doctesina - Tesis Institucionales - Instituto Politécnico Nacional
download 
Report Transcription
tesina - Tesis Institucionales - Instituto Politécnico Nacional
INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE
INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
“MODELO DE SEGURIDAD PARA
PAGO Y BANCA MÓVIL”
T
.
E
S
I
N
A
Q U E P A R A O B T E N E R E L T Í T U L O D E:
I N G E N I E R O
E N
I N F O R M Á T I C A
s
P
R
E
I V Á N
S
E
N
B U E N O
J O S É
U R I E L
T
A
N
:
C U É L L A R
C A N O
V A L D É S
CHRISTIAN DORIAN GARCÍA HERNÁNDEZ
J O SÉ
ED U ARDO L O B ER A
V ER G AR A
v
BRENDA
MÉXICO
DF
ISABEL
VELÁZQUEZ
TREJO
2009
ÍNDICE
RESUMEN .........................................................................................................................................6
INTRODUCCIÓN ...............................................................................................................................8
CAPÍTULO I MARCO METODOLÓGICO ........................................................................................11
1.1
Planteamiento del problema ....................................................................................................11
1.2
Objetivos ..................................................................................................................................11
1.3
Técnicas de investigación ........................................................................................................12
1.4
Universo y/o muestra ...............................................................................................................12
1.5
Justificación .............................................................................................................................12
CAPÍTULO II SISTEMAS DE TELEFONÍA MÓVIL .........................................................................14
2.1
Funcionamiento de un sistema celular ................................................................................14
2.2
Tecnologías de acceso celular .............................................................................................15
2.2.1 Sistemas analógicos ...........................................................................................................16
2.1.1.1
AMPS (Advanced Mobile Phone System) ..............................................................16
2.1.1.2
NMT (Nordic Mobile Telephone) .............................................................................16
2.1.1.3
TACS (Access Communications System)...............................................................17
2.1.2
Sistemas Digitales ...........................................................................................................17
2.1.2.1
Técnicas de Acceso Múltiple ..................................................................................17
2.1.2.1.1 FDMA (Frequency Division Multiple Access)......................................................18
2.1.2.1.2 TDMA (Time Division Multiple Access) ..............................................................18
2.1.2.1.3 CDMA (Code Division Multiple Access) .............................................................18
2.1.2.2
GSM (Global System for Mobile Communications) ................................................19
2.1.2.2.1 GPRS (General Packet Radio Service) ..............................................................20
2.1.2.2.2 EDGE (Enhanced Data Rates for Global Evolution)...........................................20
2.1.2.2.3 UMTS (Universal Mobile Telecommunications System) .....................................20
2.1.2.2.4 Acceso a Internet y Aplicaciones por Teléfono Celular ......................................20
2.2
2.1.2.3
D-AMPS (Digital AMPS) .........................................................................................22
2.1.2.4
PDC (Personal Digital Celular) ...............................................................................22
2.1.2.5
PHS (Personal Handyphone System).....................................................................22
Generaciones de Telefonía Móvil ............................................................................................22
2.2.1
Generación cero (0G) .....................................................................................................23
2.2.2
Primera generación (1G) .................................................................................................23
2.2.3
Segunda generación (2G) ...............................................................................................23
2.2.4
Tercera generación (3G) .................................................................................................24
2.2.5
Cuarta generación (4G)...................................................................................................24
2.3
Tecnologías utilizadas en la actualidad ...................................................................................24
2
CAPITULO III ANTECEDENTES Y CONCEPTOS DE PAGO Y BANCA MÓVIL ...........................26
3.1
Antecedentes de Pago y Banca Móvil .....................................................................................26
3.1.1
Pagos electrónicos en México.........................................................................................26
3.1.1.1
Terminales punto de venta TPVs ...........................................................................27
3.1.1.2
Terminales punto de venta TPVs virtuales .............................................................28
3.1.1.3
Prosa / E-Global .....................................................................................................29
3.1.1.4
Banca Electrónica ...................................................................................................29
3.2
Pago y Banca Móvil .................................................................................................................30
3.3
Experiencias en otras Regiones ..............................................................................................31
3.3.1
Mobipay (España) ...........................................................................................................31
3.3.2
Visa Mobile Wave (Malasia) ............................................................................................32
3.3.3
G-Cash (Filipinas) ...........................................................................................................32
3.3.4
Madurez del mercado de pagos móviles .........................................................................33
3.3.5
Expectativa de la popularidad de pagos móviles respecto a otros métodos de pago .....33
CAPÍTULO IV FUNCIONALIDAD Y RIESGOS DE PAGO Y BANCA MÓVIL ................................34
4.1
Aspectos generales .................................................................................................................34
4.1.1
Activación del servicio .....................................................................................................34
4.1.2
Modo de uso ...................................................................................................................35
4.2
Esquemas de Pago y Banca Móvil ..........................................................................................36
4.2.1
4.3
FIMPE como plataforma de los servicios de pago móvil .................................................36
4.2.1.1
Transacciones FIMPE ............................................................................................37
4.2.1.2
FIMPE.....................................................................................................................37
4.2.1.3
BANAMEX – TELCEL.............................................................................................38
4.2.1.4
AZTECA – USACELL .............................................................................................39
Factores de riesgo en pago móvil ............................................................................................39
4.3.1
Riesgo operativo .............................................................................................................39
4.3.2
Riesgos de seguridad .....................................................................................................40
4.4
Clasificación y Tipos de ataques .........................................................................................40
4.4.1
Ataques pasivos ..............................................................................................................40
4.4.2
Ataques Activos ..............................................................................................................41
4.4.3
Categorías Generales de Ataques y Amenazas .............................................................41
4.5
Seguridad en Bases de Datos .............................................................................................42
4.6
Diferentes Modos de ataque ...............................................................................................48
4.6.1
Man in the Middle ............................................................................................................48
4.6.1.1
Ataques de negación de servicio DOS (Denial Of Service). ...................................48
4.5.1.2 Eavesdropping ...........................................................................................................49
4.6.2
Sniffers ............................................................................................................................50
4.6.3
BlueJacking, BlueSnarfing y BlueBugger ........................................................................50
3
4.6.4
Clonación de SIM (Módulo de Identificación del Suscriptor). ..........................................51
4.6.5
Secuestro de sesión (Session Hijacking) ........................................................................51
4.6.6
Troyano ...........................................................................................................................51
4.6.7
Bots .................................................................................................................................52
4.6.8
Phishing ..........................................................................................................................52
4.6.8.1
Pharming ................................................................................................................53
4.6.8.1.1
Malware .............................................................................................................53
4.6.8.2
Vishing y SMishing .............................................................................................53
CAPÍTULO V LEGISLACIÓN Y MEJORES PRÁCTICAS...............................................................55
5.1
Legislación en México .............................................................................................................55
5.1.1
Código Civil Federal ........................................................................................................55
5.1.2
Código Federal de Procedimientos Civiles......................................................................56
5.1.3
Código Fiscal de la Federación .......................................................................................57
5.1.4
Código Penal Federal .....................................................................................................57
5.1.5
Código de Comercio .......................................................................................................58
5.1.6
Ley de la Secretaría de Comunicaciones y Transportes .................................................59
5.1.7
Ley Federal de Protección al Consumidor ......................................................................60
5.1.8
Ley Federal del Derecho de Autor ..................................................................................61
5.1.9
Ley de la Propiedad Industrial .........................................................................................62
5.2
Regulación en México .............................................................................................................63
5.2.1
CONDUSEF ....................................................................................................................63
5.2.2
CNBV (Comisión Nacional Bancaria de Valores) ............................................................64
5.3
Legislación Internacional .........................................................................................................72
5.3.1
SEPA (Single Euro Payments Area) ...............................................................................72
5.3.2
Condiciones en Normatividad Europea ...........................................................................73
5.4
Controles .................................................................................................................................74
5.5
Mejores Practicas ....................................................................................................................76
5.5.1
Definición COBIT ............................................................................................................76
5.5.2
Definición ISO17799 .......................................................................................................76
5.5.3
Mejores prácticas para Pago y Banca Móvil ...................................................................77
CAPITULO VI MODELO DE SEGURIDAD PARA PAGO Y BANCA MÓVIL .................................82
6.1
Modelo propuesto ....................................................................................................................82
6.2
Análisis de riesgos .................................................................................................................83
6.3
Mecanismos de seguridad....................................................................................................87
6.3.1
Políticas ..........................................................................................................................87
6.3.2
Procedimientos .............................................................................................................108
6.3.3
Tecnología .....................................................................................................................113
6.4
Monitoreo ..............................................................................................................................121
4
6.5
Concientización .....................................................................................................................121
CAPÍTULO VII CASO PRÁCTICO - DINERO MÓVIL ..................................................................123
7.1
Infraestructura.......................................................................................................................123
7.1.1 Flujo Operativo ..................................................................................................................125
7.2
Políticas .............................................................................................................................126
CONCLUSIONES ..........................................................................................................................132
BIBLIOGRAFÍA .............................................................................................................................135
GLOSARIO ................................................................................................................................13334
5
RESUMEN
El presente trabajo, consiste en la aplicación de un modelo de análisis estratégico dentro de las
instituciones bancarias y fue desarrollado para optimizar, economizar y satisfacer todas las
necesidades del proceso informático de pago mediante la banca móvil. Así mismo se propuso un
modelo de seguridad el cual tiene como objetivo salvaguardar la información que fluye a través de
los medios electrónicos que participan dentro del proceso del pago de servicios vía banca móvil. El
modelo de seguridad fue diseñado de manera tal que puede adaptarse a las condiciones
cambiantes y competitivas que se encuentran dentro de las instituciones bancarias.
Dentro del modelo de análisis estratégico se encuentra el marco teórico–conceptual, el cual sirve
de apoyo para optimizar la implementación de cada una de las técnicas utilizadas en el desarrollo
de los procedimientos utilizados para el uso y manejo de la banca móvil. Aunado a esto, el modelo
de seguridad de Pago y Banca Móvil, está conformado por cuatro etapas que han sido diseñadas
de modo que cualquier sistema utilizado en alguna institución bancaria o privada pueda ser
implementado de manera sencilla y pueda cumplir con las necesidades que requieren los usuarios
de la banca móvil.
Dentro de la primera etapa se realizó un análisis de los riesgos que pudieran afectar a la
implementación del modelo de seguridad de tipo tecnológico, físico y legal, considerando el
panorama existente en el pago de cualquier tipo de servicio que utilice cualquier medio electrónico
relacionado con la banca financiera.
En la segunda etapa se estudiaron los mecanismos de seguridad, de los cuales al realizar el
análisis de la información correspondiente a las políticas, procesos y tecnologías, actuales, se
realizó una reestructura de las de mencionadas condiciones, y así poder integrar el modelo y no
afectar por completo las condiciones ya existentes, solo mejorarlas y adecuarlas.
La tercera etapa se refiere al monitoreo de políticas y procedimientos, administrativos y
tecnológicos, revisiones y ajustes en el uso e implementación del modelo estratégico.
En la última etapa del modelo de seguridad de Pago y Banca Móvil, se llevó a cabo, un plan de
concientización para difundir normas y políticas que los usuarios deben de seguir, para optimizar
los servicios que fueron propuestos dentro del modelo y así hacer más eficiente la banca
electrónica con los pagos móviles.
6
Finalmente se comprueba mediante un caso práctico que el modelo de seguridad de Pago y Banca
Móvil es viable para su la aplicación dentro de las instituciones bancarias y todas aquellas que se
dediquen al pago y recepción de servicios monetarios, como instrumento de apoyo, ya que este
modelo de aplicación ofrece una eficiente mejora a dichos servicios.
A continuación se describe un poco más detallado el Modelo de Seguridad para Pago y Banca
Móvil. El modelo de seguridad propuesto para el sistema de Pago y Banca Móvil consta de los
siguientes puntos: Análisis de riesgos, Mecanismos de seguridad, Monitoreo y Concientización.
El análisis de riesgos, este debe consistir en el análisis y gestión de riesgos para obtener la
selección de las medidas necesarias para salvaguardar el servicio de Pago y Banca Móvil. Según
el estándar ISO 27001:2005, el marco general, parte de la fase de planificación y diseño, dentro de
la cual, y para este Modelo de Seguridad para Pago y Banca Móvil se propusieron las siguientes
tareas: Conocimiento del entorno y alcance del proyecto, identificación y valoración de activos,
identificación y valoración de las amenazas, identificación de las medidas de seguridad existentes,
identificación y valoración de vulnerabilidades, determinar medidas del riesgo, determinar el
impacto e identificación de las medidas de protección.
Dentro de la parte de los mecanismos de seguridad, se debe establecer el proceso óptimo para la
gestión de la seguridad de los activos de información contenidos en la infraestructura tecnológica
administrada por cada entidad que compone el sistema de Pago y Banca Móvil que permitan
identificar requerimientos de seguridad, mediante políticas y procedimientos.
La fase de monitoreo se relaciona con vigilar el cumplimiento por la organización de las políticas y
procedimientos de seguridad establecidos en la organización como una “Línea base” de seguridad
para reducir el riesgo a niveles aceptables para el o los programas de seguridad de la información.
Por último la etapa de concientización, que consiste en la difusión del Modelo de Seguridad por
diferentes medios de comunicación al interior de la empresa y demás personas que intervengan en
el proceso informático de pago y banca móvil, partiendo de un conocimiento básico de Seguridad
Informática hasta lograr la adopción y asimilación de componentes del modelo de seguridad
(políticas, tecnología y procedimientos).
7
INTRODUCCIÓN
En los últimos años, el uso del teléfono celular ha tenido un gran auge, el cual tiene ventajas como
son: el nivel de penetración y la facilidad de uso. Aunque mucha gente no tiene nivel
socioeconómico para poder mantenerlo. Por otro lado, cada día las instituciones y organizaciones
tanto públicas como privadas han promovido el pago de salarios mediante depósitos a tarjetas
bancarias, por lo que actualmente circulan en el país y en el resto del mundo un gran número de
ellas.
La tecnología avanza con el paso del tiempo y el ser humano busca apoyarse en esta para
facilitarse su vida diaria, es por esto que ha surgido una novedosa forma de pago la cual consiste
en realizar pagos y transacciones entre particulares de forma rápida, cómoda, segura y sencilla en
cualquier momento y desde cualquier lugar, mediante el teléfono celular, el cual sirve como
terminal bancaria.
