Modelo para Combatir Los Mecanismos de Fraude en Banca Movil - Final-2

UNIDAD PROFESIONAL INTERDISCIPLINARIA DE
INGENIERA Y CIENCIAS SOCIALES Y

ADMINISTRATIVAS
OPCIN DE TITULACIN: SEMINARIO
SEGURIDAD DE LA INFORMACIN Y CONTINUIDAD DEL NEGOCIO
PROYECTO FINAL
MODELO PARA COMBATIR LOS MECANISMOS DE FRAUDE EN BANCA
MVIL
INTEGRANTES
Nombres
Boleta
Programa
Acadmico
Telfono
Correo electrnico
Rafael Flores Romero
2010603267
I.N.
5550740272
ralix250@gmail.com
ngel Garca Jurez
2010430109
I.N.
5528477593
createsillusions@hotmail.com
2006601269
I.N.
5533522813
victorhernandez.ramon@hotmail.com
2006600458
C.I.
5537083519
chio2309@gmail.com
2009600789
C.I.
5520375454
susymar_16@hotmail.com
Vctor Manuel Hernndez

Ramn
Roci Prez Apolinar
Mara Susana Reynoso
Reyes
Lic. Jorge Alejandro Cerezo Hernndez

Director del proyecto
Ing. Ramn Chvez Lpez

Jefe del Programa Acadmico de Ingeniera
de en Informtica
Fecha de inicio: 23 de Mayo de 2015
Lic. Jos Bulmaro Nava Hernndez

Jefe del Programa Acadmico de Ciencias
la Informtica
Fecha de trmino: 09 de Enero de 2016
INSTITUTO POLITCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA

DE INGENIERA Y CIENCIAS SOCIALES
Y ADMINISTRATIVAS
MODELO PARA COMBATIR LOS MECANISMOS DE

FRAUDE EN BANCA MVIL
QUE PARA
INGENIERO
P
R
RAFAEL
NGEL
VCTOR
OBTENER
EN
N
EL
TTULO
DE
INFORMTICA
S
E
N
T
A
N
FLORES
ROMERO
GARCA
JUREZ
MANUEL
HERNNDEZ RAMN
QUE
PARA OBTENER
EL
TTULO DE
LICENCIADO EN CIENCIA DE LA INFORMTICA
P
R
ROCI
MARA
S
E
N
T
A
PREZ
APOLINAR
SUSANA
REYNOSO
REYES
MXICO D.F.
2016
NDICE
Resumen i
Introduccin .......................................................................................................................................... ii
Captulo I Marco Metodolgico ........................................................................................................ 1
1.1 Planteamiento del problema...................................................................................................... 1
1.2 Objetivos.................................................................................................................................... 2
1.3 Tcnicas de investigacin ......................................................................................................... 2
1.4 Justificacin ............................................................................................................................... 3
Captulo II Sistemas de Telefona Mvil .......................................................................................... 5
2.1 Componentes de un sistema celular ......................................................................................... 5
2.2 Tecnologas de acceso celular .................................................................................................. 9
2.2.1 Estndares de comunicacin de telefona mvil .................................................................. 10
2.3 Cdigos de Identificacin ........................................................................................................ 15
2.4 Evolucin en la tecnologa mvil ............................................................................................. 18
2.4.1 Generacin cero (0G) ........................................................................................................... 19
2.4.2 Primera generacin (1G) ...................................................................................................... 19
2.4.3 Segunda generacin (2G) .................................................................................................... 20
2.4.4 Tercera generacin (3G) ...................................................................................................... 20
2.4.5 Cuarta generacin (4G)........................................................................................................ 21
Captulo III Nociones Bsicas de Banca Mvil ............................................................................. 24
3.1 Banca Mvil ............................................................................................................................. 24
3.2 Expectativa de la popularidad de pagos mviles en Mxico .................................................. 26
3.3 Cmara de compensacin ...................................................................................................... 27
3.3.1 Prosa / E-Global ................................................................................................................... 27
3.4 Seguridad de la informacin.................................................................................................... 28
3.5 Modelos de seguridad ............................................................................................................. 28
3.5.1 OneTime Password (OTP) .................................................................................................. 29
3.6 Madurez del mercado de pagos mviles ................................................................................ 35
Captulo IV Riesgos de Banca Mvil e Ingeniera Social ............................................................ 37
4.1 Aspectos generales de seguridad ........................................................................................... 37
4.1.1 Activacin del servicio .......................................................................................................... 37
4.2 Riesgo por Sistema Operativo Mviles (S.O.) ........................................................................ 38
4.2.1 Riesgos de seguridad en IOS .............................................................................................. 41
4.2.2 Riesgos de seguridad en Android ........................................................................................ 42
4.3 Diferentes Modos de ataque ................................................................................................... 47
4.3.1 Exploits Zero-day ................................................................................................................. 47

4.3.2 Man in the Middle ................................................................................................................. 47
4.3.3 Sniffers ................................................................................................................................. 48
4.3.4 Clonacin de SIM (Mdulo de Identificacin del Suscriptor) ............................................... 48
4.3.5 Secuestro de sesin (Session Hijacking) ............................................................................. 48
4.3.6 Malware ................................................................................................................................ 49
4.3.7 XSS ...................................................................................................................................... 49
4.4 Ingeniera social ...................................................................................................................... 49
4.4.1 Formas de Ingeniera Social ................................................................................................ 50
4.4.2 Riesgos por Ingeniera Social .............................................................................................. 51
4.5 Entidades vulnerables a ataques de ingeniera social ............................................................. 51
4.5.1 Caractersticas de los comportamientos vulnerables a ataques de ingeniera social ......... 52
4.5.2 Tipos de la ingeniera social ................................................................................................. 53
Captulo V Normativas y Leyes ...................................................................................................... 56
5.1.1 Legislacin en Mxico .......................................................................................................... 56
5.1.2 Cdigo Federal de Procedimientos Civiles .......................................................................... 57
5.1.3 Cdigo Penal Federal ........................................................................................................... 58
5.1.4 Ley Federal de Proteccin al Consumidor ........................................................................... 60
5.1.5 Ley para la Transparencia y Ordenamiento de los Servicios Financieros ........................... 60
5.1.6 Instituto Federal de Acceso a la informacin y Proteccin de Datos (IFAI) ......................... 62
5.1.7 Circular nica de Bancos o CUB ......................................................................................... 63
5.2 Entidades Normativas ............................................................................................................. 64
5.2.1 CONDUSEF ......................................................................................................................... 64
5.2.2 CNBV (Comisin Nacional Bancaria de Valores) ................................................................ 65
5.3 Controles ................................................................................................................................. 71
5.4 Banxico .................................................................................................................................... 74
Captulo VI Modelo para Combatir los Mecanismos de Fraude en Banca Mvil ...................... 78
6.1 Modelo de seguridad para el desarrollo de aplicaciones seguras .......................................... 78
6.2 rea de desarrollo ................................................................................................................... 79
6.3 rea de pruebas ...................................................................................................................... 81
6.3.1 Identificacin del riesgo ........................................................................................................ 81
6.3.2 Clasificacin del riesgo ......................................................................................................... 82
6.3.2.1 Riesgo tecnolgico ............................................................................................................ 83
6.3.2.2 Riesgo por ingeniera social .............................................................................................. 85
6.4 rea de concientizacin del usuario ....................................................................................... 86
6.4.1 Mitigacin de ataques de Ingeniera Social ......................................................................... 86
6.4.2 Concientizacin al usuario ante ataques de ingeniera social ............................................. 90

6.4.3 Recomendaciones para prcticas de seguridad con el uso de dispositivos mviles .......... 93
6.5 Polticas de seguridad en las reas ms sensibles ................................................................ 94
Conclusiones ................................................................................................................................... 101
Bibliografa....................................................................................................................................... 103
Glosario .... 106
Resumen
Los Smartphone o celulares suelen ser usados por mucha gente como canal de acceso a servicios
financieros o como instrumento de pago, esto es conocido como Banca Mvil, dichas acciones se
puede llevar a cabo gracias a las Apps que las instituciones bancarias ponen a nuestra disposicin.
Pero como cualquier avance tecnolgico viene acompaado de retos, entre ellos nos podemos
encontrar con, la adopcin de la tecnologa, la falta de seguridad y las regulaciones.
La seguridad es el principal riesgo tanto para las instituciones bancarias pero mayormente para los
usuarios, ellos siempre van a exigir garantas de que sus transacciones son seguras y en caso de
algn fraude el reembolso de cualquier prdida debido a brechas de seguridad.
La realidad es que la seguridad no solo es responsabilidad de las instituciones o empresas que

prestan el servicio de la banca mvil, tambin depende en gran parte de los mismos usuarios. El
ritmo de vida que actualmente se tiene, en muchas ocasiones lleva a omitir ciertas medidas de
seguridad muy bsicas, las cuales son de suma importancia en el mbito de la seguridad de
informacin.
La educacin o concientizacin que los usuarios beben tener es parte primordial para garantizar
una completa seguridad.
En el presente documento se genera un modelo de seguridad el cual tiene por objeto ayudar a
salvaguardar la informacin que se utiliza a travs de los dispositivos mviles la cual forma parte
crucial en el proceso de la banca mvil
Se realizan recomendaciones para solucionar problemas de seguridad en la informacin durante el

uso de las aplicaciones de banca mvil, esto se logra gracias a la implantacin de un programa de
concientizacin y sensibilizacin en seguridad que incorpore buenas prcticas para que los
usuarios en sus labores diarias sean conscientes de los riesgos que puede representar ciertas
acciones descuidadas y se genere conciencia sobre la importancia de seguir las recomendaciones
para llevar a cabo un correcto manejo de la informacin.
Esto
beneficiar en gran medida a la enorme lucha que lleva acabo para disminuir fraudes
bancarios, esto tambin nos lleva a lograr que la banca mvil tenga una mayor penetracin en la
comunidad Mexicana que cuenta ya con algn Smartphone.
Introduccin
La seguridad informtica se encarga de proteger los sistemas computacionales y todo lo que se
relaciona al sistema (como informacin almacenada, bases de datos, software, hardware, etc.) por
medio de la creacin e implementacin de estndares, protocolos y herramientas de seguridad
adems de ampararse con las leyes propias de cada pas con respecto a la proteccin de datos
personales.
Sin embargo, con el desarrollo de nuevas herramientas de tecnologa y de comunicacin, surgen

personas que buscan explotar las vulnerabilidades de estas nuevas tecnologas, pero sobre todo
se enfocan en engaar al eslabn ms dbil de una cadena de seguridad: el usuario.
Los telfonos mviles representan una solucin rentable para los usuarios de los bancos y
servicios bancarios, las instituciones financieras y operadores, lo que les permite incorporar una
mejora en la entrega de los servicios que ofrecen las instituciones bancarias.
El espectacular aumento en el uso de telfonos mviles ha sido seguido de cerca por el aumento
del fraude mvil. Aunque deseosos de utilizar los servicios financieros mviles, muchos usuarios se
preocupan por el aspecto de la seguridad en la realizacin de transacciones financieras a travs de
la red mvil. De hecho, la falta de seguridad es vista como el mayor obstculo en la adopcin
generalizada de los servicios financieros mviles.
En el presente trabajo de investigacin se describe brevemente el funcionamiento, estructura y

evolucin a lo largo de los aos el servicio de comunicacin mvil, del mismo modo en que
abordar el concepto de la Banca Mvil, as como los componentes y tecnologas involucrados
para su funcionamiento, las medidas de seguridad adoptadas y el nivel de madurez del servicio
que ha alcanzado dentro de la sociedad, sin dejar de lado las leyes que han sido generadas por
parte del gobierno y las organizaciones reguladoras con el fin de llevar una supervisin de las
instituciones que ofrecen el servicio de la banca mvil.
Todo lo anterior se analizar para poder llegar a la determinacin de un modelo de desarrollo que
permita fortalecer los puntos ms vulnerables que conforman la banca mvil.
ii
Captulo I Marco Metodolgico

1.1 Planteamiento del problema
Hoy por hoy el avance constante de la tecnologa y la tendencia de movilidad adoptada por una
gran parte de la poblacin ha permitido posicionar a la Banca Mvil en un lugar muy importante,
permitiendo que cada vez ms personas puedan gestionar su actividad financiera.
Las instituciones bancarias promueven la banca mvil mediante sus aplicaciones (Apps) con el fin
de hacer ms amena la utilizacin de sus herramientas y as ofrecer comodidad al realizar
cualquier transaccin que el usuario desee, debido a ello no se debe perder de vista los objetivos
por lo cual la aplicacin se construy y en vez de ser una solucin pueda convertirse en un
problema.
Entre los problemas que destacan y conspiran contra el desarrollo de la Banca Mvil, se encuentra
la falta de seguridad o, lo que se puede traducir como la poca confianza que los usuarios tienen en
los servicios de pagos a travs del celular, tambin el miedo a la clonacin y el no contar con una
cuenta bancaria. El miedo al robo del equipo celular, el incremento de la factura y el robo de la
informacin personal tambin pueden ser motivos de desconfianza.
Las capacidades de los hackers profesionales que hoy en da van escalando niveles, y el manejo
incorrecto de estos medios, son factores importantes. La incertidumbre se centra en las que
podran ser fuentes de vulnerabilidad del sistema que son difciles de identificar o predecir.
Los delincuentes irn cada vez ms por los usuarios de dispositivos mviles. No se detendrn en
slo ganar acceso a las cuentas de banca en lnea de las vctimas, incluso irn por el robo de
identidad. La inseguridad ciberntica se acenta debido a que la cultura de la prevencin entre los
usuarios es frgil. Tpicamente los cibercriminales usarn la ingeniera social para persuadir a los
usuarios a instalar un certificado falso y software de seguridad en sus telfonos mviles,
permitiendo el robo de identidad mediante el phishing el cual consiste en capturar datos personales
y bancarios de los usuarios a travs del uso de imgenes bancarias. La instalacin de aplicaciones
maliciosas y la visita a sitios web dainos no sern los nicos vectores de infeccin mvil, la
explotacin de vulnerabilidades entre plataformas ser una de las ms grandes amenazas mviles.
A pesar de contar con infraestructura tecnolgica de seguridad existen una infinidad de mtodos y
tcnicas que permitan a un atacante obtener informacin confidencial sin necesidad de utilizar
tecnologa muy sofisticada, una de estas tcnicas es la ingeniera social. Este tipo de tcnica
pretende engaar a los usuarios con el fin de obtener informacin confidencial, a travs de la
manipulacin psicolgica y habilidades sociales. La Ingeniera Social puede ser utilizada por
personas mal intencionadas para llegar a obtener informacin, o realizar algn tipo de acto que
perjudique al usuario final en su banca mvil.
De acuerdo a lo anterior se necesita establecer normativas y un plan de concientizacin y

educacin que sirvan como estndar para establecer un control correcto para el buen uso de las
aplicaciones mviles. Estas normas pueden en algn momento no ser aplicadas en todos los
productos, subproductos, servicios y transacciones relacionados, lo cual puede poner en riesgo la
satisfaccin del cliente.
1.2 Objetivos
Objetivo general
Generar un modelo que disminuya problemas de seguridad ante la presencia de fraudes en la

Banca Mvil que se pueden presentar en los prximos aos, el cual debe contemplar herramientas
para la autenticacin mltiple, estndares para el transporte de los datos y almacenamiento de la
informacin sensible recopilada por la aplicacin. Adems de la creacin de planes de
concientizacin hacia los usuarios sobre el manejo de las Apps.
Objetivos especficos
Identificar tcnicas para la autenticacin en Apps bancarias.
Identificar aquellas actuaciones que pueden provocar un problema de seguridad para la

proteccin de los activos de Informacin de cualquier empresa, mostrando la forma
correcta de actuar ante una lista de situaciones habituales en el trabajo diario.
Establecer formas de proteccin ante la Ingeniera Social
Exponer planes de concientizacin hacia los usuarios de las Apps de Banca Mvil.
1.3 Tcnicas de investigacin

El tipo de investigacin ser del tipo descriptiva, por lo cual se describir la Banca Mvil en todos
sus aspectos y se explicar la forma de cmo obtener mejor seguridad y asegurar la preferencia de
2
la poblacin. La investigacin consiste en determinar los factores que an no se han tomado en

cuenta para poder tener un mayor porcentaje de seguridad y disminuir las vulnerabilidades que se
presentan en la Banca Mvil, analizar los motivos que pueden impulsar a los usuarios de
Smartphone a seguir desconfiando de las Apps bancarias mviles, la costumbre y actitudes que
tienen estos mismos y las actividades que puede derivar a un fraude bancario.
Para poder as crear un modelo que nos permita reducir los incidentes derivados de la poca
seguridad que pueden presentar la Banca Mvil en Mxico. Todos los aspectos son teorizados,
aunque sus alcances sern prcticos en la medida que sean tomados en cuenta por las entidades
bancarias.
Un estudio descriptivo se aplica para deducir una circunstancia que se est presentando: Se aplica
describiendo todas sus dimensiones, en este caso se describe el rgano u objeto a estudiar. Los
estudios descriptivos se centran en recolectar datos que describan la situacin tal y como es. Por lo
que se describir todos los aspectos en la gestin y seguridad de las transacciones.
Tcnicas de investigacin
La investigacin que se realizar ser mediante el uso de la tcnica documental, ya que el marco
referencial junto con el anlisis de las normas, hipervnculos visitados, artculos encontrados
relacionados con el tema y diferentes fuentes que hablen sobre la seguridad y dispositivos mviles
1.4 Justificacin
Dentro de la sociedad mexicana se presenta desconfianza ante el uso de la tecnologa y en mayor
medida cuando se trata del capital de los individuos, se trata da a da que se mejore la cultura
tecnolgica brindando la confianza hacia la poblacin y as mismo seguridad en los medios
tecnolgicos. Ante la necesidad de normatividades y estndares para el ejercicio de la auditoria
informtica se busca la creacin y un constante desarrollo en las prcticas como lo son las normas
ISO.
Aunque en la actualidad la legislacin existente relacionada con la informtica sigue siendo

escasa, en los ltimos aos los gobiernos comienzan a tomar conciencia de la necesidad de exigir
responsabilidades en los riesgos derivados de los sistemas informticos y de la necesidad de
establecer controles adecuados.
No obstante la utilizacin de estos marcos normativos, no son aplicados en todos los productos y
servicios relacionados con las tecnologas de informacin, lo que hace vulnerable la calidad de sus
procesos y por ende pone en riesgo la satisfaccin del cliente donde sabemos que hoy en da, la
permanencia de una empresa en un entorno de globalizacin creciente, est en relacin a la
calidad total.
El Pago mvil y la Banca mvil siendo relativamente nuevos en nuestro pas, no son inmunes a los
riesgos que generan los procesos de tecnologa de informacin. Por ello, es indispensable
establecer un modelo de seguridad que ayude a realizar un anlisis de los riesgos existentes y en
base a estos riesgos tratar de implementar mecanismos de seguridad que permitan a los usuarios
confiar en el Pago mvil y Banca Mvil.
Normas como ISO 27002, as como las diferentes disposiciones emitidas por la Comisin Nacional
Bancaria y de Valores, mismas que fueron publicadas en el Diario Oficial de la Federacin el 3 de
Junio del 2013, en las cuales se propuso flexibilizar algunos de los requerimientos aplicables a los
mecanismos y procedimientos a los que se sujetan las instituciones de crdito durante la
prestacin del servicio de banca electrnica, preservando la seguridad en el manejo de la
informacin de las cuentas, as como de los medios que se utilizan para ingresar a esta
informacin, a fin de prevenir un mal uso tanto de los datos como de los medios por parte de
aquellas personas que no son titulares de las cuentas, pueden servir de gua para llevar a la
Banca Mvil a obtener la robustez necesaria para que pueda alcanzar una mayor aceptacin en la
poblacin.
Por lo anterior es que la visin de la presente investigacin, es generar un modelo de seguridad

que permita mitigar los riesgos inherentes a los que est expuesta la Banca Mvil, mediante la
propuesta de mecanismos que permitan evaluar las vulnerabilidades ms comunes de las Apps
bancarias, lo cual le proporcionar a los Licenciados en Ingeniera en Informtica los
conocimientos detallados acerca del funcionamiento de los mecanismos de seguridad necesarios
para la proteccin de la informacin de los usuarios en cualquier herramienta generada por los
mismos.
Del mismo modo que los Licenciados de Ciencias de la Informtica podrn analizar las normas y
leyes aplicables al negocio, as como adquirir las habilidades para determinar si las soluciones
generadas se encuentran encaminadas en la misma direccin a la que desea dirigirse el negocio.
Lo cual permitir generar en conjunto un modelo de datos tcnicos necesarios para mitigar el
problema de la seguridad, as como tambin la visin que permitir proponer soluciones que
ayuden al crecimiento y fortalecimiento del negocio.
Captulo II Sistemas de Telefona Mvil

La telefona mvil o telefona celular es un sistema de comunicacin totalmente inalmbrico, que se
da a partir del uso de elementos pequeos denominados clulas a las cuales nos referimos
comnmente como celulares.
Estos han sido uno de los inventos ms importantes y ms difundidos en las ltimas dcadas,
llegando a millones de personas, lo cual ha propiciado un cambio significativo en la manera de
comunicarnos y de hacer negocios, a lo largo de este captulo hablaremos de aspectos importantes
que nos permitirn entender el funcionamiento de estos poderosos mecanismos de comunicacin.
2.1 Componentes de un sistema celular

De acuerdo a la COFETEL un sistema celular se forma al dividir el territorio al que se pretende dar
servicio, en reas ms pequeas llamadas clulas, en cada clula hay una estacin base que ser
una antena que tiene una amplitud para emitir y recibir en ese hexgono de espacio. (COFETEL,
2008).
Cada clula utiliza varias decenas de canales. Un canal es por donde se puede emitir una llamada,
cada clula se puede emitir varias decenas de llamadas diferentes de manera simultnea (una por
canal). (Henandez, 2014)
Las clulas de antena de radio normalmente cubren reas hexagonales las cuales suelen tener un
rea de 13km, sin embargo, esta puede verse disminuida en reas densamente pobladas o por
barreras fsicas naturales, cada una de las cuales, es atendida por una estacin radio base
restringiendo su cobertura a la misma, al aprovechar la propagacin limitada de las ondas de radio
a frecuencias elevadas ya que los telfonos celulares necesitan menos energa para transmitir y
alcanzar cualquier estacin base que cubre un rea ms pequea.
Reduciendo la energa necesaria para la transmisin, se reduce el tamao de la batera y

consecuentemente el peso, esto contribuye a la reduccin de tamao de los telfonos celulares, y
utilizando asimismo enlaces de microondas para comunicarse con las estaciones radio base
conectadas a las centrales telefnicas y celulares.
Todo se transmite de manera inalmbrica, utilizando ondas electromagnticas que viajan por aire.
Figura 1 Sistema de clulas

Los elementos que componen el funcionamiento de un sistema celular, son los siguientes:
Centrales de Telefona Celular (MTX Mobile Telephone Exchange; MTSO Mobile Telephone
Office "Switch" o MSC Mobile Service Center): Una Central de Telefona Celular no es otra cosa
sino una Central de Telefona Pblica dedicada al servicio de telefona celular, y se compone de
dos sistemas:
APT o Sistema de computacin.
APZ o Sistema de procesamiento de datos.
Su principal funcin es el manejo y control de los dems elementos del sistema como son las
Estaciones Base, Enlaces y los Equipos Terminales.
Estaciones Base: Es el equipo que se encarga de comunicar a la Central de Telefona Celular con
todos los equipos terminales y unidades mviles, que se encuentren dentro de la cobertura del
sistema.
Los elementos ms visibles de una estacin base son las antenas, que emiten la energa
electromagntica necesaria para establecer la comunicacin con los usuarios de telfonos mviles
que se encuentran en la zona de cobertura de esta estacin base. Adems de las antenas, la
estacin base est compuesta de equipos electrnicos transmisores/receptores y de una serie de
elementos auxiliares de conexin al sistema radiante para su correcto funcionamiento.
Tambin cabe destacar, como parte del conjunto de una estacin base, otras instalaciones
accesorias como pueden ser las torres, soportes, los pararrayos, tomas de tierra, etc.
Las estaciones base pueden clasificarse atendiendo a distintos criterios.
Segn su localizacin /radio de cobertura.
Atendiendo a este criterio se pueden distinguir dos tipos de estaciones base:
A.
Estaciones base en entornos urbanos.
B.
Estaciones base en entornos rurales
Dependiendo de la potencia transmitida se pueden distinguir los siguientes tipos de estaciones

base:
A. Macroclulas.
B. Microclulas.
C. Picoclulas
Las estaciones base son las encargadas de realizar el enlace con el usuario que recibe o efecta
una llamada con un telfono mvil. Los enlaces son medios de transmisin que sirven para unir o
enlazar los componentes del sistema, como podran ser:
Microondas Terrestres: Suelen utilizarse antenas parablicas al igual que en el microondas

normal, en las largas distancias. Su problema es que la atenuacin aumenta con las
lluvias.
Microondas por Satlite: El satlite recibe las seales y las amplifica o retransmite en la
direccin adecuada con los receptores y emisores de la tierra. El satlite debe ser
geoestacionario. Se utiliza este sistema para la difusin de la televisin, la transmisin
telefnica a larga distancia y en redes privadas.
3G: Es una abreviatura para "tercera generacin" de telefona mvil. Los servicios
asociados con la tercera generacin proporcionan la posibilidad para transferir tanto voz y
datos (una llamada telefnica) y datos no-voz (como la descarga de programas,
intercambio de correo, y mensajera instantnea).
Equipos Terminales o Unidades Mviles: A travs de estos, los usuarios finales obtienen el
servicio.
El terminal mvil est formado por los siguientes elementos: un altavoz, un micrfono, una pantalla
de cristal lquido, un teclado, una antena (exterior o integrada), una batera, una placa de circuito
de radiofrecuencia y una placa de circuito de interfaz de usuario.
Asimismo, para poder realizar la compresin y descompresin de los datos, los mviles disponen
de un procesador digital de seales que trata todas las tareas del teclado, controla las seales de
la estacin base y realiza todas las funciones de coordinacin de los mismos.
Red de Telefona Pblica Conmutada: A pesar de que no forma parte integral, al funcionar
como interconexin con el Sistema de Telefona Celular, es considerada como parte para
su operacin.
La red telefnica pblica conmutada (PSTN, Public Switched Telephone Network): Es una
red con conmutacin de circuitos tradicional optimizada para comunicaciones de voz en
tiempo real. Cuando llama a alguien, cierra un conmutador al marcar y establece as un
circuito con el receptor de la llamada. (Telecomunicacin, s.f.)
PSTN garantiza la calidad del servicio al dedicar el circuito a la llamada hasta que se cuelga el
telfono. Independientemente si los participantes en la llamada estn hablando o en silencio,
seguirn utilizando el mismo circuito hasta que la persona que llama cuelgue. (Microsoft, MSDN
Library, Telefona PSTN, 2005)
Figura 2 Sistema de comunicacin
2.2 Tecnologas de acceso celular

