Professional Documents
Culture Documents
Nombres
Boleta
Programa
Acadmico
Telfono
Correo electrnico
2010603267
I.N.
5550740272
ralix250@gmail.com
2010430109
I.N.
5528477593
createsillusions@hotmail.com
2006601269
I.N.
5533522813
victorhernandez.ramon@hotmail.com
2006600458
C.I.
5537083519
chio2309@gmail.com
2009600789
C.I.
5520375454
susymar_16@hotmail.com
QUE PARA
INGENIERO
P
R
RAFAEL
NGEL
VCTOR
OBTENER
EN
N
EL
TTULO
DE
INFORMTICA
S
E
N
T
A
N
FLORES
ROMERO
GARCA
JUREZ
MANUEL
HERNNDEZ RAMN
QUE
PARA OBTENER
EL
TTULO DE
LICENCIADO EN CIENCIA DE LA INFORMTICA
P
R
ROCI
MARA
S
E
N
T
A
PREZ
APOLINAR
SUSANA
REYNOSO
REYES
MXICO D.F.
2016
NDICE
Resumen i
Introduccin .......................................................................................................................................... ii
Captulo I Marco Metodolgico ........................................................................................................ 1
1.1 Planteamiento del problema...................................................................................................... 1
1.2 Objetivos.................................................................................................................................... 2
1.3 Tcnicas de investigacin ......................................................................................................... 2
1.4 Justificacin ............................................................................................................................... 3
Captulo II Sistemas de Telefona Mvil .......................................................................................... 5
2.1 Componentes de un sistema celular ......................................................................................... 5
2.2 Tecnologas de acceso celular .................................................................................................. 9
2.2.1 Estndares de comunicacin de telefona mvil .................................................................. 10
2.3 Cdigos de Identificacin ........................................................................................................ 15
2.4 Evolucin en la tecnologa mvil ............................................................................................. 18
2.4.1 Generacin cero (0G) ........................................................................................................... 19
2.4.2 Primera generacin (1G) ...................................................................................................... 19
2.4.3 Segunda generacin (2G) .................................................................................................... 20
2.4.4 Tercera generacin (3G) ...................................................................................................... 20
2.4.5 Cuarta generacin (4G)........................................................................................................ 21
Captulo III Nociones Bsicas de Banca Mvil ............................................................................. 24
3.1 Banca Mvil ............................................................................................................................. 24
3.2 Expectativa de la popularidad de pagos mviles en Mxico .................................................. 26
3.3 Cmara de compensacin ...................................................................................................... 27
3.3.1 Prosa / E-Global ................................................................................................................... 27
3.4 Seguridad de la informacin.................................................................................................... 28
3.5 Modelos de seguridad ............................................................................................................. 28
3.5.1 OneTime Password (OTP) .................................................................................................. 29
3.6 Madurez del mercado de pagos mviles ................................................................................ 35
Captulo IV Riesgos de Banca Mvil e Ingeniera Social ............................................................ 37
4.1 Aspectos generales de seguridad ........................................................................................... 37
4.1.1 Activacin del servicio .......................................................................................................... 37
4.2 Riesgo por Sistema Operativo Mviles (S.O.) ........................................................................ 38
4.2.1 Riesgos de seguridad en IOS .............................................................................................. 41
4.2.2 Riesgos de seguridad en Android ........................................................................................ 42
4.3 Diferentes Modos de ataque ................................................................................................... 47
Resumen
Los Smartphone o celulares suelen ser usados por mucha gente como canal de acceso a servicios
financieros o como instrumento de pago, esto es conocido como Banca Mvil, dichas acciones se
puede llevar a cabo gracias a las Apps que las instituciones bancarias ponen a nuestra disposicin.
Pero como cualquier avance tecnolgico viene acompaado de retos, entre ellos nos podemos
encontrar con, la adopcin de la tecnologa, la falta de seguridad y las regulaciones.
La seguridad es el principal riesgo tanto para las instituciones bancarias pero mayormente para los
usuarios, ellos siempre van a exigir garantas de que sus transacciones son seguras y en caso de
algn fraude el reembolso de cualquier prdida debido a brechas de seguridad.
La educacin o concientizacin que los usuarios beben tener es parte primordial para garantizar
una completa seguridad.
En el presente documento se genera un modelo de seguridad el cual tiene por objeto ayudar a
salvaguardar la informacin que se utiliza a travs de los dispositivos mviles la cual forma parte
crucial en el proceso de la banca mvil
Esto
beneficiar en gran medida a la enorme lucha que lleva acabo para disminuir fraudes
bancarios, esto tambin nos lleva a lograr que la banca mvil tenga una mayor penetracin en la
comunidad Mexicana que cuenta ya con algn Smartphone.
Introduccin
La seguridad informtica se encarga de proteger los sistemas computacionales y todo lo que se
relaciona al sistema (como informacin almacenada, bases de datos, software, hardware, etc.) por
medio de la creacin e implementacin de estndares, protocolos y herramientas de seguridad
adems de ampararse con las leyes propias de cada pas con respecto a la proteccin de datos
personales.
Los telfonos mviles representan una solucin rentable para los usuarios de los bancos y
servicios bancarios, las instituciones financieras y operadores, lo que les permite incorporar una
mejora en la entrega de los servicios que ofrecen las instituciones bancarias.
El espectacular aumento en el uso de telfonos mviles ha sido seguido de cerca por el aumento
del fraude mvil. Aunque deseosos de utilizar los servicios financieros mviles, muchos usuarios se
preocupan por el aspecto de la seguridad en la realizacin de transacciones financieras a travs de
la red mvil. De hecho, la falta de seguridad es vista como el mayor obstculo en la adopcin
generalizada de los servicios financieros mviles.
Todo lo anterior se analizar para poder llegar a la determinacin de un modelo de desarrollo que
permita fortalecer los puntos ms vulnerables que conforman la banca mvil.
ii
Las instituciones bancarias promueven la banca mvil mediante sus aplicaciones (Apps) con el fin
de hacer ms amena la utilizacin de sus herramientas y as ofrecer comodidad al realizar
cualquier transaccin que el usuario desee, debido a ello no se debe perder de vista los objetivos
por lo cual la aplicacin se construy y en vez de ser una solucin pueda convertirse en un
problema.
Entre los problemas que destacan y conspiran contra el desarrollo de la Banca Mvil, se encuentra
la falta de seguridad o, lo que se puede traducir como la poca confianza que los usuarios tienen en
los servicios de pagos a travs del celular, tambin el miedo a la clonacin y el no contar con una
cuenta bancaria. El miedo al robo del equipo celular, el incremento de la factura y el robo de la
informacin personal tambin pueden ser motivos de desconfianza.
Las capacidades de los hackers profesionales que hoy en da van escalando niveles, y el manejo
incorrecto de estos medios, son factores importantes. La incertidumbre se centra en las que
podran ser fuentes de vulnerabilidad del sistema que son difciles de identificar o predecir.
Los delincuentes irn cada vez ms por los usuarios de dispositivos mviles. No se detendrn en
slo ganar acceso a las cuentas de banca en lnea de las vctimas, incluso irn por el robo de
identidad. La inseguridad ciberntica se acenta debido a que la cultura de la prevencin entre los
usuarios es frgil. Tpicamente los cibercriminales usarn la ingeniera social para persuadir a los
usuarios a instalar un certificado falso y software de seguridad en sus telfonos mviles,
permitiendo el robo de identidad mediante el phishing el cual consiste en capturar datos personales
y bancarios de los usuarios a travs del uso de imgenes bancarias. La instalacin de aplicaciones
maliciosas y la visita a sitios web dainos no sern los nicos vectores de infeccin mvil, la
explotacin de vulnerabilidades entre plataformas ser una de las ms grandes amenazas mviles.
A pesar de contar con infraestructura tecnolgica de seguridad existen una infinidad de mtodos y
tcnicas que permitan a un atacante obtener informacin confidencial sin necesidad de utilizar
tecnologa muy sofisticada, una de estas tcnicas es la ingeniera social. Este tipo de tcnica
pretende engaar a los usuarios con el fin de obtener informacin confidencial, a travs de la
manipulacin psicolgica y habilidades sociales. La Ingeniera Social puede ser utilizada por
personas mal intencionadas para llegar a obtener informacin, o realizar algn tipo de acto que
perjudique al usuario final en su banca mvil.
1.2 Objetivos
Objetivo general
Objetivos especficos
Exponer planes de concientizacin hacia los usuarios de las Apps de Banca Mvil.
Para poder as crear un modelo que nos permita reducir los incidentes derivados de la poca
seguridad que pueden presentar la Banca Mvil en Mxico. Todos los aspectos son teorizados,
aunque sus alcances sern prcticos en la medida que sean tomados en cuenta por las entidades
bancarias.
Un estudio descriptivo se aplica para deducir una circunstancia que se est presentando: Se aplica
describiendo todas sus dimensiones, en este caso se describe el rgano u objeto a estudiar. Los
estudios descriptivos se centran en recolectar datos que describan la situacin tal y como es. Por lo
que se describir todos los aspectos en la gestin y seguridad de las transacciones.
Tcnicas de investigacin
La investigacin que se realizar ser mediante el uso de la tcnica documental, ya que el marco
referencial junto con el anlisis de las normas, hipervnculos visitados, artculos encontrados
relacionados con el tema y diferentes fuentes que hablen sobre la seguridad y dispositivos mviles
1.4 Justificacin
Dentro de la sociedad mexicana se presenta desconfianza ante el uso de la tecnologa y en mayor
medida cuando se trata del capital de los individuos, se trata da a da que se mejore la cultura
tecnolgica brindando la confianza hacia la poblacin y as mismo seguridad en los medios
tecnolgicos. Ante la necesidad de normatividades y estndares para el ejercicio de la auditoria
informtica se busca la creacin y un constante desarrollo en las prcticas como lo son las normas
ISO.
No obstante la utilizacin de estos marcos normativos, no son aplicados en todos los productos y
servicios relacionados con las tecnologas de informacin, lo que hace vulnerable la calidad de sus
procesos y por ende pone en riesgo la satisfaccin del cliente donde sabemos que hoy en da, la
permanencia de una empresa en un entorno de globalizacin creciente, est en relacin a la
calidad total.
El Pago mvil y la Banca mvil siendo relativamente nuevos en nuestro pas, no son inmunes a los
riesgos que generan los procesos de tecnologa de informacin. Por ello, es indispensable
establecer un modelo de seguridad que ayude a realizar un anlisis de los riesgos existentes y en
base a estos riesgos tratar de implementar mecanismos de seguridad que permitan a los usuarios
confiar en el Pago mvil y Banca Mvil.
Normas como ISO 27002, as como las diferentes disposiciones emitidas por la Comisin Nacional
Bancaria y de Valores, mismas que fueron publicadas en el Diario Oficial de la Federacin el 3 de
Junio del 2013, en las cuales se propuso flexibilizar algunos de los requerimientos aplicables a los
mecanismos y procedimientos a los que se sujetan las instituciones de crdito durante la
prestacin del servicio de banca electrnica, preservando la seguridad en el manejo de la
informacin de las cuentas, as como de los medios que se utilizan para ingresar a esta
informacin, a fin de prevenir un mal uso tanto de los datos como de los medios por parte de
aquellas personas que no son titulares de las cuentas, pueden servir de gua para llevar a la
Banca Mvil a obtener la robustez necesaria para que pueda alcanzar una mayor aceptacin en la
poblacin.
Del mismo modo que los Licenciados de Ciencias de la Informtica podrn analizar las normas y
leyes aplicables al negocio, as como adquirir las habilidades para determinar si las soluciones
generadas se encuentran encaminadas en la misma direccin a la que desea dirigirse el negocio.
Lo cual permitir generar en conjunto un modelo de datos tcnicos necesarios para mitigar el
problema de la seguridad, as como tambin la visin que permitir proponer soluciones que
ayuden al crecimiento y fortalecimiento del negocio.
Estos han sido uno de los inventos ms importantes y ms difundidos en las ltimas dcadas,
llegando a millones de personas, lo cual ha propiciado un cambio significativo en la manera de
comunicarnos y de hacer negocios, a lo largo de este captulo hablaremos de aspectos importantes
que nos permitirn entender el funcionamiento de estos poderosos mecanismos de comunicacin.
Cada clula utiliza varias decenas de canales. Un canal es por donde se puede emitir una llamada,
cada clula se puede emitir varias decenas de llamadas diferentes de manera simultnea (una por
canal). (Henandez, 2014)
Las clulas de antena de radio normalmente cubren reas hexagonales las cuales suelen tener un
rea de 13km, sin embargo, esta puede verse disminuida en reas densamente pobladas o por
barreras fsicas naturales, cada una de las cuales, es atendida por una estacin radio base
restringiendo su cobertura a la misma, al aprovechar la propagacin limitada de las ondas de radio
a frecuencias elevadas ya que los telfonos celulares necesitan menos energa para transmitir y
alcanzar cualquier estacin base que cubre un rea ms pequea.
Todo se transmite de manera inalmbrica, utilizando ondas electromagnticas que viajan por aire.
Centrales de Telefona Celular (MTX Mobile Telephone Exchange; MTSO Mobile Telephone
Office "Switch" o MSC Mobile Service Center): Una Central de Telefona Celular no es otra cosa
sino una Central de Telefona Pblica dedicada al servicio de telefona celular, y se compone de
dos sistemas:
Su principal funcin es el manejo y control de los dems elementos del sistema como son las
Estaciones Base, Enlaces y los Equipos Terminales.
Estaciones Base: Es el equipo que se encarga de comunicar a la Central de Telefona Celular con
todos los equipos terminales y unidades mviles, que se encuentren dentro de la cobertura del
sistema.
Los elementos ms visibles de una estacin base son las antenas, que emiten la energa
electromagntica necesaria para establecer la comunicacin con los usuarios de telfonos mviles
que se encuentran en la zona de cobertura de esta estacin base. Adems de las antenas, la
estacin base est compuesta de equipos electrnicos transmisores/receptores y de una serie de
elementos auxiliares de conexin al sistema radiante para su correcto funcionamiento.
Tambin cabe destacar, como parte del conjunto de una estacin base, otras instalaciones
accesorias como pueden ser las torres, soportes, los pararrayos, tomas de tierra, etc.
A.
B.
A. Macroclulas.
B. Microclulas.
C. Picoclulas
Las estaciones base son las encargadas de realizar el enlace con el usuario que recibe o efecta
una llamada con un telfono mvil. Los enlaces son medios de transmisin que sirven para unir o
enlazar los componentes del sistema, como podran ser:
Microondas por Satlite: El satlite recibe las seales y las amplifica o retransmite en la
direccin adecuada con los receptores y emisores de la tierra. El satlite debe ser
geoestacionario. Se utiliza este sistema para la difusin de la televisin, la transmisin
telefnica a larga distancia y en redes privadas.
3G: Es una abreviatura para "tercera generacin" de telefona mvil. Los servicios
asociados con la tercera generacin proporcionan la posibilidad para transferir tanto voz y
datos (una llamada telefnica) y datos no-voz (como la descarga de programas,
intercambio de correo, y mensajera instantnea).
Equipos Terminales o Unidades Mviles: A travs de estos, los usuarios finales obtienen el
servicio.
El terminal mvil est formado por los siguientes elementos: un altavoz, un micrfono, una pantalla
de cristal lquido, un teclado, una antena (exterior o integrada), una batera, una placa de circuito
de radiofrecuencia y una placa de circuito de interfaz de usuario.
Asimismo, para poder realizar la compresin y descompresin de los datos, los mviles disponen
de un procesador digital de seales que trata todas las tareas del teclado, controla las seales de
la estacin base y realiza todas las funciones de coordinacin de los mismos.
Red de Telefona Pblica Conmutada: A pesar de que no forma parte integral, al funcionar
como interconexin con el Sistema de Telefona Celular, es considerada como parte para
su operacin.
La red telefnica pblica conmutada (PSTN, Public Switched Telephone Network): Es una
red con conmutacin de circuitos tradicional optimizada para comunicaciones de voz en
tiempo real. Cuando llama a alguien, cierra un conmutador al marcar y establece as un
circuito con el receptor de la llamada. (Telecomunicacin, s.f.)
PSTN garantiza la calidad del servicio al dedicar el circuito a la llamada hasta que se cuelga el
telfono. Independientemente si los participantes en la llamada estn hablando o en silencio,
seguirn utilizando el mismo circuito hasta que la persona que llama cuelgue. (Microsoft, MSDN
Library, Telefona PSTN, 2005)
Permite el acceso a las celdas dependiendo de las frecuencias. Separa el espectro en distintos
canales de voz, al dividir el ancho de banda en varios canales uniformemente segn las
frecuencias de transmisin. Los usuarios comparten el canal de comunicacin, pero cada uno
utiliza uno de los diferentes subcanales particionados por la frecuencia. Mayormente es utilizada
para las transmisiones analgicas, aun cuando es capaz de transmitir informacin digital.
Esta tecnologa permite tres veces la capacidad de un sistema analgico utilizando la misma
cantidad de canales.
