Ataques a Plataformas de Pago

Índice

Resumen        2

Introducción        3

Presentación        4

Antecedentes        4

Marco Teórico        5

Desarrollo        7

Caso 1: Ciberdelincuentes violaron información de 90000 clientes de Mastercard        13

Caso 2: Ciberataque al sistema SPEI de Banxico        15

Caso 3: Ataque a Sistema de Pago de AXA        17

Conclusiones        18

Bibliografía        19

Resumen

El rápido crecimiento del ciberespacio constituido por el Internet, las redes sociales, los sistemas de información y la evolución constante de las infraestructuras, ha generado, entre otras cosas, una mayor calidad, disponibilidad y alcance en los servicios que ofrecen las instituciones públicas y privadas en los diferentes mercados existentes en la economía. Además, la democratización y el acceso gratuito al conocimiento para la sociedad. No obstante, con el crecimiento del ciberespacio también se ha incrementado el uso mal intencionado de las tecnologías de la información, lo cual ha derivado en un sinfín de incidentes tecnológicos relacionados a la seguridad de la información, mejor conocidos como ciberataques. Un ejemplo claro de estos incidentes puede ser un acceso ilegal a un sistema electrónico o a una red informática con el fin de extraer información o interrumpir su correcto funcionamiento. Las entidades, derivado de la criticidad de sus activos, requieren defenderse de estos ataques por medio de la implementación de controles que permitan mitigar los riesgos existentes en el ciberespacio.

Palabras clave: ciberseguridad, ciberataque, incidente, ciberespacio, tecnologías de la información, PCI DSS, equipo de respuesta a incidentes (IRT).

Introducción

El continuo avance de las tecnologías de la información ha generado a lo largo del tiempo un debate entre las buenas prácticas y los usos mal intencionados de las mismas. El involucramiento de las tecnologías dentro de las actividades humana ha derivado en un alto grado de dependencia de éstas para la realización de simples tareas, las cuales pueden ser aplicables en cualquier momento, circunstancia o lugar a través de una conexión a internet y acceso a medios digitales.

Como consecuencia de la dependencia de la humanidad en las tecnologías de la información es que surgió la necesidad de proteger los activos (información) que son gestionados por medio de herramientas o equipos conectados al entorno del ciberespacio, es por ello que nace la disciplina de ciberseguridad.

Si bien es cierto que la evolución de las TIC’s y la existencia del ciberespacio ha traído beneficios en todos los ámbitos de la vida diaria, es evidente que aunado a ellos han surgido, de forma paralela, amenazas que ponen en riesgo la información transmitida, recibida, almacenada y procesada en este ambiente.

Todos los servicios ofrecidos y promovidos por instituciones públicas o privadas a través del ciberespacio, no están exentas de dichas amenazas; por dar un ejemplo, el uso de tecnologías de la información dentro del ámbito financiero para la realización de operaciones como consultas de saldos, realización de pagos, transferencias, solicitudes de crédito, etc., vuelve crítico el mantener segura toda la información transaccionada por este medio. Por lo anterior, es una necesidad la adopción de métodos o herramientas, e inclusive personal plenamente capacitado en la materia, que les ayuden a garantizar los atributos de la seguridad de la información como lo son la integridad, disponibilidad y confidencialidad de la misma.

El presente trabajo tiene como finalidad indagar sobre algunos casos de ciberataques o incidentes de seguridad relevantes a los sistemas electrónicos de pago del mercado actual, sus afectaciones, las medidas de contención consideradas, soluciones brindadas a dichos eventos, así como brindar una conclusión personal a dichos casos suscitados.

Presentación

Antecedentes

Actualmente nos encontramos en un escenario en el que la palabra ‘Ciberseguridad’ a todos nos suena, pero no sabemos realmente hasta qué punto puede afectar a nuestro día a día, tanto a nivel personal como profesional, y no solo a uno como individuo sino también a las compañías, las cuales cada vez se apalancan más de las Tecnologías de la Información para mejorar los servicios que ofrecen e innovar en los mismos, llegando al punto de digitalizar su oferta; lo anterior, incluye en gran medida a las Instituciones Financieras del país, las cuales procesan infinidad de transacciones diarias en sus diferentes sistemas de información y a través del ciberespacio.

