Seleccionar página

El desafío de la ciberseguridad para la Ley Fintech

El Economista

Julio Sánchez Onofre

18 de septiembre de 2017

 

Así como las fintech, o emprendimientos tecnológicos en el sector financiero, han irrumpido en la banca y el sector financiero en general, éstas también se han colocado como un blanco atractivo para los hackers maliciosos. Pero el desafío de seguridad informática para estas nuevas empresas de tecnología financiera es aún mayor que en el sector financiero tradicional debido a las menores capacidades y preparación para evitar robos, fraudes o robos de datos e identidad.

“Por sus características de startups, las fintech no están preparadas para esto. Se tornaron muy populares y empezamos a ver los primeros ataques contra las fintech, malware preparado para robar o atacar con phishing contra de clientes fintech. Las fintech donde uno puede abrir cuentas en línea sin necesidad de ir al banco, o tarjetas sin cuota, son servicios populares y ya son blancos de ataques en América Latina”, advirtió Fabio Assolini, analista Senior del Equipo Global de Investigación y Análisis (GReAT) de la firma de seguridad informática Kaspersky Lab.

Este escenario abre la necesidad de que en las nuevas regulaciones como la Ley de Tecnología Financiera, o Ley Fintech, que será presentada este mes al Congreso de la Unión, establezca regulaciones en materia de ciberseguridad para las startups financieras similares a las que ya son vigentes para los bancos, aunque no será tarea fácil. En entrevista con El Economista, el experto reconoce que deberá observarse cada modelo fintech para evitar que una sobrerregulación pueda inhibir la innovación.

“El problema es que, cuando hablamos de un banco, los productos ofrecidos son iguales en todos y es más fácil crear una Ley; pero no es así con las fintech porque hay fintech del área de tarjetas, de cuentas en línea, de préstamos, hay de todo tipo. Los legisladores tendrán un trabajo gigantesco de separar cuáles necesitan legislación y cuáles no necesitan”, comentó durante la celebración de la Cumbre Latinoamericana de Analistas de Seguridad de Kaspersky Lab.

“En mi opinión, las fintech más cercanas a los bancos que ofrecen servicios que va a manejar el dinero del cliente son las que necesitan legislación. Y las fintech más sencillas donde la materia más grande que tienen es el dato de la gente, estas fintech deben cuidado del dato como el manejarlo bien, cifrado, para que no sea robado”, agregó.

Esto es crucial ante el creciente número de amenazas informáticas en México y Latinoamérica. Kaspersky Lab ha detectado unos 677 millones de ataques informáticos en América Latina, lo que equivale a 33 amenazas por segundo durante los primeros ocho meses del año. Esta cifra representa un crecimiento de 59% respecto al mismo periodo del 2016 cuando contabilizó unos 398 millones. México ostenta el segundo lugar en el mayor volumen de ataques informáticos al concentrar el 17% de las detecciones, debajo sólo de Brasil, con un 53%. Le siguen Colombia, Perú y Ecuador.

Los ataques contra el sector financiero son ya un pan de cada día en la región y una muestra de la evolución está en los crecientes ataques a terminales punto de venta. Entre el 2015 y el 2016 sucedieron cerca de 1,300 ataques en puntos de venta en toda América Latina. Pero sólo en los primeros ocho meses del 2017 se registraron 1,000 ataques, principalmente por el malware NeutrinoPOS —encontrado por primera vez en el 2015 y que también se utiliza en ataques de denegación de servicio (DDoS).

Brasil es el país líder en clonación de tarjetas en puntos de venta en América Latina, responsable de 77.37% de los ataques dedicados en la región. Seguido por México con cerca del 11.6% de los ataques a tarjetas.

Otro caso emblemático es el robo de cajeros automáticos a través de ataques informáticos es una situación vigente en México. Detrás de estos ataques se encuentra el grupo cibercriminal Ploutus, que después de haber sido descubierto por primera vez en 2013, sigue activo con variantes en sus formas de ataque. Ahora los criminales van por las fintech.

“El next big target de los criminales son las fintech y ya vemos ataque. Es una pena porque me gusta mucho la idea, las fintech están revolucionando el mercado financiero y eso es buenísimo, yo tengo un montón de servicios fintech y la seguridad me preocupa porque los bancos son atacados desde hace mucho tiempo y como tienen experiencia de cómo protegerse y lidiar con los ataques pero las fintech aún no”, comentó.