Esta tecnologa, luego de digitalizar la informacin la transmite a travs de todo el ancho de banda
del que se dispone, a diferencia de TDMA y FDMA. Las llamadas se sobreponen en el canal de
transmisin, diferenciadas por un cdigo de secuencia nico. Permite que los usuarios compartan
el canal y la frecuencia.
Utiliza un espectro de 50 MHz en la banda de los 800 MHz. El espectro localizado para AMPS es
compartido por dos portadoras celulares en cada rea o regin. Cada portadora divide el espectro
en canales, utilizados para comunicar desde las estaciones bases en las celdas hasta los
dispositivos mviles, y canales de reversa utilizados para comunicacin entre los dispositivos
mviles y las estaciones base. Los canales son divididos en canales de voz de 30 kHz que
emplean Modulacin de Frecuencia (Frecuency Modulator, FM) para transmitir la voz.
Narrow AMPS
Este sistema conocido como Narrowband AMPS, fue desarrollado en 1992 con el objetivo de
proporcionar mayor cantidad de canales para telefona celular analgica. Transmite en la banda de
10
frecuencias de 824-894 MHz. Los canales son divididos en canales de voz de 10 kHz que emplean
Modulacin de Frecuencia (FM) para transmitir la voz. (TechTarget, 2006)
Es un estndar mundial para telfonos celulares, formalmente conocida como Group Special
Mobile (GSM, Grupo Especial Mvil). GSM adems usa la encriptacin para mayor seguridad en
las llamadas telefnicas. GSM es una norma internacional en Europa, Australia y la mayora de
Asia y frica.
Fue creado por CEPT (Organismo Internacional que agrupa a las entidades responsables en la
Administracin Pblica de cada pas europeo de las polticas y la regulacin de las
comunicaciones, tanto postales como de telecomunicaciones), y posteriormente desarrollado por
ETSI (European Telecommunications Standars Institute organizacin de estandarizacin de la
industria de las telecomunicaciones de Europa con proyeccin mundial) para estandarizar la
telefona celular en Europa, luego adoptado por el resto del mundo.
GSM emplea una combinacin de TDMA y FDMA entre estaciones en un par de canales de radio
de frecuencia duplex, con baja lupulizacin de frecuencia entre canales. TDMA se utiliza para
informacin digital codificada, por lo que GSM es un sistema diseado para utilizar seales
digitales, as como canales de voz digitales, lo que permite un moderado nivel de seguridad.
Con GSM, las conexiones se pueden utilizar tanto a la voz, como a datos, lo que permiti el avance
del envo y consumo de datos a travs de los celulares. Los casos ms comunes son las imgenes
que se pueden enviar y recibir, y el uso de aplicaciones a travs de los telfonos mviles, tal es el
caso de Internet.
11
Es una actualizacin de GPRS, embala hasta 69.2Kbps en ocho timeslots, considerada una
tecnologa de 2.75G.
Tecnologa de la telefona mvil celular, que acta como puente entre las redes 2G y 3G. EDGE se
considera una evolucin del GPRS (General Packet Radio Service). Esta tecnologa funciona con
redes GSM y puede ser usado en cualquier transferencia de datos basada en conmutacin por
paquetes (Packet Switched), como lo es la conexin a Internet.
El EDGE triplica la velocidad de datos, pero ofrece un rea de cobertura menor. En teora, el EDGE
posee un rendimiento de hasta 384 Kbits/s en el caso de estaciones fijas (peatones y vehculos
lentos) y hasta 144 Kbits/s para estaciones mviles (vehculos veloces), la Redundancia
Incremental, la cual, en vez de re-transmitir los paquetes de informacin alterados, enva ms
informacin redundante que se combina en el receptor, lo cual incrementa la probabilidad de una
decodificacin correcta.
Es una tecnologa usada por los mviles de tercera generacin y conocido como Sistema Universal
de Telecomunicaciones Mviles
W-CDMA) que ofrece capacidades multimedia ms eficientes, una velocidad de acceso a Internet
ms rpida y una transmisin de voz con calidad similar a las ofrecidas por redes fijas.
12
Los servicios que puedes disfrutar con esta tecnologa 3G son el acceso a Internet, servicios de
banda ancha, roaming internacional e interoperabilidad. Pero en especial, la posibilidad de
desarrollar entornos multimedia para la transmisin de vdeo e imgenes en tiempo real, y contar
con nuevas aplicaciones y servicios tales como videoconferencia o comercio electrnico.
Los estndares para GERAN fueron desarrollados por el 3GPP (Proyecto Asociacin de Tercera
Generacin).Actualmente tambin es combinada en redes GSM/UMTS.
GERAN est basada en las tcnicas de transmisin de velocidad EDGE, combinada con mejoras
sobre la interface del enlace de radio GPRS.
Es una especificacin de protocolos estndar para aplicaciones que utilizan los dispositivos de
comunicacin inalmbricos, aplicaciones como por ejemplo el acceso a Internet desde un celular,
el acceso a correo electrnico, u otros.
El lenguaje primario del protocolo WAP es el WML (Wireless Markup Language), lenguaje
interpretado por los navegadores WAP, de similares caractersticas al HTML.
Las nuevas versiones de WAP, utilizan XML que a futuro permitir el verdadero acceso web para
los dispositivos porttiles, utilizando un subconjunto de XHTML (eXtensible Hyper Text Markup
Language, lenguaje pensado para sustituir a HTML como estndar para las pginas web) llamado
XHTML Basics.
13
Una de las limitaciones del sistema WAP es justamente el hecho de ser un micro-browser que
nicamente puede interpretar el lenguaje WML, lo que significara para las compaas tener que
desarrollar contenidos propios en dicho lenguaje o adaptar los existentes.
Las siglas LTE significan Evolucin a Largo Trmino. Esta tecnologa fue creada por el 3GPP (3rd
Generation Partnership Project), el cual es una colaboracin entre grupos asociados de
telecomunicaciones.
Es la evolucin de los estndares GSM/UMTS, algo con lo que estamos un poco ms relacionados,
y su finalidad es la de aumentar la capacidad y velocidad de las redes de datos inalmbricas
haciendo uso de un nuevo procesado de seal digital (DSP, por sus siglas en ingls).
El LTE es un gran cambio con respecto al 3G, pero no cumple con los estndares del 4G es mejor
definido como 3.9G, ya que no es ni 3G, ni 4G, pero se encuentra cercano a esta ltima. Para
poder combatir esta debilidad, el 3GPP lanz la nueva especificacin conocida como LTEAdvanced.
LTE Advanced
LTE Advanced es el candidato real a 4G de parte del 3GPP. Esta mejora para el LTE llega a
finales del 2009. Desafortunadamente, el LTE en su octava versin fue el que se adopt como
estndar internacional, mientras que el Advanced an no ha tenido una gran aplicacin.
El LTE Advanced, es la versin 10 del LTE y cumple con la caracterstica de velocidad propuesta
para el 4G, alcanzando 1Gb/s de velocidad de bajada.
WIMAX
WiMAX (Worldwide Interoperability for Microwave Access o Interoperabilidad mundial de acceso
por microondas) est diseado como una alternativa Wireless al acceso de banda ancha DSL y
cable, y una forma de conectar nodos Wifi en una red de rea metropolitana (MAN). Podemos
tambin definirlo como un sistema de comunicacin digital, tambin conocido como IEEE 802.16.
14
Puede dar cobertura a un rea bastante extensa y la instalacin de las antenas para
transmitir y recibir, formando estaciones base, son sencillas y rpidas de instalar. Esto lo
hace adecuado para dar comunicacin en ciudades enteras, pudiendo formar una MAN, en
lugar de un rea de red local como puede proporcionar Wifi.
WiMAX tiene una velocidad de transmisin mayor que la de Wifi, y dependiendo del ancho
de banda disponible, puede producir transmisiones de hasta 70 MB comparado con los 54
MB que puede proporcionar Wifi.
Puede ser simtrico lo cual significa que puede proporcionar un flujo de datos similar tanto
de subida como de bajada.
Las antenas de WiMAX operan a una frecuencia de hasta 60 MHz. Un detalle a tener en
cuenta es que las antenas no tienen que estar directamente alineadas con sus clientes.
WiMAX est pensado para construir una infraestructura de red cuando el entorno o distancia no es
favorable para una red cableada. Es una alternativa ms rpida y barata que tener que instalar
cables.
Cabe destacar que WiMAX frum es un grupo de empresas que se encargan de disear las
normas y estndares de la tecnologa WiMAX y a probar todos los nuevos componentes que van
surgiendo. Actualmente lo forman ms de 100 compaas y seguir aumentando.
15
Se utiliza para reconocer los dispositivos mviles que acceden a determinadas redes de
telecomunicaciones. El ESN es asignado he incrustado por el fabricante del dispositivo,
generalmente se encuentra por debajo de la batera de un dispositivo mvil, o en la parte posterior
del dispositivo. Una vez incorporado, el ESN no es fcilmente alterable, por lo que se puede utilizar
para comprobar electrnicamente el dispositivo mvil contra el uso fraudulento.
Cada ESN es un nmero de 32-bits que consta de tres campos: un cdigo de fabricante (ocho
bits), un nmero de serie nico (18 bits), y una extensin (seis bits). En la prctica, el nmero de
serie y la extensin han sido combinados en un nmero de serie de 24-bits para identificar cada
unidad mvil. Bajo este formato de asignacin se distinguieron 256 fabricantes por ESN.
Pero cuando este nmero result insuficiente, se alter a 32-bits para reflejar un cdigo de
fabricante de 14-bits y un nmero de identificacin de 18-bits.
El ESN se utiliza para identificar los dispositivos mviles soportados en las primeras tres redes
inalmbricas: Servicio de Telefona Mvil Avanzado (AMPS), Time Division Multiple Access
(TDMA) y Acceso Mltiple por Divisin de Cdigo (CDMA). Cada vez que el telfono se utiliza, es
decir, cada vez que accede a la red, el ESN se registra automticamente, transmite
inmediatamente el suscriptor inalmbrico y lo asocia con la cuenta de suscripcin y al nmero
asignado al telfono mvil. Esta transmisin del ESN es el modo en que el interruptor de proveedor
de servicio es capaz de validar la llamada. Facilita el enrutamiento y la conversin de las llamadas
mviles a medida que se hace o se recibe por distintos usuarios de telefona mvil y por telfono
fijo.
Es la EPROM (memoria de slo lectura programable y borrable) en un telfono mvil que contiene
informacin como el ESN o SID. Los campos de datos almacenados en el NAM de un telfono
varan entre las distintas especificaciones de telefona mvil, tales como AMPS / NAMPS, GSM,
PCS, CMDA. En las redes modernas, NAM puede ser reprogramado.
Algunos telfonos mviles estn equipados con el NAM que puede contener mltiples nmeros de
telfono. Esto permite que el telfono pueda tener varios nmeros de telfono de uno o de
mltiples operadores.
16
Sirve para fijar la banda de transmisin sobre la que trabajar el equipo celular, no importando la
intensidad con la que otra banda transmita, el nmero siempre ser 12 o 0012.
Permite definir los operadores de la red con los cuales el telfono puede tener servicio local y de
Roaming.
MAHO Un traspaso asistido mvil es un proceso utilizado en redes celulares GSM en un telfono
mvil para transferir una llamada a otra estacin base. Es una tcnica utilizada en
telecomunicaciones mviles para transferir un telfono mvil a un nuevo canal de radio con fuerte
intensidad de la seal y la mejora de la calidad del canal.
Subsidy Lock
17
Para la operadora que usemos no slo conoce quin y desde dnde hace la llamada (SIM) sino
tambin desde qu terminal telefnica la hizo. La empresa operadora puede usar el IMEI para
verificar el estado del aparato mediante una base de datos denominada EIR (Equipment Identity
Register).
Este nmero puede observarse fcilmente en la caja cuando compramos un telfono nuevo, o en
el caso de telfonos usados, el IMEI puede encontrarse en el compartimiento de la batera, debajo
de la misma.
Final Assembly Code (FAC): Los siguientes dos dgitos e indican el fabricante del equipo.
Cdigo verificador: El ltimo dgito, utilizado para verificar que el IMEI es correcto.
Es por ello que si tenemos la desgracia de que nos hayan robado el celular, lo primero que
tenemos que hacer es notificar a nuestra operadora, la cual inmediatamente bloquear el acceso
de nuestro dispositivo a la red.
18
Los cambios tecnolgicos nos han pasado bastante desapercibidos, excepto por la reduccin de
los costes del servicio, por el significativo incremento de sus funcionalidades y por el cambio de las
siglas: 0G, 1G, 2G, 3G, 4G.
Eran unos radiotelfonos disponibles como un servicio comercial conectado a la red de telefona
fija, con sus propios nmeros, eran una especie de red como la radio policaca.
Los telfonos celulares (cellphone) aparecieron debido a la invencin de las clulas hexagonales
en 1947, los ingenieros de Bell Labs en AT&T desarrollaron ms a fondo esta tecnologa durante
los aos 60.
19
telefona 1G sola cubrir nicamente el pas donde se haba desarrollado, al ser incompatible con
las redes del resto de los pases.
Una vez que la segunda generacin se estableci, las limitantes de algunos sistemas en lo
referente al envo de informacin se hicieron evidentes. Antes de llegar a la tercera generacin, la
telefona celular incorpor mejoras tecnolgicas a la 2G, cuyos avances fueron modificando su
concepto. Entonces se hablaba de generaciones 2.5G.
El General Packet Radio Service (GPRS) desarrollado para el sistema GSM fue de los primeros en
ser visto. Hasta este momento, todos los circuitos eran dedicados en forma exclusiva a cada
usuario. El nuevo sistema permita a los usuarios compartir un mismo canal, dirigiendo los
paquetes de informacin desde el emisor al receptor. Esto permite el uso ms eficiente de los
canales de comunicacin, lo que habilita a las compaas proveedoras de servicios a cobrar menos
por ellos.
Con la capacidad de transmisin de voz y datos a travs de la telefona mvil, los servicios de la
tercera generacin permiten al suscriptor la posibilidad de transferir tanto voz y datos en una simple
20
Esta transmisin de datos se facilita desde el momento en que los telfonos celulares de 3G
tuvieron acceso a conexiones de Internet. Asimismo, el desarrollo tecnolgico alcanzado permite la
compatibilidad mundial y la coexistencia con los servicios mviles con las redes de segunda
generacin. Por si fuera poco, la 3G increment el grado de seguridad al autenticar la red a la que
se est conectando.
Una serie de nuevos celulares apareci en esta Generacin, con caractersticas nuevas como la
videoconferencia, conexin a Internet, visualizacin de tv en vivo, y todas las funciones mejoradas
que provea la 2G.
La 4G es un sistema y una red, que se alcanza gracias a la convergencia entre las redes de cables
e inalmbricas. La principal diferencia con las generaciones predecesoras ser la capacidad para
proveer velocidades de acceso mayores de 100 Mbit/s en movimiento y 1 Gbit/s en reposo,
manteniendo una calidad de servicio de punta a punta de alta seguridad que permitir ofrecer
servicios de cualquier clase en cualquier momento, en cualquier lugar, con el mnimo coste posible.
Esta nueva red de alta velocidad se apoya en las tecnologas denominadas LTE y WiMAX.
Los sistemas LTE permiten que la red 4G alcance velocidades superiores a los 100 megabits por
segundo. As, podremos enviar imgenes ms rpidamente que con la red 3G, adems de realizar
envos de contenidos ms pesados de una forma ms cmoda que con la anterior generacin de
red.
La red 4G nos permite acceder de forma ms fluida a todo el contenido online, incluido a aqul que
se encuentre ubicado en nuestros servicios en la nube, pudiendo subir nuevos archivos al servicio
rpidamente. Por otro lado, ahora permite video llamadas HD sin cortes, as como disfrutar de
21
mayor velocidad de acceso a los servicios en Streaming de televisin, series o pelculas en alta
definicin.
Otra de las ventajas que ofrece la evolucin a 4G de la red mvil, se centra en que esta optimizada
para que los dispositivos compatibles con esta tecnologa (Smartphone, Tablets, Laptops, etc.)
puedan operar sin cortes cuando stos se encuentren en movimiento.
El 4G es un estndar con ciertas caractersticas o requisitos, los cuales son dados por el Sector de
Normalizacin de las Radiocomunicaciones de la Unin Internacional de Telecomunicaciones
(ITU), quienes tienen como tarea el regular la mayor parte del espectro radioelctrico.
Dichas
caractersticas
tienen
la
denominacin
de
IMT-Advanced
(International
Mobile
Telecommunication-Advanced) o en espaol, IMT-Avanzadas. Un sistema celular de IMTAvanzadas debe de cumplir con los siguientes requisitos o prestaciones:
22
Aunque popularmente se considera al LTE como 4G, esta tecnologa es slo una de este grupo,
sin embargo, es la ms comn cuando hablamos de internet mvil de ltima generacin.
