Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Presión de las Autoridades y las
estructuras contra el Ciberdelito
(Relación de las Unidades Antilavado y
de Seguridad para alejar amenazas
cibernéticas
Franco Rojas Sagárnaga (Bolivia)Gerente General GRUPO AMLC
El Nuevo escenario delictivo
Durante la última década, el
mundo se ha visto vulnerado
cada vez en mayor medida por
nuevos tipos de delitos y
fraudes. Los Ciberdelitos. El
crecimiento de organizaciones
dedicadas al fraude y al acoso
se ha convertido en un
problema transnacional.
El Problema es que la gran mayoría de los países no
cuenta con Leyes contra los diferentes tipos de delitos que
aparecen.
Qué esta sucediendo?
Un desertor del Ejército
Norcoreano describió para la
revista Business Insider como
funciona el ejército de Hackers
mas grande del mundo.
Explicó que la existencia del
Buró 121 es una realidad.
El Buró 121 es el Buró General de Reconocimiento, el cual
recluta Ingenieros de la Universidad mas prestigiosa de
Corea del Norte en la cual se forman por 9 años y en la
cual aprenden a “hackear”
…cont.
En el Buró han pasado mas de
1800 expertos piratas
informáticos que se ocupan de
estudiar un país, viajar y vivir
en él para conocer sus
debilidades.
Posteriormente, regresan y crean virus para atacar a sus
empresas y las entidades Estatales con la intención de
crear confusión social y temor. Son Cibercriminales. Uno
de los casos mas notados se les asocia. Caso Sony
playstation.
CASOS IMPORTANTES
145 millones de Usuarios afectados. Aun no se
conoce cuanta información se robaron (2014)
152 millones de Usuarios afectados. ADOBE no reconoce
todo, sigue la investigación (2013)
130 millones de Usuarios afectados. El hacker Albert Gonzálezfue acusado de coordinar el ataque que se llevó datos de 130millones de tarjetas de débito y crédito de la multinacional depagos Heartland Payment Systems. Sucedió en 2008, pero no sehizo público hasta mayo de 2009
CASOS IMPORTANTES
94 millones de Clientes. En enero de 2007, responsables delgrupo TJX hicieron público un ataque informático que puso enpeligro los datos bancarios de 94 millones de clientes entre suscadenas de tiendas Marshals, Maxx y T.J
El ataque que robó información de las cuentas de77 millones de usuarios de los serviciosPlayStation en todo el mundo supuso un durogolpe para Sony, entre otras cosas porque tardóuna semana en reconocer el problema. Tuvo quecompensar a los usuarios y recibió variassanciones en países como Reino Unido. 2014 y 15
CAMBIA EL AMBIENTE DE CONTROL
Ningún regulador se
encontraba preparado para
este tipo de incidentes y
menos aún las autoridades,
pues es muy dificil
comprender los diferentes
tipos de acciones que
suceden detrás de las
intenciones de los
delincuentes.
LA RESPUESTA HA TENIDO 2 AMBITOS
Los países con acciones penales impulsadas por sus
propios jefes de estado y acciones privadas para proteger
los negocios:
Acción Estatal que no define alcances, es muy amplia pero
hoy por hoy es coercitiva
Acción Privada, impulsada por la
Industria Informática para protección de
sus propios sistemas y clientes
LA POLICIA?
Lastimosamente, la policía es la
entidad menos beneficiada en la
lucha contra este tipo de delitos
tan técnicos y cuentan con muy
poca formación para alcanzar en
el trabajo de control y posterior
investigación. El caso de Europol
y la relación con Kaspersky Lab
es una pequeña diferencia.
COMO REACCIONAN LOS PAISES?
En abril de 2015, Estados Unidos
promulgó una orden ejecutiva por la
cual castigan económicamente a
quienes INTENTEN ataques
cibernéticos contra organismos y
ciudadanos estadounidenses
En 2013, Europa abrió el Centro Europeo
contra Ciberdelitos con sede en la Europol en
Holanda, pensado principalmente contra el
fraude bancario y personal. El éxito del
proyecto ha llevado a Kaspesrky Lab a apoyar
a Europol y también a Interpol. 2014.
COMO REACCIONAN LOS PAISES?
En Latinoamérica el crecimiento de estos problemas ha sido
una constante y como tal los países han respondido con Leyes
y regulaciones genéricas, pero aún falta mucho que hacer
pues los ciberdelitos alcanzan no solo a problemas de
infraestructura informática o sistemas informáticos, sino
también a administración de Datos, lo cual nos lleva aún a
problemas mayores.
Por lo anterior, han salido respuestas de organizaciones
sin fines de lucro que apoyan la lucha contra estos delitos
como www.Pantallasamigas.net
QUE SUCEDE CON LAS INSTITUCIONES?
Las instituciones financieras y no financieras, han optado en la
mayoría de las ocasiones por establecer análisis de
Vulnerabilidades, enfocados en: Diseño, Implementación, Uso,
vulnerabilidades del buffer, de condición de carrera, del
formato de la cadena, de análisis de Scripts, de inyección SQL,
de denegación de servicio y ventanas.
