Qué es BYOD y su cercana relación con el Mundo Móvil

Download PDF

Buscando información sobre el mundo móvil, encontré una presentación de ISACA (“La información se mueve”) relacionada con los dispositivos móviles, en la que se muestra que existen varias posibles decisiones estratégicas que pueden tomar los directivos de una empresa:

  • Solución de plataformas estandarizadas
  • BYOD “Puro”
  • Estrategia combinada

El punto que más me llamó la atención fue BYOD, ya que es un concepto cada vez con mayor tendencia, debido a que las nuevas tecnologías cada vez son más accesibles para todos los usuarios. Al igual que los anteriores posts, se centra directamente con los dispositivos móviles de la propia empresa, pero con un leve cambio de perspectiva que se puede intuir en el significado de sus siglas: Bring Your Own Device, cuya traducción es “trae tu propio dispositivo”.

Con BYOD, los empleados utilizan sus propios dispositivos móviles personales, portátiles y tablets para acceder al correo electrónico corporativo, la documentación, aplicaciones, etc. Básicamente consiste en utilizar los dispositivos personales de los empleados en el ámbito corporativo para el desarrollo de sus actividades profesionales. De esta forma, las personas tienen un solo dispositivos para usar tanto para fines profesionales como personales. [1]

bring-your-own-device

[Read more…]

Controles para la Gestión del Riesgo Empresarial en el Mundo Móvil

Download PDF

Con los cambios continuos en el ámbito tecnológico y empresarial, surgen nuevas amenazas creadas por las nuevas aplicaciones móviles, por ello los auditores de TI y los profesionales de la seguridad deben adaptarse a estos cambios y anticiparse a los riesgos aplicar controles apropiados.

Para seleccionar dichos controles, primero se deben de localizar las capas de riesgo, los cuales hemos desarrollado en el anterior post “Gestión del Riesgo Empresarial en el Mundo Móvil”. En este post se explicaban las principales áreas de riesgo relacionadas con Mobile Workforce, pero si nos paramos a analizarlos la mayoría tienen un factor de riesgo común que afecta directamente a la organización: la información del dispositivo. Alrededor de este factor podemos segmentarlo en cuatro categorías principales de seguridad de aplicaciones móviles como se muestra en la figura 1.

Mobile-App-Security

Para afrontar el reto los auditores de TI hacen uso de los siguientes puntos mostrados en la siguiente tabla, de esta forma resulta más sencillo detectar la amenaza debido a la clasificación de los riesgos en dichas categorías [1]. [Read more…]

Gestión del Riesgo Empresarial en el Mundo Móvil

Download PDF

Como he comentado en anteriores posts, la fuerza de trabajo móvil (Mobile Workforce) permite que los empleados trabajen donde quieran. Pueden trabajar desde sus casas, que podría definirse como un lugar seguro, o en áreas públicas, como cafeterías o aeropuertos. En este último tipo de lugares es cuando el nivel de amenaza es mayor, ya que puede afectar a la integridad de los datos, pero también a la seguridad física de los empleados, lo que no ocurre en la propia oficina, puesto que se han implementado contramedidas durante décadas. A pesar de ello, no debemos olvidar que el descuido de un empleado remoto puede ser una fuente importante de riesgo que puede afectar a los activos de la empresa. A continuación, se describen las principales áreas de riesgo relacionadas con Mobile Workforce.

MobileWorkforce-960x678

[Read more…]

Relevancia en la industria y herramientas de Seguridad Móvil

Download PDF

El trabajo a distancia, es decir el teletrabajo, tiene muchas ventajas, tanto para la empresa como para los empleados. Por ello, las empresas son conscientes de sus beneficios y en algunos países, como Reino Unido, se ha convertido en un derecho de los empleados el solicitar el trabajo móvil [1]. Esto les hace sentir una mayor flexibilidad, libertad y autogestión, lo cual facilita a aquellos que necesitan cuidar de sus hijos o tienen un largo tiempo de desplazamiento para llegar a su lugar de trabajo. Por ejemplo, los empleados remotos no quieren que su gerencia piense que, si no están entregando en los tiempos esperados, es porque el trabajar remotamente los está retrasando. Por lo tanto, trabajarán más que las horas contractuales para alcanzar los objetivos. Además, ayuda a las empresas a reducir costos, especialmente en renta y gastos de consumo (electricidad, agua, servicios de basura, etc.), y encontrar empleados cualificados, independientemente de su ubicación. Con el progreso de la tecnología, la fuerza de trabajo móvil es una tendencia que no va a detenerse. Se prevé que para 2020, el 72,3 por ciento de la mano de obra estadounidense será remota [2].