El problema de que el 4G usado en mviles es el mencionado 3.9G, y este an no se encuentra
implementado a gran escala, a diferencia del 3G, por lo que an queda camino por recorrer para
que est disponible para todos los usuarios de redes celulares. (Mvil, 2010)
23
Lo anterior ha dado origen a un nuevo concepto, la Banca Mvil, el cual analizaremos a lo largo del
presente captulo ahondando en su concepto, los componentes y tecnologas involucrados para su
funcionamiento, medidas de seguridad adoptadas as como el nivel de aceptacin y la madurez el
servicio que ha alcanzado dentro de la sociedad.
La Banca Mvil aprovecha las caractersticas nicas de los telfonos mviles para acceder a los
servicios bancarios de forma segura, rpida y ubicua. Permitiendo al Sistema Bancario aprovechar
una infraestructura tecnolgica que ya est generalizada en casi todo el mundo, la red de telefona
celular, para llegar de forma ms efectiva a mayor nmero de clientes. Esta posibilidad le permite
reducir notablemente los costos al tiempo que presenta una opcin muy atractiva de acceso a sus
servicios.
Desde 2012, en Mxico operan diferentes plataformas de banca mvil, la mayora de las cuales
permiten a sus usuarios realizar transferencias a travs de mensajes SMS, retirar dinero de cajeros
automticos y consultar su saldo sin la necesidad de contar con una tarjeta de crdito/dbito. Pese
a la diversidad de opciones, hasta la fecha existen diversas barreras a la adopcin de este tipo de
servicios, pues la informacin para los consumidores an es escasa. Asimismo, algunas
plataformas se encuentran disponibles nicamente para usuarios de determinados operadores e,
24
incluso, hay algunas que se encuentran nicamente para quienes ya son clientes de una Institucin
bancaria determinada, dejando de lado a usuarios potenciales del servicio.
Los bancos en Mxico ya venan ofreciendo desde 2009 el servicio de recarga de tiempo aire para
el celular y compras con establecimientos autorizados con el sistema Nipper. La mayora de los
bancos que operan en el pas, tanto los grandes como algunos pequeos, ya empujan los servicios
digitales, las instituciones bancarias participantes son BBVA Bancomer, Banca Mifel, HSBC,
Banregio, Banamex, Santander, Banco del Bajo, Banco Azteca, Scotiabank, IXE Banco, Bans y
Banco Inbursa.
Bancomer cre la Direccin de Banca Digital que aunado a las transacciones electrnicas bsicas
a travs de banca mvil, este banco busca facilitar la vida financiera de las personas. Como parte
de esta estrategia, ha presentado tres productos:
SMS Banking, destinado a usuarios con telfonos de baja gama, con el que se puede
consultar saldo y enviar dinero a travs de mensajes de texto.
BBVA Wallet, billetera electrnica (tarjetas digitales) para realizar compras en comercios
afiliados. Los datos de las tarjetas estn almacenados en la nube y disponibles tal y como
fuera una billetera fsica.
App Vida Bancomer, con la que informa al cliente sobre descuentos y promociones con su
tarjeta de crdito en los comercios que estn a su alrededor, o sobre ofertas del banco.
Para Banamex, los servicios en lnea y a travs de dispositivos mviles son estratgicos a futuro.
La banca en lnea contina teniendo una fuerte presencia tanto para pymes como para personas
fsicas por lo que Banamex ve la posibilidad de seguir creciendo en este rubro para los prximos
aos.
Banorte tiene diseadas diversas aplicaciones para banca mvil en temas especficos, que le
permiten al cliente desde consultar su saldo, usar sus cuentas bsicas, recargar tiempo aire, pagar
su tarjeta de crdito y administrar algunos de sus productos bancarios. Si un cliente recibe una
renovacin de su tarjeta de crdito, la puede activar por telfono, incluso puede reportarla en su
mvil como extraviada.
Banorte tambin ha desarrollado el token celular que sirve tanto para banca mvil como para
banca por Internet, adems de una billetera digital para comercio electrnico.
25
El uso de pagos mviles es y ser cada vez ms comn ya que las instituciones bancarias tiene
aplicaciones para facilitar los pagos y el acceso a servicios, sin embargo, existen puntos clave que
debern resolverse para asegurar que las expectativas se cumplan y es que la razn para no usar
estos servicios es el temor a fraudes electrnicos, por lo que sin la seguridad apropiada, muchos
usuarios no tendrn el mnimo reparo para prescindir de la conveniencia de esta tecnologa y
seguirn realizando sus transacciones en computadoras de escritorio o fsicamente. La CNBV ha
establecido nuevos modelos de negocio mediante las Disposiciones de Carcter General
Aplicables a Instituciones de Crdito -tambin conocida como Circular nica de Bancos o CUBpara incluir las reglas de operacin a travs de corresponsales bancarios, servicios financieros
mviles, apertura simplificada de cuentas y bancos de nicho. Sin embargo se sigue buscando un
ptimo control y seguridad de la informacin de los datos sensibles que son transmitidos,
aadiendo una estrategia educativa para que la poblacin vaya admitiendo estas nuevas variantes
que permite la tecnologa para avanzar hacia operaciones de dinero ms prcticas y seguras.
26
El sistema bancario mexicano ya tiene la infraestructura para que sus clientes puedan hacer
operaciones financieras bsicas desde su celular y ya existe una cmara de compensacin que
permite dichas operaciones ya que el Banco de Mxico (Banxico) ha autorizado a la sociedad
Operadora de Pagos Mviles de Mxico, la organizacin y operacin de una cmara de
compensacin de Transferencias a travs de Dispositivos Mviles. La sociedad est integrada por
Amrica Mvil, Citigroup-Banamex y Grupo Inbursa.
Antes de que existiera esta cmara de compensacin, cada banco desarrollaba su propia
aplicacin para que sus cuentahabientes hicieran operaciones bancarias desde su celular. Sin
embargo, esas operaciones slo podan realizarse si la cuenta bancaria y la aplicacin eran del
mismo banco.
El nombre de las cmaras que han operado desde antes de la reforma financiera, son E-Global y
Prosa.
Prosa ha utilizado los servicios de ACI Worldwide durante ms de 25 aos como su proveedor
estratgico para la funcionalidad de su actividad principal, poder realizar transacciones con un
volumen de 1,200 millones por ao y administrar 37.000 cajeros automticos.
ACI BASE24-eps es un sistema de procesamiento de pagos integrado que adquiere, valida, rutea y
autoriza transacciones financieras a travs de diversos canales. Brinda una amplia funcionalidad
para soportar pagos - tarjetas tradicionales, cajeros automticos y transacciones en sucursales
bancarias que las instituciones administran en la actualidad; al igual que las transacciones con
gran crecimiento como el comercio mvil y las operaciones bancarias por Internet. (PROSA, 2008)
27
Confidencialidad: Los recursos del sistema solo pueden ser accedidos por los elementos
autorizados.
Integridad: Los recursos del sistema solo pueden ser modificados o alterados por los elementos
autorizados
Disponibilidad: Los recursos del sistema deben permanecer accesibles a los elementos
autorizados. (Computing, 2000)
28
es que significa mucho ms que eso. Implica una continua investigacin para crear sistemas que
faciliten las transacciones financieras y a su vez, sean impermeables a los amigos de lo ajeno.
Hoy da los bancos permiten grandes facilidades para la gestin de las finanzas a travs del
Internet, los telfonos inteligentes y las tabletas, pero detrs de todas estas posibilidades se
encuentran plataformas muy complejas interconectadas entre s que garantizan la seguridad.
Una de las aplicaciones para la banca que estn desarrollando en Synergy-GB es un Modelo de
Autenticacin Grfica, donde el cliente utilizara categoras de imgenes (animales, transporte,
herramientas, etc.) a manera de contrasea, donde slo tendr que recordar la categora de su
preferencia sin importar el orden o ubicacin en que estn la pantalla.
Otra aplicacin que est prxima a implementarse en los sistemas de un banco comercial nacional
es la biometra de voz, que permitir al cliente utilizar su mvil para hacer una grabacin corta,
que ser utilizada posteriormente para el reconocimiento de voz con la cual ser identificado en el
futuro.
Las aplicaciones del futuro sern las que no hagan que el usuario tenga que recordar largas y
complicadas contraseas, sino que se identifique por lo que l es, ya sea con reconocimiento
facial, un gesto o cualquier otro por el que se determine que no puede ser otra persona.
La biometra an est en estudio y que tal vez no se haya determinado la potencialidad en las
aplicaciones que impliquen altos niveles de seguridad, mientras tanto se seguir estudiando la
seguridad desde el lado del usuario, como las geobarreras, el geoposicionamiento y otros mtodos
de este tipo.
29
contrasea, solo requiere el acceso a algo que una persona tiene (tal como una tarjeta inteligente o
especfica del telfono mvil), as como algo que una persona sabe (tal como un PIN).
La ventaja ms importante de una OTP es que, en contraste con las contraseas, no son
vulnerables a los ataques de repeticin. Esto significa que un posible intruso que logra registrar
una OTP que ya se utiliz para iniciar sesin en un servicio o realizar una transaccin no ser
capaz de abusar de ella, puesto que ya no ser vlida. Un nmero de sistema OTP tambin
pretende asegurar que una sesin no puede ser fcilmente interceptada o suplantada sin el
conocimiento de datos impredecibles creados durante la sesin anterior.
OTP se han discutido como un posible reemplazo para, as como potenciador a, contraseas
tradicionales. En el lado negativo, OTP son difciles para los seres humanos para memorizar. Por lo
tanto, requieren una tecnologa adicional para trabajar.
El uso de un algoritmo matemtico para generar una nueva contrasea basado en la contrasea
anterior (OTP son efectivamente una cadena y se deben utilizar en un orden predefinido).
El uso de un algoritmo matemtico donde la nueva contrasea se basa en un desafo (por ejemplo,
un nmero aleatorio elegido por el servidor de autenticacin o detalles de la transaccin) y / o un
contador.
Algunos sistemas trabajan con aparatos electrnicos especiales Tokens de seguridad que el
usuario utiliza para generar OTPs y se muestran usando una pequea pantalla. Otros sistemas
consisten en software que se ejecuta en el telfono mvil del usuario. Sin embargo, otros sistemas
generan OTP en el lado del servidor y los envan al usuario usando canales tales como SMS. Por
ltimo, en algunos sistemas, el OTP se imprimen en un papel que se requiere que el usuario lleve.
Una OTP de tiempo sincronizado suele estar relacionada con una pieza de hardware llamado
token de seguridad (por ejemplo, cada usuario tiene una ficha personal que genera una contrasea
de OTP). Podra parecer una pequea calculadora o un llavero, con una pantalla LCD que muestra
un nmero que cambia de vez en cuando. El interior del mismo es un reloj de precisin que se ha
sincronizado con el reloj del servidor de autenticacin. En estos sistemas de OTP, el tiempo es una
parte importante del algoritmo de contrasea, ya que la generacin de nuevas contraseas se basa
en el tiempo actual adems de, la contrasea anterior o una clave secreta. Este token puede ser
una propiedad del dispositivo o telfono mvil que ejecuta el software.
Algoritmos matemticos
Un ejemplo de este tipo de algoritmo, es acreditado a Leslie Lamport, el cual utiliza una funcin
unidireccional (llamarlo f). Este sistema de contrasea funciona de la siguiente manera:
31
2. Una funcin hash f (s) se aplica repetidamente (por ejemplo, 1000 veces) a la semilla,
dando un valor de: f (f (f (f.... (s)....))). Este valor, que llamaremos f 1000 (s) se almacena
en el sistema de destino.
3. Primer inicio de sesin del usuario utiliza una contrasea p derivada aplicando f 999 veces
a la semilla, es decir, f 999 (s). El sistema de destino puede autenticar que esta es la
contrasea correcta, porque f (p) es f 1000 (s), que es el valor almacenado. El valor
almacenado es reemplazado por p, y el usuario tiene permiso para iniciar sesin.
4. El prximo inicio de sesin, debe ir acompaada de f 998 (s). De nuevo, esto puede ser
vlida porque el hashing queda f 999 (s), que es p, el valor almacenado despus de la
entrada anterior. Una vez ms, el nuevo valor sustituye p y el usuario est autentificado.
5. Esto se puede repetir otras 997 veces, cada vez que la contrasea ser F aplicada unas
veces menos, y se valida comprobando que cuando hash, da el valor almacenado durante
la sesin anterior. Las funciones hash estn diseadas para ser extremadamente difcil de
revertir, por lo tanto, el atacante tendra que saber la semilla s inicial para calcular las
posibles contraseas, mientras que el sistema informtico puede confirmar la contrasea
en cualquier ocasin dada es vlida comprobando que, al hash, que da el valor utilizado
previamente para inicio de sesin. Si se quiere una serie indefinida de contraseas, un
nuevo valor de la semilla puede ser elegido despus de que se agote el conjunto de s.
Para obtener la siguiente contrasea con la serie de las contraseas anteriores, hay que encontrar
la manera de calcular la funcin inversa f -1. Desde luego f fue elegido para ser de un solo sentido,
esto es extremadamente difcil de hacer. Si f es una funcin de hash criptogrfica, que es
generalmente el caso, es (por lo que se conoce) una tarea computacionalmente imposible. Un
intruso que pasa a ver una contrasea OTP puede tener acceso para un perodo de tiempo o de
inicio de sesin, pero es intil una vez vencido este plazo.
32
el clculo no suele implicar la contrasea OTP anterior; es decir, por lo general se utiliza este u otro
algoritmo, en lugar de usar ambos algoritmos.
Los mtodos de administracin de las OTP de los token pueden utilizar cualquiera de estos tipos
de algoritmo en lugar de sincronizacin de tiempo.
Una tecnologa comn utilizada para la entrega de OTP es la mensajera de texto. Debido a que
los mensajes de texto es un canal de comunicacin ubicua, siendo directamente disponibles en
casi todos los telfonos mviles y, a travs de la conversin de texto a voz, a cualquier telfono fijo
o mvil, los mensajes de textos tienen un gran potencial para llegar a todos los consumidores con
un bajo costo. Sin embargo, el costo de la mensajera de texto para cada OTP puede no ser
aceptable para algunos usuarios. OTP sobre los mensajes de texto se puede cifrar utilizando un
estndar A5 / x, sin embargo pueden ser exitosamente descifrados en cuestin de minutos o
segundos, la OTP a travs de SMS podra no ser encriptada por el proveedor de servicios en
absoluto. Adems de las amenazas de los hackers, el operador de telefona mvil se convierte en
parte de la cadena de confianza. En el caso de la itinerancia, ms de un operador de telefona
mvil tiene que ser de confianza.
33
Cualquier persona que use esta informacin puede montar un man-in-the-middle ataque. Google
ha comenzado a ofrecer OTP a telfonos mviles y fijos para todas las cuentas de Google. El
usuario puede recibir la OTP, ya sea como un mensaje de texto o por medio de una llamada
automatizada mediante la conversin de texto a voz. En caso de que ninguno de los telfonos
registrados del usuario es accesible, el usuario puede incluso utilizar una de un conjunto de (hasta
10) generado previamente cdigos de seguridad de una sola vez como un factor de autorizacin
secundaria en lugar de la OTP generado dinmicamente, despus de firmar con su contrasea de
la cuenta.
A partir del 3 de Marzo del 2007 por disposicin oficial de la Comisin Nacional Bancaria y de
Valores, los bancos que operan en Mxico tuvieron que implementar medidas de seguridad
actualizadas para proteger a los usuarios de banca electrnica que realizan transacciones
monetarias por Internet. Aun cuando la implementacin del esquema vara de acuerdo al banco, la
mayor parte de ellos decidi utilizar el esquema de Token.
Bsicamente, un Token es un dispositivo con un reloj interno, el cual se sincroniza con un servidor
a la hora de ser activado por primera vez (en la fbrica, usualmente), y sirve para generar una
contrasea nica en un perodo de tiempo (segundos es lo ms comn) a travs de un algoritmo
secreto y privado. Esta contrasea, una vez generada, es comparada con el servidor el cual tiene
el mismo algoritmo para generar la contrasea, basndose en el nmero de serie de tu token, el
cual est ligado a tu cuenta bancaria. Estos dispositivos generalmente duran de 3 a 5 aos de uso
normal, y estn fabricados de tal manera que siempre estn sincronizados con el servidor. (Las
compaas que los fabrican invirtieron millones de dlares asegurndose de que as sea).
Un telfono mvil mantiene los costos bajos debido a una gran cantidad de clientes ya posee un
telfono mvil para fines distintos de la generacin de OTP. La potencia de clculo y
almacenamiento necesario para OTPs suele ser insignificante en comparacin con lo que la
cmara de los telfonos y Smartphone modernos suelen utilizar. Los telfonos mviles, adems,
soportan cualquier nmero de fichas dentro de una instalacin de la aplicacin, lo que permite a un
usuario la capacidad de autenticar a mltiples recursos de un dispositivo. Esta solucin tambin
ofrece aplicaciones especficas de acuerdo al modelo del mvil.
34
Varios proveedores ofrecen mtodos basados en la web para la entrega de contraseas. Uno de
tales mtodos se basa en la capacidad del usuario para reconocer categoras pre-seleccionadas
entre una variedad aleatoria de imgenes. Cuando se registra un usuario por primera vez en un
sitio web, el usuario elige una categora secreta de las cosas, tales como perros, coches, barcos y
flores.