Las tecnologas utilizadas actualmente para la transmisin de informacin en las redes son
denominadas de acceso mltiple, debido a que ms de un usuario puede utilizar cada una de las
celdas de informacin.
Actualmente existen tres diferentes mtodos de acceso a las celdas:
FDMA (Acceso mltiple por divisin de frecuencia)
Permite el acceso a las celdas dependiendo de las frecuencias. Separa el espectro en distintos
canales de voz, al dividir el ancho de banda en varios canales uniformemente segn las
frecuencias de transmisin. Los usuarios comparten el canal de comunicacin, pero cada uno
utiliza uno de los diferentes subcanales particionados por la frecuencia. Mayormente es utilizada
para las transmisiones analgicas, aun cuando es capaz de transmitir informacin digital.
TDMA (Acceso mltiple por divisin de tiempo)
Divide el canal de transmisin en particiones de tiempo. Comprime las conversaciones digitales y

luego las enva utilizando la seal de radio por un perodo de tiempo. Los usuarios comparten el
mismo canal de frecuencia, pero lo utilizan en diferentes intervalos de tiempo.
Esta tecnologa permite tres veces la capacidad de un sistema analgico utilizando la misma
cantidad de canales.
CDMA (Acceso mltiple por divisin de cdigos)
Esta tecnologa, luego de digitalizar la informacin la transmite a travs de todo el ancho de banda
del que se dispone, a diferencia de TDMA y FDMA. Las llamadas se sobreponen en el canal de
transmisin, diferenciadas por un cdigo de secuencia nico. Permite que los usuarios compartan
el canal y la frecuencia.
Como es un mtodo adecuado para la transmisin de informacin encriptada, se comenz a utilizar

en el rea militar. Esta tecnologa permite comprimir de 8 a 10 llamadas digitales para que ocupen
lo mismo que ocupa una llamada analgica.
En la siguiente figura se muestra un grfico comparativo del funcionamiento de las mencionadas

tecnologas. (Google, 2011)
Figura 3 Tecnologas de acceso
2.2.1 Estndares de comunicacin de telefona mvil

Estndares de primera generacin
AMPS (Advanced Mobile Phone Service)

El sistema de telefona AMPS, es conocido como Servicio Telefnico Mvil Avanzado. Fue
diseado en la mitad de la dcada de los 60, obteniendo su licencia final en 1981.
Utiliza un espectro de 50 MHz en la banda de los 800 MHz. El espectro localizado para AMPS es
compartido por dos portadoras celulares en cada rea o regin. Cada portadora divide el espectro
en canales, utilizados para comunicar desde las estaciones bases en las celdas hasta los
dispositivos mviles, y canales de reversa utilizados para comunicacin entre los dispositivos
mviles y las estaciones base. Los canales son divididos en canales de voz de 30 kHz que
emplean Modulacin de Frecuencia (Frecuency Modulator, FM) para transmitir la voz.
Narrow AMPS
Este sistema conocido como Narrowband AMPS, fue desarrollado en 1992 con el objetivo de
proporcionar mayor cantidad de canales para telefona celular analgica. Transmite en la banda de
10
frecuencias de 824-894 MHz. Los canales son divididos en canales de voz de 10 kHz que emplean
Modulacin de Frecuencia (FM) para transmitir la voz. (TechTarget, 2006)
Estndares de segunda generacin
GSM (Global System for Mobile Communications).
Es un estndar mundial para telfonos celulares, formalmente conocida como Group Special
Mobile (GSM, Grupo Especial Mvil). GSM adems usa la encriptacin para mayor seguridad en
las llamadas telefnicas. GSM es una norma internacional en Europa, Australia y la mayora de
Asia y frica.
Fue creado por CEPT (Organismo Internacional que agrupa a las entidades responsables en la
Administracin Pblica de cada pas europeo de las polticas y la regulacin de las
comunicaciones, tanto postales como de telecomunicaciones), y posteriormente desarrollado por
ETSI (European Telecommunications Standars Institute organizacin de estandarizacin de la
industria de las telecomunicaciones de Europa con proyeccin mundial) para estandarizar la
telefona celular en Europa, luego adoptado por el resto del mundo.
En el ao 2001, el 70% de los usuarios de telefona mvil en el mundo usaban GSM. Es un

estndar abierto, no propietario y que se encuentra en desarrollo constante.
GSM emplea una combinacin de TDMA y FDMA entre estaciones en un par de canales de radio
de frecuencia duplex, con baja lupulizacin de frecuencia entre canales. TDMA se utiliza para
informacin digital codificada, por lo que GSM es un sistema diseado para utilizar seales
digitales, as como canales de voz digitales, lo que permite un moderado nivel de seguridad.
Existen cuatro versiones principales, basadas en la banda: GSM-850, GSM-900, GSM-1800 y

GSM-1900, diferencindose cada una en la frecuencia de las bandas.
Con GSM, las conexiones se pueden utilizar tanto a la voz, como a datos, lo que permiti el avance
del envo y consumo de datos a travs de los celulares. Los casos ms comunes son las imgenes
que se pueden enviar y recibir, y el uso de aplicaciones a travs de los telfonos mviles, tal es el
caso de Internet.
Las implementaciones ms veloces de GSM se denominan GPRS y EDGE, tambin denominadas

generaciones intermedias, o 2.5G, que conducen a la tercera generacin (3G), o UMTS.
11
GPRS (General Packet Radio Service)
Es una actualizacin de GPRS, embala hasta 69.2Kbps en ocho timeslots, considerada una
tecnologa de 2.75G.
El Instituto de telecomunicaciones Standars Europeo (ETSI) desarrollo la tecnologa GPRS una

comunicacin basada en paquetes de datos, en donde se pueden enviar informacin (datos) a
travs de la red GSM, de forma rpida y atractiva. GPRS est diseado para hacer uso de internet
en el celular y sus servicios derivados como escribir y recibir mails, transferencias de ficheros por
FTP y llamadas VOIP de una manera veloz y eficiente.
EDGE (Enhanced Data Rates for Global Evolution)
Tecnologa de la telefona mvil celular, que acta como puente entre las redes 2G y 3G. EDGE se
considera una evolucin del GPRS (General Packet Radio Service). Esta tecnologa funciona con
redes GSM y puede ser usado en cualquier transferencia de datos basada en conmutacin por
paquetes (Packet Switched), como lo es la conexin a Internet.
El EDGE triplica la velocidad de datos, pero ofrece un rea de cobertura menor. En teora, el EDGE
posee un rendimiento de hasta 384 Kbits/s en el caso de estaciones fijas (peatones y vehculos
lentos) y hasta 144 Kbits/s para estaciones mviles (vehculos veloces), la Redundancia
Incremental, la cual, en vez de re-transmitir los paquetes de informacin alterados, enva ms
informacin redundante que se combina en el receptor, lo cual incrementa la probabilidad de una
decodificacin correcta.
Estndares de tercera generacin
UMTS (Universal Mobile Telecommunications System)
Es una tecnologa usada por los mviles de tercera generacin y conocido como Sistema Universal
de Telecomunicaciones Mviles
(UMTS, de acuerdo a sus siglas en ingls, tambin llamada
W-CDMA) que ofrece capacidades multimedia ms eficientes, una velocidad de acceso a Internet
ms rpida y una transmisin de voz con calidad similar a las ofrecidas por redes fijas.
Entre las caractersticas resaltantes del sistema UMTS estn:
Posibilidad de conectarse a Internet mediante un equipo celular a alta velocidad.
12
Capacidad multimedia que permite disfrutar de audio y video en tiempo real.
Excelente transmisin de voz con calidad equiparable a las redes fijas.
Los servicios que puedes disfrutar con esta tecnologa 3G son el acceso a Internet, servicios de
banda ancha, roaming internacional e interoperabilidad. Pero en especial, la posibilidad de
desarrollar entornos multimedia para la transmisin de vdeo e imgenes en tiempo real, y contar
con nuevas aplicaciones y servicios tales como videoconferencia o comercio electrnico.
GERAN (GPS/EDGE Radio Access Network)
Los estndares para GERAN fueron desarrollados por el 3GPP (Proyecto Asociacin de Tercera
Generacin).Actualmente tambin es combinada en redes GSM/UMTS.
GERAN est basada en las tcnicas de transmisin de velocidad EDGE, combinada con mejoras
sobre la interface del enlace de radio GPRS.
WAP (Wireless Application Protocol)
Es una especificacin de protocolos estndar para aplicaciones que utilizan los dispositivos de
comunicacin inalmbricos, aplicaciones como por ejemplo el acceso a Internet desde un celular,
el acceso a correo electrnico, u otros.
El lenguaje primario del protocolo WAP es el WML (Wireless Markup Language), lenguaje
interpretado por los navegadores WAP, de similares caractersticas al HTML.
Las nuevas versiones de WAP, utilizan XML que a futuro permitir el verdadero acceso web para
los dispositivos porttiles, utilizando un subconjunto de XHTML (eXtensible Hyper Text Markup
Language, lenguaje pensado para sustituir a HTML como estndar para las pginas web) llamado
XHTML Basics.
Durante la conferencia NetMedia2000 realizada en Londres, especialistas en Internet y la telefona

mvil han recalcado que WAP no es ms que un estndar temporal, ya que las limitaciones que
posee no permiten la extensibilidad del sistema WAP hacia las diferentes tecnologas utilizadas en
el desarrollo de aplicaciones web. Asimismo, Jakob Nielsen, sealado como el "gur de la
usabilidad de las pginas Web" por New York Times, describe este sistema como un "abordaje
equivocado a la portabilidad".
13
Una de las limitaciones del sistema WAP es justamente el hecho de ser un micro-browser que
nicamente puede interpretar el lenguaje WML, lo que significara para las compaas tener que
desarrollar contenidos propios en dicho lenguaje o adaptar los existentes.
Estndares de cuarta generacin
LTE (Long Term Evolution)
Las siglas LTE significan Evolucin a Largo Trmino. Esta tecnologa fue creada por el 3GPP (3rd
Generation Partnership Project), el cual es una colaboracin entre grupos asociados de
telecomunicaciones.
Es la evolucin de los estndares GSM/UMTS, algo con lo que estamos un poco ms relacionados,
y su finalidad es la de aumentar la capacidad y velocidad de las redes de datos inalmbricas
haciendo uso de un nuevo procesado de seal digital (DSP, por sus siglas en ingls).
El LTE es un gran cambio con respecto al 3G, pero no cumple con los estndares del 4G es mejor
definido como 3.9G, ya que no es ni 3G, ni 4G, pero se encuentra cercano a esta ltima. Para
poder combatir esta debilidad, el 3GPP lanz la nueva especificacin conocida como LTEAdvanced.
LTE Advanced
LTE Advanced es el candidato real a 4G de parte del 3GPP. Esta mejora para el LTE llega a
finales del 2009. Desafortunadamente, el LTE en su octava versin fue el que se adopt como
estndar internacional, mientras que el Advanced an no ha tenido una gran aplicacin.
El LTE Advanced, es la versin 10 del LTE y cumple con la caracterstica de velocidad propuesta
para el 4G, alcanzando 1Gb/s de velocidad de bajada.
WIMAX
WiMAX (Worldwide Interoperability for Microwave Access o Interoperabilidad mundial de acceso
por microondas) est diseado como una alternativa Wireless al acceso de banda ancha DSL y
cable, y una forma de conectar nodos Wifi en una red de rea metropolitana (MAN). Podemos
tambin definirlo como un sistema de comunicacin digital, tambin conocido como IEEE 802.16.
14
WiMAX puede proveer de acceso de banda ancha Wireless de hasta 50 Kilmetros.
Algunas de las ventajas de WiMAX son:
Puede dar cobertura a un rea bastante extensa y la instalacin de las antenas para
transmitir y recibir, formando estaciones base, son sencillas y rpidas de instalar. Esto lo
hace adecuado para dar comunicacin en ciudades enteras, pudiendo formar una MAN, en
lugar de un rea de red local como puede proporcionar Wifi.
WiMAX tiene una velocidad de transmisin mayor que la de Wifi, y dependiendo del ancho
de banda disponible, puede producir transmisiones de hasta 70 MB comparado con los 54
MB que puede proporcionar Wifi.
Puede ser simtrico lo cual significa que puede proporcionar un flujo de datos similar tanto
de subida como de bajada.
Las antenas de WiMAX operan a una frecuencia de hasta 60 MHz. Un detalle a tener en
cuenta es que las antenas no tienen que estar directamente alineadas con sus clientes.
WiMAX est pensado para construir una infraestructura de red cuando el entorno o distancia no es
favorable para una red cableada. Es una alternativa ms rpida y barata que tener que instalar
cables.
Cabe destacar que WiMAX frum es un grupo de empresas que se encargan de disear las
normas y estndares de la tecnologa WiMAX y a probar todos los nuevos componentes que van
surgiendo. Actualmente lo forman ms de 100 compaas y seguir aumentando.
2.3 Cdigos de Identificacin

Todos los telfonos celulares tienen cdigos asociados a ellos. Estos cdigos sirven para
identificar al telfono, al propietario del telfono y a la empresa proveedora del servicio.
15
ESN (Nmero de Serie Electrnico).
Se utiliza para reconocer los dispositivos mviles que acceden a determinadas redes de
telecomunicaciones. El ESN es asignado he incrustado por el fabricante del dispositivo,
generalmente se encuentra por debajo de la batera de un dispositivo mvil, o en la parte posterior
del dispositivo. Una vez incorporado, el ESN no es fcilmente alterable, por lo que se puede utilizar
para comprobar electrnicamente el dispositivo mvil contra el uso fraudulento.
Cada ESN es un nmero de 32-bits que consta de tres campos: un cdigo de fabricante (ocho
bits), un nmero de serie nico (18 bits), y una extensin (seis bits). En la prctica, el nmero de
serie y la extensin han sido combinados en un nmero de serie de 24-bits para identificar cada
unidad mvil. Bajo este formato de asignacin se distinguieron 256 fabricantes por ESN.
Pero cuando este nmero result insuficiente, se alter a 32-bits para reflejar un cdigo de
fabricante de 14-bits y un nmero de identificacin de 18-bits.
El ESN se utiliza para identificar los dispositivos mviles soportados en las primeras tres redes
inalmbricas: Servicio de Telefona Mvil Avanzado (AMPS), Time Division Multiple Access
(TDMA) y Acceso Mltiple por Divisin de Cdigo (CDMA). Cada vez que el telfono se utiliza, es
decir, cada vez que accede a la red, el ESN se registra automticamente, transmite
inmediatamente el suscriptor inalmbrico y lo asocia con la cuenta de suscripcin y al nmero
asignado al telfono mvil. Esta transmisin del ESN es el modo en que el interruptor de proveedor
de servicio es capaz de validar la llamada. Facilita el enrutamiento y la conversin de las llamadas
mviles a medida que se hace o se recibe por distintos usuarios de telefona mvil y por telfono
fijo.
NAM (Mdulo de asignacin de nmero)
Es la EPROM (memoria de slo lectura programable y borrable) en un telfono mvil que contiene
informacin como el ESN o SID. Los campos de datos almacenados en el NAM de un telfono
varan entre las distintas especificaciones de telefona mvil, tales como AMPS / NAMPS, GSM,
PCS, CMDA. En las redes modernas, NAM puede ser reprogramado.
Algunos telfonos mviles estn equipados con el NAM que puede contener mltiples nmeros de
telfono. Esto permite que el telfono pueda tener varios nmeros de telfono de uno o de
mltiples operadores.
16
SID (System Identification Data)
Un nmero de 5 dgitos que le es asignado a cada empresa de telefona mvil. Es un parmetro

que diferencia a la regin que presta el servicio celular de otras.
SOC (Cdigo de Operacin del Sistema)
Sirve para fijar la banda de transmisin sobre la que trabajar el equipo celular, no importando la
intensidad con la que otra banda transmita, el nmero siempre ser 12 o 0012.
IRBD (Base de Datos de Roaming Inteligente)
Permite definir los operadores de la red con los cuales el telfono puede tener servicio local y de
Roaming.
MAHO (Mobile Assisted Handoff)
MAHO Un traspaso asistido mvil es un proceso utilizado en redes celulares GSM en un telfono
mvil para transferir una llamada a otra estacin base. Es una tcnica utilizada en
telecomunicaciones mviles para transferir un telfono mvil a un nuevo canal de radio con fuerte
intensidad de la seal y la mejora de la calidad del canal.
Subsidy Lock
Es un cdigo de 8 dgitos que se graba en el telfono al momento de su fabricacin. Este cdigo es

un cdigo aleatorio y nico para cada telfono. Este cdigo es el que se debe insertar en el
telfono cuando se quiere utilizar con una compaa distinta de la que posee como parmetro de
validacin. Aunque hay otros nombres para la tecnologa, el cdigo de bloqueo por lo general se
refiere a que un telfono est restringido a operar en una red particular.
IMEI (International Mobile System Equipment Identity)
Sistema Internacional para la Identidad de Equipos Mviles, es un cdigo USSD pre-grabado en

los telfonos mviles GSM. Este cdigo identifica al aparato unvocamente a nivel mundial, y es
transmitido por el aparato a la red al conectarse a sta.
17
Para la operadora que usemos no slo conoce quin y desde dnde hace la llamada (SIM) sino
tambin desde qu terminal telefnica la hizo. La empresa operadora puede usar el IMEI para
verificar el estado del aparato mediante una base de datos denominada EIR (Equipment Identity
Register).
Este nmero puede observarse fcilmente en la caja cuando compramos un telfono nuevo, o en
el caso de telfonos usados, el IMEI puede encontrarse en el compartimiento de la batera, debajo
de la misma.
Tcnicamente, un nmero IMEI consta de 14 dgitos ms un digito adicional con el propsito de

verificacin. Estos nmeros se dividen en cuatro partes:
TAC (Type Allocation Code): Compuesta por los primeros 6 dgitos
Final Assembly Code (FAC): Los siguientes dos dgitos e indican el fabricante del equipo.
Nmero de serie: Los seis dgitos siguientes
Cdigo verificador: El ltimo dgito, utilizado para verificar que el IMEI es correcto.
El propsito de la implementacin del IMEI en equipos de telefona celular va ms all de la simple

identificacin, pudindose utilizar tambin para el bloqueo del acceso a las redes de comunicacin
de los equipos cuyos nmeros se encuentra en las llamadas Listas negras.
Es por ello que si tenemos la desgracia de que nos hayan robado el celular, lo primero que
tenemos que hacer es notificar a nuestra operadora, la cual inmediatamente bloquear el acceso
de nuestro dispositivo a la red.
2.4 Evolucin en la tecnologa mvil

Si bien es cierto que la tecnologa mvil est con nosotros desde la dcada de los 70s, ha sufrido
cambios fundamentales que hacen que la que hoy conocemos no tenga mucho de la original. Son
las diferentes generaciones de antenas y tecnologas que evolucionan mantenido compatibilidad
con los tipos de frecuencias y conexiones anteriores.
18
Los cambios tecnolgicos nos han pasado bastante desapercibidos, excepto por la reduccin de
los costes del servicio, por el significativo incremento de sus funcionalidades y por el cambio de las
siglas: 0G, 1G, 2G, 3G, 4G.
Figura 4 Evolucin de sistemas mviles.
2.4.1 Generacin cero (0G)

La 0G representa a la telefona mvil previa a la era celular. Los Mobile Radio Telephone (RadioTelfono Mvil) fueron los primeros telfonos mviles que existieron, que incluan las tecnologas
PTT, MTS, IMTS y AMTS.
Eran unos radiotelfonos disponibles como un servicio comercial conectado a la red de telefona
fija, con sus propios nmeros, eran una especie de red como la radio policaca.
Los telfonos celulares (cellphone) aparecieron debido a la invencin de las clulas hexagonales
en 1947, los ingenieros de Bell Labs en AT&T desarrollaron ms a fondo esta tecnologa durante
los aos 60.
2.4.2 Primera generacin (1G)

La 1G de la telefona mvil hizo su aparicin en 1979, si bien prolifer durante los aos 80.
Introdujo los telfonos "celulares", basados en las redes celulares con mltiples estaciones de base
relativamente cercanas unas de otras, y protocolos para el "traspaso" entre las celdas cuando el
telfono se mova de una celda a otra.
La transferencia analgica y estrictamente para voz, son caractersticas principales de la

generacin. Con calidad de enlaces muy reducida, la velocidad de conexin no era mayor a (2400
bauds) y respecto a la seguridad, las medidas preventivas no formaban parte de esta primitiva
telefona celular. Como suele ocurrir, en un principio no haba estndar alguno, por lo que la
19
telefona 1G sola cubrir nicamente el pas donde se haba desarrollado, al ser incompatible con
las redes del resto de los pases.
La tecnologa predominante de esta generacin es AMPS (Advanced Mobile Phone System), si

bien fue introducida inicialmente en los Estados Unidos, fue usada en otros pases en forma
extensiva. El TACS (Sistema de Comunicacin de Acceso Total) fue introducido en el Reino Unido
y muchos otros pases.
2.4.3 Segunda generacin (2G)

La segunda generacin de telefona mvil adopt la tecnologa digital y la introduccin de la
telefona rpida y avanzada a las redes. La mayor parte de las terminales usan el Sistema Global
para Comunicaciones Mviles, o GSM, que se dise desde el inicio para facilitar el roaming
internacional y se lanz en 1992.
Una vez que la segunda generacin se estableci, las limitantes de algunos sistemas en lo
referente al envo de informacin se hicieron evidentes. Antes de llegar a la tercera generacin, la
telefona celular incorpor mejoras tecnolgicas a la 2G, cuyos avances fueron modificando su
concepto. Entonces se hablaba de generaciones 2.5G.
El General Packet Radio Service (GPRS) desarrollado para el sistema GSM fue de los primeros en
ser visto. Hasta este momento, todos los circuitos eran dedicados en forma exclusiva a cada
usuario. El nuevo sistema permita a los usuarios compartir un mismo canal, dirigiendo los
paquetes de informacin desde el emisor al receptor. Esto permite el uso ms eficiente de los
canales de comunicacin, lo que habilita a las compaas proveedoras de servicios a cobrar menos
por ellos.
An ms cantidad de mejoras fueron realizadas a la taza de transferencia de informacin al

introducirse el sistema conocido como EDGE (Enhanced Data rates aplicado a GSM Evolution).
2.4.4 Tercera generacin (3G)

3G es una tecnologa mvil la cual como diferencia bsica sobre la precedente es la conmutacin
de paquetes para la transmisin de datos. Que permite al usuario navegar en internet sin cables.
Con la capacidad de transmisin de voz y datos a travs de la telefona mvil, los servicios de la
tercera generacin permiten al suscriptor la posibilidad de transferir tanto voz y datos en una simple
20
comunicacin telefnica o una videoconferencia, as como tambin transmitir nicamente datos

sin voz- como descargas de programas, intercambio de correos electrnicos, mensajera
instantnea, etc., y todo con una velocidad de 384 kbps que posibilita ver videos.
Esta transmisin de datos se facilita desde el momento en que los telfonos celulares de 3G
tuvieron acceso a conexiones de Internet. Asimismo, el desarrollo tecnolgico alcanzado permite la
compatibilidad mundial y la coexistencia con los servicios mviles con las redes de segunda
generacin. Por si fuera poco, la 3G increment el grado de seguridad al autenticar la red a la que
se est conectando.
Una serie de nuevos celulares apareci en esta Generacin, con caractersticas nuevas como la
videoconferencia, conexin a Internet, visualizacin de tv en vivo, y todas las funciones mejoradas
que provea la 2G.
2.4.5 Cuarta generacin (4G)

El gran avance tecnolgico que distingue a la cuarta generacin de la 3G tiene que ver con la
eliminacin de los circuitos de intercambio, para emplear nicamente las redes IP (protocolo de
Internet), es decir, aquellas que se producen con la confluencia entre redes de cables e
inalmbricas, aptas para celulares inteligentes o Smartphone y mdems inalmbricos, entre otros.
La 4G es un sistema y una red, que se alcanza gracias a la convergencia entre las redes de cables
e inalmbricas. La principal diferencia con las generaciones predecesoras ser la capacidad para
proveer velocidades de acceso mayores de 100 Mbit/s en movimiento y 1 Gbit/s en reposo,
manteniendo una calidad de servicio de punta a punta de alta seguridad que permitir ofrecer
servicios de cualquier clase en cualquier momento, en cualquier lugar, con el mnimo coste posible.
Esta nueva red de alta velocidad se apoya en las tecnologas denominadas LTE y WiMAX.
Los sistemas LTE permiten que la red 4G alcance velocidades superiores a los 100 megabits por
segundo. As, podremos enviar imgenes ms rpidamente que con la red 3G, adems de realizar
envos de contenidos ms pesados de una forma ms cmoda que con la anterior generacin de
red.
La red 4G nos permite acceder de forma ms fluida a todo el contenido online, incluido a aqul que
se encuentre ubicado en nuestros servicios en la nube, pudiendo subir nuevos archivos al servicio
rpidamente. Por otro lado, ahora permite video llamadas HD sin cortes, as como disfrutar de
21
mayor velocidad de acceso a los servicios en Streaming de televisin, series o pelculas en alta
definicin.
Otra de las ventajas que ofrece la evolucin a 4G de la red mvil, se centra en que esta optimizada
para que los dispositivos compatibles con esta tecnologa (Smartphone, Tablets, Laptops, etc.)
puedan operar sin cortes cuando stos se encuentren en movimiento.
La cuarta generacin de tecnologa en telecomunicaciones mviles, es prcticamente un estndar

aplicado al mercado mvil. Para que una tecnologa pueda ser considerada como parte del 4G,
esta debe de cumplir con ciertos requisitos caractersticos de esta nueva generacin de
conectividad.
El 4G es un estndar con ciertas caractersticas o requisitos, los cuales son dados por el Sector de
Normalizacin de las Radiocomunicaciones de la Unin Internacional de Telecomunicaciones
(ITU), quienes tienen como tarea el regular la mayor parte del espectro radioelctrico.
Dichas
caractersticas
tienen
la
denominacin
de
IMT-Advanced
(International
Mobile
Telecommunication-Advanced) o en espaol, IMT-Avanzadas. Un sistema celular de IMTAvanzadas debe de cumplir con los siguientes requisitos o prestaciones:
Alto grado de uniformidad de funciones en todo el mundo, manteniendo al mismo tiempo

la flexibilidad de admitir una amplia gama de servicios y aplicaciones rentables.
Compatibilidad de servicios con las IMT y las redes fijas.
Compatibilidad con el protocolo IPv6.
Capacidad de interfuncionamiento con otros sistemas de acceso radioelctrico.
Servicios mviles de elevada calidad.
Equipo de usuario de utilizacin en todo el mundo.
Aplicaciones, servicios y equipos de fcil utilizacin.
Capacidad de itinerantica mundial.
22
Velocidades mximas de transmisin de datos mejoradas para admitir aplicaciones y

servicios avanzados (como objetivo a los efectos de la investigacin, se han establecido
velocidades de 100 Mbit/s para una movilidad alta y de 1 Gbit/s para una movilidad baja).
Aunque popularmente se considera al LTE como 4G, esta tecnologa es slo una de este grupo,
sin embargo, es la ms comn cuando hablamos de internet mvil de ltima generacin.
El problema de que el 4G usado en mviles es el mencionado 3.9G, y este an no se encuentra
implementado a gran escala, a diferencia del 3G, por lo que an queda camino por recorrer para
que est disponible para todos los usuarios de redes celulares. (Mvil, 2010)
23
Captulo III Nociones Bsicas de Banca Mvil

La idea de efectuar pagos con dispositivos mviles existe desde hace varios aos y no son pocas
las compaas que a lo largo del tiempo han desarrollado diferentes soluciones tecnolgicas para
tratar de hacer cotidiano lo que hoy en da no lo es, por lo cual, hemos sido testigos del avance
constante de la tecnologa y sobre todo de su implementacin en diversas industrias y el sector
financiero no ha sido la excepcin, por lo cual el sector financiero ha comenzado a migrar sus
plataformas ofreciendo diversos canales tecnolgicos a travs de los cuales se puede realizar
transacciones financieras desde cualquier lugar en el que el usuario se encuentre al mismo tiempo
y se le permita ahorrar tiempo y dinero en desplazamientos.
Lo anterior ha dado origen a un nuevo concepto, la Banca Mvil, el cual analizaremos a lo largo del
presente captulo ahondando en su concepto, los componentes y tecnologas involucrados para su
funcionamiento, medidas de seguridad adoptadas as como el nivel de aceptacin y la madurez el
servicio que ha alcanzado dentro de la sociedad.
3.1 Banca Mvil