Lo anterior es muy bueno, sin embargo, se enfocan
principalmente al software. Qué sucede con el negocio?,
como se entiende la información entonces?, que deberían
tomar en cuenta las entidades relacionadas a las unidades
de prevención de lavado de dinero?
ESTABLECER EL CONTEXTO EN UN AMBIENTE ALTAMENTE SUCEPTIBLE A SER ATACADO
Los delitos como el Kiting, el Pishing, la falsificación, la
adulteración de cuentas, la manipulación de saldos, la
falsificación de tarjetas, cheques, la destrucción de información
o el acceso a información privilegiada, generalmente han sido
atendidos como delitos que apetecen al delincuente a fin de
generar ingresos ilícitos. Estos delitos sin embargo han pasado
por un largo proceso de estudio a cargo del delincuente, el cual
ha considerado un ESTABLECIMIENTO DEL CONTEXTO,
desde el punto de vista de la oportunidad.
EL MOMENTO.
QUE SIGNIFICA ESTABLECER EL CONTEXTO DESDE UN PUNTO DE VISTA DE GESTION DEL RIESGO?
COMPRENDER
QUIEN SOY Y
DONDE APUNTA MI
NEGOCIO
EL PROBLEMA
Existe un divorcio entre la Estrategia del Negocio y la
Estrategia de Control. Desde un punto de vista de
Prevención de Lavado de Dinero, sería un Divorcio
entre la Estrategia del Negocio y la Estrategia de
Cumplimiento.
Desde el punto de vista del Alineamiento Estratégico,
debería cumplirse lo siguiente:
ALINEAMIENTO ESTRATEGICO
Otras áreas de control
Áreas de soporte
Prevención Análisis y Monitoreo
Enfoque de riesgos
Sistema de monitorización del sistema de gestión de riesgos
Estrategia del negocio
Estrategia de Cumplimiento
Clie
nte
s
Pro
du
cto
s
Can
ales
Terr
ito
rio
OTRO PROBLEMA
Se interpreta de manera equivocada lo que significa
Seguridad de la información y Seguridad informática.
De hecho, la seguridad de la información es un
campo mucho mas amplio y cae sobre la
información, toca tanto temas técnicos informáticos
como físicos.
La seguridad informática alcanza a todos los
servicios informáticos y equipos, pero separa el
concepto de información.
QUE SUCEDE SI LA ACCION ES LEGAL?
El problema es que las entidades se han ocupado de
ver la ilegalidad del problema y no así de reconstruir
los factores que hacen una relación de
Vulnerabilidad y Amenaza un RIESGO.
En otras palabras no se piensa con un enfoque
basado en gestión de riesgos. El trabajo que se
realiza está asociado a la gestión de respuestas de
alertas y no así a hacer prevención.
QUE HACEMOS?
La protección de datos es establecer un
mecanismo de Gestión de Correlación de
datos segmentados que permitan la
constitución dinámica de información por
agrupamiento pero con un enfoque
Metodológico que así lo permita.
Comunicación y consulta
Establecimiento de contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Monitoreo y revisión
APLIQUEMOS UNA METODOLOGIA DE GESTION DE RIESGOS
SEGMENTACION
Clasificación de
Clientes según
correlación de
variables puras
según
correlación
positiva y
negativa
A
B
C
DE
F
Escalonamiento de niveles de relación de riesgo en
relación al negocio
Homogenización de
Bases de resultantes
para el correspondiente
análisis
Entender el negocio
es fundamental para
establecer límites y
controles de
operación
retroalimentado. El
proceso es iterativo.
Si no hacemos esto,
jamás haremos
prevención
RE COMPRENDER MI FUNCION
AHORA PUEDO HACER PREVENCION
BI
VARIABLES DE RIESGO
VARIABLES DE PREVENCION
DATOS DE CLIENTES
DATOS DE PRODUCTOS
DATOS DE TRANSACCIONES
OTROS VARIOS
Fundamento del
Monitoreo
SOFTWARE
LA PROTECCIÓN DE DATOS
En otras palabras, la protección de datos en
materia de prevención de lavado de activos se
da en la articulación de correlaciones de
factores de riesgo asociados a una
metodología de gestión que permita migrar
constantemente de límites, umbrales, acciones.
Los delincuentes se ven limitados de actuar
cuando los modelos plantean y replantean
escenarios de riesgo orientados al negocio y al
objetivo de Cumplimiento
CONCLUSIONES- La Lucha contra los ciber delitos, enfocados en procesos
aislados de control no tiene efecto real, pues mas bien
plantea indicadores de acción al delincuente
- El problema de los delitos informáticos se gesta en el
fraude interno pero como consecuencia de la inadecuada
gestión del riesgo. El efecto es igual por fuera
- Sin una metodología adecuada de gestión de riesgos no
hay sustento real de un buen trabajo.
- El texto sin el contexto es puro pretexto
- La correlación de variables de riesgo asociadas a la
comprensión del negocio y a la estrategia del mismo
permiten un escudo basado en la tipicidad única del
riesgo de la entidad.
GRACIAS
Franco Rojas SagárnagaGerente GeneralGrupo AMLCTelf. (591) 2 – 2004458Celular (591) 720 [email protected]
Bolivia, Paraguay, Ecuador,
Costa Rica, Honduras,
Nicaragua y Panamá