Cada vez que el usuario inicia sesin en el sitio web se presentan una variedad de imgenes
aleatorias de carcter picalphanumeric superpuesta en estas. El usuario busca las imgenes que
se ajustan a sus categoras pre-elegido y entra en los caracteres alfanumricos asociados para
formar un cdigo de acceso OTP.
Normalizacin
Muchas tecnologas OTP estn patentadas. Esto hace que la normalizacin en este mbito sea
ms difcil, ya que cada empresa trata de impulsar su propia tecnologa. Las normas, sin embargo
existen, por ejemplo, RFC 1760 (S / KEY), RFC 2289 (OTP), RFC 4226 (HOTP) y RFC 6238
(TOTP).
Todava, la adopcin de estas soluciones de pagos mviles enfrenta diferentes retos y niveles en
varias partes del mundo. Mientras que en Mxico est entrando un ao de consolidacin con
nuevas y especficas regulaciones para la industria de pagos mviles, lo cual podra acelerar el
desarrollo y madurez del mercado, estamos todava lejos de la realidad de pases desarrollados
como Suecia e incluso un poco detrs en algunos aspectos particulares de naciones en desarrollo
como nuestro vecino, Brasil.
35
Ms all de la penetracin mvil, otro factor importante que impacta el desarrollo de este sector es
el acceso a internet en cada regin. Los pagos mviles dependen de este servicio para poder
desempear transacciones, as que la inversin en esta rea es muy importante. En Mxico, la
penetracin de internet es de tan solo 38.5% mientras que en Brasil es del 49%.
Pero el factor crucial para la multiplicacin de los lectores de tarjetas en el mundo es la demanda
de pequeos emprendedores abandonados por las grandes empresas de tarjetas. El precio del
equipo, las cuotas mensuales, y la burocracia para el registro y la activacin hacen de ellos
inaccesibles a una gran parte de la economa. Despus de todo, cerca del 90% de las compaas a
nivel mundial son pequeas y medianas empresas.
Poniendo en perspectiva nuestro progreso y retos respecto de los pagos mviles, tenemos buenas
razones para creer que Mxico est en el buen camino. El optimismo es justificado:
Sin buscar competir con otras naciones, Mxico necesita slo combatir sus flaquezas estructurales
para abrirse paso en este camino de una manera robusta, simplificada, democrtica y ms rpida
de lo esperado.
36
1. Registro en el Banco.
37
7. Recibirs dos SMS, uno con la liga para descargar la aplicacin y otro con la clave de
activacin. Te sugerimos anotar la clave de activacin, ya que la necesitars
ms adelante para activar el servicio cuando descargues la aplicacin en tu celular.
El sistema operativo mvil con mayor tasa de participacin del mercado es Android. Debido a la
masividad y apertura del mismo, es posible observar que la mayora de los cdigos maliciosos
mviles que se desarrollan en la actualidad estn destinados para esta plataforma y sus usuarios.
38
Una vez que los ciberdelincuentes han escogido una temtica, procede a expandir masivamente
alguna amenaza. A la hora de atacar un sistema, un buen hacker no busca tanto encontrar una
vulnerabilidad en su cdigo sino en lo que le rodea.
Un estudio llevado a cabo en 2014 por GFT, en 2017 mil millones de personas en el mundo
utilizar la banca mvil. El 90% de las aplicaciones realiza alguna comunicacin sin cifrado SSL
(Secure Sockets Layer), o no detecta si el mvil tiene instalado el jailbreak, que es el primer paso
para intentar algn ataque por parte de hackers delincuentes.
39
Ms del 90% de los malware existentes afectan telfonos inteligentes que utilizan el
sistema operativo Android.
Ataques a telfonos inteligentes, ya no son slo desde Rusia y China; ahora son realizados
tambin, desde otros pases.
Usuarios de servicios banca mvil en Italia, Tailandia y Australia fueron afectados por el
malware Android/Fksite, cuando los usuarios instalaban lo que deca ser un App de
seguridad para banca mvil.
40
Para distribuir los cdigos maliciosos, las bandas utilizan SMS, Facebook y juegos
infectados en ciertas App Store.
Los cibercriminales seguirn lucrando en estos dispositivos gracias a las vulnerabilidades que
tienen los telfonos inteligentes y lo poco cuidadosos y confiados que son los dueos de estos
dispositivos, al instalar aplicaciones indiscriminadamente en sus dispositivos.
Debido a que solo Android y IOS han logrado tener una gran presencia en el mercado y por lo
tanto son los que ms ataques han presentado en el los ltimos aos (y van en aumento) y para
fines prcticos de esta tesina solo se analizaran las vulnerabilidades de estos 2 sistemas
operativos.
software de dudosa confiabilidad proveniente de terceros). Estas Apps tienen privilegios limitados y
si necesitan acceder a recursos adicionales fuera de su propio contenedor, el usuario tiene que dar
su permiso expreso. Los investigadores encontraron que las cuatro vulnerabilidades permitan el
acceso no autorizado, lo que se conoce como ataques de acceso a recursos entre aplicaciones
(XARA). Las cuatro vulnerabilidades son:
41
iOS no requiere certificados iguales para aplicaciones con el mismo identificador, de esta forma,
mediante la funcin de Apple llamada Enterprise/ad-hoc provisioning System, los desarrolladores
de software y usuarios corporativos pueden instalar aplicaciones desde fuera de la App Store
oficial, utilizando slo un vnculo hacia algn sitio en Internet. La falla afecta a las versiones iOS de
7.1 en adelante, con lo cual 7.1.2, 8.0, 8.1 y 8.1.1 beta tambin son vulnerables. Puede ser
aprovechada por los cibercriminales a travs de redes inalmbricas y tambin mediante
conexiones USB. Es importante remarcar que tambin impacta en dispositivos que no tienen
jailbreak, es decir, que no han sido liberados para remover restricciones de Apple y permitir la
instalacin de Apps fuera de su tienda oficial.
Los Masque Attacks pueden reemplazar Apps autnticas, como correo electrnico o banca,
usando el malware a travs de Internet. Eso significa que el atacante puede robar las credenciales
bancarias del usuario reemplazando una App bancaria autntica con un malware con identificacin
idntica. Sorprendentemente, el malware puede incluso acceder a los datos locales de la App
original, que no son removidos cuando es reemplazada, y pueden incluir e-mails en cach, o
Tokens de autenticacin que puede usar para acceder directamente a la cuenta del usuario.
(Gmez, 2015)
Nuevas familias de cdigos maliciosos y sus variantes se desarrollan con distintos objetivos. Entre
estos se encuentran troyanos SMS que suscriben al usuario a servicios de mensajera Premium sin
su consentimiento, botnets que buscan convertir en zombi al dispositivo mvil al tiempo que roban
informacin, adware para el envo de publicidad no deseada o ransomware que cifra la informacin
y solicita un pago como rescate para que el usuario pueda recuperar sus datos.
Fragmentacin de Android
Se trata de un importante problema en este sistema y se refiere al hecho de que no todos los
dispositivos que funcionan con Android utilizan la misma versin, o al menos la ms reciente. En
ocasiones, las actualizaciones del sistema son retenidas por los fabricantes de los dispositivos
para evitar problemas de compatibilidad, lo que evita que las correcciones de seguridad lleguen a
los usuarios.
Se han puesto en marcha distintas iniciativas que tienen como objetivo consolidar las versiones de
Android de manera que la mayora de los usuarios puedan hacer uso de la ltima versin, sin
embargo, esto todava no se logra. Como consecuencia, utilizar versiones desactualizadas se
traduce en un importante riesgo de seguridad.
En esta recoleccin de datos que concluy el 2 de marzo de 2015, la versin 5.0 (Lollipop) ocupa
el 3.3%, mientras que la versin 4.4 (KitKat) alcanza 40.9% del total de dispositivos. Jelly
Bean 4.1.x aparece con 17.3%, la versin 4.2.x con el 19.4% y la 4.3 con 5.9% de la distribucin.
En el informe todava se puede encontrar la versin 2.2 (Froyo), que se mantiene en 0.4% del total
de los equipos con Android instalado.
43
Otro riesgo de seguridad en Android est relacionado con la modificacin del sistema operativo
cuando se personaliza. Los fabricantes de dispositivos o los operadores de telefona mvil
(carriers) modifican el sistema para agregar informacin de su compaa, incluso los usuarios
tambin pueden realizar cambios en el aspecto de su telfono a travs de las capas de
personalizacin o lanzadores (launchers).
En ocasiones, con la idea de obtener de manera gratuita una aplicacin de paga, los usuarios
pueden descargarla desde sitios no oficiales, en donde es posible que una App haya sido
modificada para realizar acciones maliciosas.
Cuando se verifica que se trata de una aplicacin que contiene malware se elimina de la tienda.
Sin embargo, para este momento puede ser tarde, ya que al estar disponible en el repositorio
oficial, puede ser descargada por los usuarios. En estos casos, el impacto depende del nmero de
usuarios que hayan instalado la aplicacin maliciosa en su dispositivo. (Lpez, 2015)
Esto sucedi con aplicaciones maliciosas encontradas en Google Play, que propagaban una
amenaza denominada DroidDream, un cdigo malicioso que operaba cuando el usuario no
realizaba actividades con su Smartphone, unindolo a una Botnet. Se estima que afect a 250,000
equipos, con base en el nmero de descargas que tuvieron estas aplicaciones. (Mendoza, 2014)
44
Los ataques que se pueden realizar a los dispositivos mviles y los sistemas operativos a travs de
programas dainos o peligrosos son los siguientes:
Exploits zero-day
Sniffers
XSS
De acuerdo con lo anteriormente indicado el primer riesgo y vulnerabilidad que puede existir se
encuentra relacionada con el propio usuario del dispositivo, es decir si el usuario no cuenta con
una seguridad apropiada y uso del dispositivo esto es un riesgo y una vulnerabilidad bastante
grande, debido a que cualquiera puede acceder a la informacin para revisarla, modificarla o
copiarla, tambin se encuentra asociado a los usuarios los robos de los dispositivos y el uso de los
dispositivos sin tener precaucin para instalar aplicaciones y no contar con sistemas de seguridad
como antivirus para que analicen y revisen el sistema operativo.
45
Las credenciales para tomar el control del dispositivo y los servicios externos del
dispositivo como el correo electrnico, las cuentas de bancos, etc.
Los datos personales de los usuarios el nombre completo, la identificacin, las claves, lo
datos del telfono como los contactos, la localizacin, las preferencias de los usuarios.
Los datos de los dispositivos como los nmeros de cuenta, nmeros de las tarjetas, las
fechas de expiracin.
Acceso al dispositivo para revisar la SIMCARD del dispositivo, revisin de las conexiones
telefnicas y de internet, uso del dispositivo para enviar virus, malware y procesamiento de
actividades, robo de datos secretos y datos sensibles del dispositivo.
46
Heartbleed y MITM
Este bug en Open SSL hace que los ataques MITM sean an ms peligrosos. Un atacante puede
encadenar una serie de ataques man-in-the-middle con un certificado robado gracias a Heartbleed,
y as obtener todo tipo de datos valiosos, sin importar que el usuario tenga HTTPS activo y crea
que todo su trfico es seguro.
47
Todo sistema de cifrado que se respete se protege contra ataques MITM requiriendo la trasmisin
de la informacin a travs de un canal seguro adicional, al cual solo se puede acceder con la llave
de cifrado segura correspondiente. Si el atacante logra acceder a esa llave, puede comenzar un
ataque MITM.
4.3.3 Sniffers
Se trata de una tcnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que
en principio es propio de una red interna o Intranet, tambin se puede dar en la red de redes:
Internet.
Esto se hace mediante aplicaciones que actan sobre todos los sistemas que componen el trfico
de una red, as como la interactuacin con otros usuarios y ordenadores. Capturan, interpretan y
almacenan los paquetes de datos que viajan por la red, para su posterior anlisis (contraseas,
mensajes de correo electrnico, datos bancarios, etc.).
Clonar una SIM significa crear una SIM diferente a la original pero que se comporte exactamente
igual. Esto al ser un elemento activo se tiene que realizar con un emulador ya que a parte de
"copiar" los datos de la SIM es necesario "emular" su comportamiento e incluso ampliarlo.
48
4.3.6 Malware
El malware (del ingls "malicious software"), tambin llamado badware, cdigo maligno, software
malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o
daar un sistema de informacin sin el consentimiento de su propietario. El trmino malware es
muy utilizado por profesionales de la informtica para referirse a una variedad de software hostil,
intrusivo o molesto. El trmino virus informtico suele aplicarse de forma incorrecta para referirse a
todos los tipos de malware, incluidos los virus verdaderos.
Malware no es lo mismo que software defectuoso, este ltimo contiene bugs peligrosos, pero no de
forma intencionada.
4.3.7 XSS
XSS, del ingls Cross-Site scripting es un tipo de inseguridad informtica o agujero de seguridad
tpico de las aplicaciones Web, que permite a una tercera persona inyectar en pginas web
visitadas por el usuario cdigo JavaScript o en otro lenguaje similar, evitando medidas de control
como la Poltica del mismo origen. Este tipo de vulnerabilidad se conoce en espaol con el nombre
de Secuencias de rdenes en sitios cruzados.
XSS es un vector de ataque que puede ser utilizado para robar informacin delicada, secuestrar
sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las
vulnerabilidades XSS han existido desde los primeros das de la Web.2
Esta situacin es usualmente causada al no validar correctamente los datos de entrada que son
usados en cierta aplicacin, o no sanear la salida adecuadamente para su presentacin como
pgina web.
49
Un informe emitido por Intel Security y respaldado por el Centro Europeo del Cibercrimen de la
Europol revela que las ltimas tcnicas de ingeniera social puestas en marcha por los
cibercriminales son cada vez ms sofisticadas y ms difciles de detectar. A travs de estas
tcnicas, los cibercriminales consiguen que sus vctimas realicen acciones que normalmente no
haran.
Este informe, denominado Hacking the Human OS, llega das despus de que 100 bancos de
todo el mundo hayan confirmado que han sufrido ataques de malware que les caus daos
estimados en 1.000 millones de dlares. Las redes y ordenadores de los bancos sufrieron ataques
de phishing demostrando la debilidad inherente en el firewall humano y la necesidad de educar a
los empleados sobre las principales tcnicas de persuasin en el mundo digital.
Hunting
Extraer informacin a travs de una interaccin mnima con el objetivo. Este enfoque generalmente
implica un solo contacto entre el atacante y la vctima, y termina una vez que se ha conseguido la
informacin.
Farming
Establecer una relacin continuada en el tiempo para exprimir al mximo a la vctima y extraer
gran cantidad de informacin.
Phishing: Se comete al intentar adquirir informacin confidencial de forma fraudulenta, puede ser:
obteniendo una contrasea o informacin detallada.
El estafador, se hace pasar por una persona o empresa de confianza en una aparente
comunicacin oficial electrnica, igual puede ser una persona de confianza con la que se tiene
contacto.
50
Keylogger: Se enva un correo electrnico a la vctima potencial con un troyano adjunto que por lo
general es un Keylogger, un Keylogger es un programa que registra las pulsaciones del teclado
para memorizarlas en un archivo, estos programas se envan a una persona que le sea familiar o
simplemente con un interesante ttulo al destinatario. El troyano es un programa malicioso capaz
de alojarse en computadoras y dispositivos mviles, con el fin de recabar informacin o controlar
remotamente a la mquina anfitriona.
Trashing (recoleccin de basura): Algunos de los artculos echados en la basura que pueden
representar una potencial fuga de informacin son, libretas telefnicas, organigramas,
memorandas, manuales de procedimientos, calendarios, manuales de operacin de sistemas,
cuentas de usuarios y sus contraseas, etc.
Los ciberdelincuentes buscan engaar a sus vctimas para que entreguen voluntariamente su
informacin personal. La mutacin se dio no slo hacia sitios web, sino tambin se ha
transformado en mensajes de texto, y cualquier tipo de mensajera mvil.
La importancia de este vector de ataque radica en que estos dispositivos mviles almacenan gran
cantidad de informacin personal, como usuarios y contraseas de redes sociales, de correos
electrnicos, inclusive geo localizacin.
51
Lograr un ataque exitoso de ingeniera social resulta complicado, ya que normalmente las
personas estn en contacto estrecho unos con otros a tal grado que incluso pueden reconocer sus
voces en una charla, las polticas y
Los ingenieros sociales colectan informacin de mltiples fuentes para construir con ello un
panorama general. Conforme acumulan ms datos, aumenta la posibilidad de engaar a ms
personas para que revelen an ms informacin.
Hay muchos factores que se combinan para que un ingeniero social pueda llevar a cabo su labor,
pero fundamentalmente emplean en su favor tcnicas que explotan las caractersticas y
debilidades naturales de la gente. Un hacker aprovechar estas debilidades y manipular a su
vctima para que le revele informacin sensible.
Algunos de los rasgos psicolgicos que facilitan el trabajo de los hackers son los siguientes:
2. Urgencia: La gente tiende a obedecer cuando se les solicita informacin de una fuente
de aparente confianza, como por ejemplo, cuando recibe un email que parece proceder de
su banco pidindole que responda rpidamente o su cuenta ser deshabilitada en 24
horas.
