Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Nombre
Nombre Universidad
Bucaramanga, Colombia
correo1@gmail.com ; correo2@hotmail.com
Resumen— En este documento se describe en detalle los riesgos y
vulnerabilidades que pueden surgir con los datos de los usuarios I. INTRODUCCIÓN
en diversas entidades financieras de Colombia mediante el uso de
dispositivos móviles. Se demostró por medio de pruebas
La banca móvil se basa en servicios para usuarios con
‘’testings’’ , que no existen riesgos en la intercepción de datos por dispositivos móviles que tengan acceso a internet para lograr
medio de consultas a la banca móvil, desde computadoras o transacciones, consultas del estado de sus cuentas, bloqueos
Smartphone; Colombia es un país el cual es vulnerable a estafas, preventivos, etcétera.
con métodos como: clonadores de tarjetas, robo de información
por hurto de dispositivos móviles, estos eventos llevan a pensar Dentro de las responsabilidades delegas en una entidad
que la delincuencia en Colombia ignoran procesos tecnológicos
para ejecutar este tipo de delitos, pero siempre existe una minoría
Bancaria, se encuentra la transmisión de la información por
que si logran innovar y conducir a grandes fraudes bancarios. medio de canales seguros. Algunas entidades Bancarias
Una vulnerabilidad se puede presentar a nivel de empresa, como asumen este rol con profesionalismo y teniendo en cuenta
también, a nivel de usuario, siendo la segunda la más usual en métricas de seguridad mínimas como las expuestas en la
cuanto ataques informáticos para lograr objetivos pocos éticos, y norma externa 052 de 2007 de la SFC ''Superintendencia
desarrollar una serie de eventos en los cuales se verán afectadas Financiera de Colombia'' [1]. En cuanto a ataques basados en
las entidades bancarias y sus correspondientes usuarios. La
ingeniería social, puede alcanzar a penetrar cualquier sistema de la intercepción de datos, se encuentran: Man in the Middle
seguridad, sin llegar a manipular virus informáticos; todo radica “Hombre en el Medio”, Man in the Middle Mobile “Hombre
en la astucia del atacante, puesto que se valen de muchos métodos en el Medio Móvil”, el cual tienen la capacidad y las
fraudulentos para robar identidades o datos clasificados como herramientas suficientes para llevar a cabo un ataque,
confidenciales. vulnerando la Confidencialidad de los datos. Estos ataques se
ejecutan con sistemas operativos GNU/Linux, además de su
Palabras clave— Sniffing, Spoofing, MITM, Trashing, Riesgo, facilidad para ser controlados y dirigidos tanto a redes locales,
Vulnerabilidad, Ingeniería Social. como a dispositivos móviles de usuarios que desconocen
temas de seguridad. Dentro del gran círculo de riesgos,
Abstract— The next document describes in detail the risks and encontramos la ingeniería social, métodos o pasos aplicables a
vulnerabilities that may appear with user data in different banks vulnerar la confidencialidad de los datos de usuarios en las
in Colombia through using mobile devices. It was demonstrated entidades financieras de Colombia, sin necesidad de utilizar
through testing, no risk in the interception of data through mobile algún medio digital.
banking queries from computers or Smartphone; Colombia is a
country which is vulnerable to scams, with methods such as: card
cloners, information theft by theft of mobile devices, these events La ingeniería social, al igual que la intercepción de datos
lead us to believe that crime in Colombia ignore technological confidenciales de muchos usuarios financieros en Colombia y
processes to execute this type of crime, but there is always a el mundo, no son tomados con la rigidez y el cuidado que ello
minority that if they innovate and lead to large bank fraud. conlleva, omitiendo detalles mínimos como el trashing, técnica
Vulnerability can be presented at the enterprise level, as well, at
basada en la ‘’recolección de datos analizando la basura’’.
the user level, the second most common in computer attacks to
achieve few ethical objectives, and develop a series of events
which affected banks and its corresponding users. Social Para el fortalecimiento de los análisis que se llevaron a cabo,
engineering can reach to penetrate any security system, without se contó con un marco legal, para realizar pruebas sin infringir
actually manipulating computer virus; all lies in the intelligence leyes vigentes en Colombia, como las expuestas en la ley 1273
of the attacker, because who use many methods to steal identities de 2009 [2]. El enfoque de atacar los canales de transmisión de
or fraudulent information classified as confidential.