Los empleados están haciendo negocio desde cualquier dispositivo, haciendo uso de aplicaciones como el correo electrónico o el calendario durante el día e incluso la noche, desde cualquier lugar. Los dispositivos móviles evolucionan convenientemente a una necesidad y pasan a ser de un lujo a un componente necesario, pero crítico para el entorno empresarial. El aumento de las aplicaciones que residen en esos dispositivos conlleva un aumento de retos de seguridad y aseguramiento de los que nunca se había enfrentado la empresa. Es cierto que tanto las organizaciones como los auditores IT se están volviendo más sofisticados en sus enfoques y, por lo tanto, cada vez son más capaces de anticiparse y responder a los retos. [Read more…]

Riesgos de los pagos móviles

Download PDF

Tras los dos posts anteriores en los que hemos tratado aspectos generales acerca de los pagos móviles, en este nos vamos a centrar en uno de los temas que más nos pueden llegar a afectar, los posibles riesgos a los que estamos expuestos a la hora de utilizar dicha tecnología. Por ello, algunas de las preguntas a las que vamos a poner respuesta son las siguientes: ¿cuáles son los riesgos a los que estamos expuestos?, ¿qué tipo de pérdidas podemos sufrir en caso de ser hackeados? Es obvio que, tal y como yo hago, estamos constantemente adquiriendo productos vía móvil, de hecho, según informan algunos medios de comunicación, más de la mitad de los ciudadanos realizamos compras de manera semanal o incluso diaria. Es por esa razón que el uso de la banca móvil ha sufrido un gran incremento con el paso de los años, según una encuesta realizada por ISACA en 2015, el 87% de los 900 encuestados practicantes de la seguridad estimaron un aumento del uso de esta tecnología, y debemos concienciar y alertar a los usuarios de los posibles riesgos que pueden producirse [1].

 

grafico

En primer lugar, todos nuestros dispositivos móviles cuentan con una serie de sistemas de seguridad que nos protegen de los distintos riesgos que nos rodean, ya sean los sistemas de seguridad de pagos, usuarios, comunicación o de puntos finales, sin embargo, se han dado ciertos casos en los que hackers han podido traspasar esas barreras y causar graves problemas en la ciudadanía. De hecho, tal y como afirma el 47% de encuestados en la investigación de ISACA, los pagos móviles no son 100% seguros, estamos totalmente expuestos a diversos riesgos tanto controlables como no controlables por nosotros mismos que procederé a enumerar más adelante. Algunos de los sistemas de seguridad más importantes son la autenticación de dos factores, la tokenización, concepto que hace referencia al envío de señales aleatorias al punto de venta y la red de pago y los criptogramas, encargados de garantizar que los pagos móviles sean únicamente utilizados desde el propio dispositivo del usuario [2].

 

Algunos de los riegos de los pagos móviles:

Como bien os he comentado en reiteradas ocasiones, el uso de los dispositivos móviles para realizar pagos ha supuesto un incremento de los robos debidos a los riesgos que estos conllevan. Entre ellos encontramos dos claros tipos de objetivos que son frecuentemente perseguidos. A continuación, mostraré una ilustración donde se muestran los tipos de amenazas y riesgos que tienen lugar cuando hacemos uso de dicha tecnología, así como la escala (del 1 al 3) de probabilidad e impacto de estos:

Tipo de objetivo perseguido Amenazas Riesgos Probabilidad Impacto
Usuario Intercepción del tráfico Robo de identidad Baja 3
Usuario Intercepción de datos de autenticación Robo de parámetros de autenticación, divulgación de información confidencial Moderada 3
Usuario Enmascaramiento del usuario Transacciones fraudulentas Moderada 2
Usuario Configuración y complejidad de configuración Reducción en la adopción de la tecnología Baja 1
Usuario Infección del dispositivo móvil Divulgación de datos y violación de la privacidad Moderada 2
Proveedor de servicio Ataques enmascarados Robo de servicios y modificación de mensajes Baja 2
Proveedor de servicio Distribución ilegal de contenido como videos o juegos. Robo de contenido, piratería digital. Baja 2
Proveedor de servicio Modificación de mensajes, respuesta de transacciones. Robo de servicio o contenido, pérdida de ingresos, transferencia ilegal de fondos Moderada 3

Riesgos de la tecnología empleada

A todo lo anterior se le suman los riesgos producidos por el uso de tecnologías como NFC, tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia. Conocemos a NFC como una de las más cómodas y seguras de la actualidad, no obstante, éstos no son invulnerables y la seguridad depende, como en la mayoría de las cosas, del uso que hagamos de ello. Por ello, viene bien que os comenté los peligros de estos sistemas de pago de manera que todos hagamos un correcto y seguro uso de ello.

Las escuchas de piratas informáticos son una de las principales amenazas a tener en cuenta ya que, a pesar de que sea complicado de que se den esos casos, nuestro smartphone se encuentra constantemente intercambiando datos bancarios, lo que podría ser interceptado por este tipo de personas y utilizarla para averiguar información de los usuarios.

Otro de los riesgos a los que estamos sometidos y que no dependen de nosotros reside en los posibles fallos de seguridad de los que disponen algunas de las aplicaciones de pago existentes en el mercado. Exactamente igual que en el caso anterior, si eso ocurre podría suponer un grave peligro para nuestra seguridad.

El uso del PIN del propio dispositivo móvil es uno de los mecanismos que más nos pueden ayudar a disipar los riesgos. En caso de carecer de ello, cualquier persona que se apropie de nuestros smartphones podrá acceder a las aplicaciones y obtener nuestra más personal y confidencial información. Por esa razón, muchas aplicaciones bancarias relacionadas con los pagos móviles ya implementan el uso de la propia huella digital como mecanismo para controlar este tipo de riesgos.

La activación constante del NFC en nuestros dispositivos también puede suponer que un hacker intercepte nuestro chip y se comunique con el haciéndose pasar por un sistema de pago normal y corriente para conseguir nuestros datos bancarios.