Los usuarios tienen que activar su tarjeta de crédito o débito en las compañías bancarias que
prestan este servicio, quienes aplicarán el cargo a la cuenta por dicho servicio. Las transacciones
no requieren del número de la tarjeta de crédito o débito ni otros datos confidenciales. Cada que se
realice un pago con un celular, el usuario tiene que autorizar la operación en tiempo real, para
tener acceso a este servicio no es necesario adquirir un nuevo teléfono celular, sino que se puede
tener en casi cualquier equipo sin necesidad de instalar un hardware o software adicional.
En base a algunas estadísticas realizadas y publicadas por el Universal en el mes de febrero del
2008, se sabe que “en México hay cerca de 60 millones de celulares y por lo menos de 40 millones
de cuentas bancarias en circulación, un campo de negocios con alto potencial para las
instituciones bancarias”.1
Por otra parte, este nuevo esquema, no se está analizando a nivel gremial sino que cada banco
tiene sus propias iniciativas y persiguen sus oportunidades y cada uno tiene una estrategia
particular para entrar a ese mercado. Hay bancos que van muy adelantados y otros que van
empezando, ya que en México existe un gran número de usuarios de telefonía celular y de tarjetas
bancarias en circulación, es un campo de negocios con alto potencial para las instituciones
bancarias.
1
Artículo publicado por El Universal, martes 26 de febrero de 2008
8
Es por lo anterior que el propósito es proponer un modelo de seguridad para Pago y Banca Móvil,
para lo cual esta tesina consta de siete capítulos y se estructura de la siguiente manera:
Capítulo I “Marco Metodológico” Este capítulo es la base metodológica que se utiliza en el
desarrollo del trabajo de investigación, así como las razones de la elección de este tema.
Capítulo II “Sistemas de Telefonía Celular” En este capítulo se describe brevemente el
funcionamiento de los teléfonos celulares así como de las principales tecnologías, que se
encuentran disponibles en la actualidad. La importancia de este capítulo radica en que si se desea
establecer un Modelo de Seguridad para Pago y Banca Móvil (P & B Móvil) se debe comenzar por
saber cómo es que funcionan los sistemas de telefonía celular y las técnicas de acceso múltiple
empleadas en dichos sistemas.
Capítulo III “Antecedentes y Conceptos de Pago y Banca Móvil” Este capítulo trata de los
antecedentes de Pago y Banca Móvil” En base a los antecedentes de las formas de
pago
utilizando medios electrónicos, se dará una idea en general de cómo es posible con el solo uso de
la telefonía celular, forma de pago que en México todavía no llega a una etapa de madurez como lo
es en otros países.
Capítulo IV “Funcionalidad y riesgos del Pago y Banca Móvil” En este capítulo se abordan los
temas relacionados con todo lo que es la funcionalidad del Pago y Banca Móvil, así como también
se habla de los riesgos de fraude, los cuales deben ser mitigados con controles de seguridad.
Capítulo V “Legislación y Mejores Practicas” Para
el buen funcionamiento del servicio, es
necesario establecer lineamientos y controles que mitiguen los riesgos existentes, proporcionando
una mayor seguridad. Se requiere conocer la Legislación Nacional e Internacional que sirva de
base para validar que el marco jurídico sea adecuado para el funcionamiento del servicio. Del
mismo modo, es necesario basarse en ISO Y COBIT para cumplir con las mejores prácticas de TI;
así como identificar las principales herramientas tecnológicas de seguridad que apoyen a cubrir los
riesgos.
Capítulo VI “Modelo de Seguridad para Pago y Banca Móvil” Proponer un Modelo de Seguridad
que puedan utilizar las diferentes instituciones tanto de telefonía como bancarias, para asegurar la
confiabilidad el uso de este servicio. De tal manera que al implementar los mecanismos de
seguridad se garantice el buen funcionamiento en el servicio de Pago y Banca Móvil.
9
Capítulo VII “Caso práctico - Dinero Móvil” es el nombre del nuevo servicio de pagos, consultas de
saldos y transacciones bancarias vía teléfono móvil que está llamando la atención de muchos
jóvenes en México, es por esta razón que se debe realizar un estudio de la seguridad.
Con todo lo anterior, se propone un Modelo de Seguridad para Pago y Banca Móvil que establezca
los elementos necesarios para regular el funcionamiento de los procesos de TI implicados en el
pago de servicios por telefonía móvil, de manera que ayude a las organizaciones financieras y
telefónicas a brindar un servicio que garantice el correcto funcionamiento del proceso de pagos de
servicios por telefonía móvil, siendo este seguro y confiable.
10
CAPÍTULO I MARCO METODOLÓGICO
1.1 Planteamiento del problema
En este capítulo se abordan los aspectos generales de la tesina, es decir, el porqué la elección de
este tema, los principales objetivos, así como las técnicas de investigación que se emplean en el
desarrollo de Pago y Banca Móvil.
El ritmo de vida de las personas actualmente es muy acelerado, es por ello que los
establecimientos comerciales y las empresas de servicios en conjunto con las instituciones
bancarias buscan la manera de facilitar a los usuarios el modo de realizar consultas de saldos,
pagos y transacciones.
Estos servicios que brindan las empresas son más accesibles para los consumidores, esto con el
objetivo de ser
día a día más eficientes aplicando procesos
que estén a la vanguardia
tecnológica. Para ello están utilizando uno de los medios tecnológicos que se ha vuelto
indispensable hoy en día; el teléfono celular. Al realizar el pago de servicios de esta manera el
consumidor evita la pérdida de tiempo formado en largas filas en bancos y cajas de diversos
establecimientos.
Algunos ejemplos claros de la comodidad y el buen funcionamiento de este medio para realizar
pagos, son Reino Unido, España, Alemania, entre otros; los cuales ya llevan algunos años
utilizando el pago móvil y la banca móvil.
En cuanto a México estas formas de pago no se han puesto en práctica en su totalidad. Cada
banco, comercio o empresa esta adecuando este servicio en base a sus propias iniciativas y
persiguen sus oportunidades y cada uno tiene una estrategia particular para aplicar este servicio.
Lo que se busca es proponer un modelo de seguridad de manera que garantice el buen
funcionamiento y seguridad del servicio.
1.2 Objetivos
El objetivo primordial es proponer un Modelo de Seguridad que establezca procedimientos y
controles de seguridad necesarios para regular el funcionamiento de los procesos de TI implicados
en el pago de servicios por telefonía móvil, de manera que se garantice que sean confiables y
seguros para realizar el pago de servicios, operaciones bancarias, traspasos o simplemente
consulta de saldos.
11
Algunos objetivos más específicos que se persiguen son:
Establecer normas de seguridad y confidencialidad de la información para brindar
confiabilidad y veracidad de las transacciones
Plantear un flujo ideal para la prestación del servicio
Respaldar tanto al cliente como a las organizaciones financieras
Clasificar los procesos de TI involucrados (telefonía, software, administrativos o humanos)
Proponer un estándar de comunicaciones e infraestructura necesaria
Implementar políticas y procedimientos que aseguren el nivel de calidad del servicio y la
seguridad e integridad de la información
Identificar los riesgos físicos y lógicos que puedan impedir la funcionalidad del proceso
informático
Enlistar los requerimientos necesarios para la óptima prestación del servicio
Indicar mecanismos de seguridad para la funcionalidad que la información transmitida,
procesada y almacenada a través del medio solo puede ser accedida por las personas
autorizada
1.3 Técnicas de investigación
Dado que no existen investigaciones previas sobre el objeto de estudio, por lo tanto se requiere
explorar e indagar, con el fin de alcanzar el objetivo planteado, se utiliza el tipo investigación
exploratoria. Se busca plantear un marco referencial que sirva para como metodología para auditar
o implementar el proceso del pago de servicios por medio de telefonía móvil.
1.4 Universo y/o muestra
Para el desarrollo de este trabajo, se pedirá el apoyo, y en el momento de que esta se termine la
opinión sobre esta, de una institución bancaria, que será:
BANCO AZTECA
Carlos Christian Márquez López
Gerente de Sistemas de eBanking
Tel. 17207000 ext.77987
1.5 Justificación
La gran mayoría de las personas en México son un tanto desconfiadas del uso de la tecnología y
más aun cuando su capital está en juego, es por ello que se trata de inculcar una cultura
12
tecnológica tratando de transmitir confianza y seguridad en cualquier medio tecnológico que estas
ocupen.
Aunque en la actualidad la legislación existente relacionada con la informática sigue siendo
escasa, en los últimos años los gobiernos comienzan a tomar conciencia de la necesidad de exigir
responsabilidades en los riesgos derivados de los sistemas informáticos y de la necesidad de
establecer controles adecuados.
Esta necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría
informática ha promovido la creación y desarrollo de mejores prácticas como COBIT e ISO. No
obstante la utilización de estos marcos normativos, no son aplicados en todos los productos y
servicios relacionados con las tecnologías de información, lo que hace vulnerable la calidad de sus
procesos y por ende pone en riesgo la satisfacción del cliente; donde sabemos que hoy en día, la
permanencia de una empresa en un entorno de globalización creciente, está en relación a la
calidad total.
El Pago móvil y la Banca móvil siendo relativamente nuevos en nuestro país, no son inmunes a los
riesgos que generan los procesos de tecnología de información.
Por ellos, es indispensable establecer un modelo de seguridad que ayude a realizar un análisis de
los riesgos existentes y en base a estos riesgos tratar de implementar mecanismos de seguridad
que permitan confiar a los usuarios en el Pago móvil y Banca móvil.
13
CAPÍTULO II SISTEMAS DE TELEFONÍA MÓVIL
En este capítulo se describe brevemente el funcionamiento de los teléfonos celulares así como de
las principales tecnologías, que se encuentran disponibles en la actualidad. La importancia de este
capítulo radica en que si se desea establecer un Modelo de Seguridad para Pago y Banca Móvil
se debe comenzar por saber cómo es que funcionan los sistemas de telefonía celular y las técnicas
de acceso múltiple empleadas en dichos sistemas.
2.1
Funcionamiento de un sistema celular
De acuerdo a la página de eveliux en su artículo la evolución de la telefonía móvil 2 dice que lo
primero es enlistar y describir cuales son los elementos que conforman un sistema celular para su
funcionamiento:
1. Teléfono celular.
2. EL MTSO (Mobile Telephone Switching Office), es el conmutador central de telefonía móvil,
se encuentra conectado a la compañía que presta el servicio de telefonía móvil procesa,
monitorea y tarifica las llamadas.
3. Las celdas (radio bases), proveen la interface entre el MTSO y las unidades móviles.
4. Las conexiones o enlaces: Los enlaces de radio y datos interconectan los tres
subsistemas.
Como se muestra en la Figura 1, un
sistema de telefonía celular es un sistema
de
radio
distribuida.
que
utiliza
Muchos
transmisión
usuarios
pueden
acceder al servicio en un área de
cobertura limitada. Esta área se divide en
pequeñas áreas conocidas como celdas,
cada celda tiene un transmisor y un
receptor
fijo.
Un
usuario
debe
comunicarse con la celda para establecer
una llamada, que puede ser de voz o de
datos y la celda enruta la llamada hacia
cualquier red terrestre o hacia otro
usuario dentro de la misma red celular.
Figura 1 Sistema Celular
2
http://www.eveliux.com/mx/la-evolucion-de-la-telefonia-movil.php
14
Existen dos tipos de enlace entre el usuario y la celda: Enlace de subida, usuario a celda (uplink) y
enlace de bajada, celda a usuario (downlink). Los usuarios celulares pueden ser estacionarios o
móviles. Si el usuario es móvil, es el cambio automático de una celda a otra sin intervención del
usuario (handoff o handover). Con el fin de asegurar que una llamada no se caiga cuando ocurra
una transferencia de celda, la información de la unidad móvil es conocida por las radio bases
involucradas en la transferencia de celdas y se transfiere a través de otro tipo de enlaces (red
dorsal), donde se envía también información de control y señalización. La red dorsal consiste de
varias entidades entre la RTPC y la radio base. La radio base usualmente hace interface con un
Controlador de Radio Bases (CRB). Uno o más CRBs son usualmente conectados a un MTSO el
cual está conectado directamente a la RTPC.
El requerimiento principal de una red en el concepto celular es encontrar una manera de que cada
estación distribuida distinga la señal de su propio transmisor de la señal de otros transmisores.
Para esto cada compañía de telefonía celular utiliza diversas técnicas de acceso múltiple, que se
ven y explican en el siguiente punto.
2.2
Tecnologías de acceso celular
El ABC de la telefonía celular parte 13 indica las técnicas de acceso múltiple en un sistema
inalámbrico permiten que varios usuarios puedan estar acensando simultáneamente un canal o un
grupo de frecuencias, lo que permite el uso eficiente del ancho de banda. Existen varios sistemas
internacionales normalizados de telefonía celular y de servicios móviles en el mundo, se clasifican
en analógicos y digitales conforme lo indica wikipedia en su página de Internet4, que son los
Sistemas
digitales
Sistemas
analógicos
siguientes:
3
4
AMPS Advanced Mobile Phone System - Servicio de Telefonía Móvil Avanzado
NMT Nordic Mobile Telephone - Sistema Nórdico Telefónico Móvil
TACS Total Access Communications System - Sistema de Comunicación Acceso Total
FDMA Frequency Division Multiple Access - Acceso Múltiple por División de Frecuencias
CDMA Code Division Multiple Access - Acceso Múltiple por División de Códigos
TDMA Time Division Multiple Access - Acceso Múltiple por División de Tiempo
GSM Global System for Mobile - Sistema Global para Comunicaciones Móviles
D-AMPS Digital AMPS - Servicio de Telefonía Avanzado Digital
PDC Personal Digital Cellular - Sistema Digital Personal Celular
PHS Personal Handyphone System - Sistema de Teléfono de Mano Personal
http://www.eveliux.com/mx/el-abc-de-la-telefonia-celular-parte-1.php
http://es.wikipedia.org
15
En las siguiente líneas se da una breve explicación de cada una de ellas, para fines de este
estudio se validan las técnicas de acceso que utilizan las compañías de Telefonía Celular que
prestan sus servicios en nuestro país.
2.2.1 Sistemas analógicos
Los sistemas analógicos fueron los primeros que se emplearon para hacer funcionar las redes
celulares y existen tres5, que son: AMPS, NMT, TACS.