3. Consistencia: Una vez que los usuarios se comprometen a hacer algo, suelen cumplir
sus promesas. Por ejemplo, un hacker se hace pasar como parte de un equipo de TI de
una empresa y podra instar a que un empleado cumpla todos los procesos de seguridad
que determine, y pedirle entonces que lleve a cabo una tarea sospechosa, pero que est
en lnea con los requisitos de seguridad.
52
4. Me gusta: Las vctimas suelen obedecer cuando les agrada la persona que con la que
estn interactuando. Un hacker podra utilizar sus encantos por telfono o a travs de la
red para convencer a su vctima.
5. Autoridad: Se tiende a obedecer cuando la solicitud procede de una figura con autoridad.
Un ejemplo podra ser un email para el departamento financiero que podra proceder,
aparentemente, del CEO o Presidente.
6. Validacin social: Solemos obedecer cuando vemos que los otros tambin lo hacen. Por
ejemplo, un correo electrnico puede tener aspecto como si hubiera sido enviado por un
grupo de empleados, que hace creer a otro empleado que es adecuado si ve que otros
tambin lo han recibido.
En este tipo de ingeniera social el hacker engaa al usuario mediante la interaccin con una
aplicacin o un sistema que el propio hacker controla. Por ejemplo:
Correo Spam: mensajes de correo que ofrecen productos, regalos, informacin, o que contienen
ligas a sitios de redes sociales y que son empleados para instalar cdigo malicioso cuando el
usuario abre un archivo anexo o hace clic en un sitio controlado por el hacker.
Ventanas emergentes: el hacker emplea ventanas falsas para engaar al usuario hacindole creer
que est instalando una actualizacin autorizada de, por ejemplo, Microsoft, Java o de su antivirus,
cuando en realidad est permitiendo al hacker obtener informacin o instalar cdigo malicioso.
Pharming: esta tcnica se emplea comnmente para re direccionar a un usuario de un sitio Web a
un sitio falso sin que se d cuenta mediante algo conocido como domain spoofing o suplantacin
de nombre de dominio.
53
Engao humano
Estas tcnicas, difciles de detectar por una persona no entrenada, emplean debilidades en el
comportamiento humano y frecuentemente se basan en la suplantacin de personas con cierto
nivel de autoridad en la organizacin:
Dumpster Diving: Como parte de la etapa de obtencin de informacin un hacker puede analizar
la basura. Si los documentos no son desechados de manera segura el atacante puede as obtener,
por ejemplo, listas de telfonos, propuestas econmicas, grficas, reportes e incluso nombres de
usuarios y contraseas, que podran ser usadas para ayudar al hacker a suplantar a cualquier
persona y ganar acceso a informacin confidencial. Esta tcnica es una de las ms populares para
la investigacin preliminar, que es parte de la planeacin de un ataque de ingeniera social.
Pre-texting: El hacker crea un escenario inventado, conocido como el pretexto, para persuadir a la
vctima de proporcionarle cierta informacin o de realizar alguna accin. Normalmente se realizar
una investigacin para conocer el tipo de lenguaje y la tecnologa empleada por la gente que
administra los sistemas o que tiene acceso a la informacin requerida.
Shouldersurfing: Es una tcnica muy empleada y consiste en espiar sobre el hombro (de ah su
nombre) a los usuarios cuando teclean su nombre y contrasea en algn sistema.
Ingeniera social inversa: ste es un mtodo ms avanzado que se presenta cuando el hacker
crea una persona que parece estar en una posicin de autoridad. Es una tcnica muy poderosa
pero muy difcil de llevar a cabo pues exige una gran cantidad de recursos y tiempo en la
investigacin y preparacin del ataque.
La ingeniera social inversa tiene tres grandes etapas: sabotaje, anuncio y asistencia.
Puesto que las Apps bancarias no son seguras al 100%, el usarlas a menudo es necesario dedicar
la mxima atencin a nuestras propias medidas de seguridad. Por ejemplo, instala un antivirus de
calidad en tu Smartphone o Tablet, realiza chequeos antimalware a menudo, actualiza siempre el
sistema operativo y tambin las Apps a travs de Google Play o la App Store, y no descargues
software ni ficheros que consideres sospechosos.
54
Los servicios de banca mvil en Mxico han tenido un proceso de desarrollo irregular, con algunas
problemticas especiales derivadas exclusivamente del sector nacional, en donde el costo de
comisiones y los modelos de operacin inseguros, son los principales problemas del sector de
acuerdo con especialistas. Sin embargo, existen decretos de ley que estn forzando la incursin
prxima de estos esquemas como una medida de inclusin integral en la plataforma de oferta de
servicios que buscan estimular el desarrollo del sector, lo que ha detonado que el gremio bancario
trabaje bajo dos lneas paralelas pero no sincronizadas: por un lado estimularn la ejecucin de
transacciones bancarias a travs de smartphones, utilizados como terminales de punto de venta,
pero a su vez buscan retrasar la inclusin de otros servicios de banca mvil, y por el otro no perder
el equilibrio que tienen con el rea funcional que hasta hoy en da sigue siendo la base del sistema
bancario. (BBVA, 2015)
55
esta es la razn por la cual los diferentes gobiernos del mundo han
A lo largo de este captulo analizaremos las diferentes leyes que se han previsto en nuestro pas
para l envi de la informacin a travs de los medios electrnicos, particularmente, los referentes
a la banca mvil, que es el tema que compete a este estudio.
Uno de los fenmenos que no ha invadido en pocas recientes ha sido la banca mvil, la cual
debido al gran aumento de dispositivos mviles en el mercado ha logrado ubicarse en una posicin
estratgica dentro de los servicios que ofrecen las diferentes instituciones bancarias logrando
obtener un gran nmero de usuarios en los ltimos aos. Pero con el incremento de los usuarios y
del nmero de usuarios y de los montos manejados el nmero de fraudes dentro de esta
herramienta tambin ha tenido un incremento, ocasionando prdidas econmicas a los usuarios de
este servicio.
Por lo anterior el estado ha generado una serie de leyes que regulan este servicio, teniendo como
fin, establecer un marco de trabajo y garantizar que los usuarios de este servicio estn protegidos
ante posibles actos delictivos y si estos fueran materializados tener un marco de referencia para la
aplicacin de sanciones.
56
En los siguientes temas se mostraran algunas de las diferentes leyes y marcos normativos vigentes
en Mxico que contemplan actos delictivos en la banca mvil.
Dentro de este conjunto de procedimiento regulatorios podemos encontrar los siguientes artculos
que mencionan tienen como objetivo fungir como marco regulatorio de aplicacin de sanciones
ante la ejecucin de un fraude:
Artculo 112 Bis.- Se sancionar con prisin de tres a nueve aos y de treinta mil a trecientos mil
das de multa, al que sin causa legitima o sin consentimiento de quien este facultado para ello,
respecto a las tarjetas de crdito, de dbito, cheques, formatos o esqueletos de cheques o en
general cualquier otro instrumento de pago, de los utilizados por instituciones de crdito del pas o
del extranjero:
I.
Produzca,
fabrique,
reproduzca,
introduzca
el
pas,
imprima,
enajene,
aun
II.
Adquiera, posea, detente, utilice o distribuya cualquiera de los objetos a que se refiere
el prrafo primero de este artculo.
III.
IV.
V.
57
VI.
Artculo 112 Qurter.- Se sancionar con prisin de tres a nuevo aos y de treinta mil a
trescientos mil das de multa, al que sin causa legtima o sin consentimiento de quien est
facultado para ello:
I.
Acceda a los equipos o medios electrnicos, pticas o de cualquier otra tecnologa del
sistema bancario mexicano, para obtener recursos econmicos, informacin confidencial o
reservada, o
II.
De acuerdo con el artculo 386 del Cdigo Penal Federal, comete el delito de fraude quien
engaando a uno o aprovechndose del error en que ste se halla, se hace ilcitamente de alguna
cosa o alcanza un lucro indebido.
La parte afectada por un fraude tiene normalmente dos posibilidades de pelear por el bien jurdico
protegido, el quebranto patrimonial que le ocasion el defraudador: el primero es intentar una
accin civil o mercantil, dependiendo del caso, para efectos de demandar el cumplimiento de un
contrato, si se celebr; y la segunda es exigir la devolucin del dinero pagado por determinado bien
o servicio. Es decir el ejercicio de la accin penal.
Artculo 386.- Comete el delito de fraude el que engaando a uno o aprovechndose del error en
que ste se halla se hace ilcitamente de alguna cosa o alcanza un lucro indebido.
I.
58
II.
III.
Con prisin de tres a doce aos y multa hasta de ciento veinte veces el salario, si
el valor de lo defraudado fuere mayor de quinientas veces el salario.
Dentro del cdigo penal podemos encontrar un captulo dentro del cual podemos ubicar las
sanciones aplicables a aquellas personas que accedan de manera ilcita a los sistemas y equipos
informticos, se trata del captulo dos y los artculos correspondientes son los siguientes:
Artculo 211 bis 1.- Al que sin autorizacin modifique, destruya o provoque perdida de informacin
contenida en sistemas o equipos de informtica protegidos por algn mecanismo de seguridad, se
le impondrn de seis meses a dos aos de prisin y de cien a trescientos das de multa. Al que
sin autorizacin conozca o copie informacin contenida en sistemas o quipos de informtica
protegidos por algn mecanismo de seguridad, se le impondrn de tres meses a un ao de prisin
y de cincuenta a ciento cincuenta das de multa.
Artculo 211 bis 2.- Al que sin autorizacin conozca o copie informacin contenida en un sistema
o equipos de informtica del estado,
Artculo 211 bis 3.- Al que estando autorizado para acceder a sistemas y equipos de informtica
del estado, indebidamente modifique, destruya o provoque perdida de informacin que contengan,
se le impondrn de dos a ocho aos de prisin y de trecientos a novecientos das de multa.
Artculo 211 bis 4.- Al que sin autorizacin conozca o copie informacin contenida en sistemas o
equipos de informtica de las instituciones que componen el sistema financiero, protegidos por
algn mecanismo de seguridad, se le impondrn de tres meses a dos aos de prisin y de
cincuenta a trescientos das de multa.
Artculo 211 bis 5.- Al que estando autorizado para acceder a sistemas y equipos de informtica
de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o
provoque perdida de informacin que contengan, se le impondrn de seis meses a cuatro aos de
prisin y de cien a seiscientos das de multa. (UNIN, Justia, 2009)
59
El consumidor tambin tiene la facultad de elegir con suficiente conocimiento de causa aquellos
productos y servicios que mejor le convengan.
Tambin tiene derecho a la prevencin y reparacin de daos tanto individuales como colectivos y
acceder a la tutela de rganos administrativos y judiciales.
Finalmente, la ley protege los intereses econmicos de los consumidores ante publicidad engaosa
y contratos con clusulas ventajosas, entre otros.
Si en algn momento el consumidor siente que se estn violando sus derechos existen dos vas
para hacerlos valer: la administrativa y la jurisdiccional.
Cuando el Cliente no est de acuerdo con alguno de los movimientos que aparezcan en el estado
de cuenta respectivo o en los medios electrnicos, pticos o de cualquier otra tecnologa que se
hubieren pactado, podr presentar una solicitud de aclaracin dentro del plazo de noventa das
60
La solicitud respectiva podr presentarse ante la sucursal en la que radica la cuenta, o bien, en la
unidad especializada de la institucin de que se trate, mediante escrito, correo electrnico o
cualquier otro medio por el que se pueda comprobar fehacientemente su recepcin. En todos los
casos, la institucin estar obligada a acusar recibo de dicha solicitud.
Una vez recibida la solicitud de aclaracin, la institucin tendr un plazo mximo de cuarenta y
cinco das para entregar al Cliente el dictamen correspondiente, anexando copia simple del
documento o evidencia considerada para la emisin de dicho dictamen, con base en la informacin
que, conforme a las disposiciones aplicables, deba obrar en su poder, as como un informe
detallado en el que se respondan todos los hechos contenidos en la solicitud presentada por el
Cliente. En el caso de reclamaciones relativas a operaciones realizadas en el extranjero, el plazo
previsto en este prrafo ser hasta de ciento ochenta das naturales.
El dictamen e informe antes referidos debern formularse por escrito y suscribirse por personal de
la institucin facultado para ello. En el evento de que, conforme al dictamen que emita la
institucin, resulte procedente el cobro del monto respectivo, el Cliente deber hacer el pago de la
cantidad a su cargo, incluyendo los intereses ordinarios conforme a lo pactado, sin que proceda el
cobro de intereses moratorios y otros accesorios generados por la suspensin del pago realizada
en trminos de esta disposicin.
Dentro del plazo de cuarenta y cinco das naturales contado a partir de la entrega del dictamen a
que se refiere la fraccin anterior, la institucin estar obligada a poner a disposicin del Cliente en
la sucursal en la que radica la cuenta, o bien, en la unidad especializada de la institucin de que se
trate, el expediente generado con motivo de la solicitud, as como a integrar en ste, bajo su ms
estricta responsabilidad, toda la documentacin e informacin que, conforme a las disposiciones
aplicables, deba obrar en su poder y que se relacione directamente con la solicitud de aclaracin
61
que corresponda y sin incluir datos correspondientes a operaciones relacionadas con terceras
personas;
En caso de que la institucin no diere respuesta oportuna a la solicitud del Cliente o no le entregare
el dictamen e informe detallado, as como la documentacin o evidencia antes referidos, la
Comisin Nacional para la Proteccin y Defensa de los Usuarios de los Servicios Financieros,
impondr multa en los trminos previstos en la fraccin XI del artculo 43 de esta Ley por un monto
equivalente al reclamado por el Cliente en trminos de este artculo, y Fraccin reformada DOF 2506-2009
Hasta en tanto la solicitud de aclaracin de que se trate no quede resuelta de conformidad con el
procedimiento sealado en este artculo, la institucin no podr reportar como vencidas las
cantidades sujetas a dicha aclaracin a las sociedades de informacin crdito.
Lo antes dispuesto es sin perjuicio del derecho de los Clientes de acudir ante la Comisin Nacional
para la Proteccin y Defensa de los Usuarios de Servicios Financieros o ante la autoridad
jurisdiccional correspondiente conforme a las disposiciones legales aplicables, as como de las
sanciones que deban imponerse a la institucin por incumplimiento a lo establecido en el presente
artculo. Sin embargo, el procedimiento previsto en este artculo quedar sin efectos a partir de que
el Cliente presente su demanda ante autoridad jurisdiccional o conduzca su reclamacin en
trminos de la Ley de Proteccin y Defensa al Usuario de Servicios Financieros. (MEXICANOS,
2007)
62
Los miembros del Congreso de la Unin aprobaron la Ley Federal de Proteccin de Datos
Personales en Posesin de los Particulares, el 27 de abril de 2010, una legislacin moderna que
coloca a nuestro pas entre los regmenes que protegen este tipo de derechos, propios de las
democracias en el mundo.
i. Apercibimiento
ii. Multa de 100 a 160,000 das de salario mnimo vigente en el Distrito Federal, cuando la
empresa acte con negligencia o dolo con respecto a la informacin personal, no
observe los principios de proteccin de datos establecidos en la Ley u omita datos en el
Aviso de Privacidad.
iii. Multa de 200 a 320,000 das de salario mnimo general vigente en el Distrito Federal,
cuando incumpla con su deber de confidencialidad en el tratamiento de los datos, cambie
la finalidad del tratamiento de los mismo sin darte aviso, transfiriera tu datos a terceros
sin el consentimiento del titular, obstruya los actos de verificacin del Instituto o realice
un uso ilegtimo de los datos
iv. En caso de que persistan las infracciones de manera reiterada, el Instituto podr imponer
una multa adicional que ir de 100 a 320,000 das de salario mnimo vigente en el Distrito
Federal. Tratndose de infracciones cometidas en el tratamiento de datos sensibles, los
montos de las sanciones podrn incrementarse hasta por dos veces. (Federacin, 2010)
63
Artculo 17.- Las Instituciones estarn obligadas a recibir y procesar las transferencias electrnicas
de fondos que les dirijan aquellos sistemas de pagos interbancarios en los que participen.
Asimismo, las Instituciones debern aceptar dichas rdenes de transferencias electrnicas de
fondos que cumplan con los requerimientos establecidos para tales efectos por el sistema de
pagos correspondiente y debern abonar, en los trminos aplicables, los recursos respectivos en
las cuentas de los beneficiarios o receptores que mantengan dichas Instituciones.
