Evolución de los delitos financieros y seguridad.

Presentación del tema: "Evolución de los delitos financieros y seguridad."— Transcripción de la presentación:

1 Evolución de los delitos financieros y seguridad.
¿Nuevas formas de delito precedente? Antoni Bosch Pujol , CISA, CISM, CGEIT, ECPD Director General del Institute of Audit & IT-Governance (IAITG) Director del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC de la Universidad Autónoma de Madrid (MASGDTIC) Presidente Fundador ISACA-Barcelona

2 Criptografía

3 Criptografía Cuántica

4 Criptografía Cuántica
Núm. Aleatorios 1 Base Aleatória Polarización ↑ ↗ ↖ → Núm. Recibidos Canal Público

5 Computación Cuántica Bit Qubit Unidad información Clásica
Reglas Mecánica Clásica Discreto: 2 posibles valores 0 / 1 Verdadero / Falso Arriba / Abajo Descripción matemática: 0 1 Computación Clásica: Factorización en tiempo exponencial Factorización número subprimo de 768 bit tardaría 2000 años aprox. Unidad Información Cuántica Reglas Mecánica Cuántica Continuo: Superposición de los posibles estados. 0 y 1 Verdadero y Falso Arriba y Abajo │φ› = α│0› + β│1› Computación Cuántica: Algoritmo de Shor Factorización en tiempo polinómico. Factorización número subprimo de 768 bit en tiempo factible (horas) en condiciones ideales.

6 La complejidad de la sencillez :

7

8

9

10

11

12

13

14 REFERENCIAS HISTÓRICAS
En la antigua Grecia, los comerciantes para no pagar el impuesto del 2% sobre la mercadería, la escondían en las pequeñas islas vecinas En la época clásica de la piratería se ofreció protección a ex piratas a cambio del depósito de sus bienes en distintas jurisdicciones. La región de Flandes durante los siglos XVI a XVIII, fue un auténtico paraíso fiscal respecto al comercio que se efectuaba en sus puertos, sobre el que recaía un mínimo de restricciones y de derechos ●

15 MÉTODOS I PITUFEO (trabajo de hormiga): Dividir grandes cantidades en pequeñas sumas que no resulten registradas ni generen sospechas COMPLICIDAD: del banco o de sus empleados que no informan a las autoridades de las transacciones de fondos, por haber sido extorsionados o recibir una comisión COMPRAVENTA de divisas, cheques de viaje, euro-cheques, otros instrumentos monetarios, o bienes PRESTAMOS bancarios que reintegrados con dinero negro permiten obtener bienes de forma lícita

16 MÉTODOS II CONTRABANDO o transporte del dinero al exterior
TRANSFERENCIAS bancarias o electrónicas, a través de internet, dividiendo los fondos en pequeñas sumas, incluso a sus ramificaciones en el exterior SOBREFACTURACIÓN y SUBFACTURACIÓN de exportaciones e importaciones: la diferencia permitirá blanquear el dinero EMPRESAS FANTASMA (portafolio) utilizadas para enmascarar el lavado de dinero o EMPRESAS LEGALES que permiten mezclar el dinero negro con sus ganancias lícitas.

17 HAWALA Se trata del sistema mas antiguo, utilizado para mover dinero por los templarios y judíos en la antigüedad Es el método mas utilizado por el terrorismo internacional Se basa en el concepto de confianza absoluta

18 METODO HAWALA El pagador entrega su dinero en metálico al proveedor o “hawalader” del lugar A y pide que su amigo en el lugar B reciba la suma equivalente menos la comisión de aquel El hawalader cuenta con un socio de confianza en el lugar B al que informa de la operación y le da instrucciones para que proporcione la cantidad pactada al contado al amigo del pagador

