1

Seguridad

Cibernética

Citibanamex Foro de Aseguradoras

Ciudad de Mexico | 8 de junio del 2017

David Herrerías

Director, Experto en Seguridad, Citibanamex

david.herreriascorzo@citibanamex.com

Treasury and Trade Solutions

1. Panorama de amenazas

3

Impacto Económico de los Ataques Cibernéticos

Un ataque cibernético es un intento por parte de criminales a través de internet para obtener acceso a un

sistema o red de sistemas, brindándoles la oportunidad de robar dinero y datos confidenciales, utilizando

métodos ya sean técnicos o no

El costo global estimado

de ataques cibernéticos

desde Febrero 20151

$445

Billones $241 Billones

El costo combinado

de tres economías

mundiales2

EE.UU

$116BN

China

$71BN

Alemania

$54BN

EE.UU. Alemania Rusia

$12.7M

$6.8M

$1.8M

El costo anualizado de los

ataques cibernéticos a companias3

Otros Países

$204BN

Computer Weekly; “Cyber crime is

a threat to global economy, says

researcher”; February 2015

McAfee; “Net Losses: Estimating

the Global Cost of Cybercrime”;

June 2014

Ponemon Institute; “2014 Global

Report on the Cost of Cyber crime”;

October 2014

4

Evolución y Amenazas Actuales

El volumen y la complejidad de las amenazas cibernéticas son cada vez mayores

TENDENCIAS CLAVE

Ingeniería Social | Víctimas predeterminadas | Herramientas sofisticadas | Persistencia/Visión de largo plazo

Suplantación de Identidad | Piratería del Correo Electrónico

1980’s

1990’s

2000’s

- h

oy

El criminal era un individuo.

Sus acciones eran oportunas y casuales.

Su deseo era “demonstrar que sí podían”.

Típicamente, los criminales todavía eran

individuos.

Pero sus acciones eran premeditadas y

planificadas.

Y sus deseos eran obtener una ganancia

financiera.

Los criminales pertenecen a organizaciones bien

estructuradas.

Sus acciones no solo son coordinadas, sino

también financiadas.

Los criminales son impulsados por las

oportunidades geopolíticas y ganancias financieras.

5

Actores de la Amenaza Cibernética

Existen diferentes tipos de actores que generan amenazas cibernéticas

El Estado-Nación La Piratería Informática (Hacktivism) El Terrorism

La Delincuencia Cibernética Empleados Internos

• Actores sofisticados

• Su objetivo son secretos

comerciales y datos sensibles

• Apoyan los intereses nacionales

• En la mayoría de los casos, los

ataques son destructivos

• En la mayoría de los casos, los

ataques son destructivos

• Política o ideológicamente

motivados

• Su meta es causar miedo

• En la mayoría de los casos, los

ataques son destructivos

• Financieramente motivados

• Uso frecuente de la

ingeniería social

• Las motivaciones varían incluyendo

fraude, venganza, deseo de

destrucción

• El acceso normalmente está

autorizado, lo que hace que la

detección sea mas difícil

6

¿Por qué la Gente Comete Fraudes?

Existen muchas respuestas a esta pregunta, sin embargo la experiencia indica que las razones tienden a

entrar en tres categorías: motivación, oportunidad y racionalización

Oportunidad Racionalización

Motivación

Avaricia o necesidad

Deudas personales, necesidades

financieras repentinas, apuestas…

“Me lo deben”

Lo merezco, los pagaré después,

nadie saldrá lastimado…

No me descubrirán

¿Existen controles de auditoría

o procesos de reconciliación?

Triángulo

del fraude

2. El Ecosistema de Seguridad

8

Interacciones Internas y Externas

La prevención del fraude requiere controles a lo largo de todas las relaciones de la empresa

Flujos financieros

del Cliente

Bancos

Proveedor externo

contratado

para funciones

financieras

Otras partes de la

Empresa

Seguridad de

Información y

Tecnología

Proveedores

Interacciones externas

Interacciones internas

9

Caso: WannaCry

Ataque de dimensiones globales efectuado el 12 de Mayo

Tipo de ataque: Ransomware – Código malicioso que encripta el sistema de archivos de las

computadoras afectadas. Defraudadores exigen US $300 para liberar los archivos.