Pero el panorama no queda únicamente en las startups. Roberto Martínez, analista Senior del GReAT advirtió que los desafíos y riesgos potenciales abarcan también en la seguridad de los objetos conectados por lo que la perspectiva de seguridad necesita ampliarse hasta el llamado Internet de las Cosas.

Y es que, resaltó, para el 2020 una de cada cinco transacciones financieras se realizarán a través de cómmputo vestible o wearables, por lo que deben contemplarse mecanismos como el cifrado de datos para evitar que sea ilegible si es interceptada.

 

6 claves de la propuesta del gobierno para la Ley Fintech

CNN Expansión

Reuters

18 septiembre de 2017

 

El proyecto para regular a las instituciones de tecnología financiera incluye reglas para operaciones con monedas virtuales, según un borrador del documento obtenido por Reuters.

El gobierno de México prepara una ley para regular a las Instituciones de Tecnología Financiera (ITF) que incluye reglas para sus operaciones con activos virtuales, como criptomonedas, así como para las instituciones de financiamiento colectivo, conocidas como ‘crowdfunding’.

Estos son los principales planteamientos del documento obtenido por Reuters elaborado por el Banco de México, la Secretaría de Hacienda y la Comisión Nacional Bancaria y de Valores que debe ser aprobado por la comisión de mejora regulatoria Cofemer, para luego ir al Congreso para su aprobación.

El presidente Enrique Peña Nieto dijo hace unos días que sería presentado antes del 20 de septiembre.

  1. Serán reconocidas las instituciones de fondos de pago electrónico.
  2. Incluye un apartado denominado «modelos novedosos» que dará espacio para empresas más nuevas que no entren ni el modelo de monedas virtuales ni en el crowdfunding.
  3. Definirá las características de los activos virtuales, las condiciones y restricciones de las operaciones, así como las medidas a las que deberán sujetarse las ITF para la custodia y control de los negocios.
  4. Permitiría a varias instituciones financieras invertir en las ITF, si cumplen con las reglas de prevención y lavado de dinero y protección a usuarios.
  5. De ser aprobada tal y como está, la ley podría ser la más vanguardista en el mundo al considerar diferentes esquemas de negocio como los «modelos novedosos», conocidos como «regulatory sandbox», comentó a Reuters Jorge Ortiz, presidente de la asociación FinTech México, que agrupa a empresas del sector.
  6. De acuerdo con fuentes del sector consultadas por Reuters, algunas de las empresas reguladas buscarán que algunas disposiciones como capitales mínimos de operación se flexibilicen, así como rebajas en multas.

 

Falta de regulaciones IoT pone en riesgo a industrias y personas

El Economista

Julio Sánchez Onofre

18 de septiembre de 2017

 

Caso hipotético: un hacker tiene acceso a los sistemas de fotomultas de la Ciudad de México y puede manipular la información de manera discreta. La integridad de un sistema, de por sí ya desacreditado por la ciudadanía, se ha corrompido.

El impacto, quizás, no sea tan dramático si el escenario se traslada al campo de los dispositivos médicos conectados a Internet, pues existe la posibilidad de que un intruso colapse hospitales, manipule información de los registros médicos, altere el equipo usado para cirugías, o detenga el funcionamiento de un marcapasos.

Desde el 2015, los investigadores de la firma de ciberseguridad TrapX Security, han dado a conocer que accedieron a redes hospitalarias utilizando dispositivos médicos conectados a la red, atacando a los sistemas Windows XP. Los atacantes aprovecharon las puertas traseras de los dispositivos con las que podrían exfiltrar información sin ser detectados.

En entrevista con El Economista, Moshe Ben Simon, cofundador y vicepresidente de Servicios de TrapX explicó que los sistemas informáticos en los hospitales son obsoletos, sin actualizarse en veinte años, lo que hace que estas amenazas, dirigidas a sistemas obsoletos, pasen desapercibidas por los sistemas de ciberseguridad actuales.

“Si ves el número de hospitales de la red hospitalaria de Reino Unido, tienen entre 15,000 y 20,000 dispositivos médicos de los cuales entre el 10% y 20% están conectados a la red, es decir, al menos unos 1,500 equipos”, comentó.

Ben Simon reconoció que la falta de acompañamiento de los vendedores con sus clientes para la actualización de los sistemas, las medidas débiles de seguridad en los sistemas hospitalarios y en los equipos médicos conectados, así como una regulación débil en ciberseguridad ponen en riesgo al sector salud a nivel global.

