Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Resumen— En este documento se describe en detalle los riesgos I. INTRODUCCIÓN
y vulnerabilidades que pueden surgir con los datos de los La banca móvil se basa en servicios para usuarios con
usuarios en diversas entidades financieras de Colombia
dispositivos móviles que tengan acceso a internet para lograr
mediante el uso de dispositivos móviles. Se demostró por medio
de pruebas ‘’testings’’ , que no existen riesgos en la intercepción transacciones, consultas del estado de sus cuentas, bloqueos
de datos por medio de consultas a la banca móvil, desde preventivos, etcétera.
computadoras o Smartphone; Colombia es un país el cual es
vulnerable a estafas, con métodos como: clonadores de tarjetas, Dentro de las responsabilidades delegas en una entidad
robo de información por hurto de dispositivos móviles, estos Bancaria, se encuentra la transmisión de la información por
eventos llevan a pensar que la delincuencia en Colombia ignoran medio de canales seguros. Algunas entidades Bancarias
procesos tecnológicos para ejecutar este tipo de delitos, pero
siempre existe una minoría que si logran innovar y conducir a
asumen este rol con profesionalismo y teniendo en cuenta
grandes fraudes bancarios. Una vulnerabilidad se puede métricas de seguridad mínimas como las expuestas en la
presentar a nivel de empresa, como también, a nivel de usuario, norma externa 052 de 2007 de la SFC ''Superintendencia
siendo la segunda la más usual en cuanto ataques informáticos Financiera de Colombia'' [1]. En cuanto a ataques basados en
para lograr objetivos pocos éticos, y desarrollar una serie de la intercepción de datos, se encuentran: Man in the Middle
eventos en los cuales se verán afectadas las entidades bancarias “Hombre en el Medio”, Man in the Middle Mobile “Hombre
y sus correspondientes usuarios. La ingeniería social, puede en el Medio Móvil”, el cual tienen la capacidad y las
alcanzar a penetrar cualquier sistema de seguridad, sin llegar a
manipular virus informáticos; todo radica en la astucia del herramientas suficientes para llevar a cabo un ataque,
atacante, puesto que se valen de muchos métodos fraudulentos vulnerando la Confidencialidad de los datos. Estos ataques se
para robar identidades o datos clasificados como confidenciales. ejecutan con sistemas operativos GNU/Linux, además de su
facilidad para ser controlados y dirigidos tanto a redes
locales, como a dispositivos móviles de usuarios que
Palabras clave— Sniffing, Spoofing, MITM, Trashing, desconocen temas de seguridad. Dentro del gran círculo de
Riesgo, Vulnerabilidad, Ingeniería Social.
riesgos, encontramos la ingeniería social, métodos o pasos
aplicables a vulnerar la confidencialidad de los datos de
Abstract— The next document describes in detail the risks and
vulnerabilities that may appear with user data in different usuarios en las entidades financieras de Colombia, sin
banks in Colombia through using mobile devices. It was necesidad de utilizar algún medio digital.
demonstrated through testing, no risk in the interception of data
through mobile banking queries from computers or La ingeniería social, al igual que la intercepción de datos
Smartphone; Colombia is a country which is vulnerable to confidenciales de muchos usuarios financieros en Colombia y
scams, with methods such as: card cloners, information theft by el mundo, no son tomados con la rigidez y el cuidado que ello
theft of mobile devices, these events lead us to believe that crime
conlleva, omitiendo detalles mínimos como el trashing,
in Colombia ignore technological processes to execute this type
of crime, but there is always a minority that if they innovate and técnica basada en la ‘’recolección de datos analizando la
lead to large bank fraud. Vulnerability can be presented at the basura’’.