2.1.1.1 AMPS (Advanced Mobile Phone System)
El Sistema Telefónico Móvil Avanzado o AMPS, es un sistema de telefonía móvil de primera
generación desarrollado en 1982 por los laboratorios Bell en Estados Unidos.
AMPS divide el espacio geográfico en una red de celdas, las celdas adyacentes nunca utilizan las
mismas frecuencias, para evitar interferencias. La estación base de cada celda emite con una
potencia relativamente pequeña, frente a las centenas de vatios de un sistema IMTS. La potencia
emitida es más pequeña cuantas más pequeñas sean las celdas. Un pequeño tamaño de celda
favorece también la reutilización de frecuencias y aumenta, con mucho, la capacidad del sistema.
Sin embargo, también requiere un mayor número de estaciones base y por tanto una mayor
inversión.
Para establecer la comunicación entre usuarios de distintas celdas se interconectan todas las
estaciones base a un MTSO (Mobile Telephone Switching Office). A partir de allí se establece una
jerarquía como la del sistema telefónico ordinario.
2.1.1.2 NMT (Nordic Mobile Telephone)
La Telefonía Móvil Nórdica o NMT es un sistema de telefonía móvil definido por las autoridades de
telecomunicaciones escandinavas. El servicio fue especificado hacia 1970 y entró en servicio en
1981.
En las redes NMT en cuanto menor tamaño sea la celda, más usuarios pueden ser atendidos. NMT
es un sistema full-dúplex, por lo que es posible transmitir y recibir al mismo tiempo, también tenía
discado automático y el handover. No tenía cifrado de las comunicaciones, lo que era una
desventaja; cualquier persona equipada de un scanner podía escuchar las conversaciones de los
5
http://es.wikipedia.org
16
clientes. Se inventó entonces un sistema de interferencia analógica que sólo unos decodificadores
especiales, utilizados de común acuerdo entre ambas partes, podía eliminar. Se podía transferir
datos, en un modo llamado DMS (Data and Messaging Service), que usaba el canal de
señalización (digital) para transferir datos. Es el ancestro del SMS.
2.1.1.3 TACS (Access Communications System)
El Sistema de Comunicación Acceso Total o TACS, no es más la versión europea del modelo
AMPS. Este sistema fue muy usado en Inglaterra y luego en Asia (Hong-Kong y Japón)
2.1.2
Sistemas Digitales
En las siguientes líneas hablaremos de los tipos de comunicación digital que existen, que son:
Técnicas de Acceso Múltiple, GSM, D-AMPS, PDC y PHS
2.1.2.1 Técnicas de Acceso Múltiple
El artículo tecnologías celulares6 indica que existen tres técnicas para compartir un canal de Radio
Frecuencia (RF) en un sistema celular:
FDMA (Frequency Division Multiple Access)
TDMA (Time Division Multiple Access
CDMA (Code Division Multiple Access)
Tal vez estos nombres nos parezcan un poco complejos, pero para entenderlos solo se debe hacer
un pequeño análisis de cada palabra que componen su nombre, además de considerar de que la
diferencia de ellas radica en el método de acceso, la cual puede ser por frecuencia, tiempo o
códigos únicos, cuando expliquemos cada una de ellas veremos que método utiliza cada una de
ellas.
Ahora antes de profundizar en cada una, se explica lo que tienen en común estas tres técnicas de
acceso que es el “Acceso múltiple”, esto quiere decir que es posible que más de un usuario
pueden acceder simultáneamente a cada celda de la red celular.
6
http://www.yucatan.com.mx/especiales/celular/tecnologiascelulares.asp
17
2.1.2.1.1
FDMA (Frequency Division Multiple Access)
Esta técnica de acceso divide el ancho de banda en frecuencias uniformes, cada frecuencia puede
ser utilizada por un solo usuario durante una llamada. Esta técnica de acceso es ineficiente debido
a la que al aumentar la cantidad de usuarios en una celda se saturan los canales, es decir, el
ancho de banda. La tecnología FDMA es mayormente utilizada para la transmisión analógica y no
es recomendada para transmisiones digitales, aun cuando es capaz de llevar información digital.
2.1.2.1.2
TDMA (Time Division Multiple Access)
En estos sistemas cada celda ocupa una frecuencia distinta para transmitir y recibir, la diferencia
con la anterior es que esta técnica comprime las conversaciones (digitales), dividiendo el tiempo en
fracciones de cada una de las bandas de transmisión, a esas fracciones de tiempo se les
denomina ranuras de tiempo, de esta manera asigna cada ranura de tiempo a distintos usuarios
enviando la información comprimida La compresión de la señal de voz es posible debido a que la
información digital puede ser reducida de tamaño por ser información binaria (unos y ceros).
Debido a esta compresión, la tecnología TDMA tiene el número de fracciones en que se divida
(generalmente 3), es decir, 3 veces la capacidad de un sistema analógico que utilice el mismo
número de canales. Este tipo de metodología requiere una sincronización precisa entre la terminal
móvil y la celda.
2.1.2.1.3
CDMA (Code Division Multiple Access)
La CMDA es un sistema celular de banda amplia que utiliza una tecnología de espectro disperso,
la técnica CMDA después de digitalizar la información, la transmite a través de todo el ancho de
banda disponible, lo que hace es sobreponer varias llamadas sobre el mismo canal, asignándole
un código de secuencia individual a cada una, es decir genera una señal que es en efecto más
robusta al ruido, siendo detectado solo por el receptor que conoce los parámetros (código) de la
señal original transmitida. Si el receptor no está sintonizado a la frecuencia correcta o no conoce el
código empleado, una señal de espectro disperso se detectaría solo como ruido de fondo. Debido
a estas características de la tecnología de espectro disperso la interferencia entre la señal
procesada y otras señales no esenciales o ajenas al sistema de comunicación es reducida.
Usando la tecnología CDMA, es posible comprimir entre 8 y 10 llamadas digitales para que estas
ocupen el mismo espacio que ocuparía una llamada en el sistema analógico. Además de que al
asignar un código único a cada usuario es posible obtener un sistema de acceso múltiple. Las
limitaciones de reuso no son tan críticas, ya que múltiples terminales móviles y celdas pueden
18
ocupar las mismas frecuencias a la vez y la mayor ventaja es que la capacidad en usuarios en
CDMA se incrementa bastante con respecto a las otras dos técnicas de acceso múltiple, además
provee comunicaciones integras, confiables y seguras.
Figura. 2 Técnicas de Acceso Múltiple
En teoría, las tecnologías TDMA y CDMA deben de ser transparentes entre sí (no debe interferirse
o degradar la calidad, como se ilustra en la Figura 2), sin embargo en la práctica se presentan
algunos problemas menores, como diferencias en el volumen y calidad, entre ambas tecnologías.
2.1.2.2 GSM (Global System for Mobile Communications)
Tomando el artículo generación de la telefonía celular 7, es un estándar mundial para teléfonos
celulares, llamado Sistema Global para las Comunicaciones Móviles o GSM, que fue creado en
Europa y el cual empezó la era de la telefonía celular con 5 interfaces de aire analógicas e
incompatibles entre sí. Para estandarizar todos estos sistemas en uno sólo, con roaming
transparente en todos los países, se crea GSM por el organismo CEPT. Es un estándar abierto, no
propietario y que se encuentra en desarrollo constante, en la actualidad GSM es la tecnología
celular con mayor penetración a nivel mundial.
GSM usa una combinación de FDMA y TDMA en un espectro, FDMA divide ese espectro en 124
frecuencias, cada fracción de frecuencia se le llama canal, de esta manera, cada canal es dividido
en 8 ranuras de tiempo utilizando TDMA. Como se explicó anteriormente, TDMA se utiliza para
información digital codificada, por lo que GSM es un sistema diseñado para utilizar señales
digitales, así como también, canales de voz digitales, lo que permite un moderado nivel de
seguridad.
Existen cuatro versiones principales, basadas en la banda: GSM-850, GSM-900, GSM-1800 y
GSM-1900, diferenciándose cada una en la frecuencia de las bandas. En GSM, las conexiones se
7
http://www.cabinas.net/monografias/tecnologia/generaciones_de_la_telefonia_celular.asp
19
pueden utilizar tanto a la voz, como a datos, lo que permitió el avance del envío y consumo de
datos a través de los celulares. Se han hecho algunas implementaciones, entre las más veloces de
GSM se denominan GPRS y EDGE, también denominadas generaciones intermedias, que
conducen a las UMTS.
2.1.2.2.1
GPRS (General Packet Radio Service)
Básicamente es una comunicación basada en paquetes de datos. En GSM, los intervalos de
tiempo son asignados mediante una conexión conmutada, en tanto que en GPRS son asignados
mediante un sistema basado en la necesidad a la conexión de paquetes. Es decir, que si no se
envía ningún dato por el usuario, las frecuencias quedan libres para ser utilizadas por otros
usuarios. Los teléfonos GPRS por lo general utilizan un puerto Bluetooth para la transferencia de
datos.
2.1.2.2.2
EDGE (Enhanced Data Rates for Global Evolution)
Es una actualización de GPRS, GERAN (GPS/EDGE Radio Access Network) es el nombre que se
le da a los estándares para el acceso GPS/EDGE.
2.1.2.2.3
UMTS (Universal Mobile Telecommunications System)
El principal avance radica en la tecnología WCDMA (Wide Code Division Multiple Access),
heredada de la tecnología militar, a diferencia de GSM y GPRS que utilizan una mezcla de FDMA y
TDMA. La principal ventaja de WCDMA es que la señal se expande en frecuencia gracias a un
código de ensanchado que únicamente es conocido por el emisor y el receptor. La técnica del
espectro ensanchado permite que una señal aumente lo largo de una banda muy ancha de
frecuencias, mucho más amplia que el mínimo requerido para transmitir la información a enviar.
Este aspecto trae muchas mejoras a los anteriores sistemas (FDMA, TDMA y el propio CDMA),
como: Altas velocidades de transmisión, mayor seguridad, mayor eficiencia en el acceso múltiple al
canal y alta resistencia a las interferencias.
2.1.2.2.4
Acceso a Internet y Aplicaciones por Teléfono Celular
El desarrollo de los protocolos de acceso a Internet a partir de los celulares se ha visto
incrementado en los últimos años, y ha obligado a buscar protocolos y tecnología que permitan
universalizar la transferencia y visualización de datos y aplicaciones a través de cualquier
dispositivo, ya sea a partir de celulares como de PCs.
20
WAP (Wireless Application Protocol)
Es una especificación de protocolos estándar para aplicaciones que utilizan los dispositivos de
comunicación inalámbricos, como el acceso a Internet. El lenguaje primario del protocolo WAP es
el WML (Wireless Markup Language), lenguaje interpretado por los navegadores WAP, de
similares características al HTML.
Las nuevas versiones de WAP, utilizan XML que a futuro permitirá el verdadero acceso web para
los dispositivos portátiles, utilizando un subconjunto de XHTML (eXtensible Hyper Text Markup
Language), lenguaje pensado para sustituir a HTML como estándar para las páginas web) llamado
XHTML Basics.
Se cree que WAP es solo un estándar temporal, ya que posee limitaciones que no permiten la
extensibilidad del sistema WAP hacia las diferentes tecnologías utilizadas en el desarrollo de
aplicaciones web. Una de las limitaciones del sistema WAP es el hecho de ser un micro-browser
que únicamente puede interpretar el lenguaje WML, lo que significaría para las compañías tener
que desarrollar contenidos propios en dicho lenguaje o adaptar los existentes. Otras limitaciones
que se encontraron en este estándar son las velocidades lentas de ejecución y la necesidad de
realizar una nueva llamada cada vez que el usuario desea conectarse.
I-mode
Es un sistema de acceso a Internet utilizados en los dispositivos móviles, al igual que WAP, pero
que ha tenido un gran auge en Japón. En los últimos años, esta tecnología ha logrado entrar en el
mercado europeo a través de terminales en España principalmente.
Consta de un conjunto de protocolos que le permiten a un usuario navegar a través de mini
páginas diseñadas especialmente. Estas páginas, son escritas en un lenguaje muy similar a lo que
es HTML, con leves modificaciones para su uso en teléfonos celulares: el Compact HTML o
cHTML. Este estándar también incluye una tecnología, llamada Doja, para realizar y consumir
aplicaciones hechas en Java, pero no todos los terminales i-mode soportan dicha tecnología.
I-mode también obliga a los operadores de las aplicaciones web a migrar sus contenidos a ciertos
lenguajes, y teniendo en cuenta que i-mode logra interpretar el Compact HTML, este pasaje de
información a Internet Móvil sería mucho más rápido debido a la semejanza existente entre HTML y
cHTML. Se pronostica que el sistema i-mode tendrá mayor éxito que WAP, debido a que es mucho
más simple y barato, ofrece conexión permanente y una buena política de apertura del sistema.
21
2.1.2.3 D-AMPS (Digital AMPS)
Esta es la versión digital de AMPS (IS-136), desarrollada en Estados Unidos, está basada en
TDMA. Este método permite a tres usuarios comunicarse en cada canal de radio sin interferirse
uno con el otro. D-AMPS es utilizado principalmente en Norteamérica, Latinoamérica, Australia,
partes de Rusia y Asia.
2.1.2.4 PDC (Personal Digital Celular)
Conforme a la página de Sony Ericsson8 indica “Celular Digital Personal o PDC es uno de los tres
principales sistemas digitales del mundo, que se ubica junto a GSM y TDMA. Aunque en la
actualidad PDC sólo se usa en Japón, es el segundo estándar digital más grande del mundo con
más de 48 millones de abonados en julio de 2000; además, operadores de otras regiones del
mundo consideran activamente PDC. Al igual que GSM, PDC se basa en tecnología TDMA”.
2.1.2.5 PHS (Personal Handyphone System)
Sistema de Teléfono de Mano Personal o PHS (también conocido como Personal Access
System), es un sistema telefónico usado en un principio en Japón por la compañía NTT
Laboratory, que con el tiempo se mejoró por distintas iniciativas comerciales. Fue creado con la
finalidad de tener un sistema más enfocado en la transferencia de datos que el resto de los
estándares 2G.