información de entidades financieras en Colombia, hacen
pensar que es cierto y veraz, que no existe sistema informático
Keywords— Sniffing, Spoofing, MITM, Trashing, Risk,
Vulnerability, Social engineering. seguro, pero si puede existir algo aún más peligroso que un
virus informático, se trata de la confianza de la seguridad
perimetral que se está ejecutando en el momento, todo ello
encapsula vulnerabilidades y riesgos, que no serán detectadas
con una simple inspección. La Fig. 1. Demuestra que en Colombia la mayoría de
delincuentes informáticos utilizan métodos antiguos y muy
El estudio profundo y crítico de vulnerabilidades en los conocidos, esto crea a los usuarios bancarios un punto de
canales de transmisión de información, ayudará a establecer el ignorancia ante la eventualidad de los ataques a dispositivos
móviles, llegando a ignorar los parámetros mínimos de
valor del activo, versus el valor de inversión en profesionales
seguridad en un dispositivo móvil.
de seguridad informática, y software especializado, o
herramientas para su apoyo en las labores de proteger activos
En cada ataque siempre se encontrará un segundo actor, el cual
importantes de una empresa u organización.
llamaremos hacker, es un riesgo mayor, en vista que
aprovechará las vulnerabilidades y el poco conocimiento de
Las primeras pruebas o testing que se realizaron en cuanto a la
informática de los usuarios financieros, estos ataques solo
transmisión de información de la banca móvil, fue generada
tomarán unos cuantos segundos y lograrán vulnerar las
con dispositivos móviles Samsung ‘‘Android’’, Iphone ‘‘IoS’’,
mínimas métricas o parámetros de seguridad que se tengan en
se logró comprobar el sistema de seguridad que manejan este
los dispositivos móviles. Para analizar algunos métodos de
tipo de consultas, paralelamente a ello, también se logró
interceptación de información, se utilizaron los siguientes
interceptar información en los dos tipos de dispositivos
ataques:
utilizados para las pruebas, lo cual será expuesto los métodos,
y los resultados de cada testing.
A. Mitmo ‘’Man In The Middle Mobile’’
II. ATAQUES INFORMÁTICOS PARA INTERCEPTAR INFORMACIÓN Es un método de interceptar información por medio de una
EN DISPOSITIVOS MÓVILES E INGENIERÍA SOCIAL computadora dirigido hacía un dispositivo móvil, y su
aplicabilidad inicia debido al famoso malware de dispositivos
Los usuarios de la banca móvil se definen como riesgo,
móviles Zeus/zbot [4]. El ataque se ejecutó entre diversos
porque quizás su información financiera está almacenada en
sistemas operativos móviles tales como: Android, iOS,
dispositivos móviles o cuentas de correo electrónico y la
Symbian, Blackberry.
interceptación de estos datos ostentará su confidencialidad, y
conjuntamente desencadenarán una serie de procesos legales
Para hacer uso de este ataque es necesario contar con sistemas
en contra de las entidades financieras, argumentando que el
operativos que de una forma u otra contribuyan a capturar
origen del problema es generado en los controles o métricas de
información, un ejemplo claro de estos sistemas operativos es
seguridad estipulados por las entidades financieras.
Linux Bcktrack 5 [5], el cual contiene herramientas necesarias
para lograr ejecutar un ataque sniffing a un dispositivo móvil
En Colombia se desconocen los ataques informáticos para obtener toda su información transmitida por medio de una
dirigidos a dispositivos móviles, un ejemplo claro de los red wifi. Dentro de las herramientas se contó con ettercap y a
ataques a sistemas bancarios del país es demostrado por la continuación se dará a conocer los resultados y procedimientos
Unidad de Delitos Informáticos de la Policía Nacional para llevar a cabo este tipo de ataque:
seccional Huila que atendieron 10 denuncias [3], las cuales
reflejan el método más utilizado por los delincuentes para Fase de iniciación: Para iniciar este ataque, se debe ejecutar
robar dinero, a continuación se podrá observar los resultados la herramienta para interceptar datos ettercap, desde un
en la Fig. 1. sistema operativo Linux Bactrack 5 el cual se utiliza
previamente configurado. Esta herramienta es manipulada
Fig. 1. Demandas instauradas por robo bancario como un sniffing para capturar tramas de información que
viajan dentro de una red.
