Seguritecnia 343

II Jornadas de Seguridad en Entidades Financieras 47 SEGURITECNIA Julio - Agosto 2008 Esto es una carrera de fondo, en la que cada vez hay ata- ques más sofisticados. Los ciberdelincuentes son gente ex- perta y realizan sus delitos de la manera más opaca posible. En el fraude, a veces no se trata del ataque a los sistemas de información, sino del mal uso. Y cuando se producen los ataques, hay que acotar el tiempo de exposición. Desde S21sec, con nuestro Centro de Operaciones de Seguridad (SOC), y con la red de Verisign, cubrimos este aspecto. - ¿Cómo valora el trabajo en colaboración con otras organizaciones? El trabajo en colaboración es imprescindible, porque en ocasiones, por mucho que se mejore la tecnología, no siempre se obtienen resultados. De ahí que S21sec esté dentro de un entorno colaborativo y una red global, con otras empresas como Microsoft, Verisign o iDefense; se cierren acuerdos con otras organizaciones; y se trabaje conjuntamente con las distintas Fuerzas de Seguridad. De ahí que hayamos creado la unidad de inteligencia, vigilancia y lucha contra el fraude on-line . Con una in- versión de seis millones de euros, esta unidad permitirá detectar y resolver las actividades criminales en Internet. La unidad, que opera desde el SOC de Madrid, ofrece cuatro líneas de servicios: fraude en Internet (para la lu- cha contra phishing , pharming , vishing , botnets , código malicioso, robos de identidad, click fraud , pay per ins- tall , venta de credenciales robadas, etc.), vigilancia di- gital (para salvaguardar la imagen, credibilidad y repu- tación de directivos, empresas, marcas o productos que son víctimas de calumnias, amenzas o difamaciones por la Red), inteligencia (nuestros especialistas estudian nue- vas formas de fraude, técnicas avanzadas de infección de máquinas, métodos de lavado de dinero la relación entre incidentes...) y formación especializada a organizaciones y Fuerzas de Seguridad. - ¿Qué falla en los sistemas de autenticación que ofrece hoy la banca electrónica? Está claro que cuantas más barreras se pongan, más complicado será para los cibercriminales. Es un proceso continuo. Pero detrás de las epidemias o pandemias, al final está detrás el usuario. Son necesarias las mejores herramientas, pero también las mejores prácticas. - ¿Hacia donde debería evolucionar el concepto de segu- ridad bancaria -física, electrónica e informática-? La seguridad física y lógica ya no son inconexas; para luchar contra el fraude no se separan. La inteligencia está en todas las transferencias, por lo que la evolución lógica es crear in- teligencia para implantar herramientas, servicios, redes, po- líticas de seguridad... Eso es inteligencia: tecnología apli- cando conocimiento para disminuir el nivel de fraude. tra tecnología -sobre todo la relativa a vigilancia digital- a un mercado inmenso, con grandes barreras de entrada y muy difícil. Asimismo, apostamos por la apertura de una oficina en Dubai, porque es un mercado de crecimiento exponencial, que paga muy bien y que ve la tecnología es- pañola con buenos ojos. Europa es nuestro mercado natural y podemos utilizar Reino Unido, como puente entre ambas estrategias: Esta- dos Unidos y países árabes. - Ustedes han incrementado en un 145 por ciento su presencia en sectores clave como la Administración Pública y la banca. ¿Qué carencias, respecto a seguri- dad encuentran en ambos sectores? Respecto al concepto de sensibilidad, hay que tener en cuenta que la banca es pionera en temas de seguridad, ya que las entidades bancarias fueron las primeras en sufrir a los crackers . Hoy no se ataca tanto a los bancos, pero sí a los usuarios. Respecto a la Administración Pública, llevamos muchos años de e-Administración sin los recursos adecuados. Se necesitan motores importantes para darle un buen im- pulso a la e-Administración, con un canal adecuado. Ambos sectores tienen un incremento natural en segu- ridad, porque han invertido durante todos estos años. La Administración ha tenido los mismos problemas que el sector financiero y han tomado la seguridad como pauta. Ahora los riesgos son los mismos para todos, desde den- tro y desde fuera. Por ello, los pasos y las medidas que se tomaron en las entidades financieras se tienen que tomar ahora en el resto de organizaciones, grandes, medianas o pequeñas. Lo importante es apostar por la seguridad creando cul- tura de seguridad en el usuario. - En 2007 S21sec gestionó casi 1.700 casos de fraude electrónico, un 98 por ciento más respecto a 2006. ¿Qué solución hay para luchar contra este mal, de ma- nera que las entidades financieras puedan asumir su responsabilidad ante sus clientes y éstos no sufran, a su vez, las consecuencias de los cibercriminales? La parte jurídica de responsabilidad es el malo del con- cepto de fraude. El modelo de ataque ha cambiado: del phishing tradicional, hoy nos enfrentamos al troyano, que puede generar mucho volumen de fraude. Las entidades financieras llevan mucho tiempo invir- tiendo en seguridad y mitigando el fraude. Por eso, en re- lación al fraude al usuario, hay que valorar muchas cosas. Es cierto que uno de cada tres ordenadores está infectado por troyanos, y esto afecta a todas las capas de la sociedad, ya que se roba propiedad intelectual, se atacan infraestruc- turas críticas, etc. Y el número de troyanos crece...