2.2 Generaciones de Telefonía Móvil
En los puntos anteriores se ha descrito que son los sistemas celulares y cuáles son las tecnologías
que existen, pero ahora se describe cómo han ido evolucionando dichos sistemas. En dicha
evolución se aprecia cómo se van cumpliendo las necesidades del mercado para tener acceso
múltiple al canal de comunicación, así como la necesaria migración de los sistemas analógicos a
sistema digital con el fin de permitir mayor volumen de usuarios y ofrecer los niveles de seguridad
que se demandaban.
Las distintas necesidades y avances dieron lugar a generaciones tecnológicas bien diferenciadas,
que se mencionan en los siguientes puntos.
8
http://www.sonyericsson.com/cws/companyandpress/aboutus/networktechnology?cc=cl&lc=es
22
2.2.1
Generación cero (0G)
0G representa a la telefonía móvil previa a la era celular tomando como base la pagina de
cabinas.net9. Estos teléfonos móviles eran usualmente colocados en autos o camiones, aunque
modelos en portafolios también eran realizados. Por lo general, el transmisor era montado en la
parte trasera del vehículo, unido al resto del equipo y era colocado cerca del asiento del conductor.
Eran vendidos a través de WCCs (Empresas Telefónicas alambicas), RCCs (Empresas Radio
Telefónicas), y proveedores de servicios de radio doble vía. Esta tecnología, conocida como Auto
Radio Puhelin (ARP), fue lanzada en 1971 en Finlandia; conocida ahora como el país con la
primera red comercial de telefonía móvil.
2.2.2
Primera generación (1G)
La 1G de la telefonía móvil hizo su aparición en 1979 según pagina eveliux.com 10y se caracterizó
por ser analógica y estrictamente para voz. La calidad de los enlaces era muy baja, tenían baja
velocidad. En cuanto a la transferencia entre celdas, era muy imprecisa ya que contaban con una
baja capacidad (Basadas en FDMA) y no existía ningún tipo de seguridad. La tecnología
predominante de esta generación es AMPS.
2.2.3
Segunda generación (2G)
La 2G arribó hasta 1990 y a diferencia de la primera se caracterizó por ser digital. EL sistema 2G
utiliza protocolos de codificación más sofisticados y se emplea en los sistemas de telefonía celular
actuales. Las tecnologías predominantes son: GSM, D-AMPS, CDMA y PDC, éste último utilizado
en Japón. Los protocolos empleados en los sistemas 2G soportan velocidades de información más
altas por voz, pero limitados en comunicación de datos.
Se pueden ofrecer servicios auxiliares, como datos, fax y SMS. La mayoría de los protocolos de 2G
ofrecen diferentes niveles de encriptación. En Estados Unidos y otros países se le conoce a 2G
como PCS (Personal Communication Services – Servicios de Comunicación Personal).
Generación 2.5 G La generación 2.5G ofrece características extendidas, ya que cuenta con más
capacidades adicionales que los sistemas 2G, como: GPRS, HSCSD, EDGE entre otros.
9
http://www.cabinas.net/monografias/tecnologia/generaciones_de_la_telefonia_celular.asp
http://www.eveliux.com/mx/la-evolucion-de-la-telefonia-movil.php
10
23
2.2.4
Tercera generación (3G)
La 3G se caracteriza por la convergencia de voz y datos con acceso inalámbrico a Internet, es
decir, es apta para aplicaciones multimedia y altas transmisiones de datos. Los protocolos
empleados en los sistemas 3G soportan altas velocidades de información que están enfocados
para aplicaciones más allá de la voz tales como audio (mp3), video en movimiento,
videoconferencia, acceso rápido a Internet, entre otros.
Entre las tecnologías contendientes de la tercera generación se encuentran UMTS, cdma2000,
entre otras. El impulso de los estándares de la 3G es apoyado por la ITU (International
Telecomunications Union) y a este esfuerzo se le conoce como IMT-2000 (International Mobile
Telephone).
2.2.5
Cuarta generación (4G)
La cuarta generación es un proyecto a largo plazo que será 50 veces más rápida en velocidad que
la tercera generación. Se espera que se empiecen a comercializar la mayoría de los servicios hasta
el 2010. En base a lo anterior, se muestra una tabla en la que se puede ver la evolución de los
sistemas celulares, en base a las generaciones.
En la siguiente tabla se muestra de manera simplificada la evolución de las generaciones de
telefonía celular descrita en las líneas anteriores.
Generación
1
2
2.5
Inicio de tecnología digital
Tecnología clave
Año aproximado de
implantación
Comunicación
análoga
80's
CDMA 98
TDMA 97
GSM 99
CDMA1x 2003
CDMA 1xEVO
2005
WCDMA
GSM
EDGE
GSM
3
4
En desarrollo,
se espera para
2010
2.3 Tecnologías utilizadas en la actualidad
Existen hoy en día tres tecnologías de telefonía celular predominantes en el mundo: CDMA, GSM y
D-AMPS, siendo esta como lo describe la Figura 3, la más usada América, Australia, partes de
Rusia y Asia. En la grafica se muestra el porcentaje de cada una de las tecnologías de Sistemas
Celulares que se usan en el mundo.
24
En nuestro país existen redes celulares
analógicas, digitales y duales. La compañía
Telcel
y
Telefónica
Movistar
ofrecen
telefonía celular digital 3G GSM. Ambas
compañías ofrecen compatibilidad con las
redes celulares analógicas utilizando el
sistema AMPS. Otras compañías como
Unefon
y
Usacell
(ambas
de
Grupo
Salinas) ofrecen servicio digital CDMA y
aplicaciones WAP.11
Figura. 3 Sistemas celulares utilizados actualmente
En México la participación de mercado se encuentra distribuida de la siguiente forma:
Celular (Miles)
Tecnología
2004
2005
2006
Telcel
GSM / GPRS / EDGE
28.851
35.914
43.190
Telefónica Movistar
GSM / GPRS / EDGE
5.639
6.367
8.553
Iusacell
CDMA
1.460
1.800
2.100
Unefon
CDMA
1.404
1.424
*
Total Cofetel
38.451
47.129
57.017
Densidad (Cel/100 hab.)
36,3
45,4
54,4
Prepago
93,5%
93,1%
92.4%
Nota: El total presentado por Cofetel es mayor que el reportado por las operadoras debido a diferencias en los
criterios de desconexión adoptados, principalmente en lo que se refiere a celulares de prepago.
El caso de Nextel es muy peculiar, ya que usa una tecnología llamada Iden. Su título de concesión
lo limita a algo así como trunking o radio comunicación. Su servicio fuerte es el de radio
comunicación, y por su mismo título de concesión no está obligado (ni las demás operadoras) a
hacer que sus SMS sean entregados a otras compañías y viceversa. Tampoco entra en la
modalidad el que llama paga y constantemente actualiza sus sistemas y servicios para ser
competitivo.12
Las velocidades de 3G definidas por la ITU no han sido superadas todavía. Pero para que se
alcance la última etapa han de pasar algunos años más y por ahí se habla de una 4G y de una 5G.
La elección de la mejor tecnología para proveer mejores servicios a bajo costo es primordial para
los operadores de servicios inalámbricos. Hay que tomar muy en cuenta las necesidades de los
usuarios quienes son a última hora los que deciden el éxito y el fracaso de cualquier tecnología.
11
12
ingenierias.uanl.mx/11/pdf/11_Guadalupe_Medina_et_al_Telefonia.pdf}
http://www.angelfire.com/ult/celulares/tecnologia/tecnologias.htm
25
CAPÍTULO III ANTECEDENTES Y CONCEPTOS DE
PAGO & BANCA MÓVIL
En este capítulo se habla de lo que es el Pago y Banca Móvil, así como los diferentes medios de
pagos electrónicos que le han antecedido, así como las diferentes Terminales Punto de Venta,
Prosa/E-global que son el medio de las transacciones electrónicas, la banca electrónica además de
las experiencias en diferentes países en cuanto a Pago y Banca Móvil.
3.1 Antecedentes de Pago y Banca Móvil
Lo primero que se debe conocer es de donde viene esta novedosa forma de fago, es decir, cuales
son los principales antecedentes, que son todos los tipos de pagos electrónicos el desarrollo de
esta forma de pago y algunos casos de esta en otros países.
3.1.1
Pagos electrónicos en México
Según la AMIPCI en su Reporte “Usuarios de Internet en México 2007 y Uso de Nuevas
Tecnologías” en México existe un aproximado de 14.8 millones de computadoras personales 13, de
las cuales sólo el 59% están conectadas a Internet, delirio.com emitió un comunicado en el cual
plasma que existen 57.01 millones de teléfonos celulares14, la mayoría con la capacidad
tecnológica para transmitir y recibir transacciones financieras.
El desarrollo de soluciones "pago móvil y banca móvil" a través de teléfonos celulares y PDA's,
entre otros, dio inició en el 2001 en Europa. Se esperaba que éste modo de operar creciera al ritmo
de banca por Internet, considerando al teléfono celular únicamente como un medio más de acceso
a los portales de bancos. Muchos arquitectos de tecnologías de información hablaron del tema de
convergencia de canales que podrían ser soportados por un solo medio de interacción entre los
clientes y el banco. Sin embargo, esto no es totalmente cierto, dado que los servicios de pago
móvil y banca móvil difieren fundamentalmente de la banca por Internet por:
13
14
La velocidad de acceso.
La dependencia de la señal portadora (ej. en una gran edifico la señal se puede perder).
La capacidad de almacenamiento y limitantes gráficas del dispositivo móvil.
El riesgo de pérdida del propio teléfono.
Confianza en la protección de datos personales que se puedan almacenar en el teléfono.
Reporte “Usuarios de Internet en México 2007 y Uso de Nuevas Tecnologías”, AMIPCI
delirioweb.com/2007/09/02/mas-de-500-millones-de-nuevos-clientes-gsmumts-el-ultimo-ano
26
Sin embargo, se debe de tomar en cuenta los siguientes puntos a favor:
a. La seguridad en los dispositivos móviles son más avanzadas que en Internet, sobre todo
porque se utilizan los mecanismos de autentificación de las redes celulares para identificar
al teléfono además de confirmaciones y envío de NIP‟s para realizar la transacción como
en Internet.
b. La portabilidad y disponibilidad inmediata de los teléfonos celulares, así como el hecho de
poder utilizarlos casi en cualquier parte, permiten la creación y aceptación de nuevos tipos
de soluciones bancarias. Algunas de éstas pueden ser implementadas en conjunto con
operaciones bancarias ya existentes; por ejemplo, consultas de saldos, compra de
servicios, transferencias, consultas, etc.
c. La comodidad de pago sin la necesidad de portar las tarjetas de crédito o débito.
No obstante lo anterior y gracias a la popularidad de los teléfonos celulares, se pueden utilizar
como un medio alternativo para ofrecer nuevos servicios bancarios. Las transferencias de dinero
y/o pagos, por ejemplo, a través del celular pueden ser más eficaces y a un costo menor incluso
que el sistema postal, cheques o efectivo.
3.1.1.1 Terminales punto de venta TPVs
Una terminal punto de venta según la enciclopedia wikipedia, es un sistema informático que
gestiona el proceso de venta mediante una interfaz accesible para los vendedores. El mismo
sistema permite la creación e impresión del ticket de venta mediante las referencias de productos,
realiza cambios en el stock en la base de datos y otras labores del negocio 15.
Los contratos TPV (Terminal Punto de Venta) son los contratos normales que se establecen entre
un comerciante y la entidad financiera con la que trabaje habitualmente para poder aceptar el pago
con tarjeta de los clientes. Todos los usuarios de tarjetas conocemos este sistema. El comerciante
dispone de una pequeña máquina, comunicada con la pasarela de pago por vía telefónica, por la
que pasa la banda magnética de nuestra tarjeta y recibe la autorización para la venta tras
comprobarse la validez de la tarjeta y la disponibilidad de fondos asociados a la misma.
La mayoría de los bancos de todos los países ofrecen ya servicios de banca electrónica,
incluyendo servicios y contratos TPVV (Terminal Punto de Venta Virtual), lo que se llama, a veces,
cajeros virtuales.
15
http://es.wikipedia.org/wiki/TPV
27
3.1.1.2 Terminales punto de venta TPVs virtuales
Eumed en su página de Internet define: El TPV Virtual es el sistema más seguro para la utilización
de las tarjetas de crédito en Internet. Este sistema no solo garantiza que los datos de la tarjeta
viajarán, encriptados, directamente del comprador al banco intermediario sino que además, no
serán conocidos en ningún momento por el vendedor. Las entidades bancarias son siempre más
fiables en la protección de los datos de sus clientes. El sistema es igualmente transparente y ágil
para el comprador16.
Como se puede observar en la Figura 4, el vendedor, la tienda virtual, necesita tener un contrato
TPV con su banco habitual que le permita el cobro con tarjeta de crédito. El TPV Virtual es un
contrato específico que permite cobrarse de tarjetas de crédito a través de Internet. Cuando se
establece este contrato entre el vendedor y su banco, el banco proporciona un paquete de
programas para ser instalados en el servidor que aloja la tienda virtual.
Figura 4 TPV virtual
La tienda virtual ofrece en páginas web el catálogo de sus productos y un formulario de pedido. El
formulario puede tener la forma de carro de compra virtual:
1. El comprador visita las páginas web de la tienda virtual. Va seleccionando los productos
que desea y añadiéndolos al carro de compra virtual. Una vez que concluye su compra,
inicia el proceso de pago pulsando.
2. El comprador llena los datos requeridos por la tienda virtual.
a. Genera un identificador que es específico de esa transacción.
16
http://www.eumed.net/cursecon/ecoinet/seguridad/TPVv.htm
28
b.
Archiva para el vendedor los datos del pedido: la lista de productos y la forma y
dirección para el envío, junto con el identificador.
c. Envía al banco los datos esenciales de la transacción: la identidad del vendedor, el
identificador de la transacción y su importe.
3. En la pantalla del comprador aparece un formulario web que ya forma parte de la
institución bancaria, que es un servidor con seguridad tipo https o SSL. En ese formulario
consta el importe total de la operación y se autentica al vendedor. El comprador introduce
en el formulario del banco los datos de su tarjeta de crédito. Los datos viajan encriptados al
banco.
3.1.1.3 Prosa / E-Global
Basándose en la página de internet de PROSA, es el "Switch" de transacciones electrónicas más
grande en América Latina y uno de los 12 más importantes del mundo 17. PROSA procesa las
transacciones de las tarjetas de crédito y debito de las principales Instituciones Financieras de
México, entre las más destacadas son las realizadas en las Terminales Punto de Venta y Cajeros
Automáticos.