El tema de la ciberseguridad de los objetos conectados se colocó en los reflectores y la agenda pública el año pasado, cuando una red de objetos zombie atacaron al proveedor de servicios Dyn, que dejó fuera de línea a plataformas como Netflix, Spotify, Amazon o medios como el New York Times. Roberto Martínez, analista Senior del Equipo Global de Investigación y Análisis (GReAT) de la firma de seguridad informática Kaspersky Lab, dijo durante la Cumbre Latinoamericana de Analistas de Seguridad que desde el 2008 se tienen registros de ataques relacionados con el Internet de las Cosas.

“En el 2016, el mundo se dio cuenta de los enormes riesgos alrededor de los dispositivos IoT con la aparición de Mirai, los ataques se remontan a años atrás”, apuntó.

Lo cierto es que el crecimiento de las amenazas alrededor de los objetos conectados crece de manera exponencial. Cifras ofrecidas por el experto mexicano de Kaspersky Lab apuntan que de enero a mayo del 2017 se habían descubierto 7,242 amenazas de malware IoT, cifra que casi duplica las 4,153 muestras analizadas del 2013 al 2016.

Además de código malicioso y hackeo a dispositivos, los protocolos de seguridad y actualización también se convierten en un desafío que puede incluso poner en riesgo la vida de las personas. Durante una entrevista con El Economista, Martínez ejemplifica el llamado a actualizar casi medio millón de marcapasos de los laboratorios Abbott para corregir un fallo de seguridad que podría ser usada por un hacker para tomar el control del dispositivo.

“Estamos hablando de cientos de miles de dispositivos. Y no es que desde tu casa te conectes a un lugar y autorices la actualización; tienes que ir físicamente y la actualización tiene un promedio de tres minutos. El tema es cuántos hospitales tienen esa capacidad y el tiempo para atender en una hora o un día y se puede tornar en algo muy complicado por la emergencia de la situación. Estamos en una etapa de madurez de amenazas que apenas está empezando a crecer. En los últimos años se ha visto un crecimiento importante pero no por eso es si no actualizo, me voy a morir mañana aunque hay casos críticos como este y no hay una logística”, dijo el experto.

“Al igual que con las computadoras, tal vez no vaya el 100% a actualizar su marcapasos e incluso hasta por temor. Y si piensas en una actualización del firmware y si todo sale bien, en tres minutos estoy fuera, pero ¿si no, qué pasa si algo falla y se daña el sistema? Se pone más complicado”, agregó.

Las políticas públicas tienen un factor crucial para la minimización de los riesgos cibernéticos. Martínez ejemplifica que la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) emitió unos lineamientos para los dispositivos médicos conectados a la red. Pero reconoce que su alcance es limitado dado que sólo es efectiva para una jurisdicción.

Va a depender de varios factores como políticas públicas, una mayor colaboración internacional en temas tecnológicos para que sea implementable a nivel lo más global posible. Se debe pensar en este tipo de leyes a nivel global sobre todo en temas de tecnología porque no hay barreras en internet, está todo muy abierto”, apuntó.

¿Cómo abordarlo desde las políticas públicas? El analista de Kaspersky Lab recomienda que se haga por vertical y por industria de una manera muy segmentada pues la misma regulación en ciberseguridad no puede aplicarse al sector salud.

“En algunos casos estamos hablando de vidas humanas y en otros casos estamos hablando de aspectos financieros. Necesariamente tienes que segmentar, tienes que dividir y tienes que especificar, e incluso en toda la parte de industria médica, pero tiene varias aristas pues una cosa es la información y los estándares de seguridad para manejar la información de los pacientes; y los fabricantes, cuáles son los aspectos que se tienen que basar antes de liberar el producto, como los medicamentos que no se liberan al público hasta que es aprobado por un organismo de salud”, comentó.

Generar confianza en las políticas públicas

Antes de implementar cualquier política pública en materia de ciberseguridad, primero los Estados tienen que ganarse la confianza de los ciudadanos y transparentar las prácticas que pueden vulnerar los dispositivos a través de programas de espionaje y ataques dirigidos, explicó Santiago Pontiroli, analista de Seguridad del GReAT.

El gobierno mexicano anunció que en octubre presentará la Estrategia de Ciberseguridad Nacional, una política pública que se basa en ocho ejes transversales que van desde cultura y concienciación hasta la adecuación de marcos jurídicos, y con cuatro objetivos estratégicos: economía, sociedad, gobierno y seguridad nacional.