El uso de las Tecnologías de Información para soportar actividades de negocio, como son las ofrecidas por las Instituciones Financieras al día de hoy (banca electrónica, banca móvil, pagos a través de códigos QR, etc.) o sistemas electrónicos de pago (MasterCard, VISA, American Express, Carnet, etc.), llevan de manera inherente muchos riesgos (como pueden ser robos de información, ciberataques, suplantación, etc.) que deben de ser considerados por las entidades para asegurar que el transaccionamiento realizado por sus usuarios, así como la información de los mismos que viajan a través de estos medios digitales (en el ciberespacio), se mantengan seguros, sean confiables, oportunos e íntegros. Si bien al día de hoy, existen reguladores que exigen el cumplimiento de ciertas leyes o disposiciones para brindar dicho aseguramiento de la información digital, también es cierto que no todas las empresas al día de hoy cuentan con un esquema robusto y maduro que permitan brindar “ciberseguridad” a la entidad. Aunado a lo anterior, la falta de un esquema de ciberseguridad a nivel nacional (como es el caso México), aumenta de manera considerable la exposición a ciberataques, no solo a instituciones financieras, sino inclusive infraestructuras críticas del país.

Si bien es cierto que los ciberataques no son un tema nuevo, si son un fenómeno que han venido en aumento de forma exponencial durante los últimos 6 años, ya que están asociados con la evolución de la misma tecnología y su cada vez mayor involucramiento en los diferentes rubros de la vida humana, no solo en los negocios, sino también en nuestra vida diaria. Es por lo anterior, la relevancia que toman este tipo de eventos y las afectaciones que pueden causar en caso de materializarse, hablando desde exposición, robo o alteración de información personal y de negocios, deterioros en la imagen y hasta pérdidas monetarias cuantiosas.

Marco Teórico

Para hablar de temas de ciberseguridad, al día de hoy tenemos un mundo de información que nos pueden dar información “valida”; sin embargo, para dar soporte sobre conceptos generales de ciberseguridad, se consultó lo publicado por el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés, National Institute of Standards and Technology).

El Instituto Nacional de Estándares y Tecnología (NIST) fue fundado en 1901 y ahora forma parte del Departamento de Comercio de EE. UU. NIST es uno de los laboratorios de ciencias físicas más antiguos del país, y la misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida. Como parte de esta misión, los científicos e ingenieros del NIST continuamente refinan la ciencia de la medición (metrología) creando una ingeniería precisa y una manufacturación requerida para la mayoría de los avances tecnológicos actuales. También están directamente involucrados en el desarrollo y pruebas de normas hechos por el sector privado y agencias de gobierno.

El NIST define la ciberseguridad como la “prevención de daños, protección y restauración de computadoras, sistemas de comunicaciones electrónicas, servicios de comunicaciones electrónicas, comunicaciones electrónicas y comunicaciones electrónicas, incluida la información contenida en ellas, para garantizar su disponibilidad, integridad, autenticación, confidencialidad y no repudio”.

Así mismo, este instituto define un ciberataque como “un ataque, a través del ciberespacio, dirigido al uso del ciberespacio de una empresa con el fin de interrumpir, deshabilitar, destruir o controlar maliciosamente un entorno / infraestructura informática; o destruir la integridad de los datos o robar información controlada”.

De la misma forma, el instituto nos proporciona una definición de ciberespacio, el cual es “un dominio global dentro del entorno de información que consiste en la red interdependiente de infraestructuras de sistemas de información que incluye Internet, redes de telecomunicaciones, sistemas informáticos y procesadores y controladores integrados.”

Por último, esta organización define las Tecnologías de Información como “cualquier equipo o sistema interconectado o subsistema de equipo que se utiliza en la adquisición automática, almacenamiento, manipulación, gestión, movimiento, control, visualización, conmutación, intercambio, transmisión o recepción de datos o información por parte de la agencia ejecutiva. Para propósitos de la oración anterior, el equipo es usado por una agencia ejecutiva si el equipo es usado directamente por la agencia ejecutiva o es usado por un contratista bajo un contrato con la agencia ejecutiva que: (i) requiere el uso de dicho equipo; o (ii) requiere el uso, en gran medida, de dicho equipo en la prestación de un servicio o el suministro de un producto. El término tecnología de la información incluye computadoras, equipos auxiliares, software, firmware y procedimientos similares, servicios (incluidos servicios de soporte) y recursos relacionados”.

...