De acuerdo al Banco de México, E-Global presta predominantemente a Bancomer, S.A. y a Banco
Nacional de México, S.A., servicios y/o asesoría en materia de transferencias electrónicas de
información o recursos, modernización de sistemas y redes de información y en general el
procesamiento y almacenamiento de operaciones relacionadas con la prestación de servicios
financieros18.
3.1.1.4 Banca Electrónica
Los últimos años se han caracterizado por los rápidos cambios en la tecnología y por la
introducción de servicios de banca corporativa y personal a través de Internet. La velocidad con la
cual se están adoptando las nuevas tecnologías, la naturaleza global de las redes electrónicas, la
integración de plataformas de e-banking con los sistemas anteriores y la creciente dependencia de
los bancos respecto a los proveedores de servicios de información, tienden a aumentar la magnitud
de los riesgos a los que están expuestos los bancos.
Muchos bancos han asumido que la banca por Internet aumenta principalmente los riesgos de
seguridad de la información y no se han centralizado lo suficiente sobre los efectos de otros
17
18
https://www.prosa.com.mx/http://ips280a.prosa.com.mx/portal/visitas/infoCorp/PerfilCorporativo.htm
Banco de México
29
riesgos específicos de la banca. Las disciplinas de administración de riesgos no han evolucionado
a la misma velocidad y muchas instituciones, especialmente las de menor tamaño, no han podido
concentrar controles de riesgos de banca por Internet dentro de las estructuras existentes de
administración de riesgos.
3.2 Pago y Banca Móvil
La CNBV define a Pago Móvil como un esquema de pagos a través de dispositivos móviles
(Teléfonos Celulares, PDAs, Radios) también conocido como m-Payments19. Este esquema está
asociado a una compañía telefónica, un comercio, y en ocasiones a intermediarios financieros y no
financieros como se muestra en la Figura 5.
Proyecto de pagos de bajo valor del FIMPE, que utiliza mensajes en un protocolo independiente
USSC (Unstructured Supplementary Services Data) al de mensajes de texto. No se realizan
operaciones bancarias, únicamente pagos y consultas.
FIMPE
- Asociación de
Cuentas/ telefono
- Validación NIPS
Carrier
Cia. Telefónica
Cliente
Mensajes USSC
Por Red Celular
Mensajes
ISO8583
Transmisión
Por canal dedicado
(decodificado de USSC)
Comercio
Procesadores
- Prosa
- e-global
- visa
- mastercard
Bancos
Figura. 5 Participantes del flujo de Pagos Móviles
Tomando como base a la CNBV, la Banca móvil también es conocida como m-Banking, término
usado para realizar consulta de saldos, transacciones y pagos a través de un dispositivo móvil
como el celular. La plataforma tecnológica es similar a la de Internet.
19
Comisión Nacional Bancaria y de Valores
30
Figura. 6 Participantes de Banca Móvil
Como se ve en la Figura 6, el proceso requiere traducir los mensajes del protocolo utilizado en la
red celular a un protocolo http utilizado por el banco. Esto lo realiza el proveedor del canal celular
(carrier) mediante un Gateway. El enlace hacia el banco se realiza mediante una Red Privada
Virtual que evita que la información transmitida sea conocida por un tercero.
3.3 Experiencias en otras Regiones
En los siguientes puntos se ven algunos de los sistemas de pago electrónicos que se han
implantado en otros países.
3.3.1
Mobipay (España)
Con referencia en su página de Internet, Mobipay es un servicio que ofrecen a sus clientes los
operadores móviles y las principales entidades financieras españolas, que permite realizar pagos y
otras transacciones bancarias en cualquier situación, y en cualquier momento y lugar, de forma
segura, rápida y cómoda.20
Mobipay va dirigido a todos los titulares de tarjetas, tanto de débito, crédito, prepago o virtuales,
que dispongan a su vez de teléfono móvil contratado por cualquiera de los operadores de telefonía
móvil.
20
http://www.mobipay.es/secciones/empresa/que-es-mobipay.html
31
3.3.2
Visa Mobile Wave (Malasia)
Paymentsnews hace constatar que este es un programa de pagos a través de celular en Malasia,
introducido en 2006 con colaboración de Maybank y Nokia. Este servicio usa la tecnología
conocida como NFC (Near Field Communications), que funciona como transmisión por proximidad.
El cliente sólo debe poner en contacto el celular con la TPV dentro de un rango de distancia de
4cms21.
Dentro del celular se encuentra instalado un chip seguro y un cable delgado de cobre. El cable
delgado de cobre actúa como antena, transfiriendo la información del pago en una forma rápida y
segura al lector conectado hacia la TPV. Utiliza la criptografía, seguridad y tecnología de las
tarjetas inteligentes. Con independencia de la tecnología de proximidad, como se muestra en la
Figura 7, el flujo transaccional es similar al deslizar una banda magnética de una tarjeta de crédito
o débito.
Figura 7 Tecnología de proximidad
3.3.3
G-Cash (Filipinas)
El servicio consiste en Pagos
de bienes, servicios, impuestos, transferencias de dinero P2P
nacionales e internacionales, aplicaciones de micro financiamiento. De acuerdo a su página de
Internet, los servicios utilizan mensajes de texto SMS 22.
Para poder utilizar G-Cash es necesaria una suscripción. Un PIN único seleccionado por el cliente
y el numero de celular del beneficiario son los únicos requerimientos para todas las transacciones
G-Cash no requiere tarjeta. Las transacciones y transferencias son hechas vía SMS. Los usuarios
registrados de Globe (compañía de telefonía de Filipinas) pueden usar las SIM de sus celulares.
No hay necesidad de cambiar las SIMs.
21
22
http://www.paymentsnews.com/2006/04/visa_launches_m.html
http://www.g-cash.com.ph/sectionpagearticle.aspx?secid=27&id=52
32
Transacciones de Teléfono a Teléfono (P2P) sin necesidad de equipo adicional. El procesamiento
es más rápido y barato.
3.3.4
Madurez del mercado de pagos móviles
En la Figura 8, se muestra un estudio a 32 países por Arthur D Little y publicado en julio del 2004
Figura 8 Madurez del mercado
3.3.5
Expectativa de la popularidad de pagos móviles respecto a otros métodos de pago
Se espera que la popularidad del pago móvil sea similar al del efectivo, mientras que el uso de las
TDC y TDD continúe a la alza. Del mismo estudio a 32 países por Arthur D Little se muestra la
Figura 9.
Figura 9 Popularidad de los pagos móviles
33
CAPÍTULO IV FUNCIONALIDAD Y RIESGOS DE
PAGO & BANCA MÓVIL
En este capítulo se explica la funcionalidad de Pago y Banca Móvil, que en gran parte depende de
una organización llamada FIMPE, la cual provee a las diferentes instituciones bancarias así como a
las empresas telefónicas del país una infraestructura para que dicho servicio tenga una buena
aceptación por parte de las empresas pequeñas y medianas y que los usuarios tengan la confianza
de utilizarlos. Debido a que en la actualidad se requiere tomar en cuenta todos aquellos riesgos de
fraude, los cuales deben ser mitigados con controles de seguridad, también se habla de los riesgos
a los que se puede enfrentar esta forma de pago.
4.1 Aspectos generales
Se empieza por saber que esta novedosa forma de pago funciona con cualquier tipo de móvil, que
este sobre una red GSM o UMTS y que esta línea puede ser por contrato o de prepago.
Esta forma de pago compite con las actuales tarjetas de crédito, y puede aumentar su uso como un
elemento mejorado de autentificación, teniendo como inconveniente el hecho de que es necesario
que el celular este encendido para realizar la transacción y dependemos de la duración de la
batería del celular.
Se deben seguir antes algunos pasos para poder realizar algún pago con nuestro celular, los
cuales se explican en las siguientes líneas.
4.1.1
Activación del servicio
Primero se asocia nuestro número celular a una cuenta bancaria, ya sea esta de crédito o débito,
para lo que se debe acudir a la sucursal bancaria a donde pertenezca nuestra cuenta. También se
debe considerar que cada banco tiene sus propios términos y condiciones de uso, es decir, que
dicho banco establecerá el proceso en que se realizarán los pagos y el monto que se les cobrará
por este servicio. Es importante aclarar que este cargo es diferente al pago por los servicios de
SMS Premium y descarga de contenidos digitales, ya que estos cargos son realizados a la factura
del teléfono móvil que emite el operador.
34
Algunos puntos que se consideran son:
El proceso de alta en una plataforma suele llevar alrededor de una semana.
Además de vincular nuestra cuenta bancaria con el número del móvil, se establecerá un
NIP (Número de Identificación Personal), este contará de 4 dígitos (podría variar
dependiendo de la institución bancaria), y sólo lo conocerá el usuario, el cual se deberá
proporcionar cada vez que se quiera realizar un pago.
Los comercios suelen asociarse a una de las plataformas de pago móvil y si el usuario está
dado de alta en otra plataforma no soportada por el comercio, no podrá realizar pagos por
medio de su teléfono móvil.
4.1.2
Modo de uso
Ahora se menciona la manera en que se efectúan las transacciones, es decir el proceso que sebe
seguir para pagar con nuestro móvil. Cabe mencionar que se describe un proceso general del
servicio, debido a que puede variar por la plataforma del celular y a la implementación del servicio
que preste nuestro banco.
Pasos a seguir para realizar una compra: 23
1. Se suministra la referencia al cliente.
2. El cliente introduce la referencia.
3. El gestor de referencia remite información del comercio, importe, medios de pago
admitidos, se activa la cartera del titular y se solicita NIP.
4. Selección de medio de pago e introducción NIP.
5. Petición de autorización al emisor.
6. Autorización de la transacción.
7. Confirmación de la transacción.
Lo anterior es la interacción entre el usuario y el comercio, pero ¿qué hay del funcionamiento en sí
de la compra? Existen 2 formas de autentificar tanto la compra como el pago, que son:
1. Por Mobipay, consiste en utilizar mensajes cortos de texto USSD.
2. Por Paybox y CaixaMóvil, el procedimiento consiste en utilizar llamadas de voz
automatizadas para autorizar la transacción y mensajes cortos de texto SMS para
confirmarla.
23
http://www.nipper.com.mx
35
4.2 Esquemas de Pago y Banca Móvil
La utilización de los medios de pago electrónicos tales como tarjetas de débito, crédito y monedero
electrónico implica una serie de beneficios importantes para comercios, individuos y para la
sociedad en general. Si bien el empleo de los medios de pago electrónicos en nuestro país ha
experimentado un crecimiento importante en los últimos años, su uso se encuentra aún por debajo
de su potencial, por lo que es necesario generar los incentivos adecuados para dar un mayor
impulso al desarrollo de la red de estos medios de pago en beneficio de la economía, es por ello
que en México se han generado nuevos esquemas de Pago y Banca Móvil, que son:
FIMPE / Nipper
Banamex – Telcel
Azteca - Iusacell
4.2.1
FIMPE como plataforma de los servicios de pago móvil
El FIMPE 24(Fideicomiso para Extender a la Sociedad los Beneficios del Acceso a la Infraestructura
de Medios de Pago Electrónicos), es un organismo de carácter privado sin fines de lucro
constituido por 15 instituciones bancarias y no bancarias, ilustradas en la Figura 10, entre cuyos
objetivos se encuentra el promover y extender los beneficios del acceso a la red de medios de
pago electrónicos a empresas pequeñas y medianas así como fomentar la cultura del uso de
dichos medios de pago tanto entre los establecimientos como entre los consumidores.
Figura 10 Miembros del FIMPE
Algunas características del esquema planteado son:
Está enfocado a Pago Móvil.
Opera con las características definidas por FIMPE y MobiPay (BBVA).
Los pagos a través de celular se realizan mediante transmisión USSD (Transmisión de
Datos Suplementarios no Estructurados Asociados a Servicios) desde el teléfono de los
clientes o de los comercios.
Utiliza un protocolo de comunicación USSD “tipo sesión” diferente a SMS.
Las transacciones se cargan a una tarjeta de débito/crédito definida por el cliente y se
asocia a un número celular.
24
http://www.fimpe.org
36
4.2.1.1
El teléfono sustituye a los plásticos de tarjeta de crédito.
Transacciones FIMPE
El FIMPE y las principales instituciones financieras del país han alcanzado un acuerdo para
integrar la infraestructura de telefonía celular al sistema financiero. Este sistema funciona
independientemente de la compañía celular y del banco en el que se tenga la cuenta lo que
representa un hecho único en el mundo. Este permite efectuar compras y pagos de bienes y
servicios por medio de teléfonos celulares que se liguen a una tarjeta bancaria. Esta plataforma
permite transacciones más seguras, cómodas y rápidas y permitirá que los teléfonos celulares
funcionen como Terminales Punto de Venta. El teléfono celular puede utilizarse en ventas
multinivel y de catálogo, transporte público, máquinas auto-expendedoras, pagos de servicios
públicos y muchas aplicaciones más.
Algunos puntos importantes de los pagos por celular basados en FIMPE, que se toman en cuenta
son:
Tiene una alta dependencia de la plataforma del Carrier (Proveedor de Servicio de
Telefonía Móvil), que es USSD.
El FIMPE funciona como un “switch”. Sin embargo, almacena datos del cliente y de
seguridad.
Se debe ingresar un NIP para poder realizar la transacción.
El FIMPE mantiene el registro de los números de teléfonos, los NIPs y número de tarjetas
de los clientes.
El protocolo USSD no está diseñado para operar. Es un canal de control de los Carriers y
es leído por los operadores.
4.2.1.2
FIMPE
A continuación se muestra en la Figura 11 el flujo operativo de las transacciones que se realizan en
base al esquema planteado por FIMPE y NIPPER (BBVA Bancomer).