¿Cómo sucedió? – El código toma ventaja de una vulnerabilidad de Microsoft Windows en un

protocolo comunmente utilizado para compartir archivos.

¿Se pudo haber evitado? – Sí. Microsoft liberó un fix de seguridad en Marzo, pero los Clientes

(típicamente grandes corporaciones) no suelen ser tan ágiles para realizar actualizaciones en

sus equipos.

Alcance a

150

Países

200,000

computadoras

afectadas

Fuente: Infopol

10

Tendencias y Tipos de Fraude en Banca Electrónica

Los métodos que utilizan los defraudadores cambian con el paso del tiempo y principalmente explotan

vulnerabilidades mediante ingeniería social

Mediante engaños, el defraudador busca obtener en tiempo real las credenciales y códigos de acceso para un

canal financiero, robando la identidad de la víctima e ingresando en el mismo momento a la sesión bancaria.

PHISHING

VISHING

MALWARE

11

Lo Más Común …

12

Mitos y Realidades

¿Cuáles son los bancos que utilizan los defraudadores?

MITO

Los defraudadores

atacan a usuarios del

banco más grande por

país o región…

REALIDAD

Loa ataques comienzan

utilizando a los bancos

principales y se mueven

hacia los más pequeños sin

olvidar a nadie…

13

Mitos y Realidades

MITO

Los defraudadores se

enfocan en sustraer

recursos directamente

de los bancos…

REALIDAD

Los defraudadores utilizan

métodos de ingeniería social

para robar datos sensitivos

de los usuarios…

Los defraudadores atacan al eslabón más débil

14

Mitos y Realidades

MITO

La seguridad es responsabilidad

del banco.

La seguridad es responsabilidad

de la empresa.

REALIDAD

¡La responsabilidad es

compartida!

¿Quién es responsable?

15

Mitos y Realidades

MITO

El banco y sus empleados tienen

acceso a mis claves

confidenciales…

REALIDAD

El banco almacena

información sensible de

forma encriptada…

Almacenamiento de datos sensibles

16

Mitos y Realidades

MITO

Los usuarios necesitan ser

expertos en temas de seguridad

cibernética…

REALIDAD

Únicamente se necesitan

aplicar mejores prácticas en

manejo de información y

equipos de cómputo…

¿Necesito una maestría en seguridad?

17

Mitos y Realidades

MITO

Internet es un ambiente inseguro

y todo es peligroso…

REALIDAD

¡Nuestras prácticas de

seguridad son peligrosas!

Internet… ¡cuidado!

3. Mejores Prácticas

19

Defensa Estratégica

La creación de una defensa que utiliza las mejores prácticas de seguridad de la industria es clave para

proteger los activos de las empresas

PREVENCIÓN DETECCIÓN RESPUESTA

Personas/Procesos/Tecnología

20

Defensa Estratégica - Prevención

Las medidas preventivas y las mejores prácticas para ayudar a mitigar el riesgo y agregar valor

PERSONAS PROCESOS TECNOLOGÍA

Segregación de deberes

El personal dedicado a tareas altamente

sensibles debe rotar periódicamente

El personal con responsabilidades

financieras debe de tomar ausencias

obligatorias

Una única persona no puede controlar una

transacción de principio a fin

Verificación de antecedentes

Los procedimientos de contratación deben

incluir la verificación de referencias e

investigación de antecedentes

La misma verificación ha de realizarse

cuando se contrata a terceras entidades

Identidad y gestión de acceso

La gestión del acceso privilegiado del

usuario requiere un proceso de control

El Dispositivo/Control de Software

Protección Anti-Malware y Anti-Virus

Actualizaciones del sistema y desarrollo

de un software seguro incluyendo la

revisión del Source Code

Acceso y gestión de derechos y licencias

Perímetro/Seguridad de la Red

Cortafuegos

Denegación de Servicio de Protección

Conectividad Segura/Autorizada

Autenticación de múltiples factores

Conectividad segura entre terceros con

contrafuegos y codificación

Gestión de proveedores

Revisión de procesos de pago de principio

a fin

Requisitos/procesos internos para la

gestión del Riesgo y la Seguridad de la

información de terceros

Evaluación de la Seguridad de la

información de terceros

Protección de datos

Limitar el acceso a datos sensibles o

confidenciales

Retención de datos, almacenaje y política

de la privacidad

Control y Segregación de Cuentas

21

Defensa Estratégica - Detección

Las medidas proactivas para detectar actividades fraudulentas ayudaran a mitigar riesgos nivel transaccional