El último de los riesgos que procedo a comentar tiene una probabilidad de ocurrencia media, no obstante, el impacto que éste supone es increíble (podríamos tratarlo como nivel 3). Hablo sobre el robo de los dispositivos móviles, acción que vemos como aumenta de manera considerable con el paso del tiempo y que, ya que ahora es posible el pago sin contacto, se convierten en interesantes objetivos para los ladrones [3].

 

Me gustaría concluir el presente post animando a todos los usuarios a que lean la siguiente entrada que se publicará en el blog dado que trataré algunas de las mejores técnicas para poder disipar los riesgos existentes al utilizar estas técnicas. Asimismo, trataré de completar el cuadro adjuntado en la parte superior de manera que se listen todos los planes de contingencia pertinentes a los riesgos indicados. Espero que os haya servido para concienciaros acerca del tema y que lo tengáis en cuenta ya que están en juego nuestras tarjetas bancarias e información más privada.

Bibliografía

[1] Mobile Payments: Risk, Security and Assurance Issues. Acceso el 06/10/18. https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/MobilePaymentsWP.pdf

[2] ISACA Challenges Mobile Payment Security Perceptions. Acceso el 06/10/18.  https://www.isaca.org/About-ISACA/Press-room/News-Releases/2016/Pages/ISACA-Challenges-Mobile-Payment-Security-Perceptions.aspx

[3] Que es el NFC que están poniendo en las tarjetas de crédito. Ventajas y peligros. Acceso el 07/10/18. https://www.smythsys.es/6369/que-es-el-nfc-que-estan-poniendo-en-las-tarjetas-de-credito-ventajas-y-peligros/

 

Visión global sobre los pagos móviles

Download PDF

La tecnología avanza a pasos agigantados y desde hace prácticamente unos años, hemos pasado de tener que pagar con dinero en metálico a poder realizar pagos vía móvil. De hecho, cada vez más compañías se suman al carro de dicha tecnología, en cuanto al sector financiero, bancos conocidos como BBVA, Santander o Kutxabank ya han empezado a implantarlos en sus apps. Asimismo, compañías de móvil como Samsung o Apple también han decidido desarrollar sus propias aplicaciones para este tipo de propósitos. Yo mismo me sorprendo como hemos podido pasar de tener que llevar una cartera con multitud de monedas y billetes en el bolsillo a poder hacerlo todo con nuestro móvil, y lo que nos espera… De hecho, la gente más despistada que se olvida las carteras lo agradecerán.

Dicho esto, hay una serie de incógnitas acerca de esta tecnología que aclararemos a lo largo de los distintos posts que se redactarán. Personalmente, como aficionado a las tecnologías móviles y sus aplicaciones, me hago una serie de preguntas que posiblemente mucha gente se las haga. ¿Qué se puede hacer con los pagos móviles y cómo funciona? ¿Qué tipos de pagos móviles hay? ¿Qué métodos existen para realizar pagos móviles? ¿Cuáles son sus ventajas y desventajas? ¿A qué riesgos estamos expuestos a la hora de emplear el pago móvil? ¿Qué será del pago móvil en el futuro?

Pero ¿qué es exactamente el pago móvil? La respuesta es muy fácil: hace referencia al conjunto de servicios que nos permiten realizar transacciones financieras a través de diferentes dispositivos móviles. Además del pago de servicios, dicho término incluye también la transferencia de dinero entre los amigos, por ejemplo. Algo realmente cómodo y útil que personalmente me sirve en aquellas situaciones en las que no dispongo de dinero en metálico y debo de dárselo de inmediato a mis amigos, familiares, etc [1].

 

shutterstock_271711736

Otro de los aspectos que me parecen interesantes y que creo que debéis conocer es el proceso que sigue dicha tecnología, 10 pasos que se describen tanto en la ilustración adjuntada en la parte inferior y su descripción detallada:

proceso pago movil

Paso 1: el usuario se registra en la aplicación de pago móvil correspondiente.

Paso 2: el cliente que utiliza la aplicación realiza una solicitud de pago de compra contra la plataforma interactiva móvil, punto (2) de la ilustración previa.

Paso 3: el tercer paso consiste en la presentación de dicha solicitud al sistema de pago móvil.

Paso 4: a continuación, el sistema de pago móvil recibirá la confirmación de negocio pertinente.

Paso 5: si el elemento del paso anterior confirma dicho pago, el sistema podrá procesar la solicitud del consumidor y realizar las operaciones que sean necesarias.

Paso 6: el órgano financiero puede confirmar la validez de la aplicación de transferencia de cuenta y retroalimenta al sistema.

Paso 7: una vez que el sistema móvil sea retroalimentado por el órgano financiero, dicho sistema podrá enviar a las cuentas de transferencias comerciales las noticias exitosas y las distintas solicitudes de los productos.

Paso 8: el octavo paso es el denominado como entrega o delivering en inglés. Consiste en la entrega al consumidor de ciertos bienes.

Paso 9: tras el paso 6, el sistema de pago móvil también entrega inmediatamente dicha retroalimentación a la plataforma interactiva móvil.

Paso final:  la plataforma interactiva móvil devuelve el resultado del pago que se obtiene del sistema de pago móvil al consumidor final [2].

 

Tipos de pago móvil

Una vez redactado que es el pago móvil, es lógico señalar los diferentes tipos existentes en la actualidad. Para ello, mostraré una pequeña tabla donde podemos ver sus principales características y ventajas.