“Hemos tenido muchísimos incidentes, no sólo en México, muchísimos gobiernos que han comprado o adquirido tecnología de espionaje entonces lo primero que tienen que hacer es especificar cuáles son las tecnologías que van a utilizar y cuáles quedarán fuera; y si vamos a hablar de ciberdefensa y tenemos estas tecnologías, en qué casos las van a utilizar, en qué casos no y contra quién. Habría que partir de eso porque primero el público tiene que confiar en que va a ser lo correcto”, dijo.

Así, el experto coincidió con las voces que piden transparentar, ejercer controles e investigar las prácticas de espionaje que el gobierno mexicano ha realizado en contra de activistas, periodistas, empresarios y sociedad civil, para dar legitimidad a la ENCS.

 

IoT y apps, puntos rojos en hackeos

Excélsior

Aura Hernández

18 de septiembre de 2017

 

México no tiene un gran número de cibercriminales locales ni se ha vuelto uno de los blancos preferidos de los piratas informáticos, pero corre el riesgo de que esa situación cambie, debido a que las personas y las empresas están siendo descuidadas al momento de proteger su entorno virtual.

Ondrej Vlcek, vicepresidente ejecutivo y director general de consumo de Avast, reveló que la empresa de ciberseguridad hizo un estudio para detectar cuántas computadoras en el país todavía tienen la vulnerabilidad llamada Eternal Blue, la cual fue aprovechada hace unos meses para propagar el ransomware WannaCry y de la que ya existe un parche publicado por Microsoft para ser eliminada.

“Vimos que más de dos millones de PC en México todavía tienen esta vulnerabilidad, y podrían ser más porque no pudimos analizar todas las que hay en el país”, explicó en entrevista con Excélsior.

El especialista consideró que dicha cifra se refiere principalmente a computadoras en el hogar, y es baja si se compara con otros países como Brasil, donde se hallaron ocho millones vulnerables. Sin embargo, muestra que los mexicanos no están actualizando sus sistemas y, por tanto, podrían ser susceptibles a padecer en el futuro algún ataque ocupando una vulnerabilidad similar.

ALERTA EN INTERNET DE LAS COSAS

Además, ésta no es la única brecha de seguridad que Avast encontró en el país. Otro estudio demostró que 20.7 por ciento de los dispositivos conectados a internet en México son vulnerables a ciberataques, poniendo en riesgo la seguridad y privacidad de las personas.

A detalle, se encontró que los equipos con más riesgos son los routers, seguidos de las impresoras y en tercer lugar las webcams y los monitores de bebés.

“Lo que pasa es que muchas empresas han estado haciendo una cierta clase de dispositivos como cafeteras, refrigeradores o tostadores ahora que están conectándolos a internet debido a una presión de la competencia.

El problema es que estos equipos no saben cómo escribir software, y mucho menos de seguridad”, relató el especialista.

Vlcek indicó que entre los problemas más comunes se encuentra el uso de una contraseña débil o software desactualizado.

Afortunadamente, destacó que países como Japón y Estados Unidos ya están trabajando en una serie de políticas o estándares de seguridad en los equipos de internet de las cosas, aunque tomará algunos años para tenerlo listo e implementado.

LAS APLICACIONES

Por otro lado, María José Albarrán, directora de Canales de Fortinet México, consideró que las personas también están expuestas por la explosión de aplicaciones móviles.

“En México se está dando una tendencia en el robo de información, y el crecimiento de esto es exponencial en un 65 por ciento, de acuerdo con las últimas encuestas”, relató también en entrevista.

Consideró que, en parte, ese crecimiento se debe a que los cibercriminales están aprovechando el  mayor uso de aplicaciones móviles para obtener los datos.

“Y es que ahora existe una aplicación para pedir un auto, para la tintorería y hasta para entregas a domicilio que contienen datos personales de los usuarios”, aseguró.

Albarrán indicó que, en algunos casos, los cibercriminales aprovechan vulnerabilidades que existen en éstas, o bien, diseñan aplicaciones muy similares y engañan a los usuarios para que las descarguen.

“Todavía nos cuesta creer que una aplicación pueda tener problemas de robo de información, somos confiados y no invertimos en la ciberseguridad”, agregó.

 

México, segundo lugar en ‘secuestros digitales’ en AL

CNN Expansión

Expansión

18 septiembre de 2017

 

México es el segundo lugar de América Latina en “secuestros digitales”, de acuerdo con cifras de Kaspersky publicadas durante la séptima Cumbre Latinoamericana de Analistas de Seguridad que se llevó a cabo en Buenos Aires, Argentina.

El crecimiento de los ataques por ransomware en la región se incrementó hasta 30% durante el último año y según la compañía de seguridad informática, Brasil concentra 54.9% del total de ataques detectados en la zona, seguido por México, con 23.4% y Colombia, con 5% de los casos detectados.