PERSONAS PROCESOS TECNOLOGÍA

Entrenamiento de Personal

Promover entrenamientos periódicos

sobre amenazas cibernéticas y

reconocimiento de fraude

Pruebas periódicas y aleatorias basadas

en la habilidad para reconocer amenazas

comunes de los miembros de sus equipos

Monitoreo de la Red

La detección de intrusiones (ej. monitoreo

24/7 del trafico de la red para detectar

anormalidades)

Controles de anti-phishing (ej. la filtración

de correos electrónicos y falsos enlaces)

Protección de perdida de data importante

(ej. Monitoreo de correspondencia

electrónica que sale de la empresa)

Evaluación de Vulnerabilidad

“Hackeo” ético para identificar/remediar

debilidades

Auditorias

Revisiones periódicas y auditorías

Reconciliaciones

Reconciliación de cuenta diaria e

intradiaria utilizando múltiples medios

Revisión periódica de los informes de

transacciones e indicadores de actividad

22

Defensa Estratégica - Respuesta

PERSONAS PROCESOS TECNOLOGÍA

Reacción y Escalamiento

Emitir alertas y recordatorios al personal

para que sepan exactamente qué hacer en

el caso de un riesgo potencial o real

Garantizar el desarrollo de personal

especializado en la gestión de crisis

Medidas de Contingencia

La contingencia de infraestructura

Pruebas

Prueba de la capacidad de respuesta ante

un fallo de datos o sistemas ya sea

internos o de terceras entidades

Gestión de la Seguridad del Incidente

Proceso de extracción de la incidencia del

sistema

Pruebas periódicas del plan de defensa en

caso de un ataque cibernético

Comunicación Externa e Interna

Investigación y Seguros

Investigación de la causa principal

Informes puntuales de incidentes

Cobertura apropiada de seguros

La reacción adecuada y los mecanismos de recuperación son necesarios para poder mitigar el riesgo de

manera eficaz y oportuna

23

Recuerda …

DETENTE, PIENSA … DA CLIC

PREGUNTAS

IRS Circular 230 Disclosure: Citigroup Inc. and its affiliates do not provide tax or legal advice. Any discussion of tax matters in these materials (i) is not intended or written to be used, and cannot be used or

relied upon, by you for the purpose of avoiding any tax penalties and (ii) may have been written in connection with the "promotion or marketing" of any transaction contemplated hereby ("Transaction").

Accordingly, you should seek advice based on your particular circumstances from an independent tax advisor.

Any terms set forth herein are intended for discussion purposes only and are subject to the final terms as set forth in separate definitive written agreements. This presentation is not a commitment or firm offer and does not

obligate us to enter into such a commitment, nor are we acting as a fiduciary to you. By accepting this presentation, subject to applicable law or regulation, you agree to keep confidential the information contained herein and

the existence of and proposed terms for any Transaction.

We are required to obtain, verify and record certain information that identifies each entity that enters into a formal business relationship with us. We will ask for your complete name, street address, and taxpayer ID number.

We may also request corporate formation documents, or other forms of identification, to verify information provided.

[TRADEMARK SIGNOFF: add the appropriate signoff for the relevant legal vehicle]

© 2017 Citibank, N.A. All rights reserved. Citi and Citi and Arc Design are trademarks and service marks of Citigroup Inc. or its affiliates and are used and registered throughout the world.

© 2017 Citibank, N.A. London. Authorised and regulated by the Office of the Comptroller of the Currency (USA) and authorised by the Prudential Regulation Authority. Subject to regulation by the Financial Conduct Authority

and limited regulation by the Prudential Regulation Authority. Details about the extent of our regulation by the Prudential Regulation Authority are available from us on request. All rights reserved. Citi and Citi and Arc Design

are trademarks and service marks of Citigroup Inc. or its affiliates and are used and registered throughout the world