Se denomina Banca Mvil al proceso de prestacin de servicios bancarios y de transferencias de
dinero por medio de telfonos mviles. Con ella los usuarios pueden utilizar sus telfonos celulares
para acceder a sus cuentas bancarias, hacer transferencias de dinero, para pagar servicios,
productos, crditos bancarios, entre otros. Todo eso de forma segura, simple e independiente del
lugar y la hora.
La Banca Mvil aprovecha las caractersticas nicas de los telfonos mviles para acceder a los
servicios bancarios de forma segura, rpida y ubicua. Permitiendo al Sistema Bancario aprovechar
una infraestructura tecnolgica que ya est generalizada en casi todo el mundo, la red de telefona
celular, para llegar de forma ms efectiva a mayor nmero de clientes. Esta posibilidad le permite
reducir notablemente los costos al tiempo que presenta una opcin muy atractiva de acceso a sus
servicios.
Desde 2012, en Mxico operan diferentes plataformas de banca mvil, la mayora de las cuales
permiten a sus usuarios realizar transferencias a travs de mensajes SMS, retirar dinero de cajeros
automticos y consultar su saldo sin la necesidad de contar con una tarjeta de crdito/dbito. Pese
a la diversidad de opciones, hasta la fecha existen diversas barreras a la adopcin de este tipo de
servicios, pues la informacin para los consumidores an es escasa. Asimismo, algunas
plataformas se encuentran disponibles nicamente para usuarios de determinados operadores e,
24
incluso, hay algunas que se encuentran nicamente para quienes ya son clientes de una Institucin
bancaria determinada, dejando de lado a usuarios potenciales del servicio.
Los bancos en Mxico ya venan ofreciendo desde 2009 el servicio de recarga de tiempo aire para
el celular y compras con establecimientos autorizados con el sistema Nipper. La mayora de los
bancos que operan en el pas, tanto los grandes como algunos pequeos, ya empujan los servicios
digitales, las instituciones bancarias participantes son BBVA Bancomer, Banca Mifel, HSBC,
Banregio, Banamex, Santander, Banco del Bajo, Banco Azteca, Scotiabank, IXE Banco, Bans y
Banco Inbursa.
Bancomer cre la Direccin de Banca Digital que aunado a las transacciones electrnicas bsicas
a travs de banca mvil, este banco busca facilitar la vida financiera de las personas. Como parte
de esta estrategia, ha presentado tres productos:
SMS Banking, destinado a usuarios con telfonos de baja gama, con el que se puede
consultar saldo y enviar dinero a travs de mensajes de texto.
BBVA Wallet, billetera electrnica (tarjetas digitales) para realizar compras en comercios
afiliados. Los datos de las tarjetas estn almacenados en la nube y disponibles tal y como
fuera una billetera fsica.
App Vida Bancomer, con la que informa al cliente sobre descuentos y promociones con su
tarjeta de crdito en los comercios que estn a su alrededor, o sobre ofertas del banco.
Para Banamex, los servicios en lnea y a travs de dispositivos mviles son estratgicos a futuro.
La banca en lnea contina teniendo una fuerte presencia tanto para pymes como para personas
fsicas por lo que Banamex ve la posibilidad de seguir creciendo en este rubro para los prximos
aos.
Banorte tiene diseadas diversas aplicaciones para banca mvil en temas especficos, que le
permiten al cliente desde consultar su saldo, usar sus cuentas bsicas, recargar tiempo aire, pagar
su tarjeta de crdito y administrar algunos de sus productos bancarios. Si un cliente recibe una
renovacin de su tarjeta de crdito, la puede activar por telfono, incluso puede reportarla en su
mvil como extraviada.
Banorte tambin ha desarrollado el token celular que sirve tanto para banca mvil como para
banca por Internet, adems de una billetera digital para comercio electrnico.
25
BanBajo a su vez le ha apostado al tema de la banca mvil, y ha logrado crecimientos importantes

en los ltimos aos.
An es limitado el nmero de plataformas de banca mvil disponibles en el pas, su creacin

representa, en s misma, un avance en el camino por poner a Mxico en el mapa de la
bancarizacin. Gracias a su creacin y al inters de los usuarios mexicanos de telecomunicaciones
es previsible que, conforme aumente la penetracin de los Smartphone y los servicios banda
ancha mvil, el nmero de cuentas bancarias asociadas a un dispositivo mvil crezca.
3.2 Expectativa de la popularidad de pagos mviles en Mxico

La tendencia de pagos mviles sigue en crecimiento en el pas y se espera que en los prximos
cinco aos Mxico sea un lder a nivel mundial en la materia, seal un estudio que difunde la
compaa Moneta Technologies, esto se debe a la penetracin de los dispositivos mviles, de los
cuales, los telfonos son la primera forma de conexin para que los usuarios realicen pagos y
accedan a servicios bancarios por lo que Mxico ya pudiera ingresar a una etapa de comercio y
manejo de transacciones bancarias a travs de aparatos mviles, tal como lo deja ver un estudio
realizado por la Asociacin Mexicana de Internet y comScore, en el que se destaca que las
tendencias ms favorables se encuentra el uso de servicios financieros mviles, donde 18% de los
mexicanos utiliz una aplicacin de banca mvil en el 2014. De igual forma, 17% utiliza una
billetera mvil y 12% ha comprado algn artculo con un Smartphone. (Notimex, 2015)
El uso de pagos mviles es y ser cada vez ms comn ya que las instituciones bancarias tiene
aplicaciones para facilitar los pagos y el acceso a servicios, sin embargo, existen puntos clave que
debern resolverse para asegurar que las expectativas se cumplan y es que la razn para no usar
estos servicios es el temor a fraudes electrnicos, por lo que sin la seguridad apropiada, muchos
usuarios no tendrn el mnimo reparo para prescindir de la conveniencia de esta tecnologa y
seguirn realizando sus transacciones en computadoras de escritorio o fsicamente. La CNBV ha
establecido nuevos modelos de negocio mediante las Disposiciones de Carcter General
Aplicables a Instituciones de Crdito -tambin conocida como Circular nica de Bancos o CUBpara incluir las reglas de operacin a travs de corresponsales bancarios, servicios financieros
mviles, apertura simplificada de cuentas y bancos de nicho. Sin embargo se sigue buscando un
ptimo control y seguridad de la informacin de los datos sensibles que son transmitidos,
aadiendo una estrategia educativa para que la poblacin vaya admitiendo estas nuevas variantes
que permite la tecnologa para avanzar hacia operaciones de dinero ms prcticas y seguras.
26
3.3 Cmara de compensacin

Las cmaras de compensacin son sistemas que permiten a un banco cobrar los pagos que su
cliente hizo con los cajeros automticos, terminales punto de venta y cualquier medio de pago
perteneciente a otro banco. (Lpez Domnguez, 2015)
El sistema bancario mexicano ya tiene la infraestructura para que sus clientes puedan hacer
operaciones financieras bsicas desde su celular y ya existe una cmara de compensacin que
permite dichas operaciones ya que el Banco de Mxico (Banxico) ha autorizado a la sociedad
Operadora de Pagos Mviles de Mxico, la organizacin y operacin de una cmara de
compensacin de Transferencias a travs de Dispositivos Mviles. La sociedad est integrada por
Amrica Mvil, Citigroup-Banamex y Grupo Inbursa.
Antes de que existiera esta cmara de compensacin, cada banco desarrollaba su propia
aplicacin para que sus cuentahabientes hicieran operaciones bancarias desde su celular. Sin
embargo, esas operaciones slo podan realizarse si la cuenta bancaria y la aplicacin eran del
mismo banco.
El nombre de las cmaras que han operado desde antes de la reforma financiera, son E-Global y
Prosa.
3.3.1 Prosa / E-Global

Prosa proporciona servicios de procesamiento de tarjetas y pagos a 90 bancos e instituciones
financieras para el enrutamiento, el procesamiento y la liquidacin de transacciones en Mxico y
Amrica Latina. (CONDUSEF, 2015)
Prosa ha utilizado los servicios de ACI Worldwide durante ms de 25 aos como su proveedor
estratgico para la funcionalidad de su actividad principal, poder realizar transacciones con un
volumen de 1,200 millones por ao y administrar 37.000 cajeros automticos.
ACI BASE24-eps es un sistema de procesamiento de pagos integrado que adquiere, valida, rutea y
autoriza transacciones financieras a travs de diversos canales. Brinda una amplia funcionalidad
para soportar pagos - tarjetas tradicionales, cajeros automticos y transacciones en sucursales
bancarias que las instituciones administran en la actualidad; al igual que las transacciones con
gran crecimiento como el comercio mvil y las operaciones bancarias por Internet. (PROSA, 2008)
27
E-Global, el procesador de pagos electrnicos ms grande en Mxico, proporciona conmutacin y

tarjeta de procesamiento de servicios a casi dos tercios de los dispositivos de punto de venta en
Mxico que equivalen a los 350,000. Para encontrar su reemplazo en tecnologa de conmutacin,
E-Global trabaj estrechamente con el sistema entrega y servicios de Startups Technologies
Mxico.
Utiliza plataforma de transacciones de pagos de NCR Corporation. Authentic de Alaric es capaz de

crear reglas de validacin ms rpidamente, mejorar la consistencia de sus datos y obtener una
mejor visibilidad en su proceso de validacin. Authentic es una plataforma de software de alto
rendimiento para la autorizacin de la conmutacin y el pago que puede dirigir transacciones entre
varios adquirentes, emisores, redes y otros switches y soporta dispositivos de una gama completa
de terminales punto de venta (POS). (E-Global, 2015)
3.4 Seguridad de la informacin

De acuerdo a John R. McCumber, son todas aquellas medidas tecnolgicas, de normas y
procedimientos y de formacin que aseguran la confidencialidad, integridad y disponibilidad de la
informacin en sus estados de proceso, almacenamiento y transmisin. Esta definicin parte de un
modelo fcil y completo de seguridad, independiente del entorno, arquitectura o tecnologa que
gestiona informacin.
La seguridad de la informacin est caracterizada por la preservacin de los siguientes aspectos o

propiedades:
Confidencialidad: Los recursos del sistema solo pueden ser accedidos por los elementos
autorizados.
Integridad: Los recursos del sistema solo pueden ser modificados o alterados por los elementos
autorizados
Disponibilidad: Los recursos del sistema deben permanecer accesibles a los elementos
autorizados. (Computing, 2000)
3.5 Modelos de seguridad

La seguridad bancaria figura en la mente de la mayora de las personas como las herramientas y
estrategias que utiliza la banca para proteger el dinero y los datos de sus clientes, pero la realidad
28
es que significa mucho ms que eso. Implica una continua investigacin para crear sistemas que
faciliten las transacciones financieras y a su vez, sean impermeables a los amigos de lo ajeno.
Hoy da los bancos permiten grandes facilidades para la gestin de las finanzas a travs del
Internet, los telfonos inteligentes y las tabletas, pero detrs de todas estas posibilidades se
encuentran plataformas muy complejas interconectadas entre s que garantizan la seguridad.
Una de las aplicaciones para la banca que estn desarrollando en Synergy-GB es un Modelo de
Autenticacin Grfica, donde el cliente utilizara categoras de imgenes (animales, transporte,
herramientas, etc.) a manera de contrasea, donde slo tendr que recordar la categora de su
preferencia sin importar el orden o ubicacin en que estn la pantalla.
Otra aplicacin que est prxima a implementarse en los sistemas de un banco comercial nacional
es la biometra de voz, que permitir al cliente utilizar su mvil para hacer una grabacin corta,
que ser utilizada posteriormente para el reconocimiento de voz con la cual ser identificado en el
futuro.
La codificacin de contraseas a travs de OTP (OneTime Password), un tipo de clave que se

genera para un solo uso en un tiempo determinado, ya est siendo utilizada, pero la idea es
generarlo a travs del mvil automticamente sin que el usuario tenga que intervenir en su
generacin y que vaya encriptado al enviar los datos.
Las aplicaciones del futuro sern las que no hagan que el usuario tenga que recordar largas y
complicadas contraseas, sino que se identifique por lo que l es, ya sea con reconocimiento
facial, un gesto o cualquier otro por el que se determine que no puede ser otra persona.
La biometra an est en estudio y que tal vez no se haya determinado la potencialidad en las
aplicaciones que impliquen altos niveles de seguridad, mientras tanto se seguir estudiando la
seguridad desde el lado del usuario, como las geobarreras, el geoposicionamiento y otros mtodos
de este tipo.
3.5.1 OneTime Password (OTP)

Una contrasea de un solo uso (OTP) es una contrasea vlida para una sola sesin de inicio o de
la transaccin, en un ordenador del sistema u otro dispositivo digital. Las OTPs evitan una serie de
deficiencias que se asocian con la tradicional contrasea basada en autenticacin. Algunas
implementaciones tambin incorporan autenticacin de dos factores, asegurando que la
29
contrasea, solo requiere el acceso a algo que una persona tiene (tal como una tarjeta inteligente o
especfica del telfono mvil), as como algo que una persona sabe (tal como un PIN).
La ventaja ms importante de una OTP es que, en contraste con las contraseas, no son
vulnerables a los ataques de repeticin. Esto significa que un posible intruso que logra registrar
una OTP que ya se utiliz para iniciar sesin en un servicio o realizar una transaccin no ser
capaz de abusar de ella, puesto que ya no ser vlida. Un nmero de sistema OTP tambin
pretende asegurar que una sesin no puede ser fcilmente interceptada o suplantada sin el
conocimiento de datos impredecibles creados durante la sesin anterior.
OTP se han discutido como un posible reemplazo para, as como potenciador a, contraseas
tradicionales. En el lado negativo, OTP son difciles para los seres humanos para memorizar. Por lo
tanto, requieren una tecnologa adicional para trabajar.
Figura 5 Flujo operacional de un OTP
Cmo se generan y distribuyen las OTPs?
Los algoritmos de generacin de OTP tpicamente hacen uso de pseudoaleatoriedad o

aleatoriedad, haciendo que la prediccin de OTP sea difcil para los atacantes, y tambin las
funciones de hash, que se puede utilizar para derivar un valor pero son difciles de revertir y por lo
tanto difcil para un atacante el obtener los datos que se utilizaron para la hash. Esto es necesario
porque de lo contrario sera fcil de predecir OTPs futuras mediante la observacin n de los
anteriores. A continuacin se enumeran varios enfoques para la generacin de OTP.
30
Sobre la base de tiempo de sincronizacin entre el servidor de autenticacin y el cliente que

proporciona la contrasea (OTP son vlidas slo para un corto perodo de tiempo).
El uso de un algoritmo matemtico para generar una nueva contrasea basado en la contrasea
anterior (OTP son efectivamente una cadena y se deben utilizar en un orden predefinido).
El uso de un algoritmo matemtico donde la nueva contrasea se basa en un desafo (por ejemplo,
un nmero aleatorio elegido por el servidor de autenticacin o detalles de la transaccin) y / o un
contador.
Algunos sistemas trabajan con aparatos electrnicos especiales Tokens de seguridad que el
usuario utiliza para generar OTPs y se muestran usando una pequea pantalla. Otros sistemas
consisten en software que se ejecuta en el telfono mvil del usuario. Sin embargo, otros sistemas
generan OTP en el lado del servidor y los envan al usuario usando canales tales como SMS. Por
ltimo, en algunos sistemas, el OTP se imprimen en un papel que se requiere que el usuario lleve.
Tiempo sincronizado pseudoaleatoriedad
Una OTP de tiempo sincronizado suele estar relacionada con una pieza de hardware llamado
token de seguridad (por ejemplo, cada usuario tiene una ficha personal que genera una contrasea
de OTP). Podra parecer una pequea calculadora o un llavero, con una pantalla LCD que muestra
un nmero que cambia de vez en cuando. El interior del mismo es un reloj de precisin que se ha
sincronizado con el reloj del servidor de autenticacin. En estos sistemas de OTP, el tiempo es una
parte importante del algoritmo de contrasea, ya que la generacin de nuevas contraseas se basa
en el tiempo actual adems de, la contrasea anterior o una clave secreta. Este token puede ser
una propiedad del dispositivo o telfono mvil que ejecuta el software.
Todos los mtodos pueden usar-sincronizacin de tiempo en lugar de algoritmos.
Algoritmos matemticos
Un ejemplo de este tipo de algoritmo, es acreditado a Leslie Lamport, el cual utiliza una funcin
unidireccional (llamarlo f). Este sistema de contrasea funciona de la siguiente manera:
1. Una semilla (valor inicial) s se elige.
31
2. Una funcin hash f (s) se aplica repetidamente (por ejemplo, 1000 veces) a la semilla,
dando un valor de: f (f (f (f.... (s)....))). Este valor, que llamaremos f 1000 (s) se almacena
en el sistema de destino.
3. Primer inicio de sesin del usuario utiliza una contrasea p derivada aplicando f 999 veces
a la semilla, es decir, f 999 (s). El sistema de destino puede autenticar que esta es la
contrasea correcta, porque f (p) es f 1000 (s), que es el valor almacenado. El valor
almacenado es reemplazado por p, y el usuario tiene permiso para iniciar sesin.
4. El prximo inicio de sesin, debe ir acompaada de f 998 (s). De nuevo, esto puede ser
vlida porque el hashing queda f 999 (s), que es p, el valor almacenado despus de la
entrada anterior. Una vez ms, el nuevo valor sustituye p y el usuario est autentificado.
5. Esto se puede repetir otras 997 veces, cada vez que la contrasea ser F aplicada unas
veces menos, y se valida comprobando que cuando hash, da el valor almacenado durante
la sesin anterior. Las funciones hash estn diseadas para ser extremadamente difcil de
revertir, por lo tanto, el atacante tendra que saber la semilla s inicial para calcular las
posibles contraseas, mientras que el sistema informtico puede confirmar la contrasea
en cualquier ocasin dada es vlida comprobando que, al hash, que da el valor utilizado
previamente para inicio de sesin. Si se quiere una serie indefinida de contraseas, un
nuevo valor de la semilla puede ser elegido despus de que se agote el conjunto de s.
Para obtener la siguiente contrasea con la serie de las contraseas anteriores, hay que encontrar
la manera de calcular la funcin inversa f -1. Desde luego f fue elegido para ser de un solo sentido,
esto es extremadamente difcil de hacer. Si f es una funcin de hash criptogrfica, que es
generalmente el caso, es (por lo que se conoce) una tarea computacionalmente imposible. Un
intruso que pasa a ver una contrasea OTP puede tener acceso para un perodo de tiempo o de
inicio de sesin, pero es intil una vez vencido este plazo.
En algunos esquemas de algoritmo matemtico, es posible que el usuario deba proporcionar al

servidor con una clave esttica para su uso como una clave de cifrado, slo enviando una
contrasea de una sola vez.
El uso de challenge-response one-time passwords necesita un usuario para proporcionar una

respuesta a un desafo. Por ejemplo, esto se puede hacer introduciendo el valor que el token ha
generado en el propio token. Para evitar duplicados, un token adicional suele participar, por lo que
si uno muestra el mismo desafo dos veces, esto da lugar a diferentes contraseas. Sin embargo,
32
el clculo no suele implicar la contrasea OTP anterior; es decir, por lo general se utiliza este u otro
algoritmo, en lugar de usar ambos algoritmos.
Figura 6 Flujo de encriptacin de OTP
Los mtodos de administracin de las OTP de los token pueden utilizar cualquiera de estos tipos
de algoritmo en lugar de sincronizacin de tiempo.
Los mensajes de texto
Una tecnologa comn utilizada para la entrega de OTP es la mensajera de texto. Debido a que
los mensajes de texto es un canal de comunicacin ubicua, siendo directamente disponibles en
casi todos los telfonos mviles y, a travs de la conversin de texto a voz, a cualquier telfono fijo
o mvil, los mensajes de textos tienen un gran potencial para llegar a todos los consumidores con
un bajo costo. Sin embargo, el costo de la mensajera de texto para cada OTP puede no ser
aceptable para algunos usuarios. OTP sobre los mensajes de texto se puede cifrar utilizando un
estndar A5 / x, sin embargo pueden ser exitosamente descifrados en cuestin de minutos o
segundos, la OTP a travs de SMS podra no ser encriptada por el proveedor de servicios en
absoluto. Adems de las amenazas de los hackers, el operador de telefona mvil se convierte en
parte de la cadena de confianza. En el caso de la itinerancia, ms de un operador de telefona
mvil tiene que ser de confianza.
33
Cualquier persona que use esta informacin puede montar un man-in-the-middle ataque. Google
ha comenzado a ofrecer OTP a telfonos mviles y fijos para todas las cuentas de Google. El
usuario puede recibir la OTP, ya sea como un mensaje de texto o por medio de una llamada
automatizada mediante la conversin de texto a voz. En caso de que ninguno de los telfonos
registrados del usuario es accesible, el usuario puede incluso utilizar una de un conjunto de (hasta
10) generado previamente cdigos de seguridad de una sola vez como un factor de autorizacin
secundaria en lugar de la OTP generado dinmicamente, despus de firmar con su contrasea de
la cuenta.
Token de Seguridad o Autenticacin.
A partir del 3 de Marzo del 2007 por disposicin oficial de la Comisin Nacional Bancaria y de
Valores, los bancos que operan en Mxico tuvieron que implementar medidas de seguridad
actualizadas para proteger a los usuarios de banca electrnica que realizan transacciones
monetarias por Internet. Aun cuando la implementacin del esquema vara de acuerdo al banco, la
mayor parte de ellos decidi utilizar el esquema de Token.
Bsicamente, un Token es un dispositivo con un reloj interno, el cual se sincroniza con un servidor
a la hora de ser activado por primera vez (en la fbrica, usualmente), y sirve para generar una
contrasea nica en un perodo de tiempo (segundos es lo ms comn) a travs de un algoritmo
secreto y privado. Esta contrasea, una vez generada, es comparada con el servidor el cual tiene
el mismo algoritmo para generar la contrasea, basndose en el nmero de serie de tu token, el
cual est ligado a tu cuenta bancaria. Estos dispositivos generalmente duran de 3 a 5 aos de uso
normal, y estn fabricados de tal manera que siempre estn sincronizados con el servidor. (Las
compaas que los fabrican invirtieron millones de dlares asegurndose de que as sea).
Token telfonos mviles
Un telfono mvil mantiene los costos bajos debido a una gran cantidad de clientes ya posee un
telfono mvil para fines distintos de la generacin de OTP. La potencia de clculo y
almacenamiento necesario para OTPs suele ser insignificante en comparacin con lo que la
cmara de los telfonos y Smartphone modernos suelen utilizar. Los telfonos mviles, adems,
soportan cualquier nmero de fichas dentro de una instalacin de la aplicacin, lo que permite a un
usuario la capacidad de autenticar a mltiples recursos de un dispositivo. Esta solucin tambin
ofrece aplicaciones especficas de acuerdo al modelo del mvil.
34
Mtodos basados en la Web
Varios proveedores ofrecen mtodos basados en la web para la entrega de contraseas. Uno de
tales mtodos se basa en la capacidad del usuario para reconocer categoras pre-seleccionadas
entre una variedad aleatoria de imgenes. Cuando se registra un usuario por primera vez en un
sitio web, el usuario elige una categora secreta de las cosas, tales como perros, coches, barcos y
flores.
Cada vez que el usuario inicia sesin en el sitio web se presentan una variedad de imgenes
aleatorias de carcter picalphanumeric superpuesta en estas. El usuario busca las imgenes que
se ajustan a sus categoras pre-elegido y entra en los caracteres alfanumricos asociados para
formar un cdigo de acceso OTP.
Normalizacin
Muchas tecnologas OTP estn patentadas. Esto hace que la normalizacin en este mbito sea
ms difcil, ya que cada empresa trata de impulsar su propia tecnologa. Las normas, sin embargo
existen, por ejemplo, RFC 1760 (S / KEY), RFC 2289 (OTP), RFC 4226 (HOTP) y RFC 6238
(TOTP).
3.6 Madurez del mercado de pagos mviles

Los pagos mviles, que permiten hacer compras con tarjetas en Smartphone y Tablets, estn
abriendo nuevos caminos para el comercio minorista y las industrias de servicios en todo el mundo
desde principios de esta dcada.
En Mxico, el mercado apenas comienza a surgir gracias a la creciente penetracin de estos

dispositivos mviles. En 2013 el crecimiento de Smartphones excedi el de los telfonos mviles
estndar de acuerdo a IDC, siendo el primero de ms del 50% y el segundo incluso mostrando un
decremento de 20%.
Todava, la adopcin de estas soluciones de pagos mviles enfrenta diferentes retos y niveles en
varias partes del mundo. Mientras que en Mxico est entrando un ao de consolidacin con
nuevas y especficas regulaciones para la industria de pagos mviles, lo cual podra acelerar el
desarrollo y madurez del mercado, estamos todava lejos de la realidad de pases desarrollados
como Suecia e incluso un poco detrs en algunos aspectos particulares de naciones en desarrollo
como nuestro vecino, Brasil.
35
Ms all de la penetracin mvil, otro factor importante que impacta el desarrollo de este sector es
el acceso a internet en cada regin. Los pagos mviles dependen de este servicio para poder
desempear transacciones, as que la inversin en esta rea es muy importante. En Mxico, la
penetracin de internet es de tan solo 38.5% mientras que en Brasil es del 49%.
Pero el factor crucial para la multiplicacin de los lectores de tarjetas en el mundo es la demanda
de pequeos emprendedores abandonados por las grandes empresas de tarjetas. El precio del
equipo, las cuotas mensuales, y la burocracia para el registro y la activacin hacen de ellos
inaccesibles a una gran parte de la economa. Despus de todo, cerca del 90% de las compaas a
nivel mundial son pequeas y medianas empresas.
Poniendo en perspectiva nuestro progreso y retos respecto de los pagos mviles, tenemos buenas
razones para creer que Mxico est en el buen camino. El optimismo es justificado:
El acceso a internet mvil, Smartphones y Tablets est creciendo rpidamente en el pas,

lo cual se ve fortalecido por los esfuerzos federales respecto de estos temas.
La industria de pagos mviles en Mxico est creciendo con participantes locales e

internacionales respaldada con la nueva legislacin adoptada por el Banco Central.
Sin buscar competir con otras naciones, Mxico necesita slo combatir sus flaquezas estructurales
para abrirse paso en este camino de una manera robusta, simplificada, democrtica y ms rpida
de lo esperado.
36
Captulo IV Riesgos de Banca Mvil e Ingeniera Social

Los dispositivos mviles conectados a Internet se han vuelto imprescindibles en nuestro da a da
y, de hecho, nos resulta difcil recordar cmo era nuestra vida sin ellos. Es muy frecuente adquirir
billetes de avin, facturar, comprar objetos, efectuar transacciones bancarias o compartir datos en
pocos segundos a travs de la red desde estos dispositivos y esto no ha pasado desapercibido
para los ciberdelincuentes, que conocen estas tendencias.
El mundo de la seguridad de la informacin est siempre en evolucin, los hackers constantemente

desarrollan maneras de evitar las medidas de seguridad multi-capa que las organizaciones
establecen en su permetro, usando para ello nuevos vectores de ataques altamente sofisticados,
creativos y devastadores. Es por ello que, como profesionales de la seguridad, necesitamos estar
un paso adelante para ayudar a nuestros clientes a reducir sus riesgos y a mejorar la postura de
seguridad de sus organizaciones.
4.1 Aspectos generales de seguridad

Primero se asocia un nmero celular a una tarjeta de crdito o dbito. Se debe considerar que
cada banco tiene sus propios trminos y condiciones de uso.
Algunos puntos que se consideran son:
Establecer un NIP (Nmero de Identificacin Personal), este contar de 4 dgitos (podra

variar dependiendo de la institucin bancaria), y slo lo conocer el usuario, el cual se
deber proporcionar cada vez que se quiera realizar una operacin.
Es posible que a causa de la plataforma utilizada en algunos comercios no sea capaz de

efectuar pago mvil esto debido a la configuracin primeramente de la aplicacin y
segundo por parte del negocio.
4.1.1 Activacin del servicio

Para activar el servicio de Banca mvil las instituciones bancarias generalmente (puede variar
dependiendo de la institucin) pide realizar los siguientes pasos:
1. Registro en el Banco.
37
2. Ingresar los 10 dgitos de tu telfono celular y confrmalo.
3. Digita el nmero de tu tarjeta de dbito o crdito (de la que seas titular).
4. Responde a las preguntas de verificacin.
5. Elige la cuenta que ser ligada al servicio y confirma el registro.
6. Define una contrasea de 6 dgitos para tu servicio de Bancomer mvil.
7. Recibirs dos SMS, uno con la liga para descargar la aplicacin y otro con la clave de
activacin. Te sugerimos anotar la clave de activacin, ya que la necesitars
ms adelante para activar el servicio cuando descargues la aplicacin en tu celular.
8. Da clic a la liga del mensaje de bienvenida para descargar la aplicacin y activarlo.
4.2 Riesgo por Sistema Operativo Mviles (S.O.)