Existen dos tipos de pago móvil, el pago por proximidad y los pagos remotos:

TIPOS DE PAGOS CARACTERÍSTICAS
 

Pago por proximidad

 

Este tipo hace referencia al pago en el que sus credenciales se encuentran almacenadas en el móvil y se intercambian por la nube. Asimismo, están basadas en las tecnologías NFC, tecnología que permite la comunicación inalámbrica y el intercambio de datos entre dos dispositivos que se encuentren a una distancia inferior a los 20 cm. Esto se ve frecuentemente en comercios como las tiendas de ropa.

 

 

Pagos remotos

 

Por otro lado, los pagos remotos se refieren a aquellos que se realizan vía navegador web móvil o simplemente mediante una aplicación instalada en dicho dispositivo. En este segundo tipo, el teléfono móvil se utiliza como dispositivo para autenticarse de manera remota.

 

 

Tecnologías de pagos móviles

Actualmente existen multitud de tecnologías para poder realizar pagos vía móvil, sin embargo, las que mencionaré y seguramente todos conozcamos son NFC y Bluetooth.

NFC es una tecnología de comunicación inalámbrica mediante la cual, dos dispositivos se conectan al emitir una señal y, simultáneamente, recibir otra señal. Pese a que NFC tiene una alta frecuencia, no permite la conexión entre dispositivos que se encuentren a más de 20 centímetros de distancia [3].

Otra de las tecnologías más escuchadas para realizar este tipo de pagos es Bluetooth Low Energy, estándar de Bluetooth para realizar pagos. Gracias a esta tecnología, el gasto energético ocasionado se reduce considerablemente dado que hace uso de diversos sensores capaces de reconocer la tecnología y evitar el tener que estar sacando constantemente el móvil. Creo que esta podría ser, en cuanto a comodidad se refiere, la mejor de ellas ya que, tal y como he mencionado anteriormente, no es necesario tener que acercar el dispositivo al datáfono a la hora de pagar. Sin embargo, no pienso lo mismo en cuanto a seguridad se trata, ya hablaré de ello en sucesivos posts.

 

Me gustaría concluir este primer blog aportando mi opinión acerca del pago móvil. Personalmente opino que es una muy buena tecnología que facilita nuestras vidas cotidianas, por el contrario, es un mecanismo al que aún le queda mucho por prosperar ya que actualmente existen cantidad de riesgos a los que nos exponemos a la hora de hacer uso de ellas, lo cual, antes de decantarnos por utilizar una opción u otra, debemos tener todo ello en cuenta.

 

Referencias

[1] Como pagar con el móvil. Acceso el 4 de octubre del 2018, https://www.comparaiso.es/moviles/guias/como-pagar-con-el-movil/

[2] Gestión de evaluación de riesgos para la seguridad de pago móvil. Acceso el 4 de octubre del 2018,  https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=4682854

[3] NFC Pago móvil. Acceso el 4 de octubre del 2018,  https://www.rastreator.com/telefonia/articulos-destacados/nfc-pago-movil.aspx

El futuro incierto de los pagos móviles

Download PDF

Para mi último post voy a hablar sobre dos noticias de actualidad. Una de ellas hace referencia a las vulnerabilidades que sigue teniendo los pagos móviles y las aplicaciones móviles. Otra en cambio hace referencia al futuro de los pagos móviles en relación a las tiendas autosuficientes.

BankBot

BankBot [1] es un troyano bancario el cual se encontró el 26 de diciembre 2016 por primera vez. Poco después de que fuera descubierto por primera vez el código de BankBot se hizo público. Esto derivó en un considerable aumento de los troyanos bancarios. Es un troyano para Android controlado remotamente, el cual es capaz de recolectar datos bancarios usando logins falsos para diferentes aplicaciones en este caso para la aplicación Jewels Strar.

El troyano BankBot volvió a aparecer en Google Play nuevamente en septiembre de la manera más sigilosa posible. El 4 de septiembre de 2017 se descubrió una nueva variante de BankBot el cual podía realizaba la ofuscación de código, además de que añadía una sofisticada funcionalidad para descargar payload y un mecanismo de infección sigiloso, que se aprovecha de la facilidad que tiene Android, para extraer los datos bancarios de la víctima.

El troyano en si logro llegar a la tienda de Android haciéndose pasar por la aplicación Jewer Strar classic, el cual es el típico juego como se muestra en la siguiente figura. En este caso se muestra el juego real, así como la aplicación  falsa.

CapturaAplicación verdadera en Google Play

Capturwa Aplicación falsa en Google Play

El troyano se inicia después de haber ejecutado la aplicación 20 minutos después aparece una ventana de Google service como se muestra en la imagen, la cual solo podemos quitar dando a OK. Una vez demos a OK el malware ya tiene los permisos suficientes para actuar libremente en tu dispositivo móvil.

sdfPNGVentana  de Google Service después de 20 minutos de iniciar Jewels Star Classic

Tras aceptar los permisos, al usuario se le niega brevemente el servicio poniendo una pantalla de una actualización como se muestra en la figura siguiente, en ese momento el troyano aprovecha para habilitar la configuración que permite la instalación de fuentes desconocidas, instala BankBot, le da permisos de administrador a la aplicación BankBot y establece BankBot como aplicación de SMS por defecto.

Figure6-1Pantalla de actualización mientras se instala el Malware.