19 MÉTODO HAWALA Ambos negociantes de Hawala descargan o destruyen luego los archivos o papeles de la transacción, arreglando sus libros con otras operaciones bancarias si es preciso, con objeto de mantener el anonimato Teniendo en cuenta las decenas de millones de musulmanes que envían dinero a sus familiares en su lugar de origen, sin ordenadores ni resguardos de entrega, que todas las transacciones son en efectivo y que tanto los pagadores como los receptores usan nombres falsos es prácticamente imposible rastrear el dinero

20 MODALIDADES DE BLANQUEO ON-LINE
Según el GAFI : Ingresos de grandes sumas en cuenta e inmediata transferencia electrónica a otra cuenta. Smurfing : numerosos depósitos de pequeñas cantidades y en varias cuentas, desde los que se efectúan transferencias a otra cuenta extranjera. Uso de identidades falsas, testaferros y sociedades pantalla, constituidas en otra jurisdicción para dificultar la identidad del verdadero origen de la transferencia. Uso de entidades off-shore y abogados que protegen al cliente mediante la figura del secreto profesional. Introducción de personas de confianza en pequeñas entidades financieras o en delegaciones. Cuentas de colecta o recaudación: un importante número de inmigrantes hacen pequeños ingresos sucesivos que envían al exterior de forma agrupada. Depósitos en cuenta extranjera de cantidades que actúan como garantía de préstamo, enviadas al país de origen como operación legítima que justifica la recepción de ése capital.

21 VENTAJAS

22 Principios comunes de la normativa internacional:
Se definen las conductas que deben ser penadas por los Estados. Los sistemas normativos deben contemplar la inoponibilidad del secreto bancario, la tipificación del blanqueo imprudente, el uso de prueba indiciaria, técnicas especiales de investigación (entrega vigilada, operaciones encubiertas, intervenciones telefónicas, equipos conjuntos) Se definen compromisos en la lucha contra el blanqueo: Intercambio de información; incautación del producto (comiso); penalización del blanqueo aunque el delito original se cometa en otro estado, siempre que sea también delito en el estado del blanqueo. Se establece la necesidad de la existencia de un sistema de prevención financiero con dos ejes: FIUs (Unidades de Inteligencia Financiera) e información de operaciones sospechosas.

23 EDPS finds major deficiencies in anti-money laundering (04-07-2013)
The Commission proposals on money transfers, prevention of money laundering and terrorist financing need to do more than make mere references to data protection, said the European Data Protection Supervisor (EDPS) today. Specific safeguards, such as the right of individuals to be informed and the respect of the principles of proportionality and purpose limitation are essential to prevent ordinary citizens from being excessively profiled by service providers on dubious grounds with potentially damaging effects.

24 EDPS finds major deficiencies in anti-money laundering (04-07-2013)
The applicability of EU data protection law be made more explicit in these proposals, as a mere reference in the recitals is not sufficient; The sole purpose of the processing must be the prevention of money laundering and terrorist financing and personal information should not to be further processed for incompatible purposes; specific provisions on international transfers need to be added which also take into account the principle of proportionality, especially to avoid the mass transfer of personal and sensitive information;

25 EDPS finds major deficiencies in anti-money laundering (04-07-2013)
4. given the potentially highly intrusive nature of the anti-money laundering obligations, the right of data subjects to be informed of the analysis or transfer of their personal information should be clearly outlined in the proposed Directive; 5. any restrictions to the fundamental rights of individuals should be fully justified and be subject to specific conditions and safeguards

26 MARCO NORMATIVO Constitución Política del Perú de 1993
Ley N°29733 – Ley de Protección de Datos Personales. Reglamento de la Ley N°29733, aprobado por Decreto Supremo N° JUS. Directiva de Seguridad de la Información.

27 Disposición de recurso
PRINCIPIOS RECTORES Principios Legalidad Consentimiento Finalidad Calidad Seguridad Disposición de recurso Nivel de Protección Adecuado

28 LA DIRECTIVA DE SEGURIDAD DE LA INFORMACIÓN
¿ Por qué ? Ley N° 29733: DISPOSICIONES COMPLEMENTARIAS FINALES SEGUNDA. Directiva de seguridad La Autoridad Nacional de Protección de Datos Personales elabora la directiva de seguridad de la información administrada por los bancos de datos personales en un plazo no mayor de ciento veinte días hábiles, contado a partir del día siguiente de la publicación de la presente Ley.

