Delitos Cibernéticos, Cómo Enfrentar los Crecientes Desafíos y Riesgos de los Delitos

Financieros en la Era Digital

Visual del Panorama Actual • En promedio, solamente 35% de las compañías en Latinoamérica

tienen programas corporativos efectivos de prevención de pérdidas. ( fuente disponible)

• La banca online y móvil en Latinoamérica incrementan aceleradamente su adopción, en comparación con sucursales y ATMs. El 72% de los usuarios de Banca en línea, indican tener tabletas en sus hogares. ( fuente disponible)

• Mas del 66% de las 100 mayores entidades financieras e Latinoamérica tienen servicios en telefonía móvil, en una variedad de plataformas tecnológicas como SMS, WAP y otras. ( fuente disponible)

La Necesidad de tecnología en el marco de cumplimiento normativo

Competitividad Corporativa (Ent-to-End)• Afinar y mejorar los procesos de negocios• Responder rápidamente a sus necesidades de información y cambios regulatorios• Calificar y Cuantificar los datos • Buscar mayor certeza & frecuencia.Administrar el Riesgo Inherente• Tomar decisiones acertadas ($$)• Proteger la Confidencialidad, Disponibilidad e Integridad de la información.• Lograr un equilibrio costo-beneficioEficiencia Operativa• Reducir el impacto de adopción tecnológica• Agilizar los tiempos para obtener resultados (mejores prácticas, políticas y procedimientos)• Lograr índices de efectividad y eficiencia favorables (Productividad)

Las 4 Tecnologías que definen la Organización Inteligente:• Inteligencia digital centrada en el Cliente: Móvil, Remoto, Multi-canal, Presente o Virtual• Explotar la información en todos sus aspectos: Volumen, Velocidad, Veracidad, Variedad (4V) • Creación de Valor y Relaciones entre clientes, empleados y comunidad (Social Enterprise)• Adaptación y flexibilidad en acceso en la Nube (Cloud)

El Desafío de la tecnología en el marco de cumplimiento normativo

Riesgos en los Medios Virtuales de servicios y pagos (en línea y móvil)

Los Ataques cibernéticos, se refieren a actividad criminal por medio de internet, que pueden incluir robo, mal uso, pérdida o daños a la propiedad intelectual, activos de información, bases de datos, suplantación de identidad online (MitM, MitB), apropiación de cuentas, robo de passwords o identidad con fines delictivos. Esto también aplica a dispositivos móviles… Las tipos de ataques que se experimentan con mayor frecuencia en las organizaciones son:

TOP 5

Focalizando la Atención e Inversión para contrarrestar los Delitos Cibernéticos

El costo representando un grave perjuicio en la operatividad de la organización y experiencia-del-cliente.Basado en esto, las organizaciones deben ser más diligentes en preservar la integridad, confidencialidad y disponibilidad de la información crítica para sí mismas y sus clientes. El Retorno de inversión estimado en las tecnologías que combaten el cybercrime :

Estructura de Costos que justifican contrarrestar los Delitos Cibernéticos

Detección

Investigación y Escalamiento

Contención

Recuperación

Reacción Post-Facto

Pérdida o Robo de Información

Interrupción delServicio (Customer Exp)

Daño o falla en los sistemas

Pérdida de Ingresos

Costos Directos,Indirector, Costos de Oportunidad y

ACTI

VIDA

DES

DE

COST

O IN

TERN

OCO

NSECU

ENCIAS Y CO

STOS EXTERN

OS

Recomendaciones y Mejores Prácticas para acceso Online

Evaluaciones de Riesgo, al menos una vez anual, que consideren entre otros:• Evolución en las amenazas del entorno tanto internas como externas• Cambios en el portafolio de clientes/usuarios que acceden por canales virtuales• Revisión de las actualizaciones de servicios y funcionalidad ofrecida• Evaluación de los registros de incidencias de la organización o industria.Autenticación de Accesos• Los niveles de control y autenticación deben ser relativos al riesgo del evento• Mecanismos de autenticación adicional por etapas en el transcurso de la sesión• Técnicas de autenticación para identificar dispositivos tipo huella digital.• Inclusión de desafíos de mayor complejidad como segundo factor de autenticación.• Utilización de características únicas de identificación y autenticación (Biométricos).Programas de Divulgación y Educación al Cliente• Explicación de los tipos de protección de acceso y autenticación• Bajo qué condiciones o circunstancias puede requerirse mayor información• Mecanismos de mitigación de su propio riesgo intrínseco de clientes.• Contactos para proceder en caso de sospecha o inquietudes.

Recomendaciones y Mejores Prácticas para acceso Online

Establecimiento de Programas de Seguridad en Múltiples Capas, y fases de complejidad.

• Detección y Monitoreo – Capacidades de monitoreo y bloqueo en tiempo real de operaciones de alto riesgo.