37
Flujos de Información de Transacciones nipper
Titular
Comercio
Envío de Codigo
# de Comercio
Importe
USSD
Carrier
FIMPE
Procesador
Banco
Validación
Usuario-Comercio
Validación Telefonica
E1
Solicitud
NIP
USSD
Envio de NIP
Envío de importe
#Comercio
Tarj ####
Solicitud de NIP
Envío de
#Telefono
Codigo USSD
#Comercio, Importe
E1
USSD
E1
USSD
Validación NIP Titular
Envío de importe
ALIAS
Solicitud de NIP
E1
Solicitud
NIP
Envio
de
NIP
Validación
NIP Comercio
USSD
Envio de
PIM
E1
E1
Confirmación de
Pago
SW
PIM/ISO 8583
Envío de
ISO 8583
Confirmación de
Cobro
SMS/USSD
E1
Preparar mensajes
de confirmación
SW
PIM/ISO 8583
E1
E1
E1
USSD
E1
Envío de
#autorización
Importe, alias
Validación Bancaria
Envío de Autorización
ó
Rechazo
Envio de
PIM
Figura 11 Flujo Operativo
4.2.1.3
BANAMEX – TELCEL
Este es otro caso de pagos móviles, en este es necesario sustituir las Tarjetas SIM de cada cliente
para poder iniciar la operación, y tiene una alta dependencia del Carrier y fabricante de Tarjetas
SIM, en este Banamex es la institución bancaria y el Carrier es TELCEL, las principales
características de este esquema, son:
Los servicios que se ofrecen por estos organismos son similares a los de Banca por
Internet.
No está diseñado para Pagos por Celular, sino más bien para Banca Móvil.
38
Utiliza un canal de comunicación y autenticación a través de la tecnología SMS, que es
encriptado dentro de la tarjeta SIM.
Tiene un cierto número límite de transacciones permitidas, determinadas por el banco.
Se requiere que el Carrier, el proveedor de tarjetas SIM, el banco, y el cliente hagan un
contrato para que se pueda prestar el servicio.
4.2.1.4
Está orientado a clientes con altos recursos
AZTECA – USACELL
Este otro esquema es muy diferente, ya que solo se maneja dentro el grupo Salinas, es decir, la
institución Bancaria es Banco Azteca, la telefonía es USACELL o UNEFON y solo se pueden
realizar pagos a comercios del grupo Salinas, aunque en los últimos meses se han agregado
algunos otros comercios como TELMEX o SKY. Para utilizar este esquema es necesario descargar
una aplicación WAP, cabe mencionar que estas son de las más seguras que existen actualmente
en el mercado.
4.3 Factores de riesgo en pago móvil
A continuación se habla de los tipos de riesgos que pueden presentarse dentro del proceso de
pago y banca móvil.
4.3.1
Riesgo operativo
El entorno en el que operan las instituciones que prestan servicios financieros está cambiando
rápidamente. La automatización, el comercio electrónico, las subcontrataciones, la globalización,
las fusiones y adquisiciones, y una creciente carga normativa crean condiciones que exponen las
operaciones bancarias y la continuidad de la actividad empresarial a riesgos mayores.
En la actualidad, las empresas afrontan desafíos relacionados con brindar seguridad, detener el
fraude, conectar sistemas dispersos, cumplir con nuevas políticas e iniciativas normativas, evitar
fallos del sistema y planificar las operaciones de copia de respaldo y recuperación después de un
desastre. Todo ello se suma a la necesidad de evaluar y administrar los riesgos operativos de
manera más efectiva.
El riesgo operativo se genera del potencial de perdida debida a diferencias importantes en la
confiabilidad e integridad del sistema. Los aspectos de seguridad son de la mayor importancia, ya
que los bancos pueden sufrir ataques externos o internos a sus sistemas o productos.
39
El riesgo operativo puede generarse también por el mal uso de los clientes, y por sistemas de
banca electrónica y dinero electrónico mal diseñados o ejecutados. Muchas de las manifestaciones
específicas posibles de estos riesgos, se aplican tanto a la banca electrónica, como al dinero
electrónico.
4.3.2
Riesgos de seguridad
Un riesgo de seguridad es una condición del entorno del sistema de información (persona,
máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una
violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo).
La política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de ser
contrarrestadas, dependiendo del diseñador del sistema de seguridad especificar los servicios y
mecanismos de seguridad necesarios.
Las amenazas a la seguridad pueden caracterizarse modelando el sistema como un flujo de
información desde una fuente como por ejemplo un fichero o una región de la memoria principal, a
un destino, como por ejemplo otro fichero o un usuario
4.4 Clasificación y Tipos de ataques
Los ataques se pueden producir en cualquier parte de un
sistema siempre y cuando exista una vulnerabilidad que
pueda aprovecharse. El esquema que se muestra en la
Figura 12 representa los distintos niveles que revisten un
riesgo para la seguridad.
4.4.1
Ataques pasivos
Un ataque pasivo es aquel en el cual el intruso monitorea
el tráfico en la red (eavesdropping) para capturar
contraseñas (passwords) u otra información para su uso
posterior. En los ataques pasivos el
Figura 12 Clasificación y Ataques
atacante no altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener
información que está siendo transmitida. Los ataques pasivos son muy difíciles de detectar, ya que
no provocan ninguna alteración de los datos. Sin embargo, es posible evitar su éxito mediante el
cifrado de la información y otros mecanismos.
40
Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para
obtener información de la comunicación, que puede consistir en:
Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los
paquetes monitorizados.
Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo
así información acerca de actividad o inactividad inusuales.
Control de las horas habituales de intercambio de datos entre las entidades de la
comunicación, para extraer información acerca de los períodos de actividad.
4.4.2
Ataques Activos
Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un
falso flujo de datos interactuando de manera engañosa con el protocolo de comunicación,
pudiendo subdividirse en cuatro categorías:
Suplantación de identidad: el intruso se hace pasar por una entidad diferente. Normalmente
incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de
autenticación pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada
acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos
privilegios, como al robar la contraseña de acceso a una cuenta.
Re actuación: uno o varios mensajes legítimos son capturados y repetidos para producir un
efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.
Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes
son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el
mensaje "Ingresa un millón de pesos en la cuenta A" podría ser modificado para decir
"Ingresa un millón de pesos en la cuenta B".
Degradación fraudulenta del servicio: impide o inhibe el uso normal o la gestión de
recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos
los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una
red inundándola con mensajes espurios. Entre estos ataques se encuentran los de
denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor
de correo, Web, FTP, etc.
4.4.3
Categorías Generales de Ataques y Amenazas
Las cuatro categorías generales de ataques y amenazas son las siguientes:
1. Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un
ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un elemento
41
hardware, como un disco duro, cortar una línea de comunicación o deshabilitar el sistema
de gestión de ficheros.
2. Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un ataque
contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o
un ordenador. Ejemplos de este ataque son pinchar una línea para hacerse con datos que
circulen por la red y la copia ilícita de ficheros o programas (intercepción de datos), o bien
la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los
usuarios implicados en la comunicación observada ilegalmente (intercepción de identidad).
3. Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que
es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque
son el cambio de valores en un archivo de datos, alterar un programa para que funcione de
forma diferente y modificar el contenido de mensajes que están siendo transferidos por la
red.
4. Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este es
un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes
espurios en una red o añadir registros a un archivo. Estos ataques se pueden asimismo
clasificar de forma útil en términos de ataques pasivos y ataques activos.
4.5 Seguridad en Bases de Datos
Los sistemas de base de datos son elementos TI esenciales, e importa su protección puesto que
"información es poder", y el dato y su acceso es el primer componente de ese poder. La
importancia de estos activos es extrema, y el impacto ante su compromiso alto, por lo que los
controles de seguridad han de reducir el factor de exposición al mínimo; particularmente cuando lo
que tenga enfrente no sea precisamente un adolescente buscando poner la bandera pirata en el
sitio web corporativo.
Los datos pueden almacenarse bajo diferentes tecnologías, radicalmente diferentes entre sí:
desde las ya venerables bases de datos jerárquicas, bases de datos orientadas a objetos o
nativas XML (usando lenguajes de consulta particulares, como OQL o XQuery). La tesina se
centra en el modelo relacional, que es quien reina por doquier, salvo en algunas aplicaciones
particulares.
Lo primero que cabe señalar es que, en las bases de datos relacionales:
I.
SQL es el lenguaje de consulta que, al igual que TCP/IP, no tuvo en cuenta la seguridad en
su diseño.
42
II. Aunque ANSI ha establecido distintos estándares SQL y niveles de compatibilidad, la
realidad es que cada fabricante ha introducido diferencias significativas mediante
extensiones a la sintaxis, tipos propios, funciones, etc. La mejor definición: "SQL ni es
estructurado, ni sólo expresa consultas, ni es un lenguaje".
III. Antiguamente las bases de datos se hallaban enterradas en el mainframe. Hoy día están
expuestas a través de aplicaciones de todo tipo, algunas accesibles desde Internet.
IV. Los sistemas de base de datos comerciales son 'bestias' enormemente complejas en la
actualidad. Todo sistema complejo tiene defectos, los defectos derivan en vulnerabilidades,
y a través de estas vienen los ataques y el uso indebido.
V. En el pasado se cuentan por centenares las vulnerabilidades por desbordamiento de búfer,
que los fabricantes han ido parcheando con más o menos dedicación.
Una consulta a la base de vulnerabilidades NVD del NIST (National Institute of Standards)25
muestra las vulnerabilidades conocidas aplicables a versiones modernas de cuatro bases de datos
relacionales ampliamente difundidas:
Oracle 10g - 23 (22 de severidad alta)
Microsoft SQL Server 2000 - 39 (21 de severidad alta)
IBM DB2 UDB 7.x y 8.x - 5 (3 de severidad alta)
MySQL 5.x - 17 (3 de severidad alta)
Lo único que se puede decir a tenor de estas cifras es que los sistemas de base de datos
relacionales son suficientemente complejos como para que no pueda decirse en absoluto "la base
de datos X es invulnerable", como en ocasiones se ha escuchado.
La seguridad de los datos depende de muchos factores. Se examinan los puntos tradicionales de
'fricción' en materia de seguridad en el ámbito de las bases de datos relacionales, con ejemplos de
las bases de datos mencionadas, los cuales se muestran en la figura 13.
Autenticación y autorización
Pese a que la tecnología permite mecanismos de autenticación más avanzados, la contraseña
sigue reinando, tanto en la autenticación de las conexiones desde las aplicaciones hacia la base de
datos, como en la autenticación que exponen las propias aplicaciones a sus usuarios.
25
http://www.nist.gov/
43
Figura 13 Ataques en BD relacionales
En la mayoría de las bases de datos, la comunicación por defecto entre la aplicación y la base de
datos no usa cifrado, ni técnica alguna que evite interceptar esta comunicación. Pero aunque se
configuren las cosas para proteger las credenciales en tránsito, casi siempre el problema está en el
almacenamiento de las credenciales.
Existe complejidad inherente en el control de accesos en bases de datos, con múltiples usuarios
con distintos permisos de acceso sobre multitud de objetos como tablas, vistas, procedimientos
almacenados... Por esta razón resulta difícil aplicar correctamente el conocido principio de 'mínimo
privilegio' en la configuración de accesos. Es digno de mención que en algunas bases de datos
(caso de Microsoft, u Oracle con el rol CONNECT) algunos perfiles o roles ofrecen muchos más
privilegios de los que el nombre hace suponer. En las bases de datos actuales existe un número
elevado de privilegios. Resulta muy difícil escoger los privilegios proporcionales para los roles y
cuentas.
Auditabilidad
Se considera que activar la auditoría en base de datos va a tener un impacto grande en el
rendimiento, y que lo mejor es no activarla. Esto es cierto, si se activara la auditoría de toda la
actividad en la base de datos, cosa inútil por cierto. Auditar ciertas operaciones es algo que
44
debería ser obligatorio por ley, y hay que tomar conciencia de que los registros de auditoría son tan
valiosos como los datos mismos que encierra.
Como mínimo, los intentos de conexión (exitosos y fallidos) deben auditarse, así como los accesos
y alteraciones del propio registro de auditoría, o las operaciones realizadas mediante cuentas
privilegiadas.
Otros registros de interés son las modificaciones de esquema, pero sólo en casos muy concretos
resulta factible ir más allá. En esto ciertas bases de datos han entendido correctamente esta
necesidad y en el pasado se han apoyado en facilidades estándar del propio sistema. Por el
contrario, en muchas instalaciones de SQL Server se observa una carencia total de auditoría en las
operaciones en base de datos.
Protegiendo la integridad del dato: cifrado
El cifrado siempre se ha visto como la solución a todos los problemas de confidencialidad en base
de datos. Pero aquí se pide habitualmente la pera del 'cifrado transparente' al olmo criptográfico:
Los datos tienen que recuperarse desde las aplicaciones, de manera que los datos de ciertas
columnas se almacenen cifrados en base de datos, y se recuperen en claro cuando accede el
legítimo usuario o miembro de un grupo (y sin intervención de este). Cualquier persona
mínimamente versada en criptografía nos dirá que dejemos la bebida. Como siempre, la gestión de
claves como punto débil. El cifrado/descifrado en base de datos no suele poder contar con un
usuario interactivo que ayude en la generación o recuperación de las claves.
La información sensible debe estar debidamente protegida. Una tabla con datos médicos
personales, por ejemplo, sólo concierne al interesado y a los que tengan necesidad de conocer
dichos datos. Un DBA no pertenece a este grupo, y la Agencia de Protección de Datos pudiera
considerar que la organización no ha tenido el debido cuidado con los datos personales que
maneja. Los administradores de base de datos, en la mayoría de las instalaciones, tienen poderes
de acceso ilimitados (aunque algunas bases de datos están tratando de dividir estos súper poderes
y separar los privilegios administrativos de los de acceso a los datos, bajo el principio de
separación de responsabilidades).
La solución es bastante más compleja que una aproximación puramente tecnológica basada en
primitivas de cifrado: en Oracle DBMS_OBFUSCATION_TOOLKIT o DBMS_CRYPTO, en SQL
Server con algunas de las soluciones (no nativas) que se ofrecen (o incorporadas con SQL Server
2005), en DB2 (ENCRYPT, DECRYPT_BIN, DECRYPT_CHAR, y GETHINT o mediante exits
45
contra ICSF), o en MySQL (funciones como AES_ENCRYPT, DES_ENCRYPT o ENCODE). Pero
no olvidemos que siempre que hay cifrado, hay gestión de claves, que es por donde vienen en
realidad los problemas de seguridad.