29 SEGURIDAD SISTEMAS INFORMACIÓN
SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN SEGURIDAD SISTEMAS INFORMACIÓN

30 SEGURIDAD SISTEMAS INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN No es seguridad informática, aunque la seguridad informática es una parte. Evoluciona mucho más rápidamente desde la Segunda Guerra Mundial. Primeras computadoras. Material de guerra. SEGURIDAD SISTEMAS INFORMACIÓN

31 SEGURIDAD SISTEMAS INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN Los 3 pilares: Confidencialidad Integridad Disponibilidad ¿Dónde está la información? Físico y Lógico ¿Qué tipo de información manejo? ¿Está clasificada? SEGURIDAD SISTEMAS INFORMACIÓN

32 SEGURIDAD SISTEMAS INFORMACIÓN
CIBERESPACIO: ¿Dónde está? SEGURIDAD SISTEMAS INFORMACIÓN

33

34 Phishing con SET.mp4

35 EXPOSICIÓN Y ACCESOS MÉTODOS DE AUTENTICACIÓN
•Sistemas basados en algo que el usuario SABE •Sistemas basados en algo que el usuario TIENE •Sistemas basados en algo que el usuario ES •Sistemas basados en algo que el usuario HACE Métodos de Autenticación multifactor •Autenticación monofactor o simple •Autenticación de doble factor •Autenticación de triple factor EXPOSICIÓN Y ACCESOS

36 RESUMEN DE LA METODOLOGÍA
Valoración de los activos Análisis de riesgos Riesgos Gestión de riesgos Activos de información y dependencias Impactos en el negocio Valoración amenazas Frecuencia de las amenazas a los elementos de T.I. Nivel de Riesgo Plan Operacional de Seguridad GAP medidas actuales Propuesta de Controles GESTIÓN DE RIESGOS

37 Las amenazas internas corporativas
se producen en base a cuatro causas: las personas la motivación las oportunidades los medios GESTIÓN DE RIESGOS

38 PERSONAS ACTIVOS: PASIVOS: Empleados: Terceras partes Persona
Personal de la empresa EMPLEADO DE OFICINA EMPLEADO EN CASA EMPLEADO MÓVIL INDIVIDUO MALICIOSO CYBER CRIMINAL Especialistas (IT, RR. HH. y AAJJ) Subcontratados Terceras partes Clientes Proveedores Consultores PASIVOS: Persona Nombre / Dirección Datos bancarios Datos fiscales Datos médicos Agenda de contactos Usuarios / contraseñas Hábitos de compra Redes sociales y blogs Organización Pérdidas de tiempo Cortes en los sistemas Incumplimientos de legislación Daños a la reputación de la organización Pérdidas de propiedad intelectual Suplantación de identidad

39 MOTIVOS Codicia: Temor: Malicia: Problemas de deudas Adicciones Celos
Violencia Extorsión o chantaje Malicia: Venganza Resentimiento Activismo

40 OPORTUNIDADES Deficiencias de control: Circunstancias especiales:
Distribución deficiente de funciones Falta de controles o fácilmente eludibles Circunstancias especiales: Acceso incontrolado a Internet Teletrabajo remoto Externalizaciones

41 MEDIOS Conocimiento: Tecnología: Aumento experiencia y formación en TI
La ingeniería social Webs y foros con información en técnicas de hacking Tecnología: Disponibilidad de kits de herramientas de hacking Proliferación dispositivos almacenamiento gran capacidad o externos (e-cloud) Transmisión electrónica de información