• Autenticación – de multi-factor que puede utilizarse con una variedad de tokens o o verificación –fuera de banda-

• Protocolo de Internet y Análisis de Dispositivos- Tener capacidad de analizar comportamientos específicos en línea, localización geográfica, esquemas de dirección IP, huella de dispositivo única para tabletas, teléfonos inteligentes, y identificación de presencia de malware, y la historia de uso indebido de estas huellas en otros eventos.

• Controles de Limites –límites sistémicos de ocurrencias, tipos, valores, rangos, y otros estadísticos permitidos para cada cliente.

• Factor Humano– considerar capacitaciones a usuarios internos, implantando mecanismos de identificación de violaciones de políticas y vulneraciones realizadas por empleados.

Yuri Alexander Marroquin

ymarroquin@verticescorp.com(561) 961-9664

Bitcoin

Características y Riesgos Únicos de la Moneda Virtual

Métodos Más Populares de Pago en Línea

• La mayoría de los sistemas de pago en línea tienen 3 componentes comunes:– Centralmente administrado por un tercero de

confianza– Denominada en monedas fiduciarias existentes– Identifica de forma explícita al pagador

Bitcoin Tiene Características Únicas • Sistema de pagos “peer to peer,” o

usuario a usuario descentralizado. • Moneda virtual denominada en

Bitcoins; su valor es determinado en un mercado abierto.

• Todas las transacciones Bitcoin se publican en línea, pero la información que identifica al usuario es la dirección Bitcoin (psuedanonymous).

Bitcoin para la Mayoría de los Usuarios• La mayoría de los usuarios experimentarán Bitcoin

como una aplicación móvil que ofrece una cartera o billetera electrónica/dirección para el envío y recepción de Bitcoin.

• Los pagos se realizan de una aplicación de cartera o billetera electrónica ingresando la cantidad o el importe del pago, la dirección del destinatario y darle a envío o “send”.

• Se obtienen Bitcoins a través de la venta de bienes o comprándolos en un intercambio.

Herramientas para Aumentar Anonimato Aumentan el Riesgo de Delitos Financieros

Los usuarios pueden incrementar el anonimato y crear mayores retos para detectar y detener las actividades ilícitas:

– Se crea / utiliza una nueva dirección de

Bitcoin para cada pago entrante o recibido,– Dirige todo el tráfico de Bitcoin a través de

un anonymizer (Como Tor),– Se combina el balance de la dirección vieja

de Bitcoin a una nueva dirección para hacer los nuevos pagos.

Bitcoin Utilizado para Adquirir Bienes Ilícitos: Silk Road

• Silk Road permitió el comercio de drogas ilícitas, falsificación de documentos, piratería informática y asesinos a sueldo.

• Silk Road utilizó “The Onion Router” o Tor para ocultar sus usuarios.

• Uso obligatorio de Bitcoins.

Silk Road - Enorme incautación de Bitcoin por las Autoridades Federales

• 144,336 Bitcoins valorados en US$29 millones del presunto autor intelectual.

• 29,655 Bitcoins valorados cerca de unos US$5.8 millones de compradores y vendedores de Silk Road.

• Cierre de la red electrónica o portal.

Esquema Ponzi Utilizando Bitcoin

• Securities and Exchange Commission (SEC) acusó al propietario/operador de Bitcoin Savings & Trust de fraude contra sus inversionistas.

• Este esquema recaudó 700,000 Bitcoins, valorados en US$4.5 millones al momento del arresto.

El más Grande Intercambio en Bitcoin fue Sujeto a Decreto de Incautación Federal

Department of Homeland Security: • Incautados US$2.9 millones de la cuenta de un

afiliado de Mt. Gox’s en Estados Unidos (EEUU) con Dwolla,

• Incautados US$2.2 millones de la cuenta de la cuenta de un afiliado de Mt. Gox’s en EEUU con Wells Fargo.

Potencial Regulación• Leyes de transferencia de

dinero:– Requisitos del “Bank Secrecy Act”– La penalidad del “USA PATRIOT

Act” por el negocio de transferencia de dinero sin licencia

• La orientación de FinCEN sobre monedas virtuales– Preguntas acerca de la

aplicabilidad a los usuarios de Bitcoin y mineros

– Podría requerir normativa para precisar

• Reglamentación para el “Potential Commodities & Electronic Funds Transfer Act”

• Bitcoin podría enfrentar supervisión limitada por la “Commodity Futures Trading Commission” si los mercados se desarrollan.

• Servicios de cartera electrónicas de terceros podrían considerarse por definición “institución financiera” bajo la EFTA.

Interés del Congreso• GAO realiza auditorías con respecto a

monedas virtuales a petición del Comité del Senado de Finanzas de EEUU.– Monedas Virtuales: Orientaciones adicionales

podría reducir los riesgos de cumplimiento tributario (GAO-13-516).

• El Comité del Senado de EEUU sobre Seguridad Nacional y Asuntos Gubernamentales solicita información sobre las políticas relacionadas, procedimiento y planes de varias agencias federales.

Toni Gillich

gillicht@gao.gov(202) 512-3761