Sin perjuicio de lo anterior, las Instituciones podrn, cuando as lo determinen, ofrecer a los
titulares de las cuentas de niveles 2, 3 4 que ellas mantengan abiertas, la ejecucin de
operaciones de transferencias electrnicas de fondos que dichos titulares instruyan con cargo a las
cuentas respectivas. Para la ejecucin de las referidas operaciones, las Instituciones podrn
permitir a dichos cuentahabientes que les transmitan las respectivas instrucciones por los equipos,
medios, sistemas y redes de telecomunicacin que dichas Instituciones determinen en trminos de
las disposiciones aplicables. A su vez, nicamente aquellas Instituciones que sean participantes en
el SPEI en trminos de las disposiciones aplicables podrn ofrecer a sus clientes que les
transmitan las respectivas instrucciones a travs de dispositivos mviles, independientemente del
canal de comunicacin que utilice el dispositivo para transmitir la instruccin.
asesorar, proteger y defender los derechos e intereses de las personas que utilizan o contratan un
producto o servicio financiero ofrecido por las instituciones financieras que operan dentro del
territorio nacional. Se rige por lo dispuesto en la Ley de Proteccin y Defensa al Usuario de
Servicios Financieros.
establece lo siguiente:
Captulo X
Del uso de Medios Electrnicos
Seccin Primera
Disposiciones generales
Artculo 306.- Las Instituciones podrn pactar la celebracin de sus operaciones y la prestacin de
servicios con el pblico, mediante el uso de Medios Electrnicos, siempre que en los contratos
respectivos establezcan de manera clara y precisa, las bases para determinar:
I.
II. Los
mecanismos
procedimientos
de
identificacin
del
Usuario,
as
como
las
III. Los medios por los que se haga constar la creacin, transmisin, modificacin o extincin de
derechos y obligaciones inherentes a las operaciones y servicios de que se trate, incluyendo
los mtodos de Autenticacin tales como Contraseas o Claves de Acceso.
65
Las Instituciones slo podrn permitir a sus clientes la utilizacin de Medios Electrnicos, cuando
cuenten con el consentimiento expreso de stos, otorgado mediante firma autgrafa, previo al uso
que por primera ocasin hagan de dichos medios.
Las Instituciones debern comunicar a los Usuarios los riesgos inherentes a la utilizacin de los
Medios Electrnicos y las recomendaciones para prevenir la realizacin de operaciones irregulares
o ilegales.
Seccin Segunda
Artculo 307.- Las Instituciones que convengan la celebracin de sus operaciones y la prestacin
de servicios bancarios con el pblico, mediante el uso de Medios Electrnicos, debern contar con
medidas de seguridad para que la informacin transmitida, almacenada o procesada a travs de
dichos medios nicamente pueda ser accedida por parte de los Usuarios, as como por aquellas
personas expresamente autorizadas por la propia Institucin en funcin de las actividades que
realizan.
I. Cifrar el mensaje o utilizar medios de comunicacin Cifrada, aplicando como mnimo el tipo de
Cifrado de 128 bits, para la transmisin de informacin cuando el Medio Electrnico utilizado
para llevar a cabo consultas, Operaciones Monetarias y cualquier otro tipo de transaccin
bancaria, entre la Institucin y sus clientes, sea la red electrnica mundial denominada Internet.
Para los dems Medios Electrnicos, las Instituciones debern contar con mecanismos de
seguridad tendientes a evitar que terceros no autorizados puedan acceder o hacer mal uso de
la informacin transmitida.
66
las acciones necesarias para que los Usuarios no utilicen como Contrasea o Clave de
Acceso:
a) El Identificador de Usuario.
b) El nombre de la Institucin.
La longitud de las Contraseas o Claves de Acceso deber ser de al menos seis caracteres
cuando los medios utilizados sean la red electrnica mundial denominada Internet o el
telfono. Tratndose de otros Medios Electrnicos, tales como los cajeros automticos,
debern tener cuando menos cuatro caracteres.
Cuando el Medio Electrnico utilizado sea la red electrnica mundial denominada Internet, las
Contraseas o Claves de Acceso debern incluir caracteres alfanumricos.
III. Proveer lo necesario para evitar la lectura de los caracteres que componen las Contraseas o
Claves de Acceso digitadas por el cliente en la pantalla del Medio Electrnico de acceso.
IV. Establecer mecanismos para que, en caso de que exista inactividad en una Sesin por parte de
un Usuario, por un lapso que determine la Institucin, de acuerdo al servicio de que se trate y
en funcin de los riesgos inherentes al mismo, la Sesin se d por terminada en forma
automtica. En ningn caso el periodo de inactividad en una Sesin podr exceder de los veinte
minutos.
67
Las Instituciones podrn aplicar, bajo su responsabilidad, medidas de prevencin, tales como la
suspensin de la prestacin de los servicios o, en su caso, de la transaccin que se pretenda
realizar, de conformidad con lo pactado en el contrato respectivo, en el evento de que tales
Instituciones cuenten con elementos que hagan presumir que la Contrasea o Clave de Acceso no
est siendo utilizada por el Usuario.
Artculo 309.- Las Instituciones debern almacenar en forma Cifrada las Contraseas o Claves de
Acceso.
Dichas Instituciones tendrn prohibido solicitar a los Usuarios, a travs de sus funcionarios,
empleados o terceros, sus Contraseas o Claves de Acceso, as como contar con procedimientos
o mecanismos que les permitan conocer los valores de dichas Contraseas o Claves de Acceso.
Las citadas Instituciones debern llevar a cabo revisiones peridicas a fin de verificar que en los
68
Artculo 310.- El acceso a las bases de datos y archivos de las Instituciones, correspondientes a
las operaciones bancarias y servicios proporcionados a travs de Medios Electrnicos
exclusivamente estar permitido a las personas expresamente autorizadas por la Institucin. Al
otorgarse los accesos de referencia, deber dejarse constancia de dicha circunstancia y sealarse
los propsitos y el periodo al que se limitan los accesos.
La obtencin de informacin a que se refiere el prrafo anterior, sin contar con la autorizacin
correspondiente, o bien, el uso indebido de dicha informacin, ser sancionada en trminos de lo
previsto en la Ley, inclusive tratndose de terceros contratados al amparo de lo establecido en el
Artculo 46 Bis de dicho ordenamiento legal.
Artculo 311.- Las Instituciones debern establecer los controles que a continuacin se mencionan
para la realizacin de Operaciones Monetarias que se pretendan efectuar a travs de la red
electrnica mundial denominada Internet o por telfono, o bien, para la actualizacin de
informacin que la propia Institucin considere sensible:
I.
II. Registrar previamente las cuentas destino, mismas que debern quedar habilitadas
despus de un periodo determinado por la propia Institucin, de acuerdo al servicio de que
se trate y en funcin de los riesgos inherentes al mismo. Las Instituciones debern
informar al cliente el plazo mximo en que quedarn habilitadas dichas cuentas. Para el
registro de las cuentas destino, las Instituciones debern solicitar al Usuario que se
autentique nuevamente con el segundo factor de Autenticacin, en los trminos de la
fraccin anterior.
69
III. Validar, con base en la informacin disponible para la Institucin, la estructura del nmero
de la cuenta destino o del contrato, sea que se trate de cuentas para depsito, pago de
servicios, clave bancaria estandarizada, tarjetas de crdito u otros medios de pago.
IV. Permitir a los Usuarios establecer lmites de monto para Operaciones Monetarias.
Artculo 312.- Las Instituciones que pongan al alcance de los Usuarios, en sus instalaciones o en
reas de acceso al pblico, equipos electrnicos o de telecomunicaciones, que permitan llevar a
cabo consultas, Operaciones Monetarias y cualquier otro tipo de transaccin bancaria, debern
adoptar medidas que procuren impedir la instalacin en tales equipos, de dispositivos que puedan
interferir con el manejo de la informacin de los Usuarios, as como que dicha informacin sea
leda, copiada, modificada o extrada por terceros. Lo anterior, atendiendo al servicio de que se
trate y en funcin de los riesgos inherentes al mismo.
Seccin Tercera
Artculo 313.- Las Instituciones debern mantener mecanismos de control para la deteccin y
prevencin de eventos que se aparten de los parmetros de uso habitual.
Para tal efecto, las Instituciones podrn solicitar a los Usuarios la informacin que estimen
necesaria para definir los parmetros de referencia.
Artculo 314.- Las Instituciones debern acordar con sus clientes los mecanismos y medios para
notificarles, a la brevedad posible, sobre:
I.
II.
Los cambios o modificaciones a los lmites de monto para Operaciones Monetarias con
terceros, definidos por el Usuario en trminos de lo establecido en el Artculo 311,
fraccin IV de las presentes disposiciones.
70
Artculo 315.- Las Instituciones debern contar con bitcoras en las que se registre, cuando
menos, la informacin siguiente:
I. Los accesos a los Medios Electrnicos tanto de los Usuarios como de las personas
expresamente autorizadas por la Institucin.
II. La fecha, hora (hh:mm:ss), nmero de cuenta origen y destino y dems informacin que
permita identificar el mayor nmero de elementos involucrados en los accesos a los
Medios Electrnicos.
La informacin a que se refiere el presente artculo deber ser proporcionada a los Usuarios que
as lo requieran expresamente a la Institucin, en un plazo que no exceda de diez das hbiles,
siempre que se trate de operaciones realizadas en las propias cuentas de los Usuarios durante los
noventa das naturales previos al requerimiento de la informacin de que se trate.
Dichas bitcoras debern ser almacenadas de forma segura y contemplar mecanismos de slo
lectura, as como mantener procedimientos de control interno para su acceso y disponibilidad.
Artculo 316.- Las Instituciones debern contar con reas de soporte tcnico y operacional
integradas por personal capacitado que se encargar de atender y dar seguimiento a las
incidencias que tengan los Usuarios de los Medios Electrnicos, as como de procurar la operacin
continua de la infraestructura informtica y de dar pronta solucin definitiva o provisional, para
restaurar el servicio, en caso de presentarse algn incidente.
5.3 Controles
El riesgo se puede definir como la probabilidad de que una amenaza aproveche una vulnerabilidad,
o la ausencia de controles, para impactar al objeto de la informacin en cualquiera de sus tres
caractersticas: integridad, confiabilidad o disponibilidad.
71
Ahora bien, no es posible eliminar por completo los riesgos de seguridad, pero los controles
funcionan correctamente, la amenaza ser contenida o mitigada. En este sentido, un control se
refiere a la solucin especfica para cada vulnerabilidad, ya sea que se trate de un marco de
trabajo, proceso, aplicacin o tecnologa, que ayude a las organizaciones a alcanzar sus objetivos
y estrategias de negocio, evitando o minimizando los impactos. Controles pueden ser preventivos,
correctivos o de proteccin.
En general, los servicios de seguridad para intercambios de datos entre clientes y entidades
bancarias, los agrupamos en seis rubros:
I. Confidencialidad
c.
b. Garantizar que los datos recibidos sean exactamente los enviados en el emisor y
que no hayan sido corrompidos intencionalmente, o por error durante su trasmisin
en la red.
72
c.
es un
b. Iniciar un control del acceso a los recursos de la red, y asociar privilegios con
identidad dada.
c.
73
V. Control de acceso
VI. No repudiacin
5.4 Banxico
El Banco de Mxico (abreviado B de M o Banxico) es el banco central de Mxico.
Las finalidades sustantivas del Banco de Mxico son proveer a la economa del pas de moneda
nacional (el peso mexicano); instrumentar la poltica monetaria con el objetivo prioritario de
procurar la estabilidad del poder adquisitivo de la moneda nacional; promover el sano desarrollo
del sistema financiero; y propiciar el buen funcionamiento de los sistemas de pago.
74
El Banco de Mxico de acuerdo a su Ley Orgnica tambin tiene la funcin de: Prestar servicios de
tesorera al Gobierno Federal y actuar como agente financiero del mismo; fungir como asesor del
Gobierno Federal en materia econmica y, particularmente, financiera; participar en el Fondo
Monetario Internacional y en otros organismos de cooperacin financiera internacional o que
agrupen a bancos centrales, y operar con bancos centrales y con otras personas morales
extranjeras que ejerzan funciones de autoridad en materia financiera. (Mxico, 2015)
Circular 14/2011
M.11.11.16 Derogado
a) Asignar una Clave Bancaria Estandarizada (CLABE) a cada cuenta de los niveles 2, 3 y 4, as
como permitir la recepcin de transferencias electrnicas de fondos utilizando dicha CLABE.
Lo anterior, sin perjuicio de que adicionalmente permitan recibir dichas transferencias utilizando los
16 dgitos de identificacin de las tarjetas de dbito, o bien, los dgitos correspondientes a la lnea
de un telfono mvil.
Para recibir transferencias electrnicas de fondos en las cuentas del nivel 1, podr utilizarse la
CLABE que, en su caso, les asignen las instituciones, o bien, los 16 dgitos de identificacin de las
tarjetas de dbito.
b) Procesar en los mismos plazos las instrucciones que reciban para realizar abonos en las
cuentas que lleven a sus clientes y para transferir recursos de estas, independientemente de que
75
las cuentas de dnde provengan los recursos o a dnde pretendan transferirse, las lleve la propia
institucin u otra.
c) Permitir a los clientes incorporar informacin para identificar el motivo del pago cuando enven
transferencias electrnicas de fondos. Dicha informacin deber ser enviada a la entidad financiera
receptora y puesta a disposicin de los beneficiarios de la transferencia.
Las instituciones no podrn cobrar comisiones a los clientes por la incorporacin y envo de la
informacin referida en el prrafo anterior. Lo anterior, sin perjuicio de las comisiones que cobren
por el envo de transferencias electrnicas de fondos.
d) Mantener en Internet una gua simple sobre los procedimientos para que sus clientes utilicen los
servicios de transferencias electrnicas de fondos y domiciliaciones, en la misma institucin e
interbancarias, as como entregar gratuitamente una copia impresa a cualquier persona que la
solicite en sus sucursales.
f) Diferenciar el monto de las comisiones que cobren a sus clientes por el envo de transferencias
electrnicas de fondos, incluyendo domiciliaciones, en funcin de la institucin que lleve la cuenta
del beneficiario.
Se considerarn cuentas mviles aqullas que las instituciones tengan registradas con tal carcter
y que estn asociadas al nmero de una lnea de telfono mvil.
76
Aqulla cuyo expediente se integre de conformidad con lo previsto en la 14, prrafos primero y
segundo, de las Disposiciones. Las instituciones debern establecer en trminos de las
Disposiciones, el monto mximo de la suma de las cantidades depositadas y de las retiradas en
efectivo que podrn realizarse en el transcurso de un mes calendario.
Aqulla cuyo expediente se integre de conformidad con lo previsto en la 14, prrafo tercero, de las
Disposiciones. El monto mximo de los depsitos que podrn recibirse en el transcurso de un mes
calendario, ser el equivalente en moneda nacional al monto en unidades de inversin (UDIs)
previsto en el mencionado prrafo tercero de la citada disposicin.
Para calcular el importe en moneda nacional correspondiente, deber tomarse el valor de las UDIs
del ltimo da del mes calendario anterior a aqul en que se lleve a cabo el cmputo de que se
trate.
77
Sin embargo, la rpida explosin de esta aplicacin y los cambios vertiginosos de la tecnologa, as
como la gran competitividad en del mercado han provocado que algunas instituciones bancarias
pasen por alto algunas caractersticas de seguridad, ocasionando que las aplicaciones de banca
mvil no sean tan seguras como se desea.
La segunda rea, el rea de pruebas, es la encarga de realizar las pruebas con el fin explcito de
corromper y vulnerar la aplicacin, con el objetivo de evitar que se una aplicacin poco fiable llegue
a un estado productivo con fallas de funcionalidad y/o seguridad, evitando de este modo que la
imagen de la organizacin se vea afectada.
Estas dos reas deben depender de dos lneas de mando distintas, con el fin de evitar la aparicin
de un conflicto de intereses que conlleve al ocultamiento de resultados negativos en el desarrollo
de la aplicacin, ya que no se debe permitir que un rea se convierta en juez y parte.
78
79
puede observar en
ninguno de los dos casos de las pruebas propuestas se hace referencia a la seguridad de la
aplicacin, es por lo anterior que dentro de este modelo se propone que las organizaciones
consideren los siguientes aspectos:
Una vez que el software supera las pruebas del rea de desarrollo este pasara al rea de
pruebas, con el fin de tener un doble candado para la revisin de las aplicaciones.
80
En este punto no solo se consideran las fallas tcnicas o vinculadas con la tecnologa, sino que
tambin hay que considerar los aspectos humanos, es decir, el mal uso de la aplicacin por parte
del usuario, es por ello que el primer paso que debe seguirse es la identificacin del riesgo para
poder proceder a la clasificacin del mismo y la notificacin del mismo al rea correspondiente,
para que sea esta la que implemente las medidas que considera pertinentes para la mitigacin del
mismo.
81
situaciones que pueden afectarle de acuerdo a las condiciones de trabajo con las que opere en ese
momento.
Para la identificacin de los riesgos potenciales para la aplicacin, nos basamos en la norma ISO
31000, el cual nos muestra el flujo que las organizaciones deben considerar para lograr identificar
los riesgos potenciales para la aplicacin.
El primero de los dos grupos se trata acerca de los riesgos tecnolgicos, es decir, aquellas
vulnerabilidades existentes por medidas de seguridad inapropiadas dentro de las aplicaciones y
debido al constante cambio y evolucin naturales de la tecnologa.