42 PROGRAMA DE CUMPLIMIENTO
1ª fase: Elaboración de Protocolo de prevención de conductas delictivas por áreas y niveles Directivos: Información privilegiada. Administradores: Nivel relaciones externas, intimidad, competencia desleal Empleados: Buenas prácticas en contratación Basado en la evaluación de riesgos operativos, en el sistema de información, particulares, externos… 2ª fase: Establecimiento de canal interno de denuncias. 3ª fase: Acciones de respuesta dentro de la empresa. 4ª fase: Mecanismos de control/supervisión Quién controla el cumplimiento penal y a qué nivel

43 GESTIÓN DE INCIDENTES

44 EJEMPLO AMENAZA-VULNERABILIDAD-INCIDENTE
Incidencia Amenaza Fuego Mesa de madera GESTIÓN DE INCIDENTES

45 GESTIÓN DE INCIDENTES EVENTOS PERJUDICIALES
Técnicos: ataques a la red a través de virus, denegación de servicio, intrusión en el sistema,... Errores, accidentes o fallos en los procesos y/o sistemas. Eventos físicos. Robo de información confidencial, ingeniería social, pérdida o robo de activos de información,... Condiciones ambientales. Inundaciones, incendios, terremotos,... GESTIÓN DE INCIDENTES

46 GESTIÓN DE INCIDENTES EJEMPLOS DE INCIDENTES DE SEGURIDAD (I)
“En una restauración de la BBDD se pierden las contraseñas de uno o varios servicios” No es un incidente de seguridad, esto será una incidencia de servicio. “Bloqueo de contraseña” No es un incidente de seguridad, esto será un incidente de servicio que debe estar procedimentado ES UN INCIDENTE DE SEGURIDAD si al restaurar las contraseñas se realiza de manera inadecuada…. P.e. poniendo una contraseña por defecto. GESTIÓN DE INCIDENTES ES UN INCIDENTE DE SEGURIDAD si existen indicios razonables de que se ha intentado manipular el acceso

47 GESTIÓN DE INCIDENTES EJEMPLOS DE INCIDENTES DE SEGURIDAD (II)
“Cambio de contraseña” No es un incidente de seguridad, esto será una petición de servicio que debe estar procedimentada Un servicio crítico se cae durante más de 3 horas” No es un incidente de seguridad, esto es una crisis de servicio. ES UN INCIDENTE DE SEGURIDAD si existen indicios razonables de que existe un intento de suplantación de identidad o no se sigue el procedimiento. GESTIÓN DE INCIDENTES ES UN INCIDENTE DE SEGURIDAD si existen indicios razonables de que existe una causa de seguridad,… p.e. ataque de denegación de servicio

48 GESTIÓN DE INCIDENTES EJEMPLOS INCIDENTES DE SEGURIDAD (IV)
Ataque por fuerza bruta a aplicación Intrusión por hacking Borrado intencionado de información Acceso no autorizado a información Abuso de sistemas y las redes. Identificación de una vulnerabilidad con impacto potencial relevante "revelación de claves“ "robo de claves“ "suplantación de identidad en los sistemas" "modificación no autorizada de información" GESTIÓN DE INCIDENTES

49 GESTIÓN DE INCIDENTES EJEMPLOS DE INCIDENTES DE SEGURIDAD (V)
"escalado de privilegios no autorizados" "divulgación de información no autorizada" "Troyanos" "ataques de denegación de servicios" "programas de enmascaramiento y tunelización no autorizados" "Uso de puntos de red Wifi no autorizados" "elementos de LAN / WAN no autorizados" "conexión de elementos no homologados" GESTIÓN DE INCIDENTES

50 GESTIÓN DE INCIDENTES MACROPROCESOS EN LA GESTIÓN DE INCIDENTES 1.0
2.0 Determinar 4.0 Remediar 5.0 Cerrar 1.0 Registrar 3.0 Contener GESTIÓN DE INCIDENTES Los procesos de gestión y respuesta a incidentes se pueden resumir en: Detectar incidentes rápidamente. Diagnosticar incidentes con exactitud. Gestionarlos adecuadamente. Reducir y minimizar los daños. Restaurar los servicios afectados. Determinar las causas originales. Implementar mejoras para evitar que se repitan.