Fuente: El autor.
Fuente: http://es.scribd.com/
En algunos dispositivos móviles como el samsung galaxy note 3.- Ahora se busca en las opciones: Configuraciones de
GT-N7000 , tienen una pequeña falla que al ser explotada por seguridad, y justo allí se encontrará la opción: Mostrar
medio de un ataque MITMO ‘’Man in the Middle Mobile’’ advertencias de seguridad. En esta opción se tiene que
será todo un éxito, porque automáticamente deshabilita todos observar que este seleccionada, dado que sí no se encuentra
los mensajes de alertas del dispositivo, de esta forma los seleccionada podrán sufrir cualquier tipo de ataque, y el
mensajes de certificado de seguridad del sitio no serán dispositivo móvil no se encontrará en la capacidad de emitir la
emitidos, y de esta forma los usuarios quedarán desprotegidos alerta de seguridad, la opción se puede observar en la Fig. 6.
ante este ataque.
Fig. 6. Servicio de consulta denegado a la banca móvil
El escaso conocimiento de herramientas como Whatsapp La Fig. 8. deja en evidencia como un delincuente informático
pwned free , logran que los ataques sean más certeros porque puede obtener información aún teniendo un sistema simple de
no se conocen medidas de seguridad para evitar y prevenir este seguridad como lo es un firewall [11], anti virus, debido que
tipo de ataque. A continuación se muestra en la Fig. 7. la el delincuente interactúa directamente con la víctima
interfaz de la aplicación Whatsapp pwned free. obteniendo información muy certera y en menos tiempo que
ejecutando un rootkit o malware [12].
Fig. 7. Interfaz gráfica de la aplicación Whatsapp pwned free
En Colombia a lo mejor se desconoce la técnica de Trashing
‘’Recoger o Buscar en la basura’’, esta técnica fue adoptada
por el ya mencionado ex – hacker Norte Americano Kevin
Mitnick, el cual describe con mayor profundidad estas técnicas
en su libro The Art of Deception, allí pauta paso a paso todo lo
que constituye la ingeniería social [13]. Muchas de las
personas que poseen cuentas bancarias, líneas móviles, u otro
servicio que genere facturación en su lugar de residencia nunca
tienen el cuidado al desechar este tipo de información impresa, entidades encargadas de velar por la seguridad de la
esto tiene una causa y consecuencias muy graves, ¿ por qué transmisión de datos en Colombia.
graves?, porque están arrojando a la basura información
confidencial, ¿Alguien se ha puesto a analizar qué información IV. AGRADECIMIENTOS
contiene un extracto bancario?, sí lo han pensado y lo han Agradezco a los ingenieros: Ing. Juan Carlos Vesga, Ing. Luis
analizado, podrán observar que es muy posible un robo de Fernando Barajas, Ing. Cesar Villamizar, incorporados en la
identidad debido que los extractos bancarios, recibos de las
línea de investigación digital del grupo gidsaw – UDI , por
líneas móviles contienen datos tan básicos que un delincuente
aportarme experiencia y motivación a la seguridad
informático logrará estudiar la identidad de cualquier víctima y
informática.
posteriormente procederá a: suplantarlo ya sea por medios
telefónicos o suplantarlo personalmente aunque la segunda sea
la más difícil pero quizá es la más eficaz para este tipo de
ataques. V. REFERENCIAS
Este método de robar información puede generar problemas en
las entidades bancarias de cualquier país, ya que es difícil [1] COLOMBIA. SUPERINTENDENCIA FINANCIERA DE COLOMBIA.
Norma externa 052. (25, octubre, 2007). Requerimientos mínimos de
controlar este tipo de eventos, unas de las formas es seguridad y calidad en el manejo de información a través de medios y
sensibilizar a los usuarios para que utilicen herramientas que le canales de distribución de productos y servicios. Superintendencia
ayudarán a deshacer los medios impresos generados por Financiera de Colombia. Bogotá, D.C.: 2007, 10 p.
cualquier empresa prestadora de servicios; posiblemente una
[2] COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 1273. (5, enero,
de las formas más seguras de desechar este tipo de 2009). Por medio de la cual se modifica el Código Penal, se crea un
información es utilizando un triturador de papel y repartir los nuevo bien jurídico tutelado - denominado “de la protección de la
residuos del mismo en varias bolsas, esto evitará un robo de información y de los datos”- y se preservan integralmente los sistemas
información. que utilicen las tecnologías de la información y las comunicaciones,
entre otras disposiciones. Diario Oficial. Bogotá, D.C.: 2009. no.