Cuando se instale debidamente BankBot tendrá como único objetivo hacerse con la información de la tarjeta de crédito de la víctima la próxima vez  que se inserte la tarjeta en Google play. Si se inserta la tarjeta en google play los atacantes ya tendrán  el control de tu tarjeta ya que ellos tienen acceso a todos tus SMS. Esto les permite a los atacantes pasar la doble autenticación basada en SMS.

El hecho de que lo este tipo de Malware sea peligroso es que la combinación de hacerse pasar por Google más abusar del servicio de accesibilidad de android, hace difícil que se reconozca la amenaza a tiempo.

Para mantenerse protegido de este tipo de infecciones lo mejor  es:

  • Mirar las tiendas oficiales.
  • Verificar la popularidad de la aplicación.
  • Prestar atención a los derechos y permisos que pide la aplicación una vez la hayas instalado.

Moby Mart y bingo Box

Actualmente bingo box [2] cuenta con 150 tiendas automáticas estáticas que operan en china. Están tienda no tienen necesidad de tener personal. Las tiendas son de 18 m2 los cuales están llenos de refrescos, snacks y productos de primera necesidad. Estos productos son escaneados por una máquina y se paga a través del móvil por aplicaciones como Alipay o WeChat. Los productos son más baratos ya que te ahorras el coste de personal. Cada esquina del cubículo cuenta con una cámara de seguridad para que el cliente no consuma nada sin pagar. Si hay intento de robo o irse sin pagar hay una alarma.

El pago y la entrada a la tienda se realiza por medio del dispositivo móvil, por ello en un futuro el personal de la tiendas no serán necesarios. Ha esto hay que añadir que los robos se reducirán ya que, para acceder a este tipo de tienda debemos suministrar información personal. Por ello siempre nos tendrán controlados para evitar robos, además sabrán las compras que realizamos y nos suministrarán constantemente esa  compra para que la realicemos diariamente.

En un futuro próximo la tienda será la venga a ti y no al revés. Imagínate que es de noche y todas las tiendas y restaurantes ya han cerrado, presionando un botón de la aplicación aparecerá ante ti una tienda autosuficiente en la que podrás realizar compras de comida.

Moby Mart [3] es una tienda autosuficiente que funciona las 24 horas y todos los días. Es una tienda que acude a ti cuando la necesitas por medio de una aplicación. Para ingresar a la tienda se deberá deslizar tu teléfono móvil por la puerta y una aplicación de teléfono móvil te salude diciendo tu nombre. Los productos que deseemos los escaneamos mediante el código de barras con tu móvil. Por último, al salir volverás a pasar el teléfono y la tienda en sí te hará el cargo en tu tarjeta por medio de tu teléfono como se muestra en el siguiente video.

Si deseamos un producto que actualmente no se encuentra en la tienda podemos encargarlo y concretar la recogida. Las primeras pruebas se realizaron en Shanghai el software aún tiene problemas ya que aún está en versión beta. La tienda está equipada con paneles solares que alimentan un motor eléctrico y tiene un purificador de aire por ello se convierte en una tienda respetuosa con el medio ambiente. Aún hay muchos muros por superar, para que este tipo de tienda se haga realidad. Uno de esos muros está ligado a la restricciones que hay de los vehículos sin conductor

Conclusión

A la conclusión que llegado al leer estas dos noticias de los pagos móviles es que. Es una tecnología que va evolucionando de manera constante pero, siempre que evoluciona habrá alguien que encuentre alguna vulnerabilidad. Lo que provoca que este tipo de pago nunca tenga la total seguridad. A esta tecnología de pago a pesar de sus vulnerabilidades se le augura un gran futuro ya que, puede llegar a sustituir a los dependientes de las tiendas lo reduciría enormemente los costes y el precio de los productos.

Biografía

[1]      “Este peligroso malware de la Google Play te roba los datos bancarios” https://elandroidelibre.elespanol.com/2017/09/troyano-google-play.html , (Consultado el 26/10/17).

[2]      “China adelanta a Amazon en la expansión de tiendas automáticas “ https://www.economiadigital.es/tecnologia-y-tendencias/china-adelanta-amazon-tiendas-automaticas_410955_102.html , (Consultado el 26/10/17).

[3]      “Así es Moby Mart: la primera tienda móvil, autónoma y sin personal del mundo https://www.mediatrends.es/a/125118/moby-mart-primera-tienda-movil-autonoma-sin-personal-mundo-wheelys-shanghai/ , (Consultado el 26/10/17).

Controles de auditoría en los pagos móviles

Download PDF

En el artículo anterior indicamos los riesgos que se producen al utilizar el dispositivo móvil para comprar por medio de internet. ¿Cómo podríamos prever esos riesgos? La respuesta se impondrá en este artículo en el cual se mostrará lo diferentes controles de auditoría que se deberán hacer.

Auditoria de pagos móviles

Para que la seguridad sea adecuada se dividen las diferentes partes que componen una aplicación de pagos móviles las cuales se muestran en la imagen[1]:

Captura

Cada uno de los componentes tienen sus controles y pruebas que se le hacen para prever la pérdida de la información, el acceso a persona no autorizadas y la pérdida de datos. En estas tablas se indica tanto donde se debe realizar el control como que tipo de prueba deberemos llevar a cabo.