enterprise level, as well, at the user level, the second most
common in computer attacks to achieve few ethical objectives, Para el fortalecimiento de los análisis que se llevaron a cabo,
and develop a series of events which affected banks and its se contó con un marco legal, para realizar pruebas sin
corresponding users. Social engineering can reach to penetrate infringir leyes vigentes en Colombia, como las expuestas en
any security system, without actually manipulating computer
la ley 1273 de 2009 [2]. El enfoque de atacar los canales de
virus; all lies in the intelligence of the attacker, because who use
many methods to steal identities or fraudulent information transmisión de información de entidades financieras en
classified as confidential. Colombia, hacen pensar que es cierto y veraz, que no existe
sistema informático seguro, pero si puede existir algo aún
Keywords— Sniffing, Spoofing, MITM, Trashing, Risk, más peligroso que un virus informático, se trata de la
Vulnerability, Social engineering. confianza de la seguridad perimetral que se está ejecutando
en el momento, todo ello encapsula vulnerabilidades y
riesgos, que no serán detectadas con una simple inspección.
móviles, llegando a ignorar los parámetros mínimos de
El estudio profundo y crítico de vulnerabilidades en los seguridad en un dispositivo móvil.
canales de transmisión de información, ayudará a establecer
el valor del activo, versus el valor de inversión en En cada ataque siempre se encontrará un segundo actor, el
profesionales de seguridad informática, y software cual llamaremos hacker, es un riesgo mayor, en vista que
especializado, o herramientas para su apoyo en las labores de aprovechará las vulnerabilidades y el poco conocimiento de
proteger activos importantes de una empresa u organización. informática de los usuarios financieros, estos ataques solo
tomarán unos cuantos segundos y lograrán vulnerar las
Las primeras pruebas o testing que se realizaron en cuanto a mínimas métricas o parámetros de seguridad que se tengan en
la transmisión de información de la banca móvil, fue los dispositivos móviles. Para analizar algunos métodos de
generada con dispositivos móviles Samsung ‘‘Android’’, interceptación de información, se utilizaron los siguientes
Iphone ‘‘IoS’’, se logró comprobar el sistema de seguridad ataques:
que manejan este tipo de consultas, paralelamente a ello,
también se logró interceptar información en los dos tipos de A. Mitmo ‘’Man In The Middle Mobile’’
dispositivos utilizados para las pruebas, lo cual será expuesto
los métodos, y los resultados de cada testing. Es un método de interceptar información por medio de una
computadora dirigido hacía un dispositivo móvil, y su
aplicabilidad inicia debido al famoso malware de dispositivos
II. ATAQUES INFORMÁTICOS PARA INTERCEPTAR INFORMACIÓN móviles Zeus/zbot [4]. El ataque se ejecutó entre diversos
EN DISPOSITIVOS MÓVILES E INGENIERÍA SOCIAL sistemas operativos móviles tales como: Android, iOS,
Los usuarios de la banca móvil se definen como riesgo, Symbian, Blackberry.
porque quizás su información financiera está almacenada en
dispositivos móviles o cuentas de correo electrónico y la Para hacer uso de este ataque es necesario contar con sistemas
interceptación de estos datos ostentará su confidencialidad, y operativos que de una forma u otra contribuyan a capturar
conjuntamente desencadenarán una serie de procesos legales información, un ejemplo claro de estos sistemas operativos es
en contra de las entidades financieras, argumentando que el Linux Bcktrack 5 [5], el cual contiene herramientas
origen del problema es generado en los controles o métricas necesarias para lograr ejecutar un ataque sniffing a un
de seguridad estipulados por las entidades financieras. dispositivo móvil para obtener toda su información
transmitida por medio de una red wifi. Dentro de las
En Colombia se desconocen los ataques informáticos herramientas se contó con ettercap y a continuación se dará a
dirigidos a dispositivos móviles, un ejemplo claro de los conocer los resultados y procedimientos para llevar a cabo
este tipo de ataque:
ataques a sistemas bancarios del país es demostrado por la
Unidad de Delitos Informáticos de la Policía Nacional
Fase de iniciación: Para iniciar este ataque, se debe ejecutar
seccional Huila que atendieron 10 denuncias [3], las cuales la herramienta para interceptar datos ettercap, desde un
reflejan el método más utilizado por los delincuentes para sistema operativo Linux Bactrack 5 el cual se utiliza
robar dinero, a continuación se podrá observar los resultados previamente configurado. Esta herramienta es manipulada
en la Fig. 1. como un sniffing para capturar tramas de información que
viajan dentro de una red.