Al igual que con las computadoras en donde existen varios sistemas operativos, los telfonos
inteligentes tambin necesitan de uno. Actualmente existen diversas opciones dentro del mercado
entre los que se destacan: Android, Symbian, Windows Mobile, Windows Phone, iOS (iPhone),
BlackBerry; entre otros.
El sistema operativo mvil con mayor tasa de participacin del mercado es Android. Debido a la
masividad y apertura del mismo, es posible observar que la mayora de los cdigos maliciosos
mviles que se desarrollan en la actualidad estn destinados para esta plataforma y sus usuarios.
En el Laboratorio de Anlisis de Malware ESET Latinoamrica se han detectado cdigos

maliciosos para Android capaces de sustraer informacin sensible de la vctima, rastrear a la
misma a travs del GPS, convertir el dispositivo mvil en parte de una botnet (red de equipos
infectados), entre otras acciones maliciosas.
38
Figura 7 Porcentaje de infeccin en diferentes S.O.

En la actualidad existen diversos tipos de ataques y/o riesgos que puedan existir para los usuarios
de Smartphone: malware, phishing, fraudes y robo o prdida del dispositivo. Cada uno de estos
riesgos puede perjudicar al usuario de diferentes maneras.
Por lo general, el xito en la propagacin de cualquier tipo de amenaza informtica (exceptuando la

prdida del telfono) radica principalmente en las estrategias de Ingeniera Social que el
cibercriminal utilice. Para este tipo de dispositivos es comn que se usen temticas especcas
para este segmento como troyanos que se expanden con la excusa de ser algn determinado
juego mvil, o incluso se han llegado a reemplazar cdigos QR (quick response code -cdigo de
respuesta rpida) legtimos por otros que no lo son, para dirigir al usuario a un sitio que descarga
alguna clase de cdigo malicioso.
Una vez que los ciberdelincuentes han escogido una temtica, procede a expandir masivamente
alguna amenaza. A la hora de atacar un sistema, un buen hacker no busca tanto encontrar una
vulnerabilidad en su cdigo sino en lo que le rodea.
Un estudio llevado a cabo en 2014 por GFT, en 2017 mil millones de personas en el mundo
utilizar la banca mvil. El 90% de las aplicaciones realiza alguna comunicacin sin cifrado SSL
(Secure Sockets Layer), o no detecta si el mvil tiene instalado el jailbreak, que es el primer paso
para intentar algn ataque por parte de hackers delincuentes.
39
El 70% produce goteos de informacin menor y un porcentaje importante son vulnerables a

ataques XSS (Cross-site scripting - agujero de seguridad) o MiTM (man-in-the-middle intermediario), que podran romper la seguridad de la App.
El 30% mostraba credenciales en el cdigo, que es donde se revelaban determinados aspectos de

seguridad de la App. Y un 20% no protegan los desbordamientos de RAM. (Castro, 2014)
Figura 8 Tipos de ataques efectuados en dispositivos mviles

Un comunicado de Antonio Ayala I. de IT Risk & Secutiry Internal Audit en lista la seriedad de los
problemas generados por fraude en la banca mvil:
Existen ms de 128 millones de variantes de programas maliciosos (malware).
Ms del 90% de los malware existentes afectan telfonos inteligentes que utilizan el
sistema operativo Android.
Ataques a telfonos inteligentes, ya no son slo desde Rusia y China; ahora son realizados
tambin, desde otros pases.
Usuarios de servicios banca mvil en Italia, Tailandia y Australia fueron afectados por el
malware Android/Fksite, cuando los usuarios instalaban lo que deca ser un App de
seguridad para banca mvil.
40
Para distribuir los cdigos maliciosos, las bandas utilizan SMS, Facebook y juegos
infectados en ciertas App Store.
Los cibercriminales seguirn lucrando en estos dispositivos gracias a las vulnerabilidades que
tienen los telfonos inteligentes y lo poco cuidadosos y confiados que son los dueos de estos
dispositivos, al instalar aplicaciones indiscriminadamente en sus dispositivos.
Debido a que solo Android y IOS han logrado tener una gran presencia en el mercado y por lo
tanto son los que ms ataques han presentado en el los ltimos aos (y van en aumento) y para
fines prcticos de esta tesina solo se analizaran las vulnerabilidades de estos 2 sistemas
operativos.
4.2.1 Riesgos de seguridad en IOS

Cada aplicacin instalada a travs de la Mac App Store y la iOS App Store de Apple es confinada
en un contenedor seguro en el equipo conocido como sandbox (mecanismo para ejecutar
programas con seguridad y de manera separada.
Es utilizado para ejecutar cdigo nuevo, o
software de dudosa confiabilidad proveniente de terceros). Estas Apps tienen privilegios limitados y
si necesitan acceder a recursos adicionales fuera de su propio contenedor, el usuario tiene que dar
su permiso expreso. Los investigadores encontraron que las cuatro vulnerabilidades permitan el
acceso no autorizado, lo que se conoce como ataques de acceso a recursos entre aplicaciones
(XARA). Las cuatro vulnerabilidades son:
1. Vulnerabilidad de robo de contraseas. Los sistemas operativos de Apple tienen una

funcin de almacenamiento de contraseas seguras conocida como Keychain, que permite
al usuario almacenar y recuperar las contraseas para diferentes Apps y servicios online.
La primera vulnerabilidad permite a una aplicacin maliciosa crear una keychain para otra
aplicacin. Si la aplicacin especfica no est presente en el equipo y el usuario instala
posteriormente la aplicacin, sus credenciales se almacenan en la keychain creada por la
aplicacin maliciosa. Si la App ya est instalada, una aplicacin maliciosa puede eliminar
su keychain existente y crear una nueva, para que el usuario vuelva a introducir sus
credenciales la prxima vez que acceda a la aplicacin especfica.
2. Vulnerabilidad de crackeo de sandbox. La segunda vulnerabilidad podra permitir a una

aplicacin maliciosa tener acceso al contenedor seguro que pertenece a otra aplicacin y
robar datos de l.
41
3. Vulnerabilidad de interceptacin de la comunicacin entre procesos (IPC). En esta

vulnerabilidad, los canales IPCcomo WebSocket, contienen fallos que exponen la
informacin crtica. Por ejemplo, WebSocket se utiliza para establecer una conexin entre
un servidor y un cliente. Una aplicacin maliciosa podra reclamar el puerto utilizado por
una aplicacin legtima e interceptar los datos destinados a ella, tales como contraseas u
otra informacin sensible.
4.- Vulnerabilidad de secuestro de esquema. Esta vulnerabilidad permite a una aplicacin

maliciosa secuestrar un esquema, lo que significa que los datos enviados a la aplicacin de
destino seran recibidos en otro lugar. Esto podra facilitar el robo de Tokens de acceso y
otra informacin.
iOS no requiere certificados iguales para aplicaciones con el mismo identificador, de esta forma,
mediante la funcin de Apple llamada Enterprise/ad-hoc provisioning System, los desarrolladores
de software y usuarios corporativos pueden instalar aplicaciones desde fuera de la App Store
oficial, utilizando slo un vnculo hacia algn sitio en Internet. La falla afecta a las versiones iOS de
7.1 en adelante, con lo cual 7.1.2, 8.0, 8.1 y 8.1.1 beta tambin son vulnerables. Puede ser
aprovechada por los cibercriminales a travs de redes inalmbricas y tambin mediante
conexiones USB. Es importante remarcar que tambin impacta en dispositivos que no tienen
jailbreak, es decir, que no han sido liberados para remover restricciones de Apple y permitir la
instalacin de Apps fuera de su tienda oficial.
Los Masque Attacks pueden reemplazar Apps autnticas, como correo electrnico o banca,
usando el malware a travs de Internet. Eso significa que el atacante puede robar las credenciales
bancarias del usuario reemplazando una App bancaria autntica con un malware con identificacin
idntica. Sorprendentemente, el malware puede incluso acceder a los datos locales de la App
original, que no son removidos cuando es reemplazada, y pueden incluir e-mails en cach, o
Tokens de autenticacin que puede usar para acceder directamente a la cuenta del usuario.
(Gmez, 2015)
4.2.2 Riesgos de seguridad en Android

La consolidacin de Android como el sistema operativo ms utilizado en los dispositivos mviles de
la actualidad lo ha convertido en blanco de diversas amenazas que continan creciendo, una
tendencia que se ha visto en los ltimos aos.
De forma paralela, la cantidad y diversidad de la informacin que los usuarios almacenan,

procesan o transmiten a travs de estos dispositivos, cuando utilizan servicios de Internet como
42
correo electrnico, redes sociales o banca en lnea, contribuye a aumentar su importancia y en

consecuencia, el inters de los cibercriminales por la plataforma mvil. Como resultado, en los
ltimos aos se ha observado un incremento en el desarrollo de software malicioso que tiene como
objetivo este popular sistema operativo.
Malware desarrollado para Android
Nuevas familias de cdigos maliciosos y sus variantes se desarrollan con distintos objetivos. Entre
estos se encuentran troyanos SMS que suscriben al usuario a servicios de mensajera Premium sin
su consentimiento, botnets que buscan convertir en zombi al dispositivo mvil al tiempo que roban
informacin, adware para el envo de publicidad no deseada o ransomware que cifra la informacin
y solicita un pago como rescate para que el usuario pueda recuperar sus datos.
De acuerdo con el documento "Tendencias 2014: el desafo de la privacidad en Internet" de ESET

Latinoamrica, en donde se estudiaron los registros de deteccin de software malicioso, en el ao
2010 se identificaron solo tres familias de malware para Android, para 2011 fueron 51, a finales de
2012 se detectaron 63, mientras que en 2013 ya se haban identificado 79 familias.
Fragmentacin de Android
Se trata de un importante problema en este sistema y se refiere al hecho de que no todos los
dispositivos que funcionan con Android utilizan la misma versin, o al menos la ms reciente. En
ocasiones, las actualizaciones del sistema son retenidas por los fabricantes de los dispositivos
para evitar problemas de compatibilidad, lo que evita que las correcciones de seguridad lleguen a
los usuarios.
Se han puesto en marcha distintas iniciativas que tienen como objetivo consolidar las versiones de
Android de manera que la mayora de los usuarios puedan hacer uso de la ltima versin, sin
embargo, esto todava no se logra. Como consecuencia, utilizar versiones desactualizadas se
traduce en un importante riesgo de seguridad.
En esta recoleccin de datos que concluy el 2 de marzo de 2015, la versin 5.0 (Lollipop) ocupa
el 3.3%, mientras que la versin 4.4 (KitKat) alcanza 40.9% del total de dispositivos. Jelly
Bean 4.1.x aparece con 17.3%, la versin 4.2.x con el 19.4% y la 4.3 con 5.9% de la distribucin.
En el informe todava se puede encontrar la versin 2.2 (Froyo), que se mantiene en 0.4% del total
de los equipos con Android instalado.
43
Sistemas operativos personalizados
Otro riesgo de seguridad en Android est relacionado con la modificacin del sistema operativo
cuando se personaliza. Los fabricantes de dispositivos o los operadores de telefona mvil
(carriers) modifican el sistema para agregar informacin de su compaa, incluso los usuarios
tambin pueden realizar cambios en el aspecto de su telfono a travs de las capas de
personalizacin o lanzadores (launchers).
En una investigacin realizada por FireEye, se report un ataque de phishing derivado

de permisos ligados a la configuracin de un lanzador de Android. Los investigadores identificaron
que la modificacin en los iconos de la pantalla principal del dispositivo no solo cambi de
apariencia, sino que adems dejaron de apuntar hacia las aplicaciones que deberan.
Apps en repositorios de terceros
En ocasiones, con la idea de obtener de manera gratuita una aplicacin de paga, los usuarios
pueden descargarla desde sitios no oficiales, en donde es posible que una App haya sido
modificada para realizar acciones maliciosas.
Filtracin de aplicaciones maliciosas en el repositorio oficial
Para la publicacin de aplicaciones en Google Play es necesario registrar informacin de los

desarrolladores y de la App antes de comercializarla, entre otras medidas, como la firma de las
aplicaciones. A pesar de los esfuerzos por mantener la tienda libre de malware (por ejemplo con el
desarrollo de Google Bouncer), existe el riesgo de que aplicaciones maliciosas puedan filtrarse en
el repositorio oficial.
Cuando se verifica que se trata de una aplicacin que contiene malware se elimina de la tienda.
Sin embargo, para este momento puede ser tarde, ya que al estar disponible en el repositorio
oficial, puede ser descargada por los usuarios. En estos casos, el impacto depende del nmero de
usuarios que hayan instalado la aplicacin maliciosa en su dispositivo. (Lpez, 2015)
Esto sucedi con aplicaciones maliciosas encontradas en Google Play, que propagaban una
amenaza denominada DroidDream, un cdigo malicioso que operaba cuando el usuario no
realizaba actividades con su Smartphone, unindolo a una Botnet. Se estima que afect a 250,000
equipos, con base en el nmero de descargas que tuvieron estas aplicaciones. (Mendoza, 2014)
44
Los ataques que se pueden realizar a los dispositivos mviles y los sistemas operativos a travs de
programas dainos o peligrosos son los siguientes:
Exploits zero-day
Man in the Middle
Sniffers
XSS
Figura 9 Anatoma de un ataque a un dispositivo mvil.

Los ataques a los dispositivos mviles estn asociados a diferentes riesgos y vulnerabilidades que
se pueden presentar con el uso de los dispositivos, en este sentido los tipos de ataques se pueden
agrupar de diferentes formas y dependiendo del enfoque que se le desee dar a los ataques de los
dispositivos mviles.
De acuerdo con lo anteriormente indicado el primer riesgo y vulnerabilidad que puede existir se
encuentra relacionada con el propio usuario del dispositivo, es decir si el usuario no cuenta con
una seguridad apropiada y uso del dispositivo esto es un riesgo y una vulnerabilidad bastante
grande, debido a que cualquiera puede acceder a la informacin para revisarla, modificarla o
copiarla, tambin se encuentra asociado a los usuarios los robos de los dispositivos y el uso de los
dispositivos sin tener precaucin para instalar aplicaciones y no contar con sistemas de seguridad
como antivirus para que analicen y revisen el sistema operativo.
45
Los puntos de ataque para los dispositivos mviles son:
Las credenciales para tomar el control del dispositivo y los servicios externos del
dispositivo como el correo electrnico, las cuentas de bancos, etc.
Los datos personales de los usuarios el nombre completo, la identificacin, las claves, lo
datos del telfono como los contactos, la localizacin, las preferencias de los usuarios.
Los datos de los dispositivos como los nmeros de cuenta, nmeros de las tarjetas, las
fechas de expiracin.
Acceso al dispositivo para revisar la SIMCARD del dispositivo, revisin de las conexiones
telefnicas y de internet, uso del dispositivo para enviar virus, malware y procesamiento de
actividades, robo de datos secretos y datos sensibles del dispositivo.
Almacenamiento de datos robo, revisin y modificacin de claves, informacin de las bases

de datos, archivos de configuracin, archivos de las aplicaciones, las caches de los
sistemas.
Archivos binarios, realizacin de ingeniera inversa para entender el binario, bsqueda de

las vulnerabilidades que pueden ser explotadas, incrustar credenciales y generacin
automtica de claves.
Plataformas mviles enganche de las plataformas, instalacin de malware, aplicaciones

mviles de ejecuciones automticas no autorizadas, las decisiones de la arquitectura de
aplicaciones basadas en la plataforma.
El almacenamiento de datos, los archivos binarios y la plataforma no son independientes y

se encuentran relacionados entre s, esta es una debilidad en que puede llevar a la
explotacin de unos a otros, porque se conoce que es lo que est en funcionamiento.
Modelo de amenaza si un atacante obtiene acceso fsico a un dispositivo, aunque sea

temporalmente, puede realizar un jailbreak o liberacin del dispositivo mvil, instalacin de
aplicaciones, insercin de cdigo malicioso, realizacin de copias de la informacin,
modificaciones del sistemas, entre otras. (VILLEGAS, 2013)
46
4.3 Diferentes Modos de ataque

4.3.1 Exploits Zero-day
Un ataque de exploit de da cero (ZETA) se produce el mismo da que se descubre una debilidad
en el software. En ese punto, se aprovecha la vulnerabilidad antes de que el creador del software
ponga a disposicin una solucin.
4.3.2 Man in the Middle

(MitM o intermediario,) Ataque en el que se adquiere la capacidad de leer, insertar y modificar a
voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos
ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos
vctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de
claves de Diffie-Hellman, cuando ste se emplea sin autenticacin.
Heartbleed y MITM
Este bug en Open SSL hace que los ataques MITM sean an ms peligrosos. Un atacante puede
encadenar una serie de ataques man-in-the-middle con un certificado robado gracias a Heartbleed,
y as obtener todo tipo de datos valiosos, sin importar que el usuario tenga HTTPS activo y crea
que todo su trfico es seguro.
Figura 10 Ataque tipo MITM

La mayora de los protocolos de cifrado como SSL utilizan algn tipo de autenticacin de extremo a
extremo (end-to-end), especficamente para prevenir ataques MITM. Con Heartbleed se
compromete la funcin de SSL de autenticar una o ambas partes de la comunicacin a travs de
un certificado de seguridad confiable.
47
Todo sistema de cifrado que se respete se protege contra ataques MITM requiriendo la trasmisin
de la informacin a travs de un canal seguro adicional, al cual solo se puede acceder con la llave
de cifrado segura correspondiente. Si el atacante logra acceder a esa llave, puede comenzar un
ataque MITM.
4.3.3 Sniffers
Se trata de una tcnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que
en principio es propio de una red interna o Intranet, tambin se puede dar en la red de redes:
Internet.
Esto se hace mediante aplicaciones que actan sobre todos los sistemas que componen el trfico
de una red, as como la interactuacin con otros usuarios y ordenadores. Capturan, interpretan y
almacenan los paquetes de datos que viajan por la red, para su posterior anlisis (contraseas,
mensajes de correo electrnico, datos bancarios, etc.).
4.3.4 Clonacin de SIM (Mdulo de Identificacin del Suscriptor)

Las SIMs de GSM son pequeas smartcard (tarjetas inteligentes) que todo telfono GSM / UMTS
lleva en su interior. La SIM tiene como misin identificar y autentificar el nmero de telfono que
est usando el terminal telefnico. Las SIM estn compuesta por un pequeo ordenador
(microcontrolador) y una pequea memoria. Esto hace que este elemento sea activo, sea, que
puede contener programas y algoritmos para gestionar sus propios recursos (PINs, Identificadores,
claves, etc.)
Clonar una SIM significa crear una SIM diferente a la original pero que se comporte exactamente
igual. Esto al ser un elemento activo se tiene que realizar con un emulador ya que a parte de
"copiar" los datos de la SIM es necesario "emular" su comportamiento e incluso ampliarlo.
4.3.5 Secuestro de sesin (Session Hijacking)

Secuestrar una sesin consiste en capturar el identificador de sesin de un usuario en una
aplicacin (normalmente almacenado en una cookie o transmitido a travs de la URL), para
replicarlo en otro ordenador y as tener acceso a la aplicacin como si se fuese el otro usuario.
Puede parecer complicado, pero en realidad es muy sencillo.
48
4.3.6 Malware
El malware (del ingls "malicious software"), tambin llamado badware, cdigo maligno, software
malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o
daar un sistema de informacin sin el consentimiento de su propietario. El trmino malware es
muy utilizado por profesionales de la informtica para referirse a una variedad de software hostil,
intrusivo o molesto. El trmino virus informtico suele aplicarse de forma incorrecta para referirse a
todos los tipos de malware, incluidos los virus verdaderos.
Malware no es lo mismo que software defectuoso, este ltimo contiene bugs peligrosos, pero no de
forma intencionada.
4.3.7 XSS
XSS, del ingls Cross-Site scripting es un tipo de inseguridad informtica o agujero de seguridad
tpico de las aplicaciones Web, que permite a una tercera persona inyectar en pginas web
visitadas por el usuario cdigo JavaScript o en otro lenguaje similar, evitando medidas de control
como la Poltica del mismo origen. Este tipo de vulnerabilidad se conoce en espaol con el nombre
de Secuencias de rdenes en sitios cruzados.
XSS es un vector de ataque que puede ser utilizado para robar informacin delicada, secuestrar
sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las
vulnerabilidades XSS han existido desde los primeros das de la Web.2
Esta situacin es usualmente causada al no validar correctamente los datos de entrada que son
usados en cierta aplicacin, o no sanear la salida adecuadamente para su presentacin como
pgina web.
4.4 Ingeniera social

El famoso consultor de seguridad y ex-hacker Kevin Mitnik define la ingeniera social como una
forma de hackeo que se basa en influenciar, engaar y manipular psicolgicamente a la gente para
que inconscientemente cumpla una solicitud. Por su parte, para Microsoft El objetivo de un hacker
que emplea ingeniera social, alguien que trata de obtener acceso no autorizado a sistemas de
cmputo, es similar al de cualquier otro tipo de hacker: quiere el dinero, la informacin o los
recursos de TI de una organizacin.
49
Un informe emitido por Intel Security y respaldado por el Centro Europeo del Cibercrimen de la
Europol revela que las ltimas tcnicas de ingeniera social puestas en marcha por los
cibercriminales son cada vez ms sofisticadas y ms difciles de detectar. A travs de estas
tcnicas, los cibercriminales consiguen que sus vctimas realicen acciones que normalmente no
haran.
Este informe, denominado Hacking the Human OS, llega das despus de que 100 bancos de
todo el mundo hayan confirmado que han sufrido ataques de malware que les caus daos
estimados en 1.000 millones de dlares. Las redes y ordenadores de los bancos sufrieron ataques
de phishing demostrando la debilidad inherente en el firewall humano y la necesidad de educar a
los empleados sobre las principales tcnicas de persuasin en el mundo digital.
Las categoras de la ingeniera social establecidas en el informe son:
Hunting
Extraer informacin a travs de una interaccin mnima con el objetivo. Este enfoque generalmente
implica un solo contacto entre el atacante y la vctima, y termina una vez que se ha conseguido la
informacin.
Farming
Establecer una relacin continuada en el tiempo para exprimir al mximo a la vctima y extraer
gran cantidad de informacin.
4.4.1 Formas de Ingeniera Social

Embaucamiento: Consiste engaar a la vctima hacindole creer que recibir grandes beneficios
por proporcionar informacin, realizar acciones para la empresa donde trabaja o efecta una
inversin.
Phishing: Se comete al intentar adquirir informacin confidencial de forma fraudulenta, puede ser:
obteniendo una contrasea o informacin detallada.
El estafador, se hace pasar por una persona o empresa de confianza en una aparente
comunicacin oficial electrnica, igual puede ser una persona de confianza con la que se tiene
contacto.
50
Keylogger: Se enva un correo electrnico a la vctima potencial con un troyano adjunto que por lo
general es un Keylogger, un Keylogger es un programa que registra las pulsaciones del teclado
para memorizarlas en un archivo, estos programas se envan a una persona que le sea familiar o
simplemente con un interesante ttulo al destinatario. El troyano es un programa malicioso capaz
de alojarse en computadoras y dispositivos mviles, con el fin de recabar informacin o controlar
remotamente a la mquina anfitriona.
Recoleccin de hbitos de vctimas potenciales: Creacin de perfiles ficticios e infiltrarse en redes

sociales o en servicios de mensajera, de esta forma se puede recolectar informacin acerca de los
hbitos de las vctimas potenciales.
Trashing (recoleccin de basura): Algunos de los artculos echados en la basura que pueden
representar una potencial fuga de informacin son, libretas telefnicas, organigramas,
memorandas, manuales de procedimientos, calendarios, manuales de operacin de sistemas,
cuentas de usuarios y sus contraseas, etc.
4.4.2 Riesgos por Ingeniera Social

En la actualidad se presentan muchos problemas el cuidar la informacin personal como lo son las
claves, NIP, y otros elementos que protegen y resguardan datos.
Los ciberdelincuentes buscan engaar a sus vctimas para que entreguen voluntariamente su
informacin personal. La mutacin se dio no slo hacia sitios web, sino tambin se ha
transformado en mensajes de texto, y cualquier tipo de mensajera mvil.
La importancia de este vector de ataque radica en que estos dispositivos mviles almacenan gran
cantidad de informacin personal, como usuarios y contraseas de redes sociales, de correos
electrnicos, inclusive geo localizacin.
4.5 Entidades vulnerables a ataques de ingeniera social

Cualquier compaa, sin importar su tamao, es vulnerable. Si una persona inconscientemente
proporciona informacin en un correo electrnico o responde a preguntas en una conversacin
telefnica, permitir que el intruso acte desde el interior de la red, sin tener que lanzar ataques
desde fuera que rompan las distintas capas de seguridad.
51
Lograr un ataque exitoso de ingeniera social resulta complicado, ya que normalmente las
personas estn en contacto estrecho unos con otros a tal grado que incluso pueden reconocer sus
voces en una charla, las polticas y
procedimientos se difunden con mayor efectividad. Sin
embargo, cualquier usuario es vulnerable a ataques de ingeniera social va correo electrnico,

Internet, por telfono, SMS o sistemas de mensajera instantnea.
4.5.1 Caractersticas de los comportamientos vulnerables a ataques de ingeniera social