Dispositivos móviles

Zona de riesgo

Prueba de control

Prever que cuando el dispositivo esté suspendido se evite la extracción de datos ¿El dispositivo móvil utiliza AES?

Para prever la extracción de datos el dispositivo móvil debe estar configurado para realizar un cifrado avanzado AES(Advanced Encryption Standard).

La transmisión de datos debe estar cifrada

¿El cifrado se realiza mediante SSL(Secure Sockets Layer)? ¿Se usa HTTPS para el acceso a la web (Hypertext Transfer Protocol Secure)? ¿Se hace uso de FTPS (Comúnmente referido como FTP/SSL)para la transferencia de archivos? ¿Se usa TLS(Transport Layer Security)para los protocolos de seguridad?

La app limita el acceso la configuración apropiadamente

¿Se hace uso de un gestor de aplicaciones móviles MAM(Mobile Application Management) para administrar los accesos?

Un ejemplo de MAM podrían ser MobileIron, Airwatch.

El código de la aplicación está protegido contra un intruso a través de protecciones binarias

¿La aplicación permite modificar el código?

La aplicación debe estar configurar para limitar el acceso y la configuración adecuada para el uso limitado. Gestión de aplicaciones móviles MAM se utiliza para administrar acceso y despliegue de la aplicación.

Red

Zona de riesgo

Prueba de control

El cifrado del Wifi esta activada

¿La transmisión se realiza por medio de SSL o TLS(Transport Layer Security) para que la transmisión sea segura?

La transmisión se realiza por medio de SSL(Secure Sockets Layer) o TLS(Transport Layer Security) ambos protocolos cifrados para que la transmisión sea segura.

Nombre del dominio sistema(DNS) realizando Spoofing.

El DNS está protegido para evitar
reencaminamiento de datos a otro
Dirección de Protocolo de Internet (IP).

 

¿Se utiliza la configuración adecuada para el filtrado de paquetes?

Se utiliza la configuración adecuada para el filtrado de paquetes utilizando TLS(Transport Layer Security), SSH y HTTPS(Hypertext Transfer Protocol Secure) debe estar habilitado,para, verificar la dirección de origen y bloquear paquetes con dirección conflictiva.

Perdida de datos de logueo debido a una conexión insegura.

¿Las conexiones de la URL son a través de HTTPS?

Las conexiones de las URL (Uniform Resource Locator ) a través de la TLS son a través de HTTPS en lugar de HTTP para asegurarse conectarse a una URL

Servidor web

Zona de riesgo

Prueba de control

Roles y responsabilidades para la propiedad ha sido establecida ¿Hay diferentes roles para los usuarios del servidor web?

Los roles están correspondientemente definidos y cada uno de los roles con los accesos específicos.

Denegación de DoS( Disk Operating System) bloquear el acceso a los programas.

¿Se hace uso de protocolos de bloqueo y captchas para evitar ataques de DoS realizados por máquinas?

Usar protocolos de bloqueo y CAPTCHAS para que diferencie máquinas de humanos.

 

Identificar y actualizar la aplicación para aumentar los parches de seguridad

¿Se ha encontrado una vulnerabilidad nueva?

¿Se ha generado la actualización para hacer frente a esta vulnerabilidad?

Si se encuentra alguna nueva vulnerabilidad se debe gestionar un nuevo parche para solucionar esa falla de seguridad.

 Base de datos

Zona de riesgo

Prueba de control

El acceso de alto nivel a las bases de datos

¿Los usuarios que tratan con la base de datos tiene diferentes roles?

Asegurarse que tipo de acceso se tiene a la base de datos para cada persona. Todo esto se realizará por medio de cuentas y contraseñas

Consulta estructurada de la Base de datos

¿Se cumplen las reglas de sintaxis en la base de datos?

Para cada tipo de sintaxis habrá unas reglas plenamente definidas con su respectiva valoración.

 

Los datos provenientes del móvil deben ser revisados antes de enviarlos a la base de datos

¿Los datos de la aplicación móviles están protegidos contra ataques mediante verificaciones lógicas?

Los datos provenientes de la aplicación móvil deben estar protegidas a través de verificaciones lógicas dentro de la aplicación.

Gestor de aplicaciónes

Zona de riesgo

Prueba de control

El código fuente de la aplicación tiene correcto funcionamiento

¿La aplicación cuenta con la firma de la empresa desarrolladora?

La aplicación utiliza el certificado de empresa desarrolladora además de su firma.

La información existe para mitigar el riesgo o la perdida de dispositivos comprometidos

¿Se hace uso de un MAN para facilitar la limpieza remota?

Empleados de la empresa que hacen uso del control remoto de software de gestión móvil, como mobileIron para facilitar la limpieza remota

Las actuaciones de la tienda de aplicaciones so las correctas utilizando un ciclo de vida

¿La aplicación específica en la tienda la actualización que ha tenido y las modificaciones que se han realizado?

Se le especifica a la tienda de aplicaciones las actualizaciones y modificaciones que se harán en la aplicación

En conclusión, los auditores TI deberán trabajar en la organización de responsables de la aplicación. Los auditores deben crear un proceso de vigilancia que determine un mínimo de controles de seguridad para que las aplicaciones puedan funcionar en una zona con amenazas. Además de este tipo de pruebas también se deberían hacer las pruebas de penetración cada vez que la aplicación móvil vaya a ser actualizada.