“Desde 2016 a la fecha, la mitad del malware detectado en América Latina pertenece a la categoría de troyanos, siendo Trojan-Ransom el de crecimiento más acelerado”, dijo Santiago Pontiroli, analista de seguridad para Kaspersky en AL, según un comunicado emitido este lunes por la compañía.

Los ataques son dirigidos principalmente al sector salud, así como a pequeñas y medianas empresas, las cuales entre 2016 y 2017 han padecido el secuestro de datos, «la amenaza con mayor impacto en América Latina”, según el especialista.

A mediados de mayo, el mundo se enfrentó con wannacry, el mayor ataque de un virus informático en la historia, el cual fue dirigido a diversas instituciones y empresas de un centenar de países, entre ellos México, que resultó el país más afectado de la región, según Kaspersky.

Aunque las ganancias de los autores del extenso ataque se estimaron en 100,000 dólares, los daños ocasionados superaron ampliamente la cifra en los usuarios afectados, según la empresa rusa.

En julio de 2016, la policía de Holanda, en conjunto con Europol, Intel Security y Kaspersky lanzaron una herramienta en línea llamada No more ransom para ayudar a desbloquear sin costo equipos infectados por diferentes tipos de ransomware.

“Gracias a esta iniciativa sin fines de lucro, más de 30,000 usuarios a nivel global han descifrado sus dispositivos y han podido frenar, en cierta forma, esta amenaza mundial”, resalta Santiago Pontiroli.

 

Advierten el riesgo de una «sociedad de vigilancia»

La Jornada

Miriam Posada

18 de septiembre de 2017

 

Ciudad de México. La organización internacional Internet Society alertó en su primer Informe Global de Internet que la inteligencia artificial y el Internet de las cosas tiene en proceso un importante cambio de vida, pero podrían dar lugar a una «sociedad de vigilancia», si no existen las consideraciones éticas necesarias para dirigir el desarrollo de la tecnología y guiar su uso.

“Debido a que la inteligencia artificial e Internet de las cosas permiten recopilar grandes cantidades de información personal, existe el riesgo de que, sin salvaguardas y control del usuario, pueda emerger una sociedad de vigilancia».

Asimismo advirtió que los asuntosrelativos a la seguridad cibernética presionarán a los gobiernos para que tomen decisiones que podrían deteriorar la gobernanza global, abierta y distribuida de Internet; “por lo que las medidas destinadas a la seguridad del ciberespacio pueden minar los derechos y las libertades personales”

El informe global denominado Rutas hacia nuestro Futuro Digital analiza el comportaiento de esta herramienta y hace prospectiva a cinco y siete años a find e definir retos y oportunidades que pemitan a los gobiernos y a la industria cumplir con la premisa de “Internet para todos en todo lugar”.

El documento se enfoca en líneas estrategicas como la inteligencia artificial, las amenazas cibernéticas, las normas de Internet, Internet de las cosas (IoT), la economía de Internet y la creciente participación del gobierno.

Internet Society aseguró que en la medida que Internet transforme cada sector de la economía mundial, las brechas digitales del futuro no se deberán solamente al acceso a esta herramienta sino también a la diferencia entre las oportunidades económicas que estarán disponibles para algunos, pero no para otros.

“El vínculo entre la seguridad y la prosperidad económica crecerá y dará lugar a una posible una división en la seguridad, que separará a las personas o los países que pueden proteger sus activos digitales de los que no pueden hacerlo”.

El informe acotó que el uso del Internet de las cosas y la inteligencia artificial transformará economías y sociedades enteras a través de la automatización y la convergencia del mundo físico y el virtual. “Estatransformación cambiará la naturaleza de la brecha digital tal como se ha definido históricamente es decir, la división que existe entre los que tienen acceso a Internet y los que no lo tienen”.

Asimismo advirtió que así como es verdad que el uso de esta herramienta es un medio para promover lainnovación, y los beneficios que la conectividad puede brindar para la educación, la salud, la prosperidad económica y el cambio social, también existe “el temor extendido de que hay fuerzas importantes en acción, que pueden minar la promesa de Internet para las generaciones futuras. Muchos creen que la libertad de Internet continuará disminuyendo en todo el mundo debido a la vigilancia generalizada, a las interrupciones en su funcionamiento y a la regulación del contenido. También hay quienes opinan que el panorama de los medios se hará más complejo y que la separación de la realidad y la ficción se tornará más difícil”.