Las caractersticas psicolgicas de las vctimas son la razn principal por la que los ataques de
ingeniera social son exitosos.
Los ingenieros sociales colectan informacin de mltiples fuentes para construir con ello un
panorama general. Conforme acumulan ms datos, aumenta la posibilidad de engaar a ms
personas para que revelen an ms informacin.
Hay muchos factores que se combinan para que un ingeniero social pueda llevar a cabo su labor,
pero fundamentalmente emplean en su favor tcnicas que explotan las caractersticas y
debilidades naturales de la gente. Un hacker aprovechar estas debilidades y manipular a su
vctima para que le revele informacin sensible.
Algunos de los rasgos psicolgicos que facilitan el trabajo de los hackers son los siguientes:
1. Reciprocidad: Cuando a alguien se le proporciona algo, tiende a sentirse obligado a

devolver el favor
2. Urgencia: La gente tiende a obedecer cuando se les solicita informacin de una fuente
de aparente confianza, como por ejemplo, cuando recibe un email que parece proceder de
su banco pidindole que responda rpidamente o su cuenta ser deshabilitada en 24
horas.
3. Consistencia: Una vez que los usuarios se comprometen a hacer algo, suelen cumplir
sus promesas. Por ejemplo, un hacker se hace pasar como parte de un equipo de TI de
una empresa y podra instar a que un empleado cumpla todos los procesos de seguridad
que determine, y pedirle entonces que lleve a cabo una tarea sospechosa, pero que est
en lnea con los requisitos de seguridad.
52
4. Me gusta: Las vctimas suelen obedecer cuando les agrada la persona que con la que
estn interactuando. Un hacker podra utilizar sus encantos por telfono o a travs de la
red para convencer a su vctima.
5. Autoridad: Se tiende a obedecer cuando la solicitud procede de una figura con autoridad.
Un ejemplo podra ser un email para el departamento financiero que podra proceder,
aparentemente, del CEO o Presidente.
6. Validacin social: Solemos obedecer cuando vemos que los otros tambin lo hacen. Por
ejemplo, un correo electrnico puede tener aspecto como si hubiera sido enviado por un
grupo de empleados, que hace creer a otro empleado que es adecuado si ve que otros
tambin lo han recibido.
4.5.2 Tipos de la ingeniera social

Hay dos tipos principales de la ingeniera social: la basada en la tecnologa, y la basada en el
engao humano. Ambas trabajan manipulando y engaando al usuario y tienen diferentes niveles
de xito dependiendo de la vctima.
Engao basado en tecnologa
En este tipo de ingeniera social el hacker engaa al usuario mediante la interaccin con una
aplicacin o un sistema que el propio hacker controla. Por ejemplo:
Correo Spam: mensajes de correo que ofrecen productos, regalos, informacin, o que contienen
ligas a sitios de redes sociales y que son empleados para instalar cdigo malicioso cuando el
usuario abre un archivo anexo o hace clic en un sitio controlado por el hacker.
Ventanas emergentes: el hacker emplea ventanas falsas para engaar al usuario hacindole creer
que est instalando una actualizacin autorizada de, por ejemplo, Microsoft, Java o de su antivirus,
cuando en realidad est permitiendo al hacker obtener informacin o instalar cdigo malicioso.
Pharming: esta tcnica se emplea comnmente para re direccionar a un usuario de un sitio Web a
un sitio falso sin que se d cuenta mediante algo conocido como domain spoofing o suplantacin
de nombre de dominio.
53
Engao humano
Estas tcnicas, difciles de detectar por una persona no entrenada, emplean debilidades en el
comportamiento humano y frecuentemente se basan en la suplantacin de personas con cierto
nivel de autoridad en la organizacin:
Dumpster Diving: Como parte de la etapa de obtencin de informacin un hacker puede analizar
la basura. Si los documentos no son desechados de manera segura el atacante puede as obtener,
por ejemplo, listas de telfonos, propuestas econmicas, grficas, reportes e incluso nombres de
usuarios y contraseas, que podran ser usadas para ayudar al hacker a suplantar a cualquier
persona y ganar acceso a informacin confidencial. Esta tcnica es una de las ms populares para
la investigacin preliminar, que es parte de la planeacin de un ataque de ingeniera social.
Pre-texting: El hacker crea un escenario inventado, conocido como el pretexto, para persuadir a la
vctima de proporcionarle cierta informacin o de realizar alguna accin. Normalmente se realizar
una investigacin para conocer el tipo de lenguaje y la tecnologa empleada por la gente que
administra los sistemas o que tiene acceso a la informacin requerida.
Shouldersurfing: Es una tcnica muy empleada y consiste en espiar sobre el hombro (de ah su
nombre) a los usuarios cuando teclean su nombre y contrasea en algn sistema.
Ingeniera social inversa: ste es un mtodo ms avanzado que se presenta cuando el hacker
crea una persona que parece estar en una posicin de autoridad. Es una tcnica muy poderosa
pero muy difcil de llevar a cabo pues exige una gran cantidad de recursos y tiempo en la
investigacin y preparacin del ataque.
La ingeniera social inversa tiene tres grandes etapas: sabotaje, anuncio y asistencia.
Todas estas prcticas fraudulentas de apropiacin y suplantacin de la identidad digital ponen de

manifiesto que hay que seguir unas pautas de seguridad a la hora de publicar informacin personal
en Internet o facilitar nuestros datos a un tercero.
Puesto que las Apps bancarias no son seguras al 100%, el usarlas a menudo es necesario dedicar
la mxima atencin a nuestras propias medidas de seguridad. Por ejemplo, instala un antivirus de
calidad en tu Smartphone o Tablet, realiza chequeos antimalware a menudo, actualiza siempre el
sistema operativo y tambin las Apps a travs de Google Play o la App Store, y no descargues
software ni ficheros que consideres sospechosos.
54
Los servicios de banca mvil en Mxico han tenido un proceso de desarrollo irregular, con algunas
problemticas especiales derivadas exclusivamente del sector nacional, en donde el costo de
comisiones y los modelos de operacin inseguros, son los principales problemas del sector de
acuerdo con especialistas. Sin embargo, existen decretos de ley que estn forzando la incursin
prxima de estos esquemas como una medida de inclusin integral en la plataforma de oferta de
servicios que buscan estimular el desarrollo del sector, lo que ha detonado que el gremio bancario
trabaje bajo dos lneas paralelas pero no sincronizadas: por un lado estimularn la ejecucin de
transacciones bancarias a travs de smartphones, utilizados como terminales de punto de venta,
pero a su vez buscan retrasar la inclusin de otros servicios de banca mvil, y por el otro no perder
el equilibrio que tienen con el rea funcional que hasta hoy en da sigue siendo la base del sistema
bancario. (BBVA, 2015)
55
Captulo V Normativas y Leyes

El uso de la tecnologa se ha convertido en una parte intrnseca de nuestra realidad cotidiana, por
la cual nos hemos acostumbrado a enviar y recibir un sin fin de informacin, misma que puede ser
usada con fines lcitos o ilcitos por aquellas que personas que con autorizacin o sin ella puedan
acceder a la misma,
esta es la razn por la cual los diferentes gobiernos del mundo han
comenzado a crear legislaciones referentes a los medos electrnicos y Mxico no ha sido la

excepcin.
A lo largo de este captulo analizaremos las diferentes leyes que se han previsto en nuestro pas
para l envi de la informacin a travs de los medios electrnicos, particularmente, los referentes
a la banca mvil, que es el tema que compete a este estudio.
5.1.1 Legislacin en Mxico

Un hecho innegable es que las tecnologas de la informacin y comunicacin (TIC), han superado
de sobremanera cualquier expectativa que se haya tenido en algn momento de las mismas, al
grado que han propiciado una serie de conductas, actos y hechos que afectan de manera
trascendente la manera en que la sociedad se comunica y hace negocios, es aqu donde el
derecho, como regulador de las conductas de las personas fsica y morales dentro de la sociedad,
debe intervenir de manera expedita y eficaz con el objetivo de evitar que los fenmenos
informticos que no invaden se salgan de control mantenindolos al margen del derecho.
Uno de los fenmenos que no ha invadido en pocas recientes ha sido la banca mvil, la cual
debido al gran aumento de dispositivos mviles en el mercado ha logrado ubicarse en una posicin
estratgica dentro de los servicios que ofrecen las diferentes instituciones bancarias logrando
obtener un gran nmero de usuarios en los ltimos aos. Pero con el incremento de los usuarios y
del nmero de usuarios y de los montos manejados el nmero de fraudes dentro de esta
herramienta tambin ha tenido un incremento, ocasionando prdidas econmicas a los usuarios de
este servicio.
Por lo anterior el estado ha generado una serie de leyes que regulan este servicio, teniendo como
fin, establecer un marco de trabajo y garantizar que los usuarios de este servicio estn protegidos
ante posibles actos delictivos y si estos fueran materializados tener un marco de referencia para la
aplicacin de sanciones.
56
En los siguientes temas se mostraran algunas de las diferentes leyes y marcos normativos vigentes
en Mxico que contemplan actos delictivos en la banca mvil.
5.1.2 Cdigo Federal de Procedimientos Civiles

El Cdigo Federal de Procedimientos Civiles es la ley subjetiva que regula todo los procedimientos
de carcter civil en el mbito federal, adems tiene la caracterstica de ser ley supletoria en
relacin a cualquier otro tipo de legislacin federal. (UNIN, LEY FEDERAL DE PROTECCIN DE
DATOS PERSONALES EN POSESIN DE LOS PARTICULARES, 2010)
Dentro de este conjunto de procedimiento regulatorios podemos encontrar los siguientes artculos
que mencionan tienen como objetivo fungir como marco regulatorio de aplicacin de sanciones
ante la ejecucin de un fraude:
Artculo 112 Bis.- Se sancionar con prisin de tres a nueve aos y de treinta mil a trecientos mil
das de multa, al que sin causa legitima o sin consentimiento de quien este facultado para ello,
respecto a las tarjetas de crdito, de dbito, cheques, formatos o esqueletos de cheques o en
general cualquier otro instrumento de pago, de los utilizados por instituciones de crdito del pas o
del extranjero:
I.
Produzca,
fabrique,
reproduzca,
introduzca
el
pas,
imprima,
enajene,
aun
gratuitamente, comercie o altere, cualquiera de los objetos a que se refiere el prrafo

primero de este artculo.
II.
Adquiera, posea, detente, utilice o distribuya cualquiera de los objetos a que se refiere
el prrafo primero de este artculo.
III.
Obtenga, comercialice o use la informacin sobre clientes, cuentas u operaciones de

las instituciones de crdito emisoras de cualquiera de los objetos a que se refiere el
prrafo primero de este artculo.
IV.
Altere, copie o reproduzca la banda magntica o el medio de identificacin electrnica,

ptica o de cualquier otra tecnologa, de cualquiera de los objetos a que se refiere el
prrafo primero de este artculo.
V.
Sustraiga, copie o reduzca informacin contenida en alguno de los objetos a que se

refiere el prrafo primero de este artculo, o
57
VI.
Posea, adquiera, utilice o comercialice equipos o medio electrnicos, pticos o de

cualquier otra tecnologa para sustraer, copiar o reproducir informacin contenida en
algunos de los objetos a que se refiere prrafo primero de este artculo, con el
propsito de obtener recursos econmicos, informacin confidencial o reservada.
Artculo 112 Qurter.- Se sancionar con prisin de tres a nuevo aos y de treinta mil a
trescientos mil das de multa, al que sin causa legtima o sin consentimiento de quien est
facultado para ello:
I.
Acceda a los equipos o medios electrnicos, pticas o de cualquier otra tecnologa del
sistema bancario mexicano, para obtener recursos econmicos, informacin confidencial o
reservada, o
II.
Altere o modifique el mecanismo de funcionamiento de los equipos o medios electrnicos,

pticos o de cualquier otra tecnologa para la disposicin de efectivo de usuarios del
sistema bancario mexicano, para obtener recursos econmicos, informacin confidencial o
de reserva. (Unin, 2013)
5.1.3 Cdigo Penal Federal
De acuerdo con el artculo 386 del Cdigo Penal Federal, comete el delito de fraude quien
engaando a uno o aprovechndose del error en que ste se halla, se hace ilcitamente de alguna
cosa o alcanza un lucro indebido.
La parte afectada por un fraude tiene normalmente dos posibilidades de pelear por el bien jurdico
protegido, el quebranto patrimonial que le ocasion el defraudador: el primero es intentar una
accin civil o mercantil, dependiendo del caso, para efectos de demandar el cumplimiento de un
contrato, si se celebr; y la segunda es exigir la devolucin del dinero pagado por determinado bien
o servicio. Es decir el ejercicio de la accin penal.
Artculo 386.- Comete el delito de fraude el que engaando a uno o aprovechndose del error en
que ste se halla se hace ilcitamente de alguna cosa o alcanza un lucro indebido.
El delito de fraude se castigar con las penas siguientes:
I.
Con prisin de 3 das a 6 meses o de 30 a 180 das multa, cuando el valor de lo

defraudado no exceda de diez veces el salario;
58
II.
Con prisin de 6 meses a 3 aos y multa de 10 a 100 veces el salario, cuando el

valor de lo defraudado excediera de 10, pero no de 500 veces el salario;
III.
Con prisin de tres a doce aos y multa hasta de ciento veinte veces el salario, si
el valor de lo defraudado fuere mayor de quinientas veces el salario.
Dentro del cdigo penal podemos encontrar un captulo dentro del cual podemos ubicar las
sanciones aplicables a aquellas personas que accedan de manera ilcita a los sistemas y equipos
informticos, se trata del captulo dos y los artculos correspondientes son los siguientes:
Artculo 211 bis 1.- Al que sin autorizacin modifique, destruya o provoque perdida de informacin
contenida en sistemas o equipos de informtica protegidos por algn mecanismo de seguridad, se
le impondrn de seis meses a dos aos de prisin y de cien a trescientos das de multa. Al que
sin autorizacin conozca o copie informacin contenida en sistemas o quipos de informtica
protegidos por algn mecanismo de seguridad, se le impondrn de tres meses a un ao de prisin
y de cincuenta a ciento cincuenta das de multa.
Artculo 211 bis 2.- Al que sin autorizacin conozca o copie informacin contenida en un sistema
o equipos de informtica del estado,
protegidos por algn mecanismo de seguridad, se le
impondrn de seis a dos aos de prisin y de cien a trecientos das de multa.
Artculo 211 bis 3.- Al que estando autorizado para acceder a sistemas y equipos de informtica
del estado, indebidamente modifique, destruya o provoque perdida de informacin que contengan,
se le impondrn de dos a ocho aos de prisin y de trecientos a novecientos das de multa.
Artculo 211 bis 4.- Al que sin autorizacin conozca o copie informacin contenida en sistemas o
equipos de informtica de las instituciones que componen el sistema financiero, protegidos por
algn mecanismo de seguridad, se le impondrn de tres meses a dos aos de prisin y de
cincuenta a trescientos das de multa.
Artculo 211 bis 5.- Al que estando autorizado para acceder a sistemas y equipos de informtica
de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o
provoque perdida de informacin que contengan, se le impondrn de seis meses a cuatro aos de
prisin y de cien a seiscientos das de multa. (UNIN, Justia, 2009)
59
5.1.4 Ley Federal de Proteccin al Consumidor

En Mxico existe la Ley Federal del Consumidor misma que se encarga de velar por los intereses y
dar certeza jurdica ante las relaciones entre consumidores y proveedores. De esta norma se
desprende la Ley Federal de Proteccin al Consumidor, donde hay seis derechos bsicos.
(Microsoft, AMIPC, 2012)
El primero es el derecho a la proteccin de la vida y seguridad del consumidor contra riegos

provocados por productos y servicios.
El consumidor tambin tiene la facultad de elegir con suficiente conocimiento de causa aquellos
productos y servicios que mejor le convengan.
Tambin tiene derecho a la prevencin y reparacin de daos tanto individuales como colectivos y
acceder a la tutela de rganos administrativos y judiciales.
Finalmente, la ley protege los intereses econmicos de los consumidores ante publicidad engaosa
y contratos con clusulas ventajosas, entre otros.
Si en algn momento el consumidor siente que se estn violando sus derechos existen dos vas
para hacerlos valer: la administrativa y la jurisdiccional.
5.1.5 Ley para la Transparencia y Ordenamiento de los Servicios Financieros

Artculo 23. En todas las operaciones y servicios que las Entidades Financieras celebren por medio
de Contratos de Adhesin masivamente celebradas y hasta por los montos mximos que
establezca la Comisin Nacional para la Proteccin y Defensa de los Usuarios de Servicios
Financieros en disposiciones de carcter general, aqullas debern proporcionarle a sus Clientes
la asistencia, acceso y facilidades necesarias para atender las aclaraciones relacionadas con
dichas operaciones y servicios. Prrafo reformado DOF 25-06-2009 Al efecto, sin perjuicio de los
dems procedimientos y requisitos que impongan otras autoridades financieras facultadas para ello
en relacin con operaciones materia de su mbito de competencia, en todo caso se estar a lo
siguiente: Prrafo reformado DOF25-06-2009.
Cuando el Cliente no est de acuerdo con alguno de los movimientos que aparezcan en el estado
de cuenta respectivo o en los medios electrnicos, pticos o de cualquier otra tecnologa que se
hubieren pactado, podr presentar una solicitud de aclaracin dentro del plazo de noventa das
60
naturales contados a partir de la fecha de corte o, en su caso, de la realizacin de la operacin o

del servicio.
La solicitud respectiva podr presentarse ante la sucursal en la que radica la cuenta, o bien, en la
unidad especializada de la institucin de que se trate, mediante escrito, correo electrnico o
cualquier otro medio por el que se pueda comprobar fehacientemente su recepcin. En todos los
casos, la institucin estar obligada a acusar recibo de dicha solicitud.
Tratndose de cantidades a cargo del Cliente dispuestas mediante cualquier mecanismo

determinado al efecto por la Comisin Nacional para la Proteccin y Defensa de los Usuarios de
los Servicios Financieros en disposiciones de carcter general, el Cliente tendr el derecho de no
realizar el pago cuya aclaracin solicita, as como el de cualquier otra cantidad relacionada con
dicho pago, hasta en tanto se resuelva la aclaracin conforme al procedimiento a que se refiere
este artculo; Prrafo reformado DOF 25-06-2009.
Una vez recibida la solicitud de aclaracin, la institucin tendr un plazo mximo de cuarenta y
cinco das para entregar al Cliente el dictamen correspondiente, anexando copia simple del
documento o evidencia considerada para la emisin de dicho dictamen, con base en la informacin
que, conforme a las disposiciones aplicables, deba obrar en su poder, as como un informe
detallado en el que se respondan todos los hechos contenidos en la solicitud presentada por el
Cliente. En el caso de reclamaciones relativas a operaciones realizadas en el extranjero, el plazo
previsto en este prrafo ser hasta de ciento ochenta das naturales.
El dictamen e informe antes referidos debern formularse por escrito y suscribirse por personal de
la institucin facultado para ello. En el evento de que, conforme al dictamen que emita la
institucin, resulte procedente el cobro del monto respectivo, el Cliente deber hacer el pago de la
cantidad a su cargo, incluyendo los intereses ordinarios conforme a lo pactado, sin que proceda el
cobro de intereses moratorios y otros accesorios generados por la suspensin del pago realizada
en trminos de esta disposicin.
Dentro del plazo de cuarenta y cinco das naturales contado a partir de la entrega del dictamen a
que se refiere la fraccin anterior, la institucin estar obligada a poner a disposicin del Cliente en
la sucursal en la que radica la cuenta, o bien, en la unidad especializada de la institucin de que se
trate, el expediente generado con motivo de la solicitud, as como a integrar en ste, bajo su ms
estricta responsabilidad, toda la documentacin e informacin que, conforme a las disposiciones
aplicables, deba obrar en su poder y que se relacione directamente con la solicitud de aclaracin
61
que corresponda y sin incluir datos correspondientes a operaciones relacionadas con terceras
personas;
En caso de que la institucin no diere respuesta oportuna a la solicitud del Cliente o no le entregare
el dictamen e informe detallado, as como la documentacin o evidencia antes referidos, la
Comisin Nacional para la Proteccin y Defensa de los Usuarios de los Servicios Financieros,
impondr multa en los trminos previstos en la fraccin XI del artculo 43 de esta Ley por un monto
equivalente al reclamado por el Cliente en trminos de este artculo, y Fraccin reformada DOF 2506-2009
Hasta en tanto la solicitud de aclaracin de que se trate no quede resuelta de conformidad con el
procedimiento sealado en este artculo, la institucin no podr reportar como vencidas las
cantidades sujetas a dicha aclaracin a las sociedades de informacin crdito.
Lo antes dispuesto es sin perjuicio del derecho de los Clientes de acudir ante la Comisin Nacional
para la Proteccin y Defensa de los Usuarios de Servicios Financieros o ante la autoridad
jurisdiccional correspondiente conforme a las disposiciones legales aplicables, as como de las
sanciones que deban imponerse a la institucin por incumplimiento a lo establecido en el presente
artculo. Sin embargo, el procedimiento previsto en este artculo quedar sin efectos a partir de que
el Cliente presente su demanda ante autoridad jurisdiccional o conduzca su reclamacin en
trminos de la Ley de Proteccin y Defensa al Usuario de Servicios Financieros. (MEXICANOS,
2007)
5.1.6 Instituto Federal de Acceso a la informacin y Proteccin de Datos (IFAI)

El Instituto Federal de Acceso a la Informacin y Proteccin de Datos (IFAI) est facultado para
imponer infracciones y sanciones a quienes hagan mal uso de los datos personales. Aquellas
entidades que manejan datos personales debern prever medidas de seguridad y establecer
mecanismos para que los usuarios puedan Acceder, Rectificar, Cancelar u Oponerse al manejo de
su informacin personal.
El uso extensivo de las tecnologas de la informacin y las telecomunicaciones ha permitido que en

muchas ocasiones los datos personales sean utilizados para fines distintos para los que
originalmente fueron recabados, y que sean transmitidos con instancias distintas a las que el
dueo (titular) de los datos confi informacin. Ello viola la esfera de privacidad de la persona y, en
ocasiones, lesiona otros derechos y libertades.
62
Los miembros del Congreso de la Unin aprobaron la Ley Federal de Proteccin de Datos
Personales en Posesin de los Particulares, el 27 de abril de 2010, una legislacin moderna que
coloca a nuestro pas entre los regmenes que protegen este tipo de derechos, propios de las
democracias en el mundo.
El Instituto, en su carcter de autoridad garante, tiene la facultad de imponer sanciones a aquellas

empresas que incumplan alguna disposicin de la Ley. A continuacin se mencionan algunas de
las posibles sanciones:
i. Apercibimiento
ii. Multa de 100 a 160,000 das de salario mnimo vigente en el Distrito Federal, cuando la
empresa acte con negligencia o dolo con respecto a la informacin personal, no
observe los principios de proteccin de datos establecidos en la Ley u omita datos en el
Aviso de Privacidad.
iii. Multa de 200 a 320,000 das de salario mnimo general vigente en el Distrito Federal,
cuando incumpla con su deber de confidencialidad en el tratamiento de los datos, cambie
la finalidad del tratamiento de los mismo sin darte aviso, transfiriera tu datos a terceros
sin el consentimiento del titular, obstruya los actos de verificacin del Instituto o realice
un uso ilegtimo de los datos
iv. En caso de que persistan las infracciones de manera reiterada, el Instituto podr imponer
una multa adicional que ir de 100 a 320,000 das de salario mnimo vigente en el Distrito
Federal. Tratndose de infracciones cometidas en el tratamiento de datos sensibles, los
montos de las sanciones podrn incrementarse hasta por dos veces. (Federacin, 2010)
5.1.7 Circular nica de Bancos o CUB

En 2009 Banco de Mxico emiti la regulacin para cuentas bancarias asociadas a un nmero de
telfono mvil; sin embargo las reglas de apertura y operacin de cuentas, creacin de
expedientes, y reglas anti-lavado de dinero (AML o Anti Money-Laundering) quedaban
desalineadas. Fue hasta abril de 2010 que la CNBV, el Banco de Mxico y la Secretara de
Hacienda y Crdito Pblico (SHCP) armonizaron distintas piezas de la regulacin para crear un
nuevo esquema de cuentas simplificadas a fin de que se tuviera un marco regulatorio que
permitiera por un lado tener un esquema flexible de apertura de productos bancarios y por otro
lado facilitara la liga de estos productos a los telfonos mviles. Las reglas de identificacin de
63
clientes y conformacin de expedientes, emitidas por la SHCP, establecen medidas prevenir el

lavado de dinero pero al mismo tiempo brindan la flexibilidad necesaria para permitir que los
bancos abran distintos tipos de cuentas (cuentas de baja transaccionalidad o de bajo riesgo),
dependiendo de los datos de identificacin que proporcionen los clientes: Por otra parte, a fin de
permitir el desarrollo de nuevos modelos de negocio bancario, la CNBV modific en 2010 las
Disposiciones de Carcter General Aplicables a Instituciones de Crdito -tambin conocida como
Circular nica de Bancos o CUB- para incluir las reglas de operacin a travs de corresponsales
bancarios, servicios financieros mviles, apertura simplificada de cuentas, y bancos de nicho. De
esta forma, las medidas regulatorias recientemente implementadas en Mxico, se complementan
para permitir el uso de canales alternativos en la oferta de servicios financieros, otorgando certeza
al usuario sobre los medios de acceso electrnico a los productos financieros.
Transferencias electrnicas de fondos
Artculo 17.- Las Instituciones estarn obligadas a recibir y procesar las transferencias electrnicas
de fondos que les dirijan aquellos sistemas de pagos interbancarios en los que participen.
Asimismo, las Instituciones debern aceptar dichas rdenes de transferencias electrnicas de
fondos que cumplan con los requerimientos establecidos para tales efectos por el sistema de
pagos correspondiente y debern abonar, en los trminos aplicables, los recursos respectivos en
las cuentas de los beneficiarios o receptores que mantengan dichas Instituciones.
Sin perjuicio de lo anterior, las Instituciones podrn, cuando as lo determinen, ofrecer a los
titulares de las cuentas de niveles 2, 3 4 que ellas mantengan abiertas, la ejecucin de
operaciones de transferencias electrnicas de fondos que dichos titulares instruyan con cargo a las
cuentas respectivas. Para la ejecucin de las referidas operaciones, las Instituciones podrn
permitir a dichos cuentahabientes que les transmitan las respectivas instrucciones por los equipos,
medios, sistemas y redes de telecomunicacin que dichas Instituciones determinen en trminos de
las disposiciones aplicables. A su vez, nicamente aquellas Instituciones que sean participantes en
el SPEI en trminos de las disposiciones aplicables podrn ofrecer a sus clientes que les
transmitan las respectivas instrucciones a travs de dispositivos mviles, independientemente del
canal de comunicacin que utilice el dispositivo para transmitir la instruccin.
5.2 Entidades Normativas

5.2.1 CONDUSEF
Comisin Nacional para la Proteccin y Defensa de los Usuarios de los Servicios
Financieros (CONDUSEF). Es un organismo pblico descentralizado. Su objetivo es promover,
64
asesorar, proteger y defender los derechos e intereses de las personas que utilizan o contratan un
producto o servicio financiero ofrecido por las instituciones financieras que operan dentro del
territorio nacional. Se rige por lo dispuesto en la Ley de Proteccin y Defensa al Usuario de
Servicios Financieros.
5.2.2 CNBV (Comisin Nacional Bancaria de Valores)

La Comisin Nacional Bancaria y de Valores (CNBV) es un rgano desconcentrado de la
Secretara de Hacienda y Crdito Pblico (SHCP) con autonoma tcnica y facultades ejecutivas en
los trminos de la Ley de la Comisin Nacional Bancaria y de Valores.
Este organismo estable dentro de su
quinta circular, particularmente dentro del captulo X
establece lo siguiente:
Captulo X
Del uso de Medios Electrnicos
Seccin Primera
Disposiciones generales
Artculo 306.- Las Instituciones podrn pactar la celebracin de sus operaciones y la prestacin de
servicios con el pblico, mediante el uso de Medios Electrnicos, siempre que en los contratos
respectivos establezcan de manera clara y precisa, las bases para determinar:
I.
Las operaciones y servicios que podrn proporcionarse a travs de Medios Electrnicos.
II. Los
mecanismos
procedimientos
de
identificacin
del
Usuario,
as
como
las
responsabilidades correspondientes al uso de los Medios Electrnicos, tanto para las