El cifrado de las copias de respaldo en medios de almacenamiento secundario suele ser un asunto
razonablemente bien tratado. En el caso de contraseñas y otra información que permita autenticar
a los usuarios, siempre debería aplicarse a los datos almacenados una función resumen
aderezada con un poco de sal (SHA-1 puede que esté cuestionado por la comunidad criptográfica,
pero siempre será mejor que tener las contraseñas en claro). Esta medida, pese a su simplicidad,
no termina de aplicarse en la inmensa mayoría de los casos.
El middleware también puede ser un problema
Aunque el servidor de base de datos se encuentre debidamente bastionado y separado de la DMZ
por un cortafuegos interno, debemos siempre ponernos en el caso de que el atacante se ha hecho
con el control de un nodo de la DMZ (posiblemente con acceso habilitado al servidor de base de
datos), y desde allí puede aprovechar determinadas vulnerabilidades en la propia estructura de
comunicaciones de la base de datos (middleware).
Se cita el ejemplo en Oracle: si el proceso que atiende las peticiones remotas (listener) no está
protegido por contraseña (situación bastante habitual), el atacante puede cambiar el fichero de log
para reescribir uno del sistema (en Unix, .rhosts de la propia cuenta Oracle es una opción popular);
pero al atacante le interesa más hacerse con el control de la propia base de datos. Para ello,
aprovecha una utilidad como tnscmd, que permite inyectar comandos del protocolo, y que el script
de arranque de una utilidad como SQL*Plus, cuando se ejecute con privilegios de DBA, permitirá la
creación (inadvertida) de la ansiada cuenta:
La siguiente vez que un DBA use sql+, inadvertidamente estará creando una cuenta con privilegios
DBA. Evidentemente el uso de contraseñas robustas para la administración del listener haría fallar
el primer comando, y evitaría este tipo de ataque.
Claro que hablar de seguridad en los protocolos de comunicaciones (propietarios) resulta inútil
cuando uno cae en la cuenta de lo siguiente: introducir un sniffer para capturar este tráfico resulta
más complicado que explotar las grandes avenidas de 'inyección SQL' que surcan hoy día las
(supuestamente amuralladas) ciudades de la información.
46
Cuando el problema está del lado de la aplicación: Inyección de SQL
Es práctica habitual separar los servicios accesibles por los usuarios en segmentos de red (DMZ)
separados de los segmentos donde residen los servicios de datos mediante dispositivos de control
(cortafuegos internos). Asimismo el acceso en red puede limitarse por IP origen, lo cual introduce
otra 'barrerita' para hacer más dura la tarea de los malos. Pero todos los controles de seguridad
introducidos se vienen abajo cuando la aplicación es el agujero.
¿Por qué es tan habitual encontrar vulnerabilidades de inyección SQL en las aplicaciones?
Podemos citar una combinación de factores: desconocimiento por parte de los equipos de
desarrollo, externalización del desarrollo, falta de una normativa de desarrollo y de herramientas
que obliguen/faciliten a los equipos a no introducir este tipo de defectos, o la falta de análisis de
seguridad como parte de las pruebas de aceptación de la aplicación, entre otros.
La cascada de controles que se deben aplicar para reducir el riesgo que este tipo de defectos de
aplicación conlleva: Validación positiva de entradas (frente a filtrado negativo o mapeo de
caracteres), uso de SQL parametrizado tanto en sentencias SQL como en llamadas a
procedimientos almacenados, uso de privilegio mínimo en las cuentas que acceden a base de
datos y eliminación de todas las posibilidades de ejecución de código SQL innecesarias, y control
correcto de errores que provengan de base de datos.
Estos controles deben aplicarse conjuntamente. Por ejemplo, aunque la aplicación use una cuenta
de base de datos con mínimos privilegios, mediante inyección SQL pueden escalarse los
privilegios en prácticamente todas las bases de datos.
Los ataques de inyección SQL con éxito pueden permitir impresionar a un usuario, extraer toda la
información del esquema, extraer o modificar datos no previstos por el desarrollador, ejecutar
comandos del sistema o manipular ficheros, tener acceso a la red, o usar el motor de base de
datos como trampolín para incursiones en otros recursos de la red. Un desbordamiento de búfer es
infrecuente y normalmente exige a un atacante externo penetrar uno o dos cortafuegos. Una
vulnerabilidad de inyección SQL en una aplicación web se explota usando exactamente el mismo
camino expedito que tienen los mensajes HTTP legítimos.
Robustez activa y pasiva
El concepto de robustez incluye estrategias para limitar el consumo de recursos de base de datos
para limitar condiciones de denegación de servicio potenciales, tanto para evitar que se produzca,
47
como para producir una degradación controlada del servicio. La mayoría de las bases de datos
tienen un histórico de desbordamiento de buffers que han resultado en la caída del motor de base
de datos.
La historia reciente nos muestra cómo las bases de datos presentan vulnerabilidades que pueden
tener efectos inesperados. El gusano Slammer de SQL Server (que usaba como vía de
propagación un desbordamiento de búfer en el servicio de resolución UDP) es un ejemplo de cómo
una vulnerabilidad en base de datos puede producir otros efectos (denegación de servicio en la red
local por sobrecarga de paquetes).
4.6 Diferentes Modos de ataque
4.6.1
Man in the Middle
El ataque man-in-the-middle (MitM o intermediario) es un ataque en el que el enemigo adquiere la
capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna
de estas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar
e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el
protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin
autenticación. MitM se emplea típicamente para referirse a manipulaciones activas de los
mensajes, más que para denotar intercepción pasiva de la comunicación.
El ataque MitM puede incluir algunos de los siguientes sub-ataques:
De negación de servicios DOS (Denial Of Service)
Eavesdropping
4.6.1.1 Ataques de negación de servicio DOS (Denial Of Service).
Un ataque por denegación de servicio (Denial of service) por lo general va dirigido a los servidores
de una compañía y tiene como objetivo imposibilitar el acceso a los servicios, recursos y
potencialmente impedir el desarrollo normal de sus actividades en caso de que éstas se basen en
un sistema informático por un período de tiempo indefinido, para que estos no puedan utilizarse ni
consultarse. Su objetivo no reside en recuperar ni alterar datos, sino en dañar la reputación de las
compañías con presencia en Internet y potencialmente impedir el desarrollo normal de sus
actividades en caso de que éstas se basen en un sistema informático. La mayoría de los ataques
de negación de servicio aprovechan las vulnerabilidades relacionadas con la implementación de un
protocolo TCP/IP modelo. Generalmente, estos ataques se dividen en dos clases:
48
Las negaciones de servicio por saturación, que saturan un equipo con solicitudes para que
no pueda responder a las solicitudes reales.
Las negaciones de servicio por explotación de vulnerabilidades, que aprovechan una
vulnerabilidad en el sistema para volverlo inestable.
Los ataques por negación de servicio envían paquetes IP o datos de tamaños o formatos atípicos
que saturan los equipos de destino o los vuelven inestables y, por lo tanto, impiden el
funcionamiento normal de los servicios de red que brindan. Cuando varios equipos activan una
negación de servicio, el proceso se conoce como Sistema Distribuido de Denegación de Servicio
(DDOS, distributed denial of service). Los más conocidos son tribal flood network (tfn) y trinoo.
4.5.1.2 Eavesdropping
Es escuchar secretamente y es el término que se utiliza para escuchar conversaciones VoIP por
parte de clientes que no participan en dicha conversación. Eavesdropping en VoIP requiere
interceptar la señalización y los streams de audio de una conversación.
Los mensajes de señalización utilizan protocolos separados, es decir, UDP o TCP. Los streams
normalmente se transportan sobre UDP utilizando el protocolo RTP. En un ataque de
eavesdropping cuando se introduce el ARP spoofing o envenenamiento de la caché ARP como
mecanismo para llevar a cabo un ataque man-in-the-middle. El concepto básico es que el atacante
envíe a los usuarios avisos con la MAC falseada o “spoofeada” y por lo tanto, consigue que los
paquetes IP lleguen a su host. La Figura 14 resume el ataque ARP spoofing.
Figura 14 Ataque ARP spoofing
Por medio del ARP spoofing, un atacante puede capturar, analizar y escuchar comunicaciones
VoIP.
49
4.6.2
Sniffers
Consiste en capturar tramas que circulan por la red mediante un programa ejecutándose en una
máquina conectada a ella o bien mediante un dispositivo que se enganche directamente el
cableado. Estos dispositivos, denominados sniffers de alta impedancia, se conectan en paralelo
con el cable de forma que la impedancia total del cable y el aparato es similar a la del cable solo, lo
que hace difícil su detección.
El sniffer de VoIP captura conversaciones y registros que soportan los protocolos más utilizados:
Bidirectional SIP, SCCP de Cisco, Bidirectional Raw RTP. Tiene una licencia GPL y está disponible
tanto para sistemas Windows como GNU/Linux.
Este tipo de ataques interceptan los datos emitidos en forma de sonido o simple ruido en nuestro
entorno de operaciones.
Un ejemplo de este tipo de sniffer es Oreka, un sistema modular que está formado por los
siguientes componentes:
Orkaudio es el demonio encargado de escuchar conversaciones VoIP y decodificarlas a
archivos WAV.
Orkweb proporciona una interfaz de administración web.
Orktrack es el servicio encargado de registrar las conversaciones VoIP en MySQL.
4.6.3
BlueJacking, BlueSnarfing y BlueBugger
BlueJacking aprovecha la tecnología Bluetooth para el envió de mensajes sin permiso a través de
dispositivos con Bluetooth como celulares, PDAs, portátiles y algunos PCs, enviando una vCard.
Para esto solamente se debe activar el Bluetooth y crear un nuevo contacto en la agenda de
direcciones. En el campo del nombre se escribe el mensaje que se desea enviar (puede ser de
texto o multimedia) y ya está. El teléfono entonces busca otros dispositivos, equipados con esta
tecnología, que estén en su radio de acción, unos 10 metros, y envía el mensaje. Usualmente se
envía a través del protocolo OBEX.
BlueSnarfing es el robo de información de un dispositivo inalámbrico a través de una conexión
Bluetooth, ya sea entre teléfonos, portátiles o PDAs, esto permite acceso al calendario, la lista de
contactos, correos y mensajes de texto. Cualquier dispositivo que tenga encendido el Bluetooth y
se encuentre en Modo visible puede ser atacado.
50
BlueBugger Toma el control del dispositivo móvil de la víctima, y por medio de comandos hace lo
que el BlueBugger desee. Es decir el bluebugger toma el control del teléfono, y lo usa para enviar
mensajes o para hacer una llamada.
4.6.4
Clonación de SIM (Módulo de Identificación del Suscriptor).
Las SIMs de GSM son pequeñas smartcard (tarjetas inteligentes) que los teléfonos GSM / UMTS
lleva en su interior. La SIM tiene como misión identificar y autentificar el número de teléfono que
está usando la terminal telefónica. La SIM está compuesta por un pequeño ordenador (micro
controlador) y una pequeña memoria. Esto hace que pueda contener programas y algoritmos para
gestionar sus propios recursos (PINs, Identificadores, claves, etc.).
La clonación de SIM consiste en duplicar el SIM GSM. Se crea una SIM diferente a la original pero
que se comporte exactamente igual. Esto al ser un elemento activo se tiene que realizar con un
emulador ya que aparte de copiar los datos de la SIM es necesario emular su comportamiento e
incluso ampliarlo.
4.6.5
Secuestro de sesión (Session Hijacking)
Un secuestro de sesión TCP/IP es una técnica que consiste en interceptar una sesión TCP iniciada
entre dos equipos para secuestrarla. Como la comprobación de autentificación se hace sólo al abrir
la sesión, un intruso que inicie su ataque con éxito puede controlar la conexión durante toda la
sesión. En una conversación de VoIP el intruso puede mantener el control además de poder
escuchar todo los usuarios de servicio estén hablando.
4.6.6
Troyano
Un programa de caballo de Troya se presenta a sí mismo como un programa informático de
utilidad, mientras que lo que hace en realidad es causar estragos y daños en el equipo. Cada vez
con más frecuencia, los caballos de Troya se utilizan como primera fase de un ataque y su objetivo
primordial consiste en mantenerse ocultos mientras descargan e instalan amenazas más
poderosas, como por ejemplo un bot.
A diferencia de los virus y los gusanos, los caballos de Troya no pueden propagarse por sí solos. A
menudo, llegan a la víctima por medio de un mensaje de correo electrónico en el que se hacen
51
pasar por una imagen o un chiste, o bien a través de un sitio web nocivo que instala el caballo de
Troya en un equipo mediante las vulnerabilidades existentes en el software del navegador web,
como Microsoft Internet Explorer. Tras su instalación, el caballo de Troya merodea sigilosamente
por el equipo infectado y de manera invisible comete sus fechorías, como descargar software espía
mientras la víctima continúa realizando sus actividades cotidianas.
4.6.7
Bots
Son similares a los gusanos y a los caballos de Troya, pero realizan una amplia variedad de tareas
automatizadas al servicio de sus amos, quienes suelen encontrarse a una distancia segura en
algún lugar de una red de servicios. Las tareas que los bots realizan son desde enviar spam hasta
eliminar sitios web de Internet como parte de un ataque coordinado de “negación de servicio”.
Debido a que un equipo infectado por bots cumple las órdenes de su amo, muchas personas se
refieren a estos equipos víctima como zombis.
Los bots no trabajan solos, sino que forman parte de una red de equipos infectados denominada
"botnet" (red de bots). Las botnets son creadas por los atacantes, para ello, infectan repetidamente
los equipos víctima. Cada uno de los equipos zombis es controlado por un equipo principal
conocido como servidor de comando y control. Desde dicho servidor de comando y control, se
administran las botnets y ordenan a los equipos zombis que actúen. Por lo general, una botnet está
compuesta por un número elevado de equipos víctima repartidos por todo el mundo. Algunas
botnets pueden englobar algunos cientos o un par de miles de equipos, pero otras cuentan con
decenas e incluso centenares de miles de zombis a su servicio.
4.6.8
Phishing
Es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas). El phising es
básicamente un tipo de estafa en línea, y los autores de estos fraudes, utilizan spam, sitios web
falsos, software de actividades ilegales y otras técnicas con las que engañan a la gente para que
divulguen información confidencial, como los datos de su tarjeta de crédito o de su cuenta
bancaria. En cuanto capturan suficiente información de las víctimas, ellos mismos pueden utilizar
los datos robados para estafarlas (por ejemplo: abren nuevas cuentas con el nombre de la víctima
o agotan su cuenta bancaria), o bien pueden vender esta información en el mercado negro a buen
precio.