Fig. 1. Demandas instauradas por robo bancario
Fase de Análisis: Una vez configurado y puesto en marcha la
aplicación ettercap, hay que conocer algunos parámetros
como lo son: Puerta de enlace del router , ip del dispositivo
móvil, esta información se puede obtener por medio de
aplicaciones como Nmap, que son capaces de efectuar un
diagrama de red, en cual se podrá obtener información como:
sistemas operativos de los dispositivos conectados a la red,
puertos abiertos. Cada una de las aplicaciones mencionadas se
complementan para ir descifrando cada uno de los
interrogantes que se generen en el camino del atacante o
hacker.
Fuente: http://es.scribd.com/
Cabe mencionar que la ingeniería social es un proceso el cual [9] L. Harte. Introduction to GSM: Physical Channels, Logical Channels,
Network Functions, and Operation. 2 ed. United States of America: Althos
puede ser fácil para algunos delincuentes informáticos, y la Publishing Inc, 2011. 112 p. ISBN 978-1932813852.
manera más sencilla de evitarlos es teniendo cuidado con la
eliminación de facturas impresas, eliminación de tarjetas de [10] M. Kevin, ghost in the wires my adventures as the world's most wanted
crédito etcétera. La tecnología avanza cada segundo y los hacker. 1 ed. United States of America: Little, Brown and company, 2011.
432 p. ISBN 978-0316037709.
métodos de ataque van creciendo junto a ella, a veces las
cosas más simples son las más relevantes en el mundo de la [11] W. Noonan, I. Dubrawsky. Firewall Fundamentals. 1 ed. United States of
informática, nunca hay que pensar que un dato es algo sin America: Cisco Press, 2006. 408 p. ISBN 978-1587052217.
sentido debido que todo tiene un precio y al final se puede
[12] S. Adair, B. Hartstein , M. Richard. Malware Analyst's Cookbook and
pagar de una forma muy cara, así que evitar el fraude DVD: Tools and Techniques for Fighting Malicious Code. 1 ed. United
informático siempre será un tema de discusión y estudio States of America: Wiley, 2010. 744 p. ISBN 978-0470613030.
constante. Los bancos en Colombia aplican métricas de
[13] M. Kevin, W. Simon, W. Steve. The Art of Deception. 1 ed. United States
seguridad bastante robustas, pero la suma de usuario más of America: Wiley, 2003. 368 p. ISBN 978-0764542800.
hacker es una combinación que puede penetrar cualquier
sistema de seguridad.
VI. BIOGRAFÍA
Colombia se ha fortalecido en cuanto a las leyes que incluya
delitos informáticos y gracias al paso de la ley 1273 de 2009
John Quintero nació en Colombia – Bucaramanga,
se ha logrado disminuir las estafas o robos informáticos el xxx de xxxxxx de xxxxxx. Se graduó de la xxxxxx,
debido a las penas que interpone dicha ley, de tal forma que en ingeniería de Sistemas, y estudio
existen entidades encargadas de velar por la seguridad de la xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxx.
transmisión de datos en Colombia.
Su experiencia profesional esta enfocada a la
IV. AGRADECIMIENTOS investigación en el campo de seguridad informática,
actualmente xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx,
Agradezco a los ingenieros: Ing. Juan Carlos Vesga, Ing. Luis fue contratado por ser estudiante destacado en la
Fernando Barajas, Ing. Cesar Villamizar, incorporados en la especialización en seguridad informática.
Actualmente trabaja sobre un Sistema de Gestión de la seguridad de la
línea de investigación digital del grupo gidsaw – UDI , por Información (SGSI), aplicandolo a la norma externa 052 de 2007 de la
aportarme experiencia y motivación a la seguridad superintendencia financiera de Colombia, hace parte del grupo de investigación
informática. xxxxxxxxxxxxxx ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’’
V. REFERENCIAS