Instituciones como para los Usuarios.
III. Los medios por los que se haga constar la creacin, transmisin, modificacin o extincin de
derechos y obligaciones inherentes a las operaciones y servicios de que se trate, incluyendo
los mtodos de Autenticacin tales como Contraseas o Claves de Acceso.
65
IV. Los mecanismos de confirmacin de la realizacin de las Operaciones Monetarias, celebradas

a travs de cualquier Medio Electrnico.
Las Instituciones slo podrn permitir a sus clientes la utilizacin de Medios Electrnicos, cuando
cuenten con el consentimiento expreso de stos, otorgado mediante firma autgrafa, previo al uso
que por primera ocasin hagan de dichos medios.
Las Instituciones debern comunicar a los Usuarios los riesgos inherentes a la utilizacin de los
Medios Electrnicos y las recomendaciones para prevenir la realizacin de operaciones irregulares
o ilegales.
Seccin Segunda
De la seguridad, confidencialidad e integridad de la informacin transmitida, almacenada o

procesada a travs de Medios Electrnicos
Artculo 307.- Las Instituciones que convengan la celebracin de sus operaciones y la prestacin
de servicios bancarios con el pblico, mediante el uso de Medios Electrnicos, debern contar con
medidas de seguridad para que la informacin transmitida, almacenada o procesada a travs de
dichos medios nicamente pueda ser accedida por parte de los Usuarios, as como por aquellas
personas expresamente autorizadas por la propia Institucin en funcin de las actividades que
realizan.
Artculo 308.- Las Instituciones, en la utilizacin de Medios Electrnicos, para celebrar

operaciones con el pblico y proporcionar servicios, debern ajustarse a lo siguiente:
I. Cifrar el mensaje o utilizar medios de comunicacin Cifrada, aplicando como mnimo el tipo de
Cifrado de 128 bits, para la transmisin de informacin cuando el Medio Electrnico utilizado
para llevar a cabo consultas, Operaciones Monetarias y cualquier otro tipo de transaccin
bancaria, entre la Institucin y sus clientes, sea la red electrnica mundial denominada Internet.
Para los dems Medios Electrnicos, las Instituciones debern contar con mecanismos de
seguridad tendientes a evitar que terceros no autorizados puedan acceder o hacer mal uso de
la informacin transmitida.
II. Establecer mecanismos para el proceso de generacin y entrega de Contraseas o Claves de

Acceso, que aseguren que slo el Usuario podr activarlos. Adicionalmente, debern realizarse
66
las acciones necesarias para que los Usuarios no utilicen como Contrasea o Clave de
Acceso:
a) El Identificador de Usuario.
b) El nombre de la Institucin.
c) Ms de dos caracteres idnticos en forma consecutiva.
d) Ms de dos consecutivos numricos o alfabticos.
La longitud de las Contraseas o Claves de Acceso deber ser de al menos seis caracteres
cuando los medios utilizados sean la red electrnica mundial denominada Internet o el
telfono. Tratndose de otros Medios Electrnicos, tales como los cajeros automticos,
debern tener cuando menos cuatro caracteres.
Cuando el Medio Electrnico utilizado sea la red electrnica mundial denominada Internet, las
Contraseas o Claves de Acceso debern incluir caracteres alfanumricos.
III. Proveer lo necesario para evitar la lectura de los caracteres que componen las Contraseas o
Claves de Acceso digitadas por el cliente en la pantalla del Medio Electrnico de acceso.
IV. Establecer mecanismos para que, en caso de que exista inactividad en una Sesin por parte de
un Usuario, por un lapso que determine la Institucin, de acuerdo al servicio de que se trate y
en funcin de los riesgos inherentes al mismo, la Sesin se d por terminada en forma
automtica. En ningn caso el periodo de inactividad en una Sesin podr exceder de los veinte
minutos.
En el evento de que se ofrezcan servicios de afiliados o de terceros mediante enlaces

electrnicos, se deber comunicar al Usuario que al momento de ingresar a dichos servicios, se
cerrar la Sesin establecida con la Institucin y se ingresar a otra cuya seguridad no
depende, ni es responsabilidad de esa Institucin, siempre y cuando sta ltima sea quien
controle el enlace electrnico mencionado.
V. Establecer esquemas de bloqueo automtico de Contraseas o Claves de Acceso, cuando

menos, para los casos siguientes:
67
a) Cuando se intente ingresar a los Medios Electrnicos, utilizando Contraseas o Claves de

Acceso incorrectas. En ningn caso los intentos de acceso fallidos podrn exceder de
cinco ocasiones consecutivas sin que se genere el bloqueo automtico.
b) Cuando el Usuario se abstenga de realizar movimientos por depsitos o retiros o acceder a

su cuenta, a travs de Medios Electrnicos, por un periodo que determine cada Institucin
en sus polticas de operacin, de acuerdo con el servicio de que se trate y en funcin de
los riesgos inherentes al mismo.
VI. Prever procedimientos para el restablecimiento de Contraseas o Claves de Acceso que

aseguren que el Usuario correspondiente sea quien las restablezca, de acuerdo a lo que el Medio
Electrnico de que se trate permita. Las Instituciones podrn hacer uso de preguntas secretas,
siempre que las respuestas respectivas sean almacenadas en forma Cifrada y que cada pregunta
pueda ser utilizada en una sola ocasin para el restablecimiento de sus Contraseas.
VII Evitar el acceso en forma simultnea, mediante la utilizacin de un mismo Identificador de

Usuario, al sitio de la red electrnica mundial denominada Internet que corresponda al dominio de
la Institucin disponible para la realizacin de consultas, Operaciones Monetarias y cualquier otro
tipo de transaccin bancaria.
VII Realizar campaas de difusin de recomendaciones de seguridad para la realizacin de

operaciones a travs de Medios Electrnicos.
Las Instituciones podrn aplicar, bajo su responsabilidad, medidas de prevencin, tales como la
suspensin de la prestacin de los servicios o, en su caso, de la transaccin que se pretenda
realizar, de conformidad con lo pactado en el contrato respectivo, en el evento de que tales
Instituciones cuenten con elementos que hagan presumir que la Contrasea o Clave de Acceso no
est siendo utilizada por el Usuario.
Artculo 309.- Las Instituciones debern almacenar en forma Cifrada las Contraseas o Claves de
Acceso.
Dichas Instituciones tendrn prohibido solicitar a los Usuarios, a travs de sus funcionarios,
empleados o terceros, sus Contraseas o Claves de Acceso, as como contar con procedimientos
o mecanismos que les permitan conocer los valores de dichas Contraseas o Claves de Acceso.
Las citadas Instituciones debern llevar a cabo revisiones peridicas a fin de verificar que en los
68
Medios Electrnicos no se cuenten con herramientas o procedimientos que permitan conocer

dichos valores.
Artculo 310.- El acceso a las bases de datos y archivos de las Instituciones, correspondientes a
las operaciones bancarias y servicios proporcionados a travs de Medios Electrnicos
exclusivamente estar permitido a las personas expresamente autorizadas por la Institucin. Al
otorgarse los accesos de referencia, deber dejarse constancia de dicha circunstancia y sealarse
los propsitos y el periodo al que se limitan los accesos.
La obtencin de informacin a que se refiere el prrafo anterior, sin contar con la autorizacin
correspondiente, o bien, el uso indebido de dicha informacin, ser sancionada en trminos de lo
previsto en la Ley, inclusive tratndose de terceros contratados al amparo de lo establecido en el
Artculo 46 Bis de dicho ordenamiento legal.
Artculo 311.- Las Instituciones debern establecer los controles que a continuacin se mencionan
para la realizacin de Operaciones Monetarias que se pretendan efectuar a travs de la red
electrnica mundial denominada Internet o por telfono, o bien, para la actualizacin de
informacin que la propia Institucin considere sensible:
I.
Solicitar, en forma adicional al uso del Identificador de Usuario y su respectiva Contrasea

o Clave de Acceso, un segundo factor de Autenticacin que contenga informacin
dinmica. Para tal efecto, podrn utilizarse generadores de Claves de Acceso de un solo
uso o tablas aleatorias de Contraseas. En el caso de tablas aleatorias de Contraseas
ser necesario que dichas tablas mantengan propiedades similares a las de generadores
de Contraseas de un solo uso, atendiendo al servicio correspondiente y a los riesgos
inherentes al mismo.
II. Registrar previamente las cuentas destino, mismas que debern quedar habilitadas
despus de un periodo determinado por la propia Institucin, de acuerdo al servicio de que
se trate y en funcin de los riesgos inherentes al mismo. Las Instituciones debern
informar al cliente el plazo mximo en que quedarn habilitadas dichas cuentas. Para el
registro de las cuentas destino, las Instituciones debern solicitar al Usuario que se
autentique nuevamente con el segundo factor de Autenticacin, en los trminos de la
fraccin anterior.
69
III. Validar, con base en la informacin disponible para la Institucin, la estructura del nmero
de la cuenta destino o del contrato, sea que se trate de cuentas para depsito, pago de
servicios, clave bancaria estandarizada, tarjetas de crdito u otros medios de pago.
IV. Permitir a los Usuarios establecer lmites de monto para Operaciones Monetarias.
Se exceptan de lo previsto en este artculo, las Operaciones Monetarias y dems transacciones

bancarias que se realicen entre cuentas propias del cliente dentro de la misma Institucin.
Artculo 312.- Las Instituciones que pongan al alcance de los Usuarios, en sus instalaciones o en
reas de acceso al pblico, equipos electrnicos o de telecomunicaciones, que permitan llevar a
cabo consultas, Operaciones Monetarias y cualquier otro tipo de transaccin bancaria, debern
adoptar medidas que procuren impedir la instalacin en tales equipos, de dispositivos que puedan
interferir con el manejo de la informacin de los Usuarios, as como que dicha informacin sea
leda, copiada, modificada o extrada por terceros. Lo anterior, atendiendo al servicio de que se
trate y en funcin de los riesgos inherentes al mismo.
Seccin Tercera
Del monitoreo y control y de la continuidad de los servicios
Artculo 313.- Las Instituciones debern mantener mecanismos de control para la deteccin y
prevencin de eventos que se aparten de los parmetros de uso habitual.
Para tal efecto, las Instituciones podrn solicitar a los Usuarios la informacin que estimen
necesaria para definir los parmetros de referencia.
Artculo 314.- Las Instituciones debern acordar con sus clientes los mecanismos y medios para
notificarles, a la brevedad posible, sobre:
I.
El registro de cuentas a que se refiere el Artculo 311, fraccin II de las presentes

Disposiciones.
II.
Los cambios o modificaciones a los lmites de monto para Operaciones Monetarias con
terceros, definidos por el Usuario en trminos de lo establecido en el Artculo 311,
fraccin IV de las presentes disposiciones.
70
Artculo 315.- Las Instituciones debern contar con bitcoras en las que se registre, cuando
menos, la informacin siguiente:
I. Los accesos a los Medios Electrnicos tanto de los Usuarios como de las personas
expresamente autorizadas por la Institucin.
II. La fecha, hora (hh:mm:ss), nmero de cuenta origen y destino y dems informacin que
permita identificar el mayor nmero de elementos involucrados en los accesos a los
Medios Electrnicos.
III. Tratndose de servicios y operaciones a travs de la red electrnica mundial

denominada Internet, adicionalmente, los datos de las consultas y operaciones
incluyendo, en su caso, las direcciones de los protocolos de Internet o similares.
La informacin a que se refiere el presente artculo deber ser proporcionada a los Usuarios que
as lo requieran expresamente a la Institucin, en un plazo que no exceda de diez das hbiles,
siempre que se trate de operaciones realizadas en las propias cuentas de los Usuarios durante los
noventa das naturales previos al requerimiento de la informacin de que se trate.
Dichas bitcoras debern ser almacenadas de forma segura y contemplar mecanismos de slo
lectura, as como mantener procedimientos de control interno para su acceso y disponibilidad.
Artculo 316.- Las Instituciones debern contar con reas de soporte tcnico y operacional
integradas por personal capacitado que se encargar de atender y dar seguimiento a las
incidencias que tengan los Usuarios de los Medios Electrnicos, as como de procurar la operacin
continua de la infraestructura informtica y de dar pronta solucin definitiva o provisional, para
restaurar el servicio, en caso de presentarse algn incidente.
Dichas incidencias debern informarse peridicamente al comit de auditora de la Institucin de

que se trate, a efecto de que se adopten las medidas conducentes para prevenir o evitar que se
presenten nuevamente. (Valores, 2009)
5.3 Controles
El riesgo se puede definir como la probabilidad de que una amenaza aproveche una vulnerabilidad,
o la ausencia de controles, para impactar al objeto de la informacin en cualquiera de sus tres
caractersticas: integridad, confiabilidad o disponibilidad.
71
Ahora bien, no es posible eliminar por completo los riesgos de seguridad, pero los controles
funcionan correctamente, la amenaza ser contenida o mitigada. En este sentido, un control se
refiere a la solucin especfica para cada vulnerabilidad, ya sea que se trate de un marco de
trabajo, proceso, aplicacin o tecnologa, que ayude a las organizaciones a alcanzar sus objetivos
y estrategias de negocio, evitando o minimizando los impactos. Controles pueden ser preventivos,
correctivos o de proteccin.
En general, los servicios de seguridad para intercambios de datos entre clientes y entidades
bancarias, los agrupamos en seis rubros:
I. Confidencialidad
a. Garantizar que solamente las entidades autorizadas puedan acceder a la

informacin transmitida o almacenada.
b. Preservar la confidencialidad utilizando la criptografa
i. Fijar el algoritmo de cifrado.
ii. Establecimiento de clave derivada.
c.
Confidencialidad de datos de usuario.
d. Confidencialidad de informacin de sealizacin.
e. Confidencialidad de la identidad del usuario.
II. Integridad de los datos
a. Prevenir y/o detectar cambios no autorizados al contenido de un mensaje durante

la transmisin.
b. Garantizar que los datos recibidos sean exactamente los enviados en el emisor y
que no hayan sido corrompidos intencionalmente, o por error durante su trasmisin
en la red.
72
c.
Implementar la funcin matemtica hash de un solo sentido. Esta funcin

produce en realidad una firma o una huella digital del mensaje (una secuencia de
bits de longitud fija), la cual puede ser verificada para comprobar la integridad.
Una variante de la huella digital se conoce como firma ciega, que
es un
procedimiento especial para firmar mensajes, sin revelar su contenido:
i. Fijar algoritmo de integridad.
ii. Establecimiento de clave de integridad derivada.
d. Integridad de datos y autenticacin del origen de elementos de sealizacin.
III. Identificacin de los participantes
a. Identificar usuarios, elementos y sistemas de red. Se refiere a la forma en que se

presenta un participante del proceso de comunicacin. Generalmente se asocia un
nmero de cliente, un nmero de cuenta, el nombre de alguna entidad, etc.
b. Iniciar un control del acceso a los recursos de la red, y asociar privilegios con
identidad dada.
c.
Identificacin por identidad temporal. Este mecanismo permite la identificacin de

un usuario en la conexin de acceso de radio mediante la identidad de suscriptor
mvil temporal.
d. Identificacin por identidad permanente. Este mecanismo permite la identificacin

del usuario en el canal de radio mediante
la identidad pertinente del usuario
obtenida directamente de la base de datos.
e. Actualizacin de ubicacin. El usuario es quien se identifique as mismo utilizando,

en el cual el servicio pedira al usuario que se identificara por su Nip.
IV. Autenticacin de los participantes (usuarios, elementos y sistemas de red)
a. Acreditacin de la identidad, verificar que tanto el usuario como el servicio, es

realmente quien dice ser.
73
b. Utilizacin de contrasea segura.
V. Control de acceso
a. Asegurarse de que nicamente
participantes autorizados, cuyas identidades
hayan sido correctamente autenticadas, puedan acceder a los recursos protegidos.
b. Definir perfiles de usuarios, permisos de acceso en dispositivos o servicios, etc.
VI. No repudiacin
a. Asegurar la no repudiacin de los usuarios y los elementos de red. Se refiere a que

una determinada persona, niegue haber realizado previamente alguna operacin
que s realiz. Este es un concepto legal definido en las legislaciones de muchos
pases. La repudiacin se puede prevenir de diferentes formas, entre los cuales se
encuentran:
i. Generacin de evidencias a travs de bitcoras de acceso y operaciones

para posteriores verificaciones.
ii. Utilizacin de firma electrnica de documentos o mensajes.
iii. Intervencin de terceras entidades como testigos.
iv. Estampillas de tiempo.
v. Numeracin secuencial de transacciones.
5.4 Banxico
El Banco de Mxico (abreviado B de M o Banxico) es el banco central de Mxico.
Las finalidades sustantivas del Banco de Mxico son proveer a la economa del pas de moneda
nacional (el peso mexicano); instrumentar la poltica monetaria con el objetivo prioritario de
procurar la estabilidad del poder adquisitivo de la moneda nacional; promover el sano desarrollo
del sistema financiero; y propiciar el buen funcionamiento de los sistemas de pago.
74
El Banco de Mxico de acuerdo a su Ley Orgnica tambin tiene la funcin de: Prestar servicios de
tesorera al Gobierno Federal y actuar como agente financiero del mismo; fungir como asesor del
Gobierno Federal en materia econmica y, particularmente, financiera; participar en el Fondo
Monetario Internacional y en otros organismos de cooperacin financiera internacional o que
agrupen a bancos centrales, y operar con bancos centrales y con otras personas morales
extranjeras que ejerzan funciones de autoridad en materia financiera. (Mxico, 2015)
Circular 14/2011
M.11.11.16 Derogado
(Modificado por la Circular Telefax 25/2005 y derogado por la Circular 8/2011)
Caractersticas de los medios de disposicin y de pago
I. Transferencias electrnicas de fondos
Las instituciones podrn ofrecer transferencias electrnicas de fondos a travs de su pgina

electrnica en la red mundial (Internet), telfonos mviles o cualquier otro medio que determinen.
Las instituciones estarn obligadas a:
a) Asignar una Clave Bancaria Estandarizada (CLABE) a cada cuenta de los niveles 2, 3 y 4, as
como permitir la recepcin de transferencias electrnicas de fondos utilizando dicha CLABE.
Lo anterior, sin perjuicio de que adicionalmente permitan recibir dichas transferencias utilizando los
16 dgitos de identificacin de las tarjetas de dbito, o bien, los dgitos correspondientes a la lnea
de un telfono mvil.
Para recibir transferencias electrnicas de fondos en las cuentas del nivel 1, podr utilizarse la
CLABE que, en su caso, les asignen las instituciones, o bien, los 16 dgitos de identificacin de las
tarjetas de dbito.
b) Procesar en los mismos plazos las instrucciones que reciban para realizar abonos en las
cuentas que lleven a sus clientes y para transferir recursos de estas, independientemente de que
75
las cuentas de dnde provengan los recursos o a dnde pretendan transferirse, las lleve la propia
institucin u otra.
c) Permitir a los clientes incorporar informacin para identificar el motivo del pago cuando enven
transferencias electrnicas de fondos. Dicha informacin deber ser enviada a la entidad financiera
receptora y puesta a disposicin de los beneficiarios de la transferencia.
Las instituciones no podrn cobrar comisiones a los clientes por la incorporacin y envo de la
informacin referida en el prrafo anterior. Lo anterior, sin perjuicio de las comisiones que cobren
por el envo de transferencias electrnicas de fondos.
d) Mantener en Internet una gua simple sobre los procedimientos para que sus clientes utilicen los
servicios de transferencias electrnicas de fondos y domiciliaciones, en la misma institucin e
interbancarias, as como entregar gratuitamente una copia impresa a cualquier persona que la
solicite en sus sucursales.
Por otra parte, las instituciones no podrn:
e) Cobrarse comisiones entre s por el envo, recepcin, devolucin o ejecucin de las

transferencias electrnicas de fondos, salvo en domiciliaciones.
f) Diferenciar el monto de las comisiones que cobren a sus clientes por el envo de transferencias
electrnicas de fondos, incluyendo domiciliaciones, en funcin de la institucin que lleve la cuenta
del beneficiario.
M.11.11.2 Cuentas Mviles
Se considerarn cuentas mviles aqullas que las instituciones tengan registradas con tal carcter
y que estn asociadas al nmero de una lnea de telfono mvil.
Estas cuentas podrn ser de tres tipos, conforme a lo siguiente:
a) Cuenta mvil ilimitada
76
Aqulla cuyo expediente se integre de conformidad con lo previsto en la disposicin 4 de las

"Disposiciones de carcter general a que se refiere el artculo 115 de la Ley de Instituciones de
Crdito" (Disposiciones) expedidas por la Secretara de Hacienda y Crdito Pblico, la cual no
estar sujeta a restricciones de montos mximos respecto de depsitos y retiros.
b) Cuenta mvil de bajo riesgo
Aqulla cuyo expediente se integre de conformidad con lo previsto en la 14, prrafos primero y
segundo, de las Disposiciones. Las instituciones debern establecer en trminos de las
Disposiciones, el monto mximo de la suma de las cantidades depositadas y de las retiradas en
efectivo que podrn realizarse en el transcurso de un mes calendario.
c) Cuenta mvil de baja transaccionalidad
Aqulla cuyo expediente se integre de conformidad con lo previsto en la 14, prrafo tercero, de las
Disposiciones. El monto mximo de los depsitos que podrn recibirse en el transcurso de un mes
calendario, ser el equivalente en moneda nacional al monto en unidades de inversin (UDIs)
previsto en el mencionado prrafo tercero de la citada disposicin.
Para calcular el importe en moneda nacional correspondiente, deber tomarse el valor de las UDIs
del ltimo da del mes calendario anterior a aqul en que se lleve a cabo el cmputo de que se
trate.
77
Captulo VI Modelo para Combatir los Mecanismos de Fraude en

Banca Mvil
Tal como se ha mencionado a lo largo de la tesina, la banca mvil se convirti rpidamente en una
herramienta de vital importancia para las instituciones bancarias, debido a que les ha permitido
ofrecer a sus clientes diversos servicios que les permiten realizar operaciones financieras sin la
necesidad de tener que trasladarse a una sucursal bancaria.
Sin embargo, la rpida explosin de esta aplicacin y los cambios vertiginosos de la tecnologa, as
como la gran competitividad en del mercado han provocado que algunas instituciones bancarias
pasen por alto algunas caractersticas de seguridad, ocasionando que las aplicaciones de banca
mvil no sean tan seguras como se desea.
A lo largo de este captulo se describirn el modelo de seguridad propuesto por el equipo de

investigacin, el cual tiene como objetivo servir de gua para mitigar algunos de los problemas ms
comunes encontrados en las diferentes herramientas de banca mvil.
6.1 Modelo de seguridad para el desarrollo de aplicaciones seguras

El modelo de desarrollo de aplicaciones seguras que se propone est compuesto por tres reas,
cada una de las cuales es independiente entre s, aunque el trabajo desarrollado de las mismas
debe ser compartido entre las mismas con el fin de permitir el desarrollo de una mejor aplicacin.
La primera de estas reas, el rea de desarrollo es la encargada de construir y planificar la

arquitectura de la aplicacin, la cual debe estar alineada a los objetivos que la empresa persigue
con el desarrollo de la herramienta, cuidando los aspectos de funcionalidad y de seguridad de la
misma.
La segunda rea, el rea de pruebas, es la encarga de realizar las pruebas con el fin explcito de
corromper y vulnerar la aplicacin, con el objetivo de evitar que se una aplicacin poco fiable llegue
a un estado productivo con fallas de funcionalidad y/o seguridad, evitando de este modo que la
imagen de la organizacin se vea afectada.
Estas dos reas deben depender de dos lneas de mando distintas, con el fin de evitar la aparicin
de un conflicto de intereses que conlleve al ocultamiento de resultados negativos en el desarrollo
de la aplicacin, ya que no se debe permitir que un rea se convierta en juez y parte.
78
Y por ltimo y no menos importante se encuentra el rea de campaas de concientizacin de

usuarios, la cual tiene como principal funcin crear campaas que permitan instruir y sensibilizar al
usuario acerca del uso de la herramienta que se pondr a su disposicin, para lo cual deben hacer
uso de todos los recursos que la organizacin le facilite, para de este modo llegar a la mayor
cantidad de usuarios posible haciendo uso de todos los recursos con los que cuente la
organizacin. Esta rea debe de estar en constante contacto con el rea de desarrollo con el fin de
entender el uso y la funcionalidad de la aplicacin en cuestin, para de este modo poder transmitir
la informacin necesaria a los usuarios.
Figura 11 Modelo propuesto para desarrollo de aplicaciones seguras
6.2 rea de desarrollo

Como se ha mencionado anteriormente el rea de desarrollo es la encargada de disear y modelar
la estructura de la aplicacin, para lo cual cuenta con muchos modelos de ciclo de vida para el
desarrollo de software, mismos que atienden a diferentes necesidades de las organizaciones
determinadas por el contexto en el que se encuentran operando, sin embargo, a todos ellos
podemos resumirlos en el siguiente diagrama
79
Figura 12 Modelo de ciclo de vida

y tal como se puede observar se contempla una seccin de pruebas unitarias, es decir, de cada
uno de los mdulos que componen el sistema as como pruebas de integracin del mismo, las
cuales abarcan la funcionalidad del software en sus totalidad. Como se
puede observar en
ninguno de los dos casos de las pruebas propuestas se hace referencia a la seguridad de la
aplicacin, es por lo anterior que dentro de este modelo se propone que las organizaciones
consideren los siguientes aspectos:
La seguridad debe considerarse desde el diseo de la aplicacin y durante todo el proceso

de construccin del mismo, lo cual permite que las medidas preventivas sean parte
inherente de la misma y no un ente construido para subsanar las debilidades encontradas
una vez que la aplicacin se encuentre en el mbito productivo.
El equipo de desarrollo debe realizar pruebas de funcionalidad de la aplicacin as como

pruebas de seguridad de la misma las cuales deben incluir pruebas de penetracin as
como de exploracin de vulnerabilidades en la trasmisin y en almacenado de la
informacin.
Una vez que el software supera las pruebas del rea de desarrollo este pasara al rea de
pruebas, con el fin de tener un doble candado para la revisin de las aplicaciones.
Lo anterior puede describirse en el siguiente diagrama
80
Diseo del sistema pensando en la seguridad

Pruebas de funcionalidad
Pruebas de seguridad
Entrega de software al rea de pruebas
Figura 13 Puntos a considerar para el desarrollo de aplicaciones

Por ltimo el rea de desarrollo debe estar a la expectativa de los resultados obtenido por el rea
de pruebas, la cual notificar de cualquier anomala identificada que conllevara a que el rea de
desarrollo realice las correcciones pertinentes para nuevamente correr el proceso de pruebas y la
entrega del producto final al rea de pruebas.
6.3 rea de pruebas

El rea de pruebas, dentro de este modelo puede ser considerada como un rea de auditoria,
misma que debe suponer cualquier escenario en el cual la aplicacin pueda ser susceptible a fallas
propias de la programacin de la aplicacin, el diseo de la misma as como los posibles ataques
que podrn ser utilizados para la obtencin de informacin sensible de los usuarios.
En este punto no solo se consideran las fallas tcnicas o vinculadas con la tecnologa, sino que
tambin hay que considerar los aspectos humanos, es decir, el mal uso de la aplicacin por parte
del usuario, es por ello que el primer paso que debe seguirse es la identificacin del riesgo para
poder proceder a la clasificacin del mismo y la notificacin del mismo al rea correspondiente,
para que sea esta la que implemente las medidas que considera pertinentes para la mitigacin del
mismo.
6.3.1 Identificacin del riesgo

