Seguridad en Operaciones Financieras Francisco Espinosa Rodríguez Director de Riesgo Operativo Bogotá D.C, agosto de 2012

Agenda Estadísticas de operaciones. Quejas. Algunas modalidades de fraude. Normatividad RO. Seguridad y calidad en las operaciones (CE-052 / CE022).

1. Operaciones vs montos

1. Operaciones por canales

1. Montos por canal

1. Montos por canal

1. Montos por canal

1. Canales Canal Cantidad - 2012 (junio) Datafonos 197.906 Cajeros automáticos 11.400 Corresponsales bancarios 26.311 Oficinas 5.807 Conexiones a Internet 6 millones Municipios con banda ancha (fibra óptica) 325 Teléfonos celulares en Col. 47.8 millones Tarjetas Cantidad Débito 17.3 millones Crédito 9.7 millones Chip 10.8 millones Canal Cantidad proyectada - 2014 Conexiones a Internet 8.8 millones Municipios con banda ancha 700

2. Estadísticas de Quejas 410.742 339.850 352.492 365.231

2. Estadísticas de Quejas Quejas Recibidas por la Delegatura para Riesgo Operativo 2007 2008 2009 2010 2011 7.243 6.602 8.101 9.453 10.806 MOTIVO QUEJA 2007 2008 2009 2010 2011 Fallas en Cajero Automático 2.785 2.654 2.896 3.570 3.551 Reporte Centrales de Riesgos 1.136 967 2.004 2.188 3.016 Fallas en Internet 440 622 882 1.144 1.462 Fallas en Datafono 39 205 385 505 705 Descuentos Injustificados 535 533 330 574 No se Remite Información al Cliente 623 429 416 351 336 Pago de Cheque Falsificado o Irregular 120 180 265 195 249 Consignación Errónea 300 78 50 130 Suplantación Presunta de Persona 314 302 277 239 204 Billetes Falsos 82 91 113 149

2. Operaciones vs quejas por canales Año 2008 2009 2010 2011 Operaciones x c/queja recibida 19,539 22,107 25,722 26,977

3. Modalidades de fraude Fraudes Presenciales Fraudes Electrónicos Fleteo (retiro  robo fuera oficina). Suplantación (robo de identidad  HD). Fraudes Internos (empleados  se aprovechan las deficiencias en la gestión de los riesgos, en particular, la adecuada segregación de funciones y controles ineficaces e inoportunos). Taquillazo (atraco en ventanillas). Robo de cajeros automáticos y oficinas. Paseo millonario. Cambiazo (sustitución de tarjetas). Adulteración de datafonos. Clonación de tarjetas débito y crédito (skimmers + cámaras). Fraudes Electrónicos Phishing (e-mail + Web fraudulentos). Vishing (llamadas telefónicas). Smshing (mensajes de texto). Pharming ( Suplantar DNS). Software Malicioso Keyloggers Screen Loggers Virus Gusanos Otros Redes sociales + Ingeniería Social = compromiso

3. Fraudes presenciales Clonación de tarjetas débito y crédito. Skimmer: dispositivo electrónico que permite capturar la información de la banda magnética. En cajeros automáticos se usa en compañía de cámaras o teclados falsos para capturar la clave. Antes: se instalaban por días. Ahora, por minutos.

3. Fraudes electrónicos Phishing – 2011 Los bancos han contratado firmas especializadas para identificar mensajes de phishing y sitios Web fraudulentos. Aproximadamente 5.500 millones de ataques bloqueados en el año. En promedio 4.596 ataques de sitios Web bloqueados por día. Sitios fraudulentos en otras partes del mundo. Tiempo estimado para bloquear un sitio fraudulento: 4 – 24 horas. Mover la página fraudulenta a otro sitio Web tarda minutos.

3. Fraudes electrónicos Industrias atacadas Phishing Posición Sectores Porcentaje 1 Servicios de Información 36,3% 2 Banca 33% 3 Comercio Electrónico 28% 4 Telecomunicaciones 1,4% 5 Comunicaciones 0,46% 6 Consumo 0,44% 7 Gobierno 0,37% 8 Seguros 0,021% Symantec Intelligence Report: July 2012

3. Comportamiento del Phishing De mayo a junio de 2012 se incrementaron en un 7% el número de ataques de Phishing identificados. *Tomado del reporte mensual de RSA : Junio 2012: http://www.rsa.com/solutions/consumer_authentication/intelreport/11733_Online_Fraud_report_0612.pdf

Tipos de malware total en 3. Fraudes electrónicos Software malicioso (malware) – 2011 Antivirus y software de seguridad. 4.989 nuevas vulnerabilidades en elementos tecnológicos identificadas en 2011, aproximadamente 95 por semana. Más de 403 millones de variantes de malware. Los ataques se siguen moviendo hacia los dispositivos móviles: - 93% más vulnerabilidades. - 1.116% más malware respecto a 2010. Tipos de malware total en dispositivos móviles Symantec Internet Security Threat Report – Abril de 2011