82
El segundo grupo se trata de los problemas de vulnerabilidades generados por el uso inapropiado
de la herramienta por parte de los usuarios, esto derivado por la poca o nula instruccin acerca del
uso de las aplicaciones.
Dentro de este proceso se deben identificar en que rubro se encuentra focalizado el problema o el
riesgo identificado, lo cual determina a cul de las reas debe ser asignada la labor de establecer
una estrategia de mitigacin del riesgo.
Con el fin de mitigar este tipo de vulnerabilidades el rea debe someter a pruebas exhaustivas a la
aplicacin en cuestin, evaluando cada uno de los riesgos identificados para lo cual se puede
disear un formato a la medida.
Para el caso de las pruebas de funcionalidad el formato debe contemplar al menos los siguientes
aspectos:
83
Fecha de la prueba.
84
Una vez realizadas pruebas el equipo del rea de pruebas, debe entregar toda la informacin
recabada al rea de desarrollo, indicando de manera puntual los descubrimientos realizados, para
que este proceda a la elaboracin de las correcciones pertinentes para que una vez que estas se
hayan realizado se inicie nuevamente la ejecucin de toda la batera de pruebas, con el fin de
validar que las modificaciones no hayan afectado la funcionalidad del sistema, en este punto
resulta de vital importancia no dar nada por sentado, si algo funciono de manera correcta durante
la primera validacin no significa que este funcione igual tras alguna modificacin, es por ello que
el equipo de pruebas debe estar atento a cualquier cambio realizado del lado del desarrollo.
Dentro de este rubro podemos ubicar ataques como el pishing, el cual consiste en enviar correos o
mensajes apcrifos a nombre de las instituciones bancarias donde se solicita informacin
confidencial de la cuenta, misma que puede ser utilizada para realizar transacciones sin
consentimiento de la vctima, y como este existen muchas tcnicas, las cuales se abordan en
captulos anteriores.
85
En este rubro la tarea del rea de pruebas es generar escenarios en los cuales los usuarios
pudieran ser engaados por los ingenieros sociales y presentar el escenario al rea de
concientizacin del usuario.
Esta rea debe hacer uso de todos los recursos con los que cuenta la organizacin para asegurar
que la informacin proporcionada llegue a la mayor cantidad de clientes que sea posible, por
cualquiera que sea el canal por el cual hagan uso del servicio que el banco les ofrece.
Dentro de las reas de defensa que se buscan mejorar para prevenir la ingeniera social y reducir
la afectacin a los usuarios de banca mvil, se plantean las siguientes reas.
Hay que establecer un fundamento slido y estable. La poltica de seguridad define los estndares
y niveles de seguridad que va a tener el usuario. Este fundamento es an ms crtico cuando la
poltica de seguridad est protegiendo a los usuarios finales a resistirse a las peticiones de los
ingenieros sociales.
86
La poltica de seguridad es una gua sobre los controles de acceso a la banca mvil,
configuraciones de Apps y cambios de clave, ya que estos contienen informacin bancaria
relevante.
El nivel de poltica de seguridad de defensa en relacin con la ingeniera social ayuda a los
usuarios a defenderse contra los procedimientos psicolgicos de autoridad y difusin de
responsabilidades. Las polticas tienen un efecto balanceado en la autoridad que una persona
puede asumir cuando ellos realizan contacto con el usuario final. La poltica tambin define la
responsabilidad sobre el manejo de la informacin o los accesos que hay sobre ella de modo que
no haya cuestionamientos cuando el usuario entregue informacin.
Una vez que los fundamentos de una poltica de seguridad han sido establecidos y aprobados,
todos los usuarios deben ser concienciados en cuanto a seguridad se refiere. La poltica de
seguridad provee lineamientos para la concientizacin as como tambin para tener una motivacin
para el cumplimiento de esta poltica.
La concienciacin sobre seguridad es bastante compleja ya que no todos los usuarios quieren
implementar unos minutos de su tiempo para entender las polticas, adems no es suficiente con
decirle a la gente, no debes darle tu clave a nadie. En efecto, un hacker conocido, Kevin Mitnick,
dijo en una conversacin Yo jams le he preguntado a nadie su clave. La manera en que opera
es muy diferente, ya que lo que el buscaba era crear un sentido de confianza y luego explotarlo.
Los usuarios tienen que saber qu tipo de informacin puede usar un ingeniero social y qu tipo de
conversaciones son sospechosas, as como tambin, saber cmo identificar informacin
confidencial y entender su responsabilidad cuando se trata de protegerla.
Todos los usuarios deben estar conscientes de las seales bsicas que estn presentes en un
ataque de ingeniera social. Entre algunas de las seales que indican que una es sospechosa y
debe ser rechazada estn, quien llama quiere obtener informacin de contactos, tiene apuro,
solicita nombres, trata de intimidar, tiene mala pronunciacin, hace preguntas extraas y preguntas
sobre informacin que no recuerda. Las personas que estn siendo vctimas de un ataque deben
estar dispuestas a hacer preguntas a la persona que llama y no revelar informacin cuando parece
que las cosas no estn bien; de esta manera los usuarios son conscientes de que un buen
ingeniero social trata primero de establecer una relacin confiable. El ingeniero social luego va a
87
explotar esta relacin para obtener toda clase de informacin de valor. Una gran cantidad de
informacin se obtiene mediante conversaciones casuales por ejemplo utilizando una voz que sea
agradable, o que indique mandato, nombres y cargos de personal del banco.
El entrenamiento sigue bsicamente las polticas de seguridad pero ah hay algunos puntos clave
que los usuarios deben recordar:
Mucha gente no cree ser manipulado para que proporcione informacin y esta se utilice en
un fraude o provoque una falla en algn dispositivo. Los usuarios deben estar conscientes
de lo que deben hacer en caso de no poder accesar al App bancaria.
Los amigos que son hechos por telfono o por cualquier medio parecido, que pregunten
por cosas concernientes a informacin privilegiada no son amigos del todo. Los ingenieros
sociales usualmente buscan ser amigos de sus vctimas antes de preguntarles cualquier
cosa. Todos los usuarios deben estar conscientes de que no solo porque alguien parece
ser nuestro amigo lo es, esto significa que no pueden darles informacin privilegiada ni
accesos. Dependiendo del valor de la informacin y el nivel de seguridad que se requiera
en la red, los ingenieros sociales van a tomar medidas para convencer al objetivo de que l
o ella es su amigo. Esto puede potencialmente tomar lugar en un perodo de tiempo
incluyendo das, semanas o hasta incluso aos.
Aunque muchos ingenieros sociales nunca van a preguntar por tu clave, otros van a venir
con razones muy convincentes por la que un usuario le debe dar su clave a un completo
extrao. Desafortunadamente, sin entrenamiento, la gente tiende a dar sus claves sin
pensarlo mucho, combinado con otros tipos de ataques como por ejemplo el robo de
sesin o la duplicacin de SIM, hace que se vuelva muy efectivo el robo de esta clase.
En muchas ocasiones basta con dejar el celular en la mesa olvidado o encargado durante
un lapso corto en una reunin casual, ya que se est con una persona agradable y/o
atractiva a la vista, teniendo un momento de confianza o empata, dando oportunidad al
ingeniero social a tener acceso al dispositivo mvil.
Realizar recordatorios sobre la necesidad de una conciencia de seguridad, este es necesario para
mantener a la gente concienciada del peligro que puede acechar sobre los usuarios ya sea
mediante una llamada telefnica, o como posibles vctimas de un ataque.
88
A los usuarios se les debe recordar regularmente de la posibilidad de que un atacante atente
contra l para robarle informacin y especficamente informarle sobre cualquier hecho reciente.
Dado que la ingeniera social establece trampas muy bien definidas para conseguir daar al
usuario es necesario dar a conocer y saber cmo detener un ataque. Las instituciones bancarias
tienen que alertar a los usuarios que pueden estar en peligro y direccionar a la vctima a una
defensa o incrementar la seguridad. Algunas ideas se listan a continuacin,
Historial de ataques.- Tener un historial de los ataques presentados, mismos que debern
ser monitoreados por el personal del banco a este historial sern agregados los ataques
presentes al mismo tiempo que se deber generar un boletn notificando a los usuarios de
las caractersticas del ataque con el objetivo de mitigar el mismo.
Por ejemplo, si un ingeniero social est obteniendo informacin por parte de un usuario y
est usando esta para hablar con otro usuario, los patrones pueden ser notificados en el
historial. Tan pronto como sea notificado, el personal de seguridad puede tomar acciones
para detener el ataque advirtiendo sobre el a sus usuarios.
Para que sea efectivo el historial central, todos los eventos de seguridad son ingresados y
los empleados, especialmente los de los puestos de la Mesa de Ayuda y Servicio al
Cliente, tienen que ser evaluados en parte por su adherencia a esta poltica. El historial es
centralizado y monitoreado as el atacante no puede rebotar entre diferentes usuarios
finales de la aplicacin.
89
Establecer tiempos prolongados.- Cuanta mayor presin se ejerza a una persona ms fcil
es persuadirla.
Esto detendr la accin y le dar al usuario la oportunidad de entender de una mejor manera lo
que sucede. Dando oportunidad al usuario para comunicarse a la mesa de atencin de la
institucin y para verificar la veracidad del proceso que se est solicitando. La clave real aqu es
tomar un minuto y procesar la informacin que est siendo dada para determinar si esta es
legtima, necesita ms verificaciones o debe ser denegado.
Si no hay respuesta al incidente, cada usuario que este ante un ataque de ingeniera social est
peleando una guerra. En el entretiempo el ingeniero social est mejorando al entender las
defensas que el usuario ha aprendido; los procesos de respuesta a incidentes frenan este proceso.
Tan pronto como un ingeniero social es descubierto en cualquier parte del proceso, el ataque se
identifica y el usuario es alertado sobre el ingeniero social que est ah y que puede esperar si se
presente un encuentro con l.
90
dispositivos mviles con el fin de poder obtener la informacin necesaria para poder realizar un
fraude en el uso de las aplicaciones mviles.
Una parte importante de la estrategia de defensa es realizar concienciaciones de los mtodos que
se han empleado y los comportamientos que han sido fijados por los bandidos para llevar a cabo
sus ataques. Educar a los usuarios sobre el dao cometido por algunos ladrones, es tambin un
deber.
Ya que la ingeniera social es uno de medios ms relevantes para conseguir lo que se desea, se
debe tener en cuenta un plan de capacitacin para que todos los usuarios, desde los usuarios con
cuentas Premium hasta los clientes con cuentas bsicas, conozcan lo que es la ingeniera social y
los tipos de ataques a los dispositivos mviles, como se lleva a cabo y cules son las
consecuencias que podra acarrear un ataque de este tipo.
Como primer paso en este modelo, hay escribir y publicar en intranet las medidas a implementar.
Se debe enviar un e-mail informando donde pueden encontrar las polticas los usuarios para que
puedan leerlas y adems mediante un formulario adjunto donde dice lo que puede suceder si no se
cumplen.
91
El programa de concienciacin debe servir para dar a conocer a los usuarios la informacin de las
polticas de seguridad de la organizacin, para sensibilizarlos sobre los riesgos y prdidas
potenciales y entrenarlos para reconocer las tcnicas de ingeniera social. Pero no es suficiente
decirles a los usuarios cmo comportarse; ellos deben entender y apreciar las razones que hay
detrs de todas estas reglas. Un mtodo efectivo es personalizar el asunto de seguridad, ensearle
qu es lo que hacen, cmo lo hacen y porqu lo hacen aplicado esto de manera personal. Una
mayor razn para la carencia de concienciacin en este tema de la ingeniera social es la falta de
comprensin de lo que puede ser perdido a travs de estas brechas de seguridad.
De manera que si se educa a los usuarios sobre los riesgos de la ingeniera social puede ser la
primera lnea de defensa, esto puede probar que es una tarea desalentadora. Aun que todos
somos propensos a ataques de ingeniera social, nadie acepta tener la responsabilidad sobre un
ataque y se prefiere establecer que alguien ms es el culpable.
Otro punto que debe ser tomado en cuenta ya que es uno de los mejores mtodos que se han
encontrado y probado para educar a los usuarios sobre los riesgos, es tomar historias de ingeniera
social sobre eventos actuales y ponerlos en un sitio web o usar el email para dar consejos de
seguridad e historias informativas. El guardia de seguridad puede tambin incorporarse a estas
historias en el programa de concienciacin que se les da a los usuarios. Las historias trabajan
como fbulas antiguas, imparten informacin con algn propsito. Contar historias autnticas de lo
que le pas al otro pobre hombre aumenta la resistencia a esta explotacin disminuyendo las
amenazas, haciendo que el empleado no sea tan vulnerable a la ingeniera social.
Los usuarios deben tener informacin sobre a quin llamar cuando surge un evento sospechoso.
Ellos tienen que entender cul es su responsabilidad al mantener seguros sus datos. Un programa
de entrenamiento de seguridades puede significar el xito o el fracaso.
Otra manera muy importante y eficaz para concienciar a los usuarios en cuanto a seguridad
personal se trata, es a travs de los ejemplos de la vida real de personas a quienes han sido
afectadas por medio de revelar informacin o solo por negligencia e ignorancia.
Hay organizaciones que contratan personal para llevar a cabo esta tarea. Las historias son
actualizadas con regularidad, y no ocupar ejemplos de dcadas pasadas. Todo lo que necesita
hacer es proveer un vnculo al sitio web donde estn publicadas las historias.
Usar pantallas que aparecen de repente cuando se entre al sitio, con un mensaje de seguridad
diferente cada da. El mensaje puede ser diseado de manera que no desaparezca
92
inmediatamente, que requiera que el usuario de un clic que demuestre que l o ella si ley lo que
deca ah.
Otro punto es comenzar con una serie de recordatorios de seguridad. Los mensajes de
recordatorios frecuentes son importantes; un programa de concienciacin debe estar siempre en
marcha y no detenerse de lado. Estudios han demostrado que estos mensajes son ms efectivos
cuando varan en las palabras que son usadas o cuando son usados con ejemplos diferentes.
Es posible mejorar el entendimiento con la creacin de un logotipo con algn personaje llamativo
que tenga relacin con la seguridad y llevar a cabo campaas publicitarias y de concientizacin de
las polticas de seguridad.
La mayora de la gente que usa internet en dispositivos mviles desconocen las tcnicas
de los hacker para obtener informacin.
Muchos usuarios de internet slo usan los dispositivos mviles para actualizar su perfil en
las redes sociales.
Es donde hay ms posibilidades de ataque por parte de los hackers, por el solo hecho de
que las redes sociales reciben millones de visitas al da y los dispositivos mviles son cada
vez ms populares.
Todos los das hay nuevos usuarios de internet que nunca haban usado internet y ahora
lo hacen por primera vez, esa clase de usuarios son un blanco fcil de los hackers.
93
Nunca almacene datos personales sensibles en sus dispositivos mviles. Dado a que es
muy fcil extraviar este tipo de dispositivos, nunca se debe almacenar datos que puedan
ser utilizados para fraudes por terceras personas como informacin bancaria.
La poltica debe ser claramente documentada en cuanto a los trminos legales que contiene, el
alcance de la misma y el contenido de cada una de las reas en las que se aplica.
Para proteger estos datos existen varias tcnicas que son implementadas como procedimientos en
la poltica:
Establecer el debe saber, lo que quiere decir que la persona encargada de proteger la
informacin debe dar su consentimiento para que dicha informacin sea accedida por la
aplicacin que la necesita.
Guardar un log personal o sobre las transacciones que realiza el usuario para determinar
actividades fuera de lo comn.
Mantener una lista de los centros de ayuda o las instituciones- tanto telfonos como
correos electrnicos- los cuales estn especialmente entrenados en los procedimientos y
pueden ayudar en cuanto a asesoras o acciones que mitiguen el dao.
Si un requerimiento de datos es hecho por escrito (e-mail, fax o correo) hay que tomar
otros pasos de seguridad adicionales para verificar que el requerimiento proviene de la
institucin correspondiente.
94
cubrir a todos los usuarios de ser sospechosos de cualquier requerimiento que involucren sus
claves.
En lo superficial esto parece ser un mensaje simple para transmitir a los usuarios. No es as,
porque apreciar esta idea requiere que los usuarios comprendan como un simple acto, el de
cambiar una contrasea, puede guiar a un compromiso de seguridad.
Para un ingeniero social, obtener acceso a un sistema puede significar la diferencia entre un
ataque exitoso o uno fallido. Una poltica debe existir para la entrega y creacin de contraseas.
Una buena poltica de contraseas debe incluir informacin sobre:
No compartir contraseas cuando se le solicita
No escribir contraseas
No usar contraseas por defecto
Mtodos para identificar usuarios en el reseteo de contraseas
Mtodos para entrega de contraseas
Creacin de contraseas (como lo es el caso de los NIP, que se considere no sean
dgitos iguales, consecutivos o que no sea la fecha de nacimiento)
Establecer un antivirus en el mvil
Cambio peridico de contraseas.