47.223. 2 p.
III. CONCLUSIONES
[3] Fraude Electrónico, delito poco denunciado en el Huila, disponible en:
Este articulo demostró de muchas formas como los usuarios http://www.diariodelhuila.com/site/index.php/especiales/3161-fraude-
bancarios se convierten en un peligro en cuanto a la electronico-delito-poco-denunciado-en-el-huila_noticia25474
transmisión de datos financieros o bancarios, siendo también
un peligro inminente los delincuentes informáticos. Hay que [4] Noticias de tecnología, disponible en:
http://www.abc.es/20110915/tecnologia/abci-malware-android-
recordar que los dispositivos móviles no son los más seguros y
201109151722.html
menos si son conectados a una red inalámbrica pública, en ese
instante se está vendiendo información confidencial a cambio [5] R. Vivek, BackTrack 5 Wireless Penetration Testing Beginner's Guide.
de unos cuantos mega bytes de navegación; los mensajes de 7 ed. United Kingdom: Packt Publishing Ltd, 2011. 220 p. ISBN 978-1-
seguridad que se generan a través de los dispositivos móviles 849515-58-0.
indican que hay algo mal, no siempre es un problema de la red [6] S. Mcclure, J. Scambray, J. Kurtz, Hacking exposed: network security
o un error de conexión, quizá esto logra que los mensajes de secrets & solutions. 7 ed. United States of America: Osborne/McGraw-
advertencia sean omitidos por los usuarios. Hill, 2012. 768 p. ISBN 978-0071780285.
Cabe mencionar que la ingeniería social es un proceso el cual [7] Sistema de mensajeria multiplataforma, Whatsapp.
http://www.whatsapp.com/
puede ser fácil para algunos delincuentes informáticos, y la
manera más sencilla de evitarlos es teniendo cuidado con la [8] S. Chris, Practical Packet Analysis: Using Wireshark to Solve Real-
eliminación de facturas impresas, eliminación de tarjetas de World Network Problems. 2 ed. United States of America: No Starch
crédito etcétera. La tecnología avanza cada segundo y los Press, 2011. 280 p. ISBN 978-1593272661.
métodos de ataque van creciendo junto a ella, a veces las cosas [9] L. Harte. Introduction to GSM: Physical Channels, Logical Channels,
más simples son las más relevantes en el mundo de la Network Functions, and Operation. 2 ed. United States of America:
informática, nunca hay que pensar que un dato es algo sin Althos Publishing Inc, 2011. 112 p. ISBN 978-1932813852.
sentido debido que todo tiene un precio y al final se puede
[10] M. Kevin, ghost in the wires my adventures as the world's most wanted
pagar de una forma muy cara, así que evitar el fraude hacker. 1 ed. United States of America: Little, Brown and company,
informático siempre será un tema de discusión y estudio 2011. 432 p. ISBN 978-0316037709.
constante. Los bancos en Colombia aplican métricas de
seguridad bastante robustas, pero la suma de usuario más [11] W. Noonan, I. Dubrawsky. Firewall Fundamentals. 1 ed. United States
of America: Cisco Press, 2006. 408 p. ISBN 978-1587052217.
hacker es una combinación que puede penetrar cualquier
sistema de seguridad. [12] S. Adair, B. Hartstein , M. Richard. Malware Analyst's Cookbook and
DVD: Tools and Techniques for Fighting Malicious Code. 1 ed. United
Colombia se ha fortalecido en cuanto a las leyes que incluya States of America: Wiley, 2010. 744 p. ISBN 978-0470613030.
delitos informáticos y gracias al paso de la ley 1273 de 2009
[13] M. Kevin, W. Simon, W. Steve. The Art of Deception. 1 ed. United
se ha logrado disminuir las estafas o robos informáticos debido States of America: Wiley, 2003. 368 p. ISBN 978-0764542800.
a las penas que interpone dicha ley, de tal forma que existen
VI. BIOGRAFÍA