3. Fraudes electrónicos Categorías de sitios Web más riesgosos - 2011 Posición Sectores Porcentaje 1 Blog/Comunicaciones Web 19,8% 2 Hosting/Sitios Personales 15,6% 3 Negocios/Economía 10,0% 4 Compras 7,7% 5 Educación 6,9% 6 Tecnología: Computadores e Internet 7 Entretenimiento y música 3,8% 8 Autos 9 Medicina y salud 2,7% 10 Pornografía 2,4% Symantec Internet Security Threat Report – Abril de 2011

3. Estadísticas de fraudes - Banca mundial ¿Qué tipo de fraude afectó a las entidades en 2011? *Tomado del reporte generado del análisis de expertos del ISMG (International Security Management Group) de la encuesta realizada en 2012 sobre fraude en entidades bancarias: http://www.bankinfosecurity.com/handbooks.php?hb_id=36

3. Países con más ataques de Phishing Top mundial de países por número de ataques Aunque los servidores desde donde se realizan los ataques se encuentran en otros países, Colombia se destaca en el reporte presentado de junio de 2012 por RSA, como uno de los países con mayor número de ataques identificados. *Tomado del reporte mensual de RSA : Junio 2012: http://www.rsa.com/solutions/consumer_authentication/intelreport/11733_Online_Fraud_report_0612.pdf

4. Normatividad Riesgo Operativo Circular Externa 041 de 2007 – Reglas relativas a la administración del riesgo operativo SARO (incluye BCP). Circular Externa 052 de 2007 – Requerimientos de seguridad y calidad para la realización de operaciones (preciso requerimientos con CE022 de 2010). Carta Circular 093 de 2010 - Medidas para prevenir el fleteo. Circular Externa 038 de 2009 – Instrucciones relativas a la revisión y adecuación del sistema de Control Interno. Circular Externa 026 de 2011 – Instrucciones sobre los servicios financieros prestados por los establecimientos de crédito, las SCB, y las sociedades de intermediación cambiaria. Circular Externa 029 de 2012 - Instrucciones relacionadas con la inspección y vigilancia de la actividad de los Operadores de Información de la PILA.

5. CE 052 Requerimientos de seguridad y calidad para la realización de operaciones Objetivos: Complementar el SARO. Actualizar la normatividad existente. Fijar los requerimientos mínimos de seguridad y calidad para la realización de operaciones. Proteger al consumidor financiero y a las mismas entidades. Incrementar la confianza del público en el sector financiero. Implementación: Etapa Requerimientos Vigencia 1 84 Julio de 2008 2 17 Abril de 2009 3 7 Enero de 2010 Total 108

5. CE 052 Estructura de la Circular Definiciones. Obligaciones Generales Seguridad y Calidad. Terceros Documentación. Divulgación. Obligaciones adicionales por tipo de canal. Reglas de actualización del software. Obligaciones por tipo de medio – Tarjetas. Análisis de Vulnerabilidades.

5. CE 052 Ámbito de aplicación Aplica para todas las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC), con excepción de algunas en consideración de su tamaño y tipo de negocio. Todas las entidades, exceptuadas o no, deben manejar su información en condiciones de seguridad y calidad.

5. Seguridad en las operaciones Gestionar la seguridad de la información (ISO 27000). Informar el costo de la operación por el respectivo canal antes de su realización. Generar un soporte al momento de la realización de cada operación monetaria. Tratándose de pagos inferiores a dos salarios mínimos, no será obligatorio la generación de este soporte. Informar a los clientes sobre medidas de seguridad. Enviar la información confidencial cifrada.

5. Seguridad en las operaciones Emplear los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones. Utilizar datáfonos que cumplan el estándar EMV. Permitir a los clientes personalizar las condiciones bajo las cuales realizarán las operaciones por los diferentes canales. Elaborar el perfil de las costumbres transaccionales de los clientes y confirmar operaciones inusuales. Sincronizar los relojes de los equipos con la hora oficial de la SIC.

5. Seguridad en las operaciones Llevar registro de las consultas realizadas por los funcionarios sobre la información confidencial de los clientes. Grabar las llamadas realizadas por los clientes a los centros de atención, cuando consulten o actualicen su información. Contar con sistemas de video grabación en oficinas y cajeros automáticos. Mantener la información al menos por 8 meses. Establecer las condiciones bajo las cuales los clientes podrán ser informados en línea acerca de las operaciones realizadas con sus productos. Expedir paz y salvo por todo concepto, dentro del procedimiento de cancelación de un producto o servicio.

5. Seguridad en las operaciones Evitar que personas no autorizadas atiendan a clientes de la entidad en su nombre. Emitir tarjetas personalizadas y que manejen internamente mecanismos fuertes de autenticación. Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura. Promover y poner a disposición mecanismos que reduzcan la posibilidad de capturar información. Ofrecer mecanismos para evitar la captura de la información de las operaciones en Internet. Realizar pruebas semestrales de vulnerabilidad.

… La seguridad es asunto de todos ... 5. Seguridad en las operaciones Mantener tres ambientes independientes. Cuando las entidades necesiten tomar copias de la información de sus clientes para la realización de pruebas, se deberán establecer los controles necesarios para garantizar su destrucción, una vez concluidas las mismas. Contar con procedimientos y controles para llevar el software a producción. En total son 108 requerimientos… … La seguridad es asunto de todos ...

Gracias Superfinanciera, Primera en Transparencia