Bloqueo cuando falla la autenticacin (por ejemplo, la cuenta es bloqueada despus de 3
intentos fallidos)
Los ingenieros sociales pueden conseguir usualmente las contraseas simplemente dando un
paseo ms all de los espacios fsicos para obtener informacin. La invencin de las notas post it
han probado ser un dolor de cabeza para los profesionales de seguridad as como tambin una
bendicin para los ingenieros sociales. Es tan comn para los individuos escribir sus contraseas
en estos papelitos. Una buena poltica de contraseas debe requerir que los usuarios no escriban
sus contraseas en cualquier lugar y las guarden en lugares visibles o que estn al alcance de
95
Las polticas fueron creadas para ser seguidas y se debe pedir que el usuario confirme que estas
fueron ledas y comprendidas; tomarse el tiempo necesario para rastrear a los ofensores o
ingenieros sociales puede ser costoso y consumir mucho tiempo.
Una poltica no es buena si no ha sido reforzada, es por esto que los recordatorios son
extremadamente importantes y se requiere que exista la seguridad de que esta poltica se cumple
y funciona. Si un usuario en realidad entiende los riesgos involucrados en escribir y pegar por ah
las contraseas as como el hecho de compartir informacin sensible, l o ella van a hacer menos
este tipo de cosas. Los usuarios deben tomar un rol activo en la seguridad, por lo que un
entendimiento del riesgo que conllevan estas cosas y las consecuencias de sus acciones son
llevadas a casa para ayudar a combatir la ingeniera social.
El personal de la mesa de ayuda de una organizacin debe seguir una estricta verificacin de
identidades y una poltica de entrega de claves. La verificacin de la identidad, en este caso, se
refiere a la autenticacin de una persona que llama para confirmar que realmente es quien dice
ser. Los administradores de las Apps necesitan una manera de validar al individuo con el que se
estn comunicando.
Con las tecnologas de cambio de contraseas por uno mismo, un humano no tiene que validar
que otro humano es quien en realidad dice ser. Las tecnologas de respuesta a retos estn
llegando a ser ms y ms populares ampliamente usadas a travs de los ambientes empresariales.
Con la respuesta a retos, se requiere que el usuario conteste una o varias preguntas antes de que
se le d la habilidad de cambiar su propia contrasea mediante una interfaz web.
Hay muchas sugerencias sobre la propia entrega de contraseas. Por ejemplo, algunas
instituciones pueden insistir en que las contraseas sean entregadas por el mail de la compaa u
otro servicio de Courier. Esto significa que las contraseas son escritas y pueden ser
interceptadas.
96
Una buena defensa contra la ingeniera social debe incluir los siguientes aspectos:
Evaluacin de vulnerabilidades
Poltica de Aceptacin de uso
Chequeos de historial de ataques
Proceso de terminacin
Respuesta ante incidentes
Entrenamiento sobre concienciacin de seguridad
Evaluacin de vulnerabilidades.
Sea esta realizada de manera interna o externa, las instituciones implementan una prueba de
penetracin y vulnerabilidades de manera peridica. Las pruebas usualmente consisten en usar los
conocimientos de las herramientas de hackeo y las tcnicas comunes de los hackers para
comprometer una App. En la ingeniera social es esencial proveer un graven exacto. Desde que un
ataque toma ventaja de los usuarios, usar ingeniera social como parte de la prueba de penetracin
puede tener implicaciones legales y debe ser claramente definido y aprobado antes de que ocurra.
Una poltica de aceptacin de uso tambin ayuda al aseguramiento de que los datos confidenciales
no sean compartidos y que los sistemas no estn siendo usados de la forma inadecuada. Como
toda poltica, sta incluye informacin sobre cmo un sistema de informacin ser usado. Una
poltica de aceptacin de uso debe incluir informacin como la siguiente:
La informacin confidencial no debe ser liberada para terceras partes, sin obtener
Inaceptable uso de e-mail
Hostigamiento
97
Falsificacin/distorsin
Uso comercial de informacin de recursos
Abuso de conectividad a redes publicas
Denegacin de servicios
Apps no oficiales
Uso de Apps que generen VPN
Se debe realizar un chequeo de actualizaciones para saber las Apps con las que trabaja una
institucin y que aplicacin est teniendo acceso a nuestra informacin.
Los ingenieros sociales usarn cualquier mtodo posible para conseguir su objetivo. Si el ms
comn de los ataques de ingeniera social usan intrusos indirectamente, es muy comn para un
atacante entrar en el dispositivo o fingir ser una Apps oficial. Los chequeos de antecedentes son
importantes para el usuario en general y son una parte esencial de la defensa contra la ingeniera
social.
Los chequeos de actualizaciones no se limitan a ciertos usuarios. Los usuarios que no cuenta con
smartphone pero utilizan la banca mvil tambin se les debe aclarar que existen reglas a cumplir
antes de hacer uso de este servicio. Cada institucin bancaria cuenta con un proceso de chequeo
de actualizaciones para los usuarios con Smartphone.
98
Tener un chequeo intensivo de actualizaciones puede ayudar a asegurar que una App apcrifa
pueda llegar a ser considerada como parte del servicio de banca mvil, para determinar ataques de
ingeniera social.
Proceso de terminacin:
Un proceso efectivo de terminacin es disuadir a los usuarios que han terminado su relacin con la
institucin bancaria de no volver a utilizar los mismos accesos como NIP o contraseas al contratar
el servicio en otro banco. La terminacin debe ocurrir cuando un usuario da por terminada por
completo su relacin con el banco o desea prescindir del servicio de banca mvil. Un proceso de
terminacin de accesos debe incluir el removimiento inmediato de accesos al servicio. SI el usuario
cambia de dispositivo mvil o nmero telefnico, se debe detonar un proceso de actualizacin de
informacin y cambio de contraseas, con el fin de mantener la integridad de la misma y de este
modo poder realizar una identificacin certera del usuario.
En el caso desafortunado de que un ataque ocurra, un proceso de respuesta ante incidentes debe
tener lugar para ayudar a contener y obtener informacin sobre el ataque. Un ataque que pasa sin
ser notificado debe ser slo el comienzo de una cadena de ataques. Identificar y tratar con un
ataque de una manera eficiente es importante para deteriorar ataques futuros as como para
contener un incidente. Los planes de respuesta ante incidentes variarn ampliamente entre una y
otra institucin. Es importante un proceso de respuesta ante incidentes diseado especficamente
para una organizacin el cual trata informacin obtenida y analizada de eventos maliciosos. En el
caso de ingeniera social, los usuarios cuentan con un nmero telefnico o una persona para
contactar inmediatamente despus de descubrir que un incidente ha sucedido o est en
construccin.
Los usuarios deben estar dispuestos a reportar cualquier actividad inusual que encuentre
incluyendo llamadas telefnicas.
99
A los usuarios que utilicen la banca mvil se les debe de monitorear para poder llevar un patrn de
los lugares en donde se efecten las operaciones como compras o consulta de saldos, en caso de
registras una ubicacin extraa o que salga del patrn que el usuario tiene, se debe de lanzar una
alerta. Tras lo cual despus de una verificacin apropiada de la identidad del usuario, se
bloquearan o se autorizaran las acciones que dispararon la alerta.
Basureros:
Los basureros no son considerados como una forma de destruccin de informacin. En su lugar
hay que destruir, cortar triturar o romper cualquier papel que pueda contener informacin valiosa o
en caso de los dispositivos borrar toda informacin antes de desecharlos o llevarlos a un centro de
recoleccin especial para desechos tecnolgicos de manera que estos individuos no busquen a
travs de los basureros para encontrar informacin confidencial que no fue destruida
apropiadamente.
La parte ms importante de una poltica de seguridad efectiva es asegurarse de que todos los
usuarios estn conscientes y adheridos a esta. A todas las instituciones se les debe pedir activen
peridicamente una campaa de concientizacin de seguridad. Dependiendo del ambiente, debe
ser una buena prctica llevar acabo esta campaa anualmente. Los nuevos contratos anexan las
polticas de seguridad as como firmar un documento reconociendo que han ledo, entendido y que
estn de acuerdo en tolerar las mismas. Una buena campaa de concientizacin de seguridad
incluye informacin de todas las polticas de seguridad e informacin sobre las tcnicas de
ingeniera social.
100
Conclusiones
Dentro de los conceptos de ingeniera social, se pueden encontrar las diferentes tcnicas que son
utilizadas por los ingenieros sociales al momento de realizar un ataque, las mismas que son
bastante fciles de usar y generalmente se aprovechan de la ingenuidad o falta de conocimiento de
las personas, quienes sin darse cuenta entregan cualquier tipo de informacin a personal
desconocido y no piensan si quiera que esta informacin puede causar prdidas desastrosas
dentro de la organizacin o a una persona especfica.
La creacin del plan de concientizacin para todos los usuarios, sin importar el tipo de cuenta
bancaria y el dispositivo mvil que manejen, contiene las tcnicas que usan los ingenieros sociales
y qu pasos siguen para poder realizar los ataques. Conocer cules son los riesgos que se corre al
no saber cuidar la informacin al confiar y entregar datos personales e informacin confidencial a
cualquier persona.
Dar a conocer a los usuarios todas las tcnicas que se usan dentro de ingeniera social y cmo se
usan, as como tambin la manera de reconocer cuando un ingeniero social est poniendo en
prctica una de ellas y cmo evitar caer en las manos del hacker, qu se puede hacer para mitigar
el riesgo de ser una vctima de la ingeniera social.
Dentro de las tiendas de aplicaciones no oficiales se puede encontrar un sin nmero de Apps que
pueden ser muy inocentes pero otras pueden causar daos catastrficos, o que pueden robar
cualquier tipo de informacin, por lo que hay que mantener siempre activas las alertas automticas
sobre cualquier tipo de App que sea instalada, debe realizarse de forma peridica una revisin de
las Apps que se tienen instalados, y mantener actualizado el antivirus y escanear el mvil al menos
una vez al da para evitar que cualquiera de estas sea instalada.
Las polticas de seguridad que abarquen todo lo concerniente a la ingeniera social, son claras y
se basan en cada una de las tcnicas usadas por estos atacantes; las polticas se apoyan en la
parte tecnolgica ya que hay casos en que las personas olvidan hacer ciertas cosas, como no
conectarse a redes pblicas, o no comentar sus NIPS. As mismo, las polticas son conocidas por
todo el personal de la institucin bancaria y por los usuarios, estas son medidas para ver su
efectividad y actualizadas peridicamente.
101
Dentro de stas polticas de seguridad consta una en la que se indique que cada cierto tiempo se
realice un plan de concientizacin para todos los usuarios, de manera que siempre estn alertas
sobre los ataques que se traten de realizar y cada uno de ellos pueda tomar medidas al respecto o
sepan exactamente que procedimiento deben seguir ante uno de estos ataques.
102
Bibliografa
Cabezas, J. (2007), Fundamentos de tecnologa celular, Sistemas de Telefona, Espaa: Edit.
Thomson
Oliva, R. (2015), Mxico sera lider en el uso de pagos moviles hacia el 2020, El Financiero, Mxico:
Edit. Financiero.
Consultas electrnicas
AMIPCI. (2014). Da mundial de Internet, Mxico 2014. Recuperado 06 de Julio de 2015, de
https://docs.google.com/viewer?a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxhcmNoaXZvc3Bh
cmF0MnxneDo1MGYwM2M2ZGU1YjJiMzcy
de
Castro, M. (2014). Son seguras las apps de los bancos? Recuperado 30 de Mayo de 2015, de
http://computerhoy.com/noticias/software/son-seguras-apps-bancos-13597
103
de
Junio
de
2015,
de
Federacin,
D.
O.
(2010).
Recuperado
05
de
Julio
http://dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010
de
2015,
de
Gmez, H. (2015). Cuatro vulnerabilidades de Apple ponen en grave riesgo a los usuarios.
Recuperado 22 de Junio de 2015, de http://cso.computerworld.es/alertas/cuatro-vulnerabilidadesde-apple-ponen-en-grave-riesgo-a-los-usuarios
104
Mxico,
B.D.
(2015).
Wikipedia.
Recuperado
27
de
Agosto
de
2015,
de
https://es.wikipedia.org/wiki/Banco_de_M%C3%A9xico#Finalidades_y_funciones_del_Banco_de_
M.C3.A9xico
de
Septiembre
de
2015,
de
105
Glosario
AMPS
(Advanced Mobile Phone System) Servicio analgico de telefona mvil usado en EEUU, Amrica
Latina, Nueva Zelanda, Australia y en zonas de Rusia y Asia-Pacfico.
App
Del ingls Application, tipo de programa informtico diseado como herramienta para permitir a un
usuario realizar diversos tipos de trabajos.
Autenticacin
Proceso de verificacin con el cual se asegura que el mvil es compatible con la red inalmbrica
para el cual est diseado. Este proceso est relacionado ntimamente con el ESN de los equipos
Canal
Va o medio por medio de la cual una seal elctrica, electromagntica u ptica se dirige de un
punto a otro.
Canales IPC
Inter-Process Communication.
Los procesos pueden comunicarse entre s a travs de compartir espacios de memoria, ya sean
variables compartidas o buffers, o a travs de las herramientas provistas por las rutinas de IPC
Carrier
106
Ciberntica
Estudio de las analogas entre los sistemas de control y comunicacin de los seres vivos y las
mquinas en particular, el de las aplicaciones de los mecanismos de regulacin biolgica a la
tecnologa.
COFETEL
E-banking
Banca online o home banking a los servicios bancarios a los que se puede acceder a travs de una
computadora personal con conexin a la red de internet.
Firewall
HTTPS
IFT
Ingeniera Social
107
Plataforma de distribucin digital para aplicaciones mviles en iOS, desarrollados y mantenidos por
Apple Inc. El servicio permite a los usuarios navegar y descargar aplicaciones que se desarrollan
en Apple.
ISO
ITIL
ITINERANCIA
(Del ingls Roaming) Es la forma de definir la conexin de una lnea GSM de un pas con los
operadores de otros pases que tambin tienen el sistema GSM, sin necesidad de cambiar el
nmero de telfono.
ITU
Jailbreak
Proceso de suprimir algunas de las limitaciones impuestas por Apple en dispositivos que utilicen el
sistema operativo iOS
108
Log
Registro oficial de eventos durante un periodo de tiempo en particular. Usado para registrar datos o
informacin sobre quin, qu, cundo, dnde y por qu un evento ocurre para un dispositivo en
particular o aplicacin.
Mac App
Es similar a iOS App Store, disea aplicaciones para ordenadores Mac. El Mac App Store es nica
accesible mediante el uso de Mac OS X 10.6.6 "Snow Leopard" o posterior.
Mac OS X
Sistema Operativo de Macintosh (del ingls Macintosh Operating System), creado por Apple para
su lnea de computadoras Macintosh,
Nip
PAN
PIM
Personal Information Management. Sistema avanzado de gestin del organizador del telfono
mvil. Permite programar el calendario y sincronizarlo con Pc y PDA.
PIN
Personal Identiffication Number. Cdigo personal de 4 nmeros que nos permite limitar el acceso a
nuestra tarjeta SIM. Totalmente personalizable, e incluso se puede suprimir.
PMR
Professional Mobile Radio. Radio mvil profesional, antes llamada Private Mobile Radio.
109
PUK
Personal Unlock Key. Cdigo de 4 nmeros asociado a la SIM que permite desbloquearla el
acceso. Se facilita con la propia SIM y no se puede variar.
RAM
Memoria de acceso aleatorio (del ingls Random Access Memory), memoria de trabajo de
computadoras para el sistema operativo, los programas y la mayor parte del software.
Router
Sandbox
Mecanismo para ejecutar programas con seguridad y de manera separada. A menudo se utiliza
para ejecutar cdigo nuevo, o software de dudosa confiabilidad proveniente de terceros.
SIM
Subscriber Identifycation Module. Tarjeta usada en GSM que contiene los datos de identificacin
del usuario de un telfono mvil, como su nmero de telfono.
SMS
Spam
Correo basura o SMS basura a los mensajes no solicitados, habitualmente de tipo publicitario,
enviados en grandes cantidades que perjudican de alguna o varias maneras al receptor.
110
SSL
Security Socket Layer. Protocolos de seguridad de uso comn que establecen un canal seguro
entre dos ordenadores conectados a travs de Internet o de una red interna
T.I.
Conjunto de servicios, redes, software y dispositivos que tienen como fin la mejora de la calidad de
vida de las personas dentro de un entorno, y que se integran a un sistema de informacin
interconectado y complementario.
URL
Cadena de caracteres con la cual se asigna una direccin nica a cada uno de los recursos de
informacin disponibles en Internet. Existe un URL nico para cada pgina de cada uno de los
documentos de la WWW.
VPN
Red Privada Virtual (del ingls Virtual Private Network). Tecnologa de red que permite una
extensin de la red local sobre una red pblica o no controlada.
WAP
Web Services
111
WebSocket
WIFI
Tecnologa que permite comunicar porttiles, PC, computadores de mano y diversos artilugios
electrnicos de forma inalmbrica, y tiene varias aplicaciones.
WLAN
(Del ingls Wireless Local Area Network). Sistema de comunicacin de datos inalmbrico flexible,
utilizado como alternativa a las redes LAN cableadas o como extensin de stas.
112