El primer punto, antes de pasar al proceso donde se realizan las actividades de control que
permitan que se gener una herramienta ms segura, consiste en la identificacin de los riesgos
que afecten a los usuarios de la banca mvil, estos riesgos en general sern los mismos para
todas las instituciones que ofrecen este servicio a sus usuarios, sin embargo, no dejara de ser
importante que de manera individual cada institucin realice un examen a conciencia de las
81
situaciones que pueden afectarle de acuerdo a las condiciones de trabajo con las que opere en ese
momento.
Para la identificacin de los riesgos potenciales para la aplicacin, nos basamos en la norma ISO
31000, el cual nos muestra el flujo que las organizaciones deben considerar para lograr identificar
los riesgos potenciales para la aplicacin.
Figura 14 Flujo operativo de la norma ISO 31000

Este modelo funciona sin importar el giro al que se dedique la organizacin, y resulta ser un
modelo muy completo, adems de ser un modelo maduro y contar con un reconocimiento a nivel
internacional.
6.3.2 Clasificacin del riesgo

Clasificamos los riesgos a los que se enfrenta la banca mvil en dos grandes grupos y cada uno de
ellos atender a ciertas particularidades, situacin por la cual deben ser tratados de distinta
manera.
El primero de los dos grupos se trata acerca de los riesgos tecnolgicos, es decir, aquellas
vulnerabilidades existentes por medidas de seguridad inapropiadas dentro de las aplicaciones y
debido al constante cambio y evolucin naturales de la tecnologa.
82
El segundo grupo se trata de los problemas de vulnerabilidades generados por el uso inapropiado
de la herramienta por parte de los usuarios, esto derivado por la poca o nula instruccin acerca del
uso de las aplicaciones.
Dentro de este proceso se deben identificar en que rubro se encuentra focalizado el problema o el
riesgo identificado, lo cual determina a cul de las reas debe ser asignada la labor de establecer
una estrategia de mitigacin del riesgo.
6.3.2.1 Riesgo tecnolgico

El riesgo tecnolgico tiene su origen en el continuo desarrollo de aplicaciones que no cuentan con
una gestin adecuada de seguridad y la banca mvil no ha estado exenta de este proceso. Esta
situacin puede encontrar su origen en la rpida evolucin que los bancos han intentado realizar
con el fin de ofrecer nuevos servicios a sus usuarios, tratando de este modo incrementar la
penetracin que tienen en el mercado y estar siempre un paso adelante de sus competidores, sin
embargo, el rpido desarrollo de las aplicaciones tiene sus consecuencias y en este caso puede
derivar en pasar por alto escenarios en los que la aplicacin puede ser vulnerable.
Un ejemplo de lo antes mencionado es el hecho de que algunas de las aplicaciones de banca

mvil transmitan informacin sin usar protocolos SSL, provocando as que los usuarios queden
vulnerables ante algunos ataques tales como los de Man in the Middle. Otro ejemplo que pone en
clara evidencia que las medidas de seguridad tomadas por los desarrolladores pueden llegar a ser
muy escasas o nulas es el hecho de que algunas instituciones dejen el acceso a su app
completamente abierto una vez que logramos tener acceso al dispositivo mvil, es decir, que una
vez que ingresamos la contrasea con la que el usuario bloquea su telfono celular por ejemplo
solo basta con ubicar el app del banco y enseguida podremos realizar cualquier tipo de transaccin
sin que la aplicacin nos solicite informacin adicional para autorizar los movimientos. Y como
estos casos podemos encontrar muchos ms.
Con el fin de mitigar este tipo de vulnerabilidades el rea debe someter a pruebas exhaustivas a la
aplicacin en cuestin, evaluando cada uno de los riesgos identificados para lo cual se puede
disear un formato a la medida.
Para el caso de las pruebas de funcionalidad el formato debe contemplar al menos los siguientes
aspectos:
Descripcin de la prueba a realizar.
83
Resultado esperado de la prueba.
Identificacin clara de las entradas que recibe el sistema.
Identificacin clara de la salida arrojada por el sistema.
Fecha de la prueba.
Capturas de pantalla de los resultados obtenidos por la aplicacin.
Un ejemplo de este tipo de formatos pude observarse en la siguiente imagen
Figura 15 Casos de prueba funcionales
84
Para el escenario de las vulnerabilidades de seguridad de la aplicacin el formato empleado debe

contener al menos los siguientes rubros:
Descripcin de la prueba o el ataque a realizar.
Descripcin del procedimiento de las herramientas empleadas para el ataque.
Descripcin de los pasos que sigue el ataque as como de la informacin obtenida

durante el mismo.
Una vez realizadas pruebas el equipo del rea de pruebas, debe entregar toda la informacin
recabada al rea de desarrollo, indicando de manera puntual los descubrimientos realizados, para
que este proceda a la elaboracin de las correcciones pertinentes para que una vez que estas se
hayan realizado se inicie nuevamente la ejecucin de toda la batera de pruebas, con el fin de
validar que las modificaciones no hayan afectado la funcionalidad del sistema, en este punto
resulta de vital importancia no dar nada por sentado, si algo funciono de manera correcta durante
la primera validacin no significa que este funcione igual tras alguna modificacin, es por ello que
el equipo de pruebas debe estar atento a cualquier cambio realizado del lado del desarrollo.
6.3.2.2 Riesgo por ingeniera social

Es una verdad indiscutible que las aplicaciones de la banca mvil cuentan con reas de
oportunidad claras en lo que respecta al tema de la seguridad, pero aun cuando las instituciones
bancarias colocan todo su empeo en mitigar todos los riesgos tecnolgicos potenciales a los que
resultan susceptibles, estas tambin se enfrentan a una situacin con la que todos debemos
enfrentarnos, y es el hecho innegable que el usuario resulta ser el eslabn ms dbil dentro de la
cadena de seguridad, lo anterior se debe a que como al tratarse de una persona esta puede ser
manipulable para que de forma voluntaria o involuntaria entregue informacin confidencial a un
tercero, misma que puede ser empleada para realizar algn movimiento fraudulento.
Dentro de este rubro podemos ubicar ataques como el pishing, el cual consiste en enviar correos o
mensajes apcrifos a nombre de las instituciones bancarias donde se solicita informacin
confidencial de la cuenta, misma que puede ser utilizada para realizar transacciones sin
consentimiento de la vctima, y como este existen muchas tcnicas, las cuales se abordan en
captulos anteriores.
85
En este rubro la tarea del rea de pruebas es generar escenarios en los cuales los usuarios
pudieran ser engaados por los ingenieros sociales y presentar el escenario al rea de
concientizacin del usuario.
6.4 rea de concientizacin del usuario

En rea de concientizacin del usuario se considera el vnculo entre los usuarios y las instituciones
bancarias y como objetivo crear las campaas necesarias para permitir tener informado al usuario
de la baca mvil acerca de los medios en que puede ser abordado por los ingenieros sociales con
el fin de obtener informacin crtica con la cual puedan realizar operaciones fraudulentas en sus
cuentas.
Esta rea debe hacer uso de todos los recursos con los que cuenta la organizacin para asegurar
que la informacin proporcionada llegue a la mayor cantidad de clientes que sea posible, por
cualquiera que sea el canal por el cual hagan uso del servicio que el banco les ofrece.
A largo de esta seccin se mencionan un cumulo de recomendaciones que deben tenerse en

cuenta para la mitigacin de este tipo de ataques.
6.4.1 Mitigacin de ataques de Ingeniera Social

Determinar las vulnerabilidades de los objetivos y los trucos de los ingenieros sociales para
defenderse de estos riesgos. Desde que la ingeniera social ha sido aplicada en la generacin de
fraudes bancarios, implementados con la ayuda de los diferentes modos de ataque efectuados a
los dispositivos mviles, es necesario un modelo para combatirla. En algn punto, la estrategia
debe ser ms que una defensa porque el ingeniero social mejora las tcnicas utilizadas y busca
debilidades en cualquier rea de oportunidad.
Dentro de las reas de defensa que se buscan mejorar para prevenir la ingeniera social y reducir
la afectacin a los usuarios de banca mvil, se plantean las siguientes reas.
rea de seguridad nivel bsico: Poltica de Seguridad enfocada a la ingeniera social.
Hay que establecer un fundamento slido y estable. La poltica de seguridad define los estndares
y niveles de seguridad que va a tener el usuario. Este fundamento es an ms crtico cuando la
poltica de seguridad est protegiendo a los usuarios finales a resistirse a las peticiones de los
ingenieros sociales.
86
La poltica de seguridad es una gua sobre los controles de acceso a la banca mvil,
configuraciones de Apps y cambios de clave, ya que estos contienen informacin bancaria
relevante.
El nivel de poltica de seguridad de defensa en relacin con la ingeniera social ayuda a los
usuarios a defenderse contra los procedimientos psicolgicos de autoridad y difusin de
responsabilidades. Las polticas tienen un efecto balanceado en la autoridad que una persona
puede asumir cuando ellos realizan contacto con el usuario final. La poltica tambin define la
responsabilidad sobre el manejo de la informacin o los accesos que hay sobre ella de modo que
no haya cuestionamientos cuando el usuario entregue informacin.
rea para concientizacin al usuario: Entrenamiento para la concienciacin sobre seguridad

para todos los usuarios.
Una vez que los fundamentos de una poltica de seguridad han sido establecidos y aprobados,
todos los usuarios deben ser concienciados en cuanto a seguridad se refiere. La poltica de
seguridad provee lineamientos para la concientizacin as como tambin para tener una motivacin
para el cumplimiento de esta poltica.
La concienciacin sobre seguridad es bastante compleja ya que no todos los usuarios quieren
implementar unos minutos de su tiempo para entender las polticas, adems no es suficiente con
decirle a la gente, no debes darle tu clave a nadie. En efecto, un hacker conocido, Kevin Mitnick,
dijo en una conversacin Yo jams le he preguntado a nadie su clave. La manera en que opera
es muy diferente, ya que lo que el buscaba era crear un sentido de confianza y luego explotarlo.
Los usuarios tienen que saber qu tipo de informacin puede usar un ingeniero social y qu tipo de
conversaciones son sospechosas, as como tambin, saber cmo identificar informacin
confidencial y entender su responsabilidad cuando se trata de protegerla.
Todos los usuarios deben estar conscientes de las seales bsicas que estn presentes en un
ataque de ingeniera social. Entre algunas de las seales que indican que una es sospechosa y
debe ser rechazada estn, quien llama quiere obtener informacin de contactos, tiene apuro,
solicita nombres, trata de intimidar, tiene mala pronunciacin, hace preguntas extraas y preguntas
sobre informacin que no recuerda. Las personas que estn siendo vctimas de un ataque deben
estar dispuestas a hacer preguntas a la persona que llama y no revelar informacin cuando parece
que las cosas no estn bien; de esta manera los usuarios son conscientes de que un buen
ingeniero social trata primero de establecer una relacin confiable. El ingeniero social luego va a
87
explotar esta relacin para obtener toda clase de informacin de valor. Una gran cantidad de
informacin se obtiene mediante conversaciones casuales por ejemplo utilizando una voz que sea
agradable, o que indique mandato, nombres y cargos de personal del banco.
El entrenamiento sigue bsicamente las polticas de seguridad pero ah hay algunos puntos clave
que los usuarios deben recordar:
Mucha gente no cree ser manipulado para que proporcione informacin y esta se utilice en
un fraude o provoque una falla en algn dispositivo. Los usuarios deben estar conscientes
de lo que deben hacer en caso de no poder accesar al App bancaria.
Los amigos que son hechos por telfono o por cualquier medio parecido, que pregunten
por cosas concernientes a informacin privilegiada no son amigos del todo. Los ingenieros
sociales usualmente buscan ser amigos de sus vctimas antes de preguntarles cualquier
cosa. Todos los usuarios deben estar conscientes de que no solo porque alguien parece
ser nuestro amigo lo es, esto significa que no pueden darles informacin privilegiada ni
accesos. Dependiendo del valor de la informacin y el nivel de seguridad que se requiera
en la red, los ingenieros sociales van a tomar medidas para convencer al objetivo de que l
o ella es su amigo. Esto puede potencialmente tomar lugar en un perodo de tiempo
incluyendo das, semanas o hasta incluso aos.
Aunque muchos ingenieros sociales nunca van a preguntar por tu clave, otros van a venir
con razones muy convincentes por la que un usuario le debe dar su clave a un completo
extrao. Desafortunadamente, sin entrenamiento, la gente tiende a dar sus claves sin
pensarlo mucho, combinado con otros tipos de ataques como por ejemplo el robo de
sesin o la duplicacin de SIM, hace que se vuelva muy efectivo el robo de esta clase.
En muchas ocasiones basta con dejar el celular en la mesa olvidado o encargado durante
un lapso corto en una reunin casual, ya que se est con una persona agradable y/o
atractiva a la vista, teniendo un momento de confianza o empata, dando oportunidad al
ingeniero social a tener acceso al dispositivo mvil.
rea de persistencia: Recordatorios constantes.
Realizar recordatorios sobre la necesidad de una conciencia de seguridad, este es necesario para
mantener a la gente concienciada del peligro que puede acechar sobre los usuarios ya sea
mediante una llamada telefnica, o como posibles vctimas de un ataque.
88
A los usuarios se les debe recordar regularmente de la posibilidad de que un atacante atente
contra l para robarle informacin y especficamente informarle sobre cualquier hecho reciente.
rea atrapado: Ingeniera social rea de ataques.
Dado que la ingeniera social establece trampas muy bien definidas para conseguir daar al
usuario es necesario dar a conocer y saber cmo detener un ataque. Las instituciones bancarias
tienen que alertar a los usuarios que pueden estar en peligro y direccionar a la vctima a una
defensa o incrementar la seguridad. Algunas ideas se listan a continuacin,
La justificacin de saberlo todo.- Un ingeniero social experimentado no flaquea ante su

vctima, ya que este busca cualquier medio para conseguir la informacin pertinente. Los
Nips pueden estar escritos a la vista, o pueden pertenecer a otras contraseas, se puede
incluir en informacin confidencial de manera errnea. Por parte de las instituciones
bancarias se debe tener un rea que se dedique a conocer los riesgos de seguridad ante la
presencia de un ingeniero social y debe conocer las tcnicas que pueden utilizar este tipo
de personas.
Historial de ataques.- Tener un historial de los ataques presentados, mismos que debern
ser monitoreados por el personal del banco a este historial sern agregados los ataques
presentes al mismo tiempo que se deber generar un boletn notificando a los usuarios de
las caractersticas del ataque con el objetivo de mitigar el mismo.
Por ejemplo, si un ingeniero social est obteniendo informacin por parte de un usuario y
est usando esta para hablar con otro usuario, los patrones pueden ser notificados en el
historial. Tan pronto como sea notificado, el personal de seguridad puede tomar acciones
para detener el ataque advirtiendo sobre el a sus usuarios.
Las actualizaciones que se hacen en el historial de seguridad son monitoreadas en tiempo

real, de manera que la institucin tome ventaja de cualquier opcin de notificacin que la
institucin tiene disponible.
Para que sea efectivo el historial central, todos los eventos de seguridad son ingresados y
los empleados, especialmente los de los puestos de la Mesa de Ayuda y Servicio al
Cliente, tienen que ser evaluados en parte por su adherencia a esta poltica. El historial es
centralizado y monitoreado as el atacante no puede rebotar entre diferentes usuarios
finales de la aplicacin.
89
Regreso de llamadas.- Considerado como un procedimiento bien conocido que puede

hacerse para un terreno minado efectivo es que el personal de la Mesa de Ayuda realicen
el regreso de llamadas a cualquiera que haga un requerimiento sobre la renovacin de una
contrasea o informacin sensible que permita el acceso desde cualquier dispositivo mvil.
El personal de la Mesa de Ayuda debe tener la libertad de agregar el evento a la historia de
ataques.
Establecer tiempos prolongados.- Cuanta mayor presin se ejerza a una persona ms fcil
es persuadirla.
Ante cualquier mensaje que parezca sospechosa o pidiendo renovacin de la contrasea o

informacin privilegiada tiene que ser ignorado para evitar la persuasin ante la presin.
Esto detendr la accin y le dar al usuario la oportunidad de entender de una mejor manera lo
que sucede. Dando oportunidad al usuario para comunicarse a la mesa de atencin de la
institucin y para verificar la veracidad del proceso que se est solicitando. La clave real aqu es
tomar un minuto y procesar la informacin que est siendo dada para determinar si esta es
legtima, necesita ms verificaciones o debe ser denegado.
rea de defensa: Respuesta a incidentes
El nivel final de defensa es la respuesta a incidentes. La necesidad de tener un proceso bien

definido empieza tan pronto como el usuario sospecha que algo no est bien. Este proceso debe ir
agresivamente despus de encontrado el ingeniero social y proactivamente debe informar a las
vctimas potenciales.
Si no hay respuesta al incidente, cada usuario que este ante un ataque de ingeniera social est
peleando una guerra. En el entretiempo el ingeniero social est mejorando al entender las
defensas que el usuario ha aprendido; los procesos de respuesta a incidentes frenan este proceso.
Tan pronto como un ingeniero social es descubierto en cualquier parte del proceso, el ataque se
identifica y el usuario es alertado sobre el ingeniero social que est ah y que puede esperar si se
presente un encuentro con l.
6.4.2 Concientizacin al usuario ante ataques de ingeniera social

Se necesita dar capacitacin al usuario de una manera clara y entendible de los riesgos que se
pueden encontrar ante la ingeniera social y los ataques que da con da se generan en los
90
dispositivos mviles con el fin de poder obtener la informacin necesaria para poder realizar un
fraude en el uso de las aplicaciones mviles.
Una parte importante de la estrategia de defensa es realizar concienciaciones de los mtodos que
se han empleado y los comportamientos que han sido fijados por los bandidos para llevar a cabo
sus ataques. Educar a los usuarios sobre el dao cometido por algunos ladrones, es tambin un
deber.
Ya que la ingeniera social es uno de medios ms relevantes para conseguir lo que se desea, se
debe tener en cuenta un plan de capacitacin para que todos los usuarios, desde los usuarios con
cuentas Premium hasta los clientes con cuentas bsicas, conozcan lo que es la ingeniera social y
los tipos de ataques a los dispositivos mviles, como se lleva a cabo y cules son las
consecuencias que podra acarrear un ataque de este tipo.
Como primer paso en este modelo, hay escribir y publicar en intranet las medidas a implementar.
Se debe enviar un e-mail informando donde pueden encontrar las polticas los usuarios para que
puedan leerlas y adems mediante un formulario adjunto donde dice lo que puede suceder si no se
cumplen.
Hay diferentes herramientas que pueden ser usadas en un programa de concienciacin de

seguridad, las mismas que en cierto grado son efectivas y si son combinadas surgen un mejor
efecto, por lo que se debera usar:
Videos
Cartas
Posters
Email
Folletos
Comerciales
Notas
91
El programa de concienciacin debe servir para dar a conocer a los usuarios la informacin de las
polticas de seguridad de la organizacin, para sensibilizarlos sobre los riesgos y prdidas
potenciales y entrenarlos para reconocer las tcnicas de ingeniera social. Pero no es suficiente
decirles a los usuarios cmo comportarse; ellos deben entender y apreciar las razones que hay
detrs de todas estas reglas. Un mtodo efectivo es personalizar el asunto de seguridad, ensearle
qu es lo que hacen, cmo lo hacen y porqu lo hacen aplicado esto de manera personal. Una
mayor razn para la carencia de concienciacin en este tema de la ingeniera social es la falta de
comprensin de lo que puede ser perdido a travs de estas brechas de seguridad.
De manera que si se educa a los usuarios sobre los riesgos de la ingeniera social puede ser la
primera lnea de defensa, esto puede probar que es una tarea desalentadora. Aun que todos
somos propensos a ataques de ingeniera social, nadie acepta tener la responsabilidad sobre un
ataque y se prefiere establecer que alguien ms es el culpable.
Otro punto que debe ser tomado en cuenta ya que es uno de los mejores mtodos que se han
encontrado y probado para educar a los usuarios sobre los riesgos, es tomar historias de ingeniera
social sobre eventos actuales y ponerlos en un sitio web o usar el email para dar consejos de
seguridad e historias informativas. El guardia de seguridad puede tambin incorporarse a estas
historias en el programa de concienciacin que se les da a los usuarios. Las historias trabajan
como fbulas antiguas, imparten informacin con algn propsito. Contar historias autnticas de lo
que le pas al otro pobre hombre aumenta la resistencia a esta explotacin disminuyendo las
amenazas, haciendo que el empleado no sea tan vulnerable a la ingeniera social.
Los usuarios deben tener informacin sobre a quin llamar cuando surge un evento sospechoso.
Ellos tienen que entender cul es su responsabilidad al mantener seguros sus datos. Un programa
de entrenamiento de seguridades puede significar el xito o el fracaso.
Otra manera muy importante y eficaz para concienciar a los usuarios en cuanto a seguridad
personal se trata, es a travs de los ejemplos de la vida real de personas a quienes han sido
afectadas por medio de revelar informacin o solo por negligencia e ignorancia.
Hay organizaciones que contratan personal para llevar a cabo esta tarea. Las historias son
actualizadas con regularidad, y no ocupar ejemplos de dcadas pasadas. Todo lo que necesita
hacer es proveer un vnculo al sitio web donde estn publicadas las historias.
Usar pantallas que aparecen de repente cuando se entre al sitio, con un mensaje de seguridad
diferente cada da. El mensaje puede ser diseado de manera que no desaparezca
92
inmediatamente, que requiera que el usuario de un clic que demuestre que l o ella si ley lo que
deca ah.
Otro punto es comenzar con una serie de recordatorios de seguridad. Los mensajes de
recordatorios frecuentes son importantes; un programa de concienciacin debe estar siempre en
marcha y no detenerse de lado. Estudios han demostrado que estos mensajes son ms efectivos
cuando varan en las palabras que son usadas o cuando son usados con ejemplos diferentes.
Es posible mejorar el entendimiento con la creacin de un logotipo con algn personaje llamativo
que tenga relacin con la seguridad y llevar a cabo campaas publicitarias y de concientizacin de
las polticas de seguridad.
6.4.3 Recomendaciones para prcticas de seguridad con el uso de dispositivos mviles

Si bien los casos de ataques a dispositivos mviles eran muy pocos, los ltimos aos se ha visto
un aumento considerable en actos ilcitos relacionados con estos dispositivos, los factores que
contribuyeron el crecimiento de estos ataques son:
Es relativamente barato conseguir un telfono inteligente para acceder a internet.
La mayora de la gente que usa internet en dispositivos mviles desconocen las tcnicas
de los hacker para obtener informacin.
Muchos usuarios de internet slo usan los dispositivos mviles para actualizar su perfil en
las redes sociales.
Aumento en la cantidad de troyanos para mviles que al ejecutarse causan daos.
Es donde hay ms posibilidades de ataque por parte de los hackers, por el solo hecho de
que las redes sociales reciben millones de visitas al da y los dispositivos mviles son cada
vez ms populares.
Todos los das hay nuevos usuarios de internet que nunca haban usado internet y ahora
lo hacen por primera vez, esa clase de usuarios son un blanco fcil de los hackers.
93
Nunca almacene datos personales sensibles en sus dispositivos mviles. Dado a que es
muy fcil extraviar este tipo de dispositivos, nunca se debe almacenar datos que puedan
ser utilizados para fraudes por terceras personas como informacin bancaria.
6.5 Polticas de seguridad en las reas ms sensibles