MobileIron

MobileIron-logo-stacked

Es una empresa que se encarga de gestionar y administrar las aplicaciones para dispositivos inteligentes de forma segura y ahorrando costes. MobileIron hace uso de una plataforma virtual propia, donde se encuentran todas las aplicaciones móviles y se pueden descargar Mediante el uso de la plataforma se reducen los errores por ello se reducen los costes económicos, se aumenta la productividad y aumenta la prevención de riesgos [2].

 

Biografía

[1] “Journal volume 4 2016 spanish Issues https://www.isaca.org/Journal/archives/2016/volume-4/Documents/Journal-volume-4-2016-Spanish.pdf , (Consultado el 21/11/17).

[2] “MobileIron, aplicaciones para móviles en la nubehttp://empresayeconomia.republica.com/newsletter/mobileiron-aplicaciones-para-moviles-en-la-nube.html  , (Consultado el 21/11/17).

 

 

Relevancia de los pagos móviles en el mercado

Download PDF

A pesar de que los pagos móviles están en constante evolución estos están beneficiando notablemente a las grandes empresas. Esto se debe a que las compras que antiguamente tendríamos que ir a el sitio en concreto se pueden hacer desde cualquier parte utilizando tu dispositivo. Es decir, este nuevo método de pago beneficia al gran empresario puesto que, estos tienen la capacidad de crear páginas Web donde el cliente pueda realizar sus compras desde el dispositivo móvil.

Actualmente no se han dividido las partes que interactúan con los pagos móviles. Las instituciones financieras y los operadores móviles compiten entre si para mantener las cuentas del cliente y recibir la mayor parte de las tarifas [1]. Por ello se han creado 2 tipos de cliente que son:

  • Cliente centrado en el banco: El cual toda su información está en el banco. Es el cliente que se usa el sistema de Visa y MasterCard, que son tarjetas de crédito vinculadas al banco.
  • Cliente no centrado en el banco: El pago se realiza mediante una cuenta que es una organización no financiera como, un servicio móvil o un servicio de pago de terceros como PayPal.

Partes interesadas por pago móvil

Las partes más interesadas en que haya un progreso en el pago móvil son aquellas que les beneficia considerablemente que se realice el pago mediante el dispositivo móvil estas son:

  • Operadores móviles: Los operadores móviles se llevan un beneficio al hacer las transacciones por medio de ellos, algunos de los más conocidos son MoviStar y Vodafone.
  • Bancos: El pago móvil sin contacto reduce el uso de los micropagos y los costos de emisión de tarjetas. Además, da la oportunidad de brindar servicios bancarios sin tener que ir a un banco.
  • Comerciantes: El pago móvil ha acelerado las transacciones. Además, ayudan a identificar al cliente potencial y la lealtad del cliente.
  • Operadores de transporte: Muchos operadores ya ofrecen tarjetas sin contacto para usar en sus redes, y se llevan un beneficio al realizar la traslación por medio de la aplicación como podría ser PayPal.
  • Vendedores de entradas: Los vendedores que venden entradas a través de internet, puede enviar los boletos directamente al comprado por medio del teléfono y actualmente se puede hacer desde cualquier ubicación.

 

ciclo de vida pago movil

Ciclo de vida de un pago móvil NFC centrado en el banco

Aplicaciones para realizar pagos móviles

Estas son las aplicaciones que actualmente están siendo más usadas por los dispositivos móviles para hacer transacciones u compras.

PayPal es una compañía Estados Unidos que opera con los pagos en línea en todo el mundo. Admite la transferencia de dinero en línea y sirve como una alternativa a métodos tradicionales como cheque [2]. PayPal funciona en 202 mercados y actualmente hay 210 millones de personas que tienen sus cuentas registradas con sus tarjetas de crédito. Mediante PayPal se pueden enviar y recibir pagos además de transferir fondos electrónicamente entre individuos y empresas.

 

Bizum una forma instantánea, fácil y segura de pagar con tu móvil [3]. Es un sistema de pago pensado para todos, que funciona enviando el dinero de una cuenta bancaria a otra. Mediante ella se puede enviar dinero a amigos. Aunque actualmente no cuenta con el sistema de compra online puesto que se está implementando y es mejor utilizar PayPal. Tampoco cuenta con el sistema de pago de comercios ya que, hasta que todos los comercios tengan bizum no se podrá realizar este tipo de pago.

Pinterest es una compañía que tiene una aplicación móvil que les da la capacidad a los minoristas de realizar ventas a través de la aplicación móvil Pinterest [4]. en la actualidad ha salido la opción Shop the Look que permite a los usuarios ver una foto del elemento en concreto y directamente se redirigido a la página Web donde venden el artículo en concreto. El principal objetivo que tiene esta aplicación es ayudar al cliente a realizar su compra de manera más eficaz y gastando el menor dinero posible. En mi humilde opinión este tipo de aplicaciones está haciendo que principalmente aumente el consumismo del ser humano al realizar comprar por medio de imágenes. Esto se debe a que el ser humano es vago por naturaleza y una aplicación que te ayuda a realizar las comprar sentado en el sofá es un riego para los usuarios que la utilizan.

Kuapay es una aplicación de pago móvil en la que añadiendo la tarjeta de crédito podremos realizar tracciones [5]. Una vez nos demos de alta introducimos una contraseña y la aplicación genera un código QR que nos podrá leer la caja que efectúa el cobro. De momento no utiliza el sistema NFC. Para los propietarios de los comercios está aplicando tiene una comisión de cinco céntimos por transacción.

