la propia Red. Nuevos canales, nuevas amenazas Las redes sociales, como Facebook o Tuenti, han abierto nuevos canales de acercamiento a los usuarios y, como ca- bría esperar, las entidades financieras no se han quedado atrás en este campo: están adoptando nuevas estrategias de marketing en portales sociales, ofre- ciendo productos de forma sectorizada y focalizada e, incluso, creando su iden- tidad en las comunidades para transmi- tir proximidad. En España, por ejemplo, La disponibilidad es uno de los pilares del negocio de banca en Internet. Por lo tanto, es importante disponer de mecanismos para detener con eficacia posibles ataques de denegación de servicio (DoS o DDoS)