Una poltica de seguridad debe ser bien documentada y accesible al mismo tiempo, bajo
estndares y lineamientos asociados a dicho documento y deban ser seguidos para poder cumplir
con la poltica.
La poltica debe ser claramente documentada en cuanto a los trminos legales que contiene, el
alcance de la misma y el contenido de cada una de las reas en las que se aplica.
Para proteger estos datos existen varias tcnicas que son implementadas como procedimientos en
la poltica:
Establecer el debe saber, lo que quiere decir que la persona encargada de proteger la
informacin debe dar su consentimiento para que dicha informacin sea accedida por la
aplicacin que la necesita.
Guardar un log personal o sobre las transacciones que realiza el usuario para determinar
actividades fuera de lo comn.
Mantener una lista de los centros de ayuda o las instituciones- tanto telfonos como
correos electrnicos- los cuales estn especialmente entrenados en los procedimientos y
pueden ayudar en cuanto a asesoras o acciones que mitiguen el dao.
Si un requerimiento de datos es hecho por escrito (e-mail, fax o correo) hay que tomar
otros pasos de seguridad adicionales para verificar que el requerimiento proviene de la
institucin correspondiente.
Cuando se trata el rea de las claves o contraseas se debe considerar:
El entrenamiento de seguridad debe cumplir el tema de claves y debe enfocarse en la parte de

cundo y cmo cambiar de contrasea. Advertir que constituye una clave aceptable y los desastres
de permitir que alguien ms intervenga en este proceso. El entrenamiento especialmente necesita
94
cubrir a todos los usuarios de ser sospechosos de cualquier requerimiento que involucren sus
claves.
En lo superficial esto parece ser un mensaje simple para transmitir a los usuarios. No es as,
porque apreciar esta idea requiere que los usuarios comprendan como un simple acto, el de
cambiar una contrasea, puede guiar a un compromiso de seguridad.
Para un ingeniero social, obtener acceso a un sistema puede significar la diferencia entre un
ataque exitoso o uno fallido. Una poltica debe existir para la entrega y creacin de contraseas.
Una buena poltica de contraseas debe incluir informacin sobre:
No compartir contraseas cuando se le solicita
No escribir contraseas
No usar contraseas por defecto
Mtodos para identificar usuarios en el reseteo de contraseas
Mtodos para entrega de contraseas
Creacin de contraseas (como lo es el caso de los NIP, que se considere no sean
dgitos iguales, consecutivos o que no sea la fecha de nacimiento)
Establecer un antivirus en el mvil
Cambio peridico de contraseas.
Bloqueo cuando falla la autenticacin (por ejemplo, la cuenta es bloqueada despus de 3
intentos fallidos)
Los ingenieros sociales pueden conseguir usualmente las contraseas simplemente dando un
paseo ms all de los espacios fsicos para obtener informacin. La invencin de las notas post it
han probado ser un dolor de cabeza para los profesionales de seguridad as como tambin una
bendicin para los ingenieros sociales. Es tan comn para los individuos escribir sus contraseas
en estos papelitos. Una buena poltica de contraseas debe requerir que los usuarios no escriban
sus contraseas en cualquier lugar y las guarden en lugares visibles o que estn al alcance de
95
cualquier persona, y al momento de realizar la destruccin de documentacin donde se encuentre

la contrasea, realizar de manera correcta el desecho de la documentacin.
Las polticas fueron creadas para ser seguidas y se debe pedir que el usuario confirme que estas
fueron ledas y comprendidas; tomarse el tiempo necesario para rastrear a los ofensores o
ingenieros sociales puede ser costoso y consumir mucho tiempo.
Una poltica no es buena si no ha sido reforzada, es por esto que los recordatorios son
extremadamente importantes y se requiere que exista la seguridad de que esta poltica se cumple
y funciona. Si un usuario en realidad entiende los riesgos involucrados en escribir y pegar por ah
las contraseas as como el hecho de compartir informacin sensible, l o ella van a hacer menos
este tipo de cosas. Los usuarios deben tomar un rol activo en la seguridad, por lo que un
entendimiento del riesgo que conllevan estas cosas y las consecuencias de sus acciones son
llevadas a casa para ayudar a combatir la ingeniera social.
El personal de la mesa de ayuda de una organizacin debe seguir una estricta verificacin de
identidades y una poltica de entrega de claves. La verificacin de la identidad, en este caso, se
refiere a la autenticacin de una persona que llama para confirmar que realmente es quien dice
ser. Los administradores de las Apps necesitan una manera de validar al individuo con el que se
estn comunicando.
Con las tecnologas de cambio de contraseas por uno mismo, un humano no tiene que validar
que otro humano es quien en realidad dice ser. Las tecnologas de respuesta a retos estn
llegando a ser ms y ms populares ampliamente usadas a travs de los ambientes empresariales.
Con la respuesta a retos, se requiere que el usuario conteste una o varias preguntas antes de que
se le d la habilidad de cambiar su propia contrasea mediante una interfaz web.
Hay muchas sugerencias sobre la propia entrega de contraseas. Por ejemplo, algunas
instituciones pueden insistir en que las contraseas sean entregadas por el mail de la compaa u
otro servicio de Courier. Esto significa que las contraseas son escritas y pueden ser
interceptadas.
Si el correo electrnico no es un medio apropiado de comunicar contraseas para una institucin,

ste puede en su lugar ser usado para dejarle saber al dueo de la cuenta que un requerimiento de
contrasea ha sido generado. Si la caracterstica de un correo electrnico automtico no es
adecuada, debe ser permitida una conexin para rastrear los cambios de contraseas.
96
Defenderse contra la ingeniera social.
Una buena defensa contra la ingeniera social debe incluir los siguientes aspectos:
Evaluacin de vulnerabilidades
Poltica de Aceptacin de uso
Chequeos de historial de ataques
Proceso de terminacin
Respuesta ante incidentes
Entrenamiento sobre concienciacin de seguridad
Evaluacin de vulnerabilidades.
Sea esta realizada de manera interna o externa, las instituciones implementan una prueba de
penetracin y vulnerabilidades de manera peridica. Las pruebas usualmente consisten en usar los
conocimientos de las herramientas de hackeo y las tcnicas comunes de los hackers para
comprometer una App. En la ingeniera social es esencial proveer un graven exacto. Desde que un
ataque toma ventaja de los usuarios, usar ingeniera social como parte de la prueba de penetracin
puede tener implicaciones legales y debe ser claramente definido y aprobado antes de que ocurra.
Toda poltica de aceptacin de uso:
Una poltica de aceptacin de uso tambin ayuda al aseguramiento de que los datos confidenciales
no sean compartidos y que los sistemas no estn siendo usados de la forma inadecuada. Como
toda poltica, sta incluye informacin sobre cmo un sistema de informacin ser usado. Una
poltica de aceptacin de uso debe incluir informacin como la siguiente:
La informacin confidencial no debe ser liberada para terceras partes, sin obtener
Inaceptable uso de e-mail
Hostigamiento
97
Falsificacin/distorsin
Uso comercial de informacin de recursos
Abuso de conectividad a redes publicas
Denegacin de servicios
Apps no oficiales
Uso de Apps que generen VPN
Se debe realizar un chequeo de actualizaciones para saber las Apps con las que trabaja una
institucin y que aplicacin est teniendo acceso a nuestra informacin.
Los ingenieros sociales usarn cualquier mtodo posible para conseguir su objetivo. Si el ms
comn de los ataques de ingeniera social usan intrusos indirectamente, es muy comn para un
atacante entrar en el dispositivo o fingir ser una Apps oficial. Los chequeos de antecedentes son
importantes para el usuario en general y son una parte esencial de la defensa contra la ingeniera
social.
Los chequeos de actualizaciones no se limitan a ciertos usuarios. Los usuarios que no cuenta con
smartphone pero utilizan la banca mvil tambin se les debe aclarar que existen reglas a cumplir
antes de hacer uso de este servicio. Cada institucin bancaria cuenta con un proceso de chequeo
de actualizaciones para los usuarios con Smartphone.
Un buen chequeo de actualizaciones tiene que incluir:

Tipos de datos nuevos o datos que ya no se piden para ingresar
Actualizacin de imagen de la App
Historial de antecedentes de errores
Historial de fallos por parte del usuario
98
Tener un chequeo intensivo de actualizaciones puede ayudar a asegurar que una App apcrifa
pueda llegar a ser considerada como parte del servicio de banca mvil, para determinar ataques de
ingeniera social.
Proceso de terminacin:
Un proceso efectivo de terminacin es disuadir a los usuarios que han terminado su relacin con la
institucin bancaria de no volver a utilizar los mismos accesos como NIP o contraseas al contratar
el servicio en otro banco. La terminacin debe ocurrir cuando un usuario da por terminada por
completo su relacin con el banco o desea prescindir del servicio de banca mvil. Un proceso de
terminacin de accesos debe incluir el removimiento inmediato de accesos al servicio. SI el usuario
cambia de dispositivo mvil o nmero telefnico, se debe detonar un proceso de actualizacin de
informacin y cambio de contraseas, con el fin de mantener la integridad de la misma y de este
modo poder realizar una identificacin certera del usuario.
Las instituciones no terminan el acceso antes de que el usuario se presente he identifique en la

oficina de la institucin y firme el papeleo correspondiente, un esfuerzo coordinado necesita estar
en medio de los recursos. Para que esta baja o cambio se pueda dar de manera eficiente,
permitiendo de este modo bloquear cuentas y eliminar cuentas asegurando que ninguna persona
ajena pueda acceder a la cuenta, cuando el usuario se encuentre en espera de la baja de la
misma.
Plan de respuesta a incidentes:
En el caso desafortunado de que un ataque ocurra, un proceso de respuesta ante incidentes debe
tener lugar para ayudar a contener y obtener informacin sobre el ataque. Un ataque que pasa sin
ser notificado debe ser slo el comienzo de una cadena de ataques. Identificar y tratar con un
ataque de una manera eficiente es importante para deteriorar ataques futuros as como para
contener un incidente. Los planes de respuesta ante incidentes variarn ampliamente entre una y
otra institucin. Es importante un proceso de respuesta ante incidentes diseado especficamente
para una organizacin el cual trata informacin obtenida y analizada de eventos maliciosos. En el
caso de ingeniera social, los usuarios cuentan con un nmero telefnico o una persona para
contactar inmediatamente despus de descubrir que un incidente ha sucedido o est en
construccin.
Los usuarios deben estar dispuestos a reportar cualquier actividad inusual que encuentre
incluyendo llamadas telefnicas.
99
Identificacin por geolocalizacin:
A los usuarios que utilicen la banca mvil se les debe de monitorear para poder llevar un patrn de
los lugares en donde se efecten las operaciones como compras o consulta de saldos, en caso de
registras una ubicacin extraa o que salga del patrn que el usuario tiene, se debe de lanzar una
alerta. Tras lo cual despus de una verificacin apropiada de la identidad del usuario, se
bloquearan o se autorizaran las acciones que dispararon la alerta.
Basureros:
Los basureros no son considerados como una forma de destruccin de informacin. En su lugar
hay que destruir, cortar triturar o romper cualquier papel que pueda contener informacin valiosa o
en caso de los dispositivos borrar toda informacin antes de desecharlos o llevarlos a un centro de
recoleccin especial para desechos tecnolgicos de manera que estos individuos no busquen a
travs de los basureros para encontrar informacin confidencial que no fue destruida
apropiadamente.
Entrenamiento de concientizacin de seguridad:
La parte ms importante de una poltica de seguridad efectiva es asegurarse de que todos los
usuarios estn conscientes y adheridos a esta. A todas las instituciones se les debe pedir activen
peridicamente una campaa de concientizacin de seguridad. Dependiendo del ambiente, debe
ser una buena prctica llevar acabo esta campaa anualmente. Los nuevos contratos anexan las
polticas de seguridad as como firmar un documento reconociendo que han ledo, entendido y que
estn de acuerdo en tolerar las mismas. Una buena campaa de concientizacin de seguridad
incluye informacin de todas las polticas de seguridad e informacin sobre las tcnicas de
ingeniera social.
100
Conclusiones
Dentro de los conceptos de ingeniera social, se pueden encontrar las diferentes tcnicas que son
utilizadas por los ingenieros sociales al momento de realizar un ataque, las mismas que son
bastante fciles de usar y generalmente se aprovechan de la ingenuidad o falta de conocimiento de
las personas, quienes sin darse cuenta entregan cualquier tipo de informacin a personal
desconocido y no piensan si quiera que esta informacin puede causar prdidas desastrosas
dentro de la organizacin o a una persona especfica.
Los usuarios no tienen la educacin adecuada en cuanto a seguridad informtica, no conocen

cuales son los riesgos de recibir informacin como: promociones, premios y propaganda, y no
confirmar si esa informacin es autntica y no contiene ningn tipo de malware.
La creacin del plan de concientizacin para todos los usuarios, sin importar el tipo de cuenta
bancaria y el dispositivo mvil que manejen, contiene las tcnicas que usan los ingenieros sociales
y qu pasos siguen para poder realizar los ataques. Conocer cules son los riesgos que se corre al
no saber cuidar la informacin al confiar y entregar datos personales e informacin confidencial a
cualquier persona.
Dar a conocer a los usuarios todas las tcnicas que se usan dentro de ingeniera social y cmo se
usan, as como tambin la manera de reconocer cuando un ingeniero social est poniendo en
prctica una de ellas y cmo evitar caer en las manos del hacker, qu se puede hacer para mitigar
el riesgo de ser una vctima de la ingeniera social.
Dentro de las tiendas de aplicaciones no oficiales se puede encontrar un sin nmero de Apps que
pueden ser muy inocentes pero otras pueden causar daos catastrficos, o que pueden robar
cualquier tipo de informacin, por lo que hay que mantener siempre activas las alertas automticas
sobre cualquier tipo de App que sea instalada, debe realizarse de forma peridica una revisin de
las Apps que se tienen instalados, y mantener actualizado el antivirus y escanear el mvil al menos
una vez al da para evitar que cualquiera de estas sea instalada.
Las polticas de seguridad que abarquen todo lo concerniente a la ingeniera social, son claras y
se basan en cada una de las tcnicas usadas por estos atacantes; las polticas se apoyan en la
parte tecnolgica ya que hay casos en que las personas olvidan hacer ciertas cosas, como no
conectarse a redes pblicas, o no comentar sus NIPS. As mismo, las polticas son conocidas por
todo el personal de la institucin bancaria y por los usuarios, estas son medidas para ver su
efectividad y actualizadas peridicamente.
101
Dentro de stas polticas de seguridad consta una en la que se indique que cada cierto tiempo se
realice un plan de concientizacin para todos los usuarios, de manera que siempre estn alertas
sobre los ataques que se traten de realizar y cada uno de ellos pueda tomar medidas al respecto o
sepan exactamente que procedimiento deben seguir ante uno de estos ataques.
102
Bibliografa
Cabezas, J. (2007), Fundamentos de tecnologa celular, Sistemas de Telefona, Espaa: Edit.
Thomson
Huidobro, J. (2006), Transmisin en telefona, medios y equipos, Sistemas de Telefona, Espaa:

Edit. Thomson
Oliva, R. (2015), Mxico sera lider en el uso de pagos moviles hacia el 2020, El Financiero, Mxico:
Edit. Financiero.
UNIN, C. (2009), Codigo Federal Penal, Diario Oficial, Mxico.
UNIN, C. (2007), Ley De Transparanecia Y Ordenamiento De Los Servicios Financieros, Diario

Oficial, Mxico.
UNIN, C. (2010), Ley Federal De Proteccin De Datos Personales En Posesin De Los

Particulares, Diario Oficial, Mxico.
UNIN, C. (2013), Cdigo Federal de Procedimientos Civiles, Diario Oficial, Mxico.
VALORES, C. (2015), Circular unica de bancos, Diario Oficial, Mxico.
Consultas electrnicas
AMIPCI. (2014). Da mundial de Internet, Mxico 2014. Recuperado 06 de Julio de 2015, de
https://docs.google.com/viewer?a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxhcmNoaXZvc3Bh
cmF0MnxneDo1MGYwM2M2ZGU1YjJiMzcy
Banco de Mxico. (2014). Sistema Financiero. Recuperado 07 de Junio de 2015, de

http://www.banxico.org.mx/divulgacion/sistema-financiero/sistema-financiero.html
BBVA. (2015). Mxico Banca mvil. Recuperado 08 de Agosto de 2015,

https://www.bbvaresearch.com/wpcontent/uploads/migrados/WP_1319_Mexico_BancaMovil_tcm346-390713.pdf+&cd=1&hl=es419&ct=clnk&gl=mx
de
Castro, M. (2014). Son seguras las apps de los bancos? Recuperado 30 de Mayo de 2015, de
http://computerhoy.com/noticias/software/son-seguras-apps-bancos-13597
103
COFETEL. (2008). Telefona Celular. Recuperado 09

http://www.cft.gob.mx/es_mx/Cofetel_2008/Cofe_telefonia_celular
de
Junio
de
2015,
de
Computing, R. (2000). Informes, Informtica Profesional. Recuperado 27 de Junio de 2015, de

http://www.computing.es/informatica-profesional/informes/1001098001701/seguridad-informacionvalor-alza.1.html
CONDUSEF. (2015). Top 10 de Productos causas e instituciones. Recuperado 04 de Julio de

2015, de http://www.condusef.gob.mx/index.php/estadistica-oficial/top-10-de-productos-causas-einstituciones+&cd=1&hl=es-419&ct=clnk&gl=mx
E-Global. (2015). E-GLOBAL. Recuperado 03 de Julio de 2015, de http://www.e-global.com.co/
Federacin,
D.
O.
(2010).
Recuperado
05
de
Julio
http://dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010
de
2015,
de
Google, S. (2011). Informtica y Comunicacin, Tecnologas de acceso celular. Recuperado de 05

de Junio de 2015, de https://sites.google.com/site/informaticaycomunicacion2011/home/telefoniamovil/tecnologias-de-acceso-celular
Gmez, H. (2015). Cuatro vulnerabilidades de Apple ponen en grave riesgo a los usuarios.
Recuperado 22 de Junio de 2015, de http://cso.computerworld.es/alertas/cuatro-vulnerabilidadesde-apple-ponen-en-grave-riesgo-a-los-usuarios
Institution, T. B. (2015). Seguridad de la informacin, BSI. Recuperado 20 de Agosto de 2015, de

http://www.bsigroup.com/en-GB/iso-27001-information-security/
Lpez Domnguez, I. (2015). Cmara de compensacin. Recuperado de 24 de Agosto de 2015, de

http://www.expansion.com/diccionario-economico/camara-de-compensacion.html
Maza, J. C. (2013). Sistema de Bibliotecas y Biblioteca Central. Recuperado 13 de Septiembre de

2015, de http://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/administracion/v05_n10/gestion.html
Mendoza, M. . (2014). Riesgos de la seguridad. Dispositivos mviles. Recuperado 16 de

Septiembre de 2015 de http://www.welivesecurity.com/la-es/2014/07/16/riesgos-seguridad-androidademas-malware/
Microsoft. (2005). MSDN Library, Telefona PSTN. Recuperado 18 de Septiembre de 2015, de

https://msdn.microsoft.com/es-es/library/cc737738(v=ws.10).aspx
104
Mxico,
B.D.
(2015).
Wikipedia.
Recuperado
27
de
Agosto
de
2015,
de
https://es.wikipedia.org/wiki/Banco_de_M%C3%A9xico#Finalidades_y_funciones_del_Banco_de_
M.C3.A9xico
Mvil, P. T. (2010). Telefona Mvil. Recuperado 06

https://sites.google.com/site/psatelefoniamovil/project-updates
de
Septiembre
de
2015,
de
PROSA. (2008). Informacin corporativa Vistas. Recuperado 04 de Julio de 2015, de

https://www.prosa.com.mx/http://ips280a.prosa.com.mx/portal/visitas/infoCorp/PerfilCorporativo.htm
TechTarget. (2006). Digital-Advanced Mobile Phone Service. Recuperado 27 Junio de 2015, de

http://searchmobilecomputing.techtarget.com/definition/D-AMPS
Telecomunicacin, C. (2014). Informe sobre emisiones electromagnticas de los sistemas de
telefona mvil y acceso fijo inalmbrico. Recuperado 30 de Julio de 2015, de
https://www.coit.es/web/servicios/tecnologia/emision/sistemas.html
VILLEGAS, G. M. (2013). Tipos de ataques. Recuperado 18 Agosto de 2015, de

http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/leccin_22_tipos_de_ataques.html
105
Glosario
AMPS
(Advanced Mobile Phone System) Servicio analgico de telefona mvil usado en EEUU, Amrica
Latina, Nueva Zelanda, Australia y en zonas de Rusia y Asia-Pacfico.
App
Del ingls Application, tipo de programa informtico diseado como herramienta para permitir a un
usuario realizar diversos tipos de trabajos.
Autenticacin
Proceso de verificacin con el cual se asegura que el mvil es compatible con la red inalmbrica
para el cual est diseado. Este proceso est relacionado ntimamente con el ESN de los equipos
Canal
Va o medio por medio de la cual una seal elctrica, electromagntica u ptica se dirige de un
punto a otro.
Canales IPC
Inter-Process Communication.
Los procesos pueden comunicarse entre s a travs de compartir espacios de memoria, ya sean
variables compartidas o buffers, o a travs de las herramientas provistas por las rutinas de IPC
Carrier
Es la compaa que se encarga de prestar el servicio de telefona mvil.
106
Ciberntica
Estudio de las analogas entre los sistemas de control y comunicacin de los seres vivos y las
mquinas en particular, el de las aplicaciones de los mecanismos de regulacin biolgica a la
tecnologa.
COFETEL
Comisin Federal de Telecomunicaciones
E-banking
Banca online o home banking a los servicios bancarios a los que se puede acceder a travs de una
computadora personal con conexin a la red de internet.
Firewall
Elemento utilizado en redes de computadoras para controlar las comunicaciones permitindolas o

prohibindolas.
HTTPS
Protocolo seguro de transferencia de hipertexto (del ingls Hypertext Transfer Protocol

Secure).Protocolo de red basado en el protocolo HTTP, destinado a la transferencia segura de
datos de hipertexto, es la versin segura de HTTP.
IFT
Instituto Federal de Telecomunicaciones
Ingeniera Social
Prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos
107
IOS App Store
Plataforma de distribucin digital para aplicaciones mviles en iOS, desarrollados y mantenidos por
Apple Inc. El servicio permite a los usuarios navegar y descargar aplicaciones que se desarrollan
en Apple.
ISO
International Organization for Standardization. Organizacin Internacional para la Estandarizacin.
ITIL
Biblioteca de Infraestructura de Tecnologas de Informacin (del ingls Information Technology

Infrastructure Library). Marco de trabajo de las mejores prcticas destinadas a facilitar la entrega de
servicios de tecnologas de la informacin (TI).
ITINERANCIA
(Del ingls Roaming) Es la forma de definir la conexin de una lnea GSM de un pas con los
operadores de otros pases que tambin tienen el sistema GSM, sin necesidad de cambiar el
nmero de telfono.
ITU
La Unin Internacional de Telecomunicaciones, organismo especializado de las Naciones Unidas

encargado de regular las telecomunicaciones, a nivel internacional, entre las distintas
administraciones y empresas operadoras.
Jailbreak
Proceso de suprimir algunas de las limitaciones impuestas por Apple en dispositivos que utilicen el
sistema operativo iOS
108
Log
Registro oficial de eventos durante un periodo de tiempo en particular. Usado para registrar datos o
informacin sobre quin, qu, cundo, dnde y por qu un evento ocurre para un dispositivo en
particular o aplicacin.
Mac App
Es similar a iOS App Store, disea aplicaciones para ordenadores Mac. El Mac App Store es nica
accesible mediante el uso de Mac OS X 10.6.6 "Snow Leopard" o posterior.
Mac OS X
Sistema Operativo de Macintosh (del ingls Macintosh Operating System), creado por Apple para
su lnea de computadoras Macintosh,
Nip
Nmero de Identificacin Personal
PAN
Nmero de la tarjeta del cliente
PIM
Personal Information Management. Sistema avanzado de gestin del organizador del telfono
mvil. Permite programar el calendario y sincronizarlo con Pc y PDA.
PIN
Personal Identiffication Number. Cdigo personal de 4 nmeros que nos permite limitar el acceso a
nuestra tarjeta SIM. Totalmente personalizable, e incluso se puede suprimir.
PMR
Professional Mobile Radio. Radio mvil profesional, antes llamada Private Mobile Radio.
109
PUK
Personal Unlock Key. Cdigo de 4 nmeros asociado a la SIM que permite desbloquearla el
acceso. Se facilita con la propia SIM y no se puede variar.
RAM
Memoria de acceso aleatorio (del ingls Random Access Memory), memoria de trabajo de
computadoras para el sistema operativo, los programas y la mayor parte del software.
Router
Ruteador o encaminador es un dispositivo de hardware para interconexin de red de ordenadores

que opera en la capa tres (nivel de red). Este dispositivo permite asegurar el enrutamiento de
paquetes entre redes o determinar la ruta que debe tomar el paquete de datos.
Sandbox
Mecanismo para ejecutar programas con seguridad y de manera separada. A menudo se utiliza
para ejecutar cdigo nuevo, o software de dudosa confiabilidad proveniente de terceros.
SIM
Subscriber Identifycation Module. Tarjeta usada en GSM que contiene los datos de identificacin
del usuario de un telfono mvil, como su nmero de telfono.
SMS
Short Message Service. El servicio de mensajes cortos y llamadas
entre telfonos mviles,
telfonos fijos y otros dispositivos de mano.
Spam
Correo basura o SMS basura a los mensajes no solicitados, habitualmente de tipo publicitario,
enviados en grandes cantidades que perjudican de alguna o varias maneras al receptor.
110
SSL
Security Socket Layer. Protocolos de seguridad de uso comn que establecen un canal seguro
entre dos ordenadores conectados a travs de Internet o de una red interna
T.I.
Conjunto de servicios, redes, software y dispositivos que tienen como fin la mejora de la calidad de
vida de las personas dentro de un entorno, y que se integran a un sistema de informacin
interconectado y complementario.
URL
Cadena de caracteres con la cual se asigna una direccin nica a cada uno de los recursos de
informacin disponibles en Internet. Existe un URL nico para cada pgina de cada uno de los
documentos de la WWW.
VPN
Red Privada Virtual (del ingls Virtual Private Network). Tecnologa de red que permite una
extensin de la red local sobre una red pblica o no controlada.
WAP
Wireless Application Protocol. El protocolo de aplicaciones inalmbricas es un estndar abierto

internacional para aplicaciones que utilizan las comunicaciones inalmbricas.
Web Services
Aplicaciones de software desarrolladas en lenguajes de programacin diferentes, y ejecutadas

sobre cualquier plataforma, pueden utilizar los servicios web para intercambiar datos en redes de
ordenadores como Internet.
111
WebSocket
Tecnologa que proporciona un canal de comunicacin bidireccional y full-duplex. Est diseada

para ser implementada en navegadores y servidores web, pero puede utilizarse por cualquier
aplicacin cliente/servidor
WIFI
Tecnologa que permite comunicar porttiles, PC, computadores de mano y diversos artilugios
electrnicos de forma inalmbrica, y tiene varias aplicaciones.
WLAN
(Del ingls Wireless Local Area Network). Sistema de comunicacin de datos inalmbrico flexible,
utilizado como alternativa a las redes LAN cableadas o como extensin de stas.
112

Modelo para Combatir Los Mecanismos de Fraude en Banca Movil - Final-2

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Modelo para Combatir Los Mecanismos de Fraude en Banca Movil - Final-2

Uploaded by

Copyright:

Available Formats

UNIDAD PROFESIONAL INTERDISCIPLINARIA DE

INGENIERA Y CIENCIAS SOCIALES Y

Rafael Flores Romero

ngel Garca Jurez

Vctor Manuel Hernndez

Lic. Jorge Alejandro Cerezo Hernndez

Ing. Ramn Chvez Lpez

Lic. Jos Bulmaro Nava Hernndez

INSTITUTO POLITCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA

MODELO PARA COMBATIR LOS MECANISMOS DE

4.3.1 Exploits Zero-day ................................................................................................................. 47

6.4.2 Concientizacin al usuario ante ataques de ingeniera social ............................................. 90

La realidad es que la seguridad no solo es responsabilidad de las instituciones o empresas que

Se realizan recomendaciones para solucionar problemas de seguridad en la informacin durante el

Sin embargo, con el desarrollo de nuevas herramientas de tecnologa y de comunicacin, surgen

En el presente trabajo de investigacin se describe brevemente el funcionamiento, estructura y

Captulo I Marco Metodolgico

De acuerdo a lo anterior se necesita establecer normativas y un plan de concientizacin y

Generar un modelo que disminuya problemas de seguridad ante la presencia de fraudes en la

Identificar tcnicas para la autenticacin en Apps bancarias.

Identificar aquellas actuaciones que pueden provocar un problema de seguridad para la

Establecer formas de proteccin ante la Ingeniera Social

1.3 Tcnicas de investigacin

la poblacin. La investigacin consiste en determinar los factores que an no se han tomado en

Aunque en la actualidad la legislacin existente relacionada con la informtica sigue siendo

Por lo anterior es que la visin de la presente investigacin, es generar un modelo de seguridad

Captulo II Sistemas de Telefona Mvil

2.1 Componentes de un sistema celular

Reduciendo la energa necesaria para la transmisin, se reduce el tamao de la batera y

Figura 1 Sistema de clulas

APT o Sistema de computacin.

APZ o Sistema de procesamiento de datos.

Las estaciones base pueden clasificarse atendiendo a distintos criterios.

Segn su localizacin /radio de cobertura.

Atendiendo a este criterio se pueden distinguir dos tipos de estaciones base:

Estaciones base en entornos urbanos.

Estaciones base en entornos rurales

Dependiendo de la potencia transmitida se pueden distinguir los siguientes tipos de estaciones

Microondas Terrestres: Suelen utilizarse antenas parablicas al igual que en el microondas

Figura 2 Sistema de comunicacin

2.2 Tecnologas de acceso celular

Actualmente existen tres diferentes mtodos de acceso a las celdas:

FDMA (Acceso mltiple por divisin de frecuencia)

TDMA (Acceso mltiple por divisin de tiempo)

Divide el canal de transmisin en particiones de tiempo. Comprime las conversaciones digitales y

CDMA (Acceso mltiple por divisin de cdigos)

Como es un mtodo adecuado para la transmisin de informacin encriptada, se comenz a utilizar

En la siguiente figura se muestra un grfico comparativo del funcionamiento de las mencionadas

Figura 3 Tecnologas de acceso

2.2.1 Estndares de comunicacin de telefona mvil

AMPS (Advanced Mobile Phone Service)

Estndares de segunda generacin

GSM (Global System for Mobile Communications).

En el ao 2001, el 70% de los usuarios de telefona mvil en el mundo usaban GSM. Es un

Existen cuatro versiones principales, basadas en la banda: GSM-850, GSM-900, GSM-1800 y

Las implementaciones ms veloces de GSM se denominan GPRS y EDGE, tambin denominadas

GPRS (General Packet Radio Service)

El Instituto de telecomunicaciones Standars Europeo (ETSI) desarrollo la tecnologa GPRS una

EDGE (Enhanced Data Rates for Global Evolution)

Estndares de tercera generacin

UMTS (Universal Mobile Telecommunications System)