Como hemos podido observar el pago móvil ha afectado tanto al pequeño comercio, como al comercio grande. Aunque el comercio grande se ha visto más afectado por el simple hecho de que la mayoría de los pequeños comercios no tienen una página Web en cambio los comercios grandes si. En vista de esto, los comercios pequeños se ven obligados a utilizar páginas Web de terceros para vender sus productos, lo que provoca que no obtengan todo el beneficio posible.

Biografía

Phishing

Download PDF

El post anterior trataba sobre algunos factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos. Además de las amenazas que se nombraban en aquel post, existe otra más de la cual considero que es fundamental tener ciernas nociones, y es ésta la que me gustaría tratar en este último post. Es por ello que he seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca del impacto que produce el Phishing en el Mundo Móvil.

Phishing

¿Qué es Phishing?:

El termino Phishing es utilizado para referirse a uno de los métodos utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima. Estos ataques se producen de la siguiente manera:

  1. Todo comienza con un correo electrónico no deseado, o spam. Normalmente nadie acostumbraría a leer el correo electrónico no deseado, pero, puesto que a veces el correo legítimo no atraviesa los filtros y se queda con el no deseado, comprobar esta “bandeja” no resultaría extraño. Otra opción podría ser que el filtro de correo electrónico no hubiera sido capaz de detener el intento de estafa. Sea como sea, el destinatario del correo acaba leyendo el correo.
  2. Este correo contiene una URL que direcciona al dominio del atacante, y se espera que el usuario que recibe el correo acceda a ella con una de las siguientes escusas:
    1. Cambio en la normativa del banco.
    2. Cierre incorrecto de la sesión del usuario.
    3. Mejoras en las medidas de seguridad.
    4. Detectada intrusión en sus sistemas de seguridad.
    5. Bloqueo de la cuenta por motivos de seguridad.
    6. Etc.
  3. Una vez en el dominio del atacante, se espera que la víctima introduzca los datos que el atacante desea, para ello el atacante hace que su dominio se parezca, tanto en nombre como apariencia, al dominio al que la víctima cree estar accediendo.

Y además, según un artículo de ElevenPaths (la unidad global de ciberseguridad de Telefónica), es mucho más fácil atacar haciendo Phishing a una empresa a través de los dispositivos móviles. Las oportunidades que ofrecen los dispositivos a los atacantes para realizar ataques son las siguientes:

  • Las dimensiones de la pantalla: Cuando el usuario entra a un sitio web el dispositivo móvil intenta ofrecer la mayor visibilidad posible en la pantalla. Esto hace que en algunos navegadores la barra de direcciones desaparezca rápidamente. No saber en qué página se está, aumenta el peligro y facilita la labor de los atacantes.
  • Las vistas incrustadas en las aplicaciones móviles: Algunas aplicaciones de redes sociales como Facebook, Twitter, o los gestores de correo, utilizan vistas web embebidas con el fin de proporcionar comodidad al usuario y estética. Cargan la dirección URL enlazada desde la aplicación móvil, y por defecto no muestran la dirección URL en ningún lugar de la aplicación móvil.
  • Los subdominios: Otro problema de espacio que presentan las barras de direcciones en los navegadores de los dispositivos móviles es que suele desplazar la vista de forma que se muestran normalmente los subdominios más a la izquierda. Este detalle permite al atacante diseñar en su sitio web un subdominio con, por ejemplo, un formato como el siguiente www.defensa.gob.es.dominiomalicioso.com. En este caso, si se accede desde Android al sitio web se vería lo siguiente:

Subdominios

  • Y qué ocurre con el SSL: Se supone que el SSL, al igual que en cualquier ordenador, debería ser la mejor defensa contra el Phishing. ¿Lo ponen fácil en las versiones más ligeras del navegador? En general, si la conexión no está cifrada, la barra de direcciones ni siquiera muestra el protocolo por el que se navega.

¿Qué podemos hacer?:

Los empleados de la organización deben estar concienciados de lo que un atacante es capaz de hacer mediante el Phishing. Por eso todo empleado tiene que saber que debe:

  • No lanzar la precaución por la ventana cuando se cambia del ordenador al dispositivo móvil.
  • Evitar hacer clic en enlaces de mensajes SMS.
  • Comprobar si una página está utilizando HTTPS.

El dispositivo móvil no es más seguro, simplemente porque no es lo mismo que un ordenador. E independientemente desde qué dispositivo se facilita la información personal o una contraseña, si se hace en el sitio equivocado, esa información va a acabar en las manos de personas equivocadas…

Referencias:

Otros:

«¿QUÉ ES EL PHISHING?», Info Spyware, acceso el 27 de noviembre de 2016,
https://www.infospyware.com/articulos/que-es-el-phishing/.

«Phishing en dispositivos móviles: ¿es más fácil?», ElevenPaths, acceso el 27 de noviembre de 2016,
http://blog.elevenpaths.com/2013/11/phishing-en-dispositivos-moviles-es-mas.html.

«Phishing a través de SMS», naked security, acceso el 27 de noviembre de 2016,
https://nakedsecurity.sophos.com/es/2016/02/12/phishing-via-sms-crooks-target-australian-mobile-banking-users/.