51 REGISTRAR GESTIÓN DE INCIDENTES FLUJO DE MACROPROCESO
2.0 Determinar 4.0 Remediar 5.0 Cerrar 1.0 Registrar 3.0 Contener GESTIÓN DE INCIDENTES Departamento de Sistemas Usuarios Monitorización Otros departamentos Investigación y análisis forense Recibir Aviso

52 REGISTRAR GESTIÓN DE INCIDENTES FLUJO DE MACROPROCESO
2.0 Determinar 4.0 Remediar 5.0 Cerrar 1.0 Registrar 3.0 Contener ¿Qué información necesita el equipo de seguridad? Para poder tratar oportunamente un AVI, es necesario reflejar en el correo de informe a , o similar, aspectos como: AVI: Título o nombre del AVI TIPO DE AVI SERVICIOS, APLICACIONES, SISTEMAS OPERATIVOS AFECTADOS RESUMEN DEL AVI GESTIÓN DE INCIDENTES

53 Priorizar el incidente según Impacto
FLUJO DE MACROPROCESO DETERMINAR 2.0 Determinar 4.0 Remediar 5.0 Cerrar 1.0 Registrar 3.0 Contener GESTIÓN DE INCIDENTES Priorizar el incidente según Impacto Cuando el incidente viene notificado por otros conductos, el EGI puede solicitar Información al departamento de sistemas para poder determinar el alcance del incidente.

54 CONTENER GESTIÓN DE INCIDENTES FLUJO DE MACROPROCESO
2.0 Determinar 4.0 Remediar 5.0 Cerrar 1.0 Registrar 3.0 Contener Es el propio departamento de T.I el que establece los criterios de contención salvo en aquellos casos en los que el incidentes no sea propiamente un incidente de T.I. Aun así, T.I debe siempre notificar al EGI cueles son estos criterios. El EGI debe revisar en todo momento la ejecución del plan de contención para lo cual necesitará de la colaboración del Departamento de Sistemas “No todos los incidentes tienen contención” Establecimiento de Criterios de contención GESTIÓN DE INCIDENTES Revisar la Ejecución del plan de contención Verificar contención

55 REMEDIAR GESTIÓN DE INCIDENTES FLUJO DE MACROPROCESO
2.0 Determinar 4.0 Remediar 5.0 Cerrar 1.0 Registrar 3.0 Contener Establecimiento de criterios de remedio GESTIÓN DE INCIDENTES Cualquier formula de remedio elegida por TI y que hace referencia a un Incidente de Seguridad siempre debe ser comunicada al EGI. Ejecutar el plan de remedio Verificar remedio

56 ¿CUÁNDO TENGO QUE NOTIFICAR UN INCIDENTE
¿CUÁNDO TENGO QUE NOTIFICAR UN INCIDENTE? SIEMPRE que pueda ocasionar o esté ocasionando un problema grave de confidencialidad, integridad o disponibilidad de información. No se deben notificar los incidentes de seguridad para los que existen procedimiento. p.e.: La eliminación de un virus mediante el procedimiento establecido para el cual no se requiere actuación adicional. GESTIÓN DE INCIDENTES

57 GESTIÓN DE INCIDENTES ¿QUÉ SE ESPERA DE T.I.?
Notificando cualquier incidente de seguridad para que este pueda ser tratado adecuadamente. Atendiendo las peticiones y consultas del Equipo de Gestión de Incidentes. PREGUNTAS FRECUENTES ¿ Puedo realizar consultas al equipo de seguridad? ¿Cómo puedo conocer el estado de mi consulta o AVI? GESTIÓN DE INCIDENTES

58

59

60

61 Antoni Bosch Pujol, CISA, CISM, CGEIT, ECPD
Director General Institute of Audit & IT-Governance. Director Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC de la Universidad Autónoma de Madrid. Director Primer congreso Latinoamericano de ciberseguridad y privacida