52
4.6.8.1 Pharming
Pharming es una variante del phishing es la explotación de una vulnerabilidad en el software de los
servidores DNS (Domain Name System), es en realidad un antiguo tipo de ataque denominado
envenenamiento de la caché del DNS. El envenenamiento de la caché del DNS es un ataque
dirigido al sistema de nombres de Internet, que permite a los usuarios introducir nombres con un
significado para los sitios web (www.mibanco.com), en lugar de series de números más difíciles de
recordar (192.168.1.1). El sistema de nombres se basa en los servidores DNS para efectuar la
conversión de los nombres de los sitios web basados en letras, que son fáciles de recordar por
parte de los usuarios, en dígitos comprensibles por los equipos para conducir a los usuarios al sitio
web de su elección.
4.6.8.1.1
Malware
Malware o software de actividades ilegales es una categoría de código malicioso que incluye virus,
gusanos y caballos de Troya. El malware utiliza herramientas de comunicación conocidas para
distribuir gusanos que se envían por correo electrónico y mensajes instantáneos, caballos de Troya
que provienen de ciertos sitios Web y archivos infectados de virus que se descargan de
conexiones P2P. El malware también buscará explotar en silencio las vulnerabilidades existentes
en sistemas.
El malware trata de pasar inadvertido, ya sea escondiéndose o simplemente
ocultándose en un sistema conocido para el usuario.
4.6.8.2 Vishing y SMishing
Vishing (conjunción de voice y phishing) y SMishing son variantes de Phishing utilizando Voz sobre
IP y SMS, respectivamente y al igual que el phishing son técnicas maliciosas para obtener
información de los usuarios. En el caso de Voz sobre IP (VoIP), la nomenclatura que recibe el
fraude se denomina Vishing (conjunción de voice y phishing) y busca obtener a través de la
Ingeniería Social datos confidenciales, por lo general financieros, que luego son utilizados con fines
maliciosos y fraudulentos como el robo de identidad. Su metodología puede ser simplificada de la
siguiente manera:
La víctima recibe una llamada telefónica y al aceptarla se le informa que por cuestiones de
seguridad, o algún otro motivo afín, debe ser verificada la información relacionada a su
tarjeta de crédito o la información de acceso al Home Banking.
Cabe aclarar que las llamadas se realizan en forma aleatoria y por lo general a través de lo
que se conoce como War dialing (marcado automático de números telefónicos con el fin de
encontrar algún módem activo).
53
En ese momento, si el usuario accede al llamado, escuchará un falso mensaje, simulando
ser una entidad bancaria, que le solicitará el ingreso, mediante el teclado del teléfono, de la
información relacionada a la tarjeta de crédito, es decir, los 16 dígitos que componen el
número de la tarjeta.
A partir de ese instante, el visher (persona maliciosa que práctica vishing) obtendrá los
datos necesarios para cometer el fraude e incluso el robo de identidad.
Al igual que el Vishing, otra de las tecnologías que se ha masificado es la comunicación a través
de telefonía celular; en este caso, la actividad fraudulenta que la explota recibe el nombre de
SMiShing (conjunción de SMS y phishing).
El Smishing consiste en el envío de falsos mensajes de texto que aparentan ser de entidades
confiables, donde cada mensaje incorpora alguna metodología de engaño con el fin de obtener los
datos de los usuarios, por lo general relacionados a una entidad bancaria.
El modo de operación es muy similar al Vishing con la única diferencia que el fraude se intenta
llevar a cabo por intermedio de otra vía de comunicación. Básicamente, los usuarios reciben un
mensaje SMS (Short Message Service - Servicio de mensajes cortos) informando sobre una
supuesta suscripción, o algo similar, para lo cual se solicita que confirme el mensaje para poder
validarla.
Indicando además, que la suscripción no es gratuita y que se cobrará un porcentaje de dinero a
menos que se cancele la suscripción. Para llevar a cabo la cancelación el mismo SMS proporciona
una dirección web a la que el usuario debe acceder para supuestamente cancelar la suscripción.
Contrariamente a ello, al ingresar al enlace el usuario se ve obligado a descargar una aplicación
que se supone necesaria para realizar con éxito el proceso de anulación; sin embargo, lo que el
usuario termina descargando son distintos códigos maliciosos.
Tanto el Vishing como el Smishing son técnicas fraudulentas equivalentes al Phishing que se
realizan a través de otros canales de comunicación, que persiguen el mismo objetivo: beneficio
económico y que en la mayoría de los casos se encuentra de alguna manera asociado o
dependiendo del malware.
54
CAPÍTULO V LEGISLACIÓN Y MEJORES PRÁCTICAS
En este capítulo se aborda la Legislación existente tanto a nivel Nacional como a nivel
Internacional sobre el uso de medios electrónicos; así mismo, se plantean las Mejores prácticas y
los puntos relevantes en materia de seguridad de la información, con el fin de consolidar la tesis en
un marco de referencia legal y normativo, sirviendo de base para generar las políticas del modelo
de seguridad de Pago y Banca Móvil.
5.1 Legislación en México
El delito es definido como “…una conducta típica (tipificada por la ley), antijurídica (contraria a
Derecho) y culpable. Supone una conducta infraccional del Derecho penal, es decir, una acción u
omisión tipificada y penada por la ley”26. El delito Cibernético se puede entender como actos
perpetrados con la ayuda de la computadora y su conexión con el Internet. La vulnerabilidad no
recae sobre unos cuantos, sino más bien en todo aquel que tenga ese acceso a la red.
Actualmente en México existen leyes, reglamentos, políticas y normas desarrolladas por diversas
Entidades e Instituciones Gubernamentales cuyo enfoque va dirigido a los medios electrónicos.
Las diferentes leyes mexicanas que utilizan el término Medio Electrónico o Informática son:
Código Civil Federal (Art. 1803)
Código Federal de Procedimientos Civiles (Art. 112 Bis, Art. 112 Quáter)
Código Fiscal de la Federación (Art. 17-D, Art. 17-E)
Código Penal Federal (211 bis 1, bis 2, bis 3, bis 4, bis 5)
Código de Comercio (Art. 89, Art. 89 Bis)
Ley de la Secretaría de Comunicaciones y Transportes (Art. 2, Art. 119, Art. 120)
Ley Federal de Protección al Consumidor (Art. 76 bis)
Ley Federal del Derecho de Autor (Art.6, Art.27, Art.101, Art.102, Art.107)
Ley de la Propiedad Industrial (Art. 82, Art. 83)
5.1.1
Código Civil Federal
Articulo 1803.- El consentimiento puede ser expreso o tácito, para ello se estará a lo siguiente:
26
http://www.leydeinternet.com/?page_id=29
55
I.
Será expreso cuando la voluntad se manifiesta verbalmente, por escrito, por medios
electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos, y
II.
El tácito resultara de hechos o de actos que lo presupongan o que autoricen a
presumirlo, excepto en los casos en que por ley o por convenio la voluntad deba
manifestarse expresamente.
5.1.2
Código Federal de Procedimientos Civiles
Artículo 112 Bis.- Se sancionará con prisión de tres a nueve años y de treinta mil a trescientos mil
días multa, al que sin causa legítima o sin consentimiento de quien esté facultado para ello,
respecto de tarjetas de crédito, de débito, cheques, formatos o esqueletos de cheques o en general
cualquier otro instrumento de pago, de los utilizados o emitidos por instituciones de crédito del país
o del extranjero:
I. Produzca, fabrique, reproduzca, introduzca al país, imprima, enajene, aun gratuitamente,
comercie o altere, cualquiera de los objetos a que se refiere el párrafo primero de este
artículo;
II. Adquiera, posea, detente, utilice o distribuya cualquiera de los objetos a que se refiere el
párrafo primero de este artículo;
III. Obtenga, comercialice o use la información sobre clientes, cuentas u operaciones de las
instituciones de crédito emisoras de cualquiera de los objetos a que se refiere el párrafo
primero de este artículo;
IV. Altere, copie o reproduzca la banda magnética o el medio de identificación electrónica,
óptica o de cualquier otra tecnología, de cualquiera de los objetos a que se refiere el
párrafo primero de este artículo;
V. Sustraiga, copie o reproduzca información contenida en alguno de los objetos a que se
refiere el párrafo primero de este artículo, o
VI. Posea, adquiera, utilice o comercialice equipos o medios electrónicos, ópticos o de
cualquier otra tecnología para sustraer, copiar o reproducir información contenida en
alguno de los objetos a que se refiere párrafo primero de este artículo, con el propósito de
obtener recursos económicos, información confidencial o reservada.
Artículo 112 Quáter.- Se sancionará con prisión de tres a nueve años y de treinta mil a trescientos
mil días multa, al que sin causa legítima o sin consentimiento de quien esté facultado para ello:
I. Acceda a los equipos o medios electrónicos, ópticos o de cualquier otra tecnología del
sistema bancario mexicano, para obtener recursos económicos, información confidencial o
reservada, o
56
II. Altere o modifique el mecanismo de funcionamiento de los equipos o medios electrónicos,
ópticos o de cualquier otra tecnología para la disposición de efectivo de los usuarios del
sistema bancario mexicano, para obtener recursos económicos, información confidencial o
reservada.
5.1.3
Código Fiscal de la Federación
CAPÍTULO II.- DE LOS MEDIOS ELECTRÓNICOS
Artículo 17-D.- Cuando las disposiciones fiscales obliguen a presentar documentos, estos
deberán ser digitales y contener una firma electrónica avanzada del autor, salvo los casos que
establezcan una regla diferente. Las autoridades fiscales, mediante reglas de carácter general,
podrán autorizar el uso de otras firmas electrónicas.
Artículo 17-E.- Cuando los contribuyentes remitan un documento digital a las autoridades fiscales,
recibirán el acuse de recibo que contenga el sello digital. El sello digital es el mensaje electrónico
que acredita que un documento digital fue recibido por la autoridad correspondiente y estará sujeto
a la misma regulación aplicable al uso de una firma electrónica avanzada. En este caso, el sello
digital identificará a la dependencia que recibió el documento y se presumirá, salvo prueba en
contrario, que el documento digital fue recibido en la hora y fecha que se consignen en el acuse de
recibo mencionado. El Servicio de Administración Tributaria establecerá los medios para que los
contribuyentes puedan verificar la autenticidad de los acuses de recibo con sello digital.
5.1.4
Código Penal Federal
CAPÍTULO II.- ACCESO ILÍCITO A SISTEMAS Y EQUIPOS DE INFORMÁTICA
Artículo 211 bis 1.- Al que sin autorización modifique, destruya o provoque perdida de información
contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se
le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de
informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año
de prisión y de cincuenta a ciento cincuenta días multa.
Artículo 211 bis 2. Al que sin autorización conozca o copie información contenida en sistemas o
equipos de informática del estado, protegidos por algún mecanismo de seguridad, se le impondrán
de seis meses a dos años de prisión y de cien a trescientos días multa.
57
Artículo 211 bis 3. Al que estando autorizado para acceder a sistemas y equipos de informática
del estado, indebidamente modifique, destruya o provoque perdida de información que contengan,
se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa.
Artículo 211 bis 4. Al que sin autorización conozca o copie información contenida en sistemas o
equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún
mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a
trescientos días multa.
Artículo 211 bis 5. Al que estando autorizado para acceder a sistemas y equipos de informática de
las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque
perdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y
de cien a seiscientos días multa.
5.1.5
Código de Comercio
TÍTULO SEGUNDO.- DEL COMERCIO ELECTRÓNICO
CAPÍTULO I.- DE LOS MENSAJES DE DATOS
Artículo 89.- En los actos de comercio podrán emplearse los medios electrónicos, ópticos o
cualquier otra tecnología. Para efecto del presente código, se deberán tomar en cuenta las
siguientes definiciones:
Certificado: Todo mensaje de datos u otro registro que confirme el vínculo entre un
firmante y los datos de creación de firma electrónica.
Datos de creación de firma electrónica: Son los datos únicos, como códigos o claves
criptográficas privadas, que el firmante genera de manera secreta y utiliza para crear su
firma electrónica, a fin de lograr el vínculo entre dicha firma electrónica y el firmante.
Destinatario: La persona designada por el emisor para recibir el mensaje de datos, pero
que no esté actuando a título de intermediario con respecto ha dicho mensaje.
Emisor: Toda persona que, al tenor del mensaje de datos, haya actuado a nombre propio
o en cuyo nombre se haya enviado o generado ese mensaje antes de ser archivado -si
este es el caso-, pero que no haya actuado a título de intermediario.
Firma Electrónica (FE): Son los datos en forma electrónica consignados en un mensaje
de datos, adjuntados o lógicamente asociados al mismo por cualquier tecnología, que son
utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el
firmante aprueba la información contenida en el mensaje de datos, y que produce los
mismos efectos jurídicos que la firma autógrafa, siendo admisible como prueba en juicio.
58
Firma Electrónica Avanzada o Fiable: Aquella firma electrónica que cumpla con los
requisitos contemplados en las fracciones I a IV del artículo 97. En aquellas disposiciones
que se refieran a firma digital, se considerará a ésta como una especie de la firma
electrónica.
Firmante: La persona que posee los datos de la creación de la firma y que actúa en
nombre propio o de la persona a la que representa.
Intermediario: En relación con un determinado mensaje de datos, se entenderá toda
persona que, actuando por cuenta de otra, envíe, reciba o archive dicho mensaje o preste
algún otro servicio con respecto a él.
Mensaje de datos: La información generada, enviada, recibida o archivada por medios
electrónicos, ópticos o cualquier otra tecnología.
Parte que confía: La persona que, siendo o no el destinatario, actúa sobre la base de un
certificado o de una firma electrónica.
Prestador de servicios de certificación: La persona o institución pública que preste
servicios relacionados con firmas electrónicas y que expide los certificados, en su caso.
Sistema de información: Se entenderá todo sistema utilizado para generar, enviar, recibir,
archivar o procesar de alguna otra forma mensajes de datos.
Titular del certificado: Se entenderá a la persona a cuyo favor fue expedido el certificado.
Artículo 89 bis.- No se negaran efectos jurídicos, validez o fuerza obligatoria a cualquier tipo de
información por la sola razón de que este contenida en un mensaje de datos.
5.1.6
Ley de la Secretaría de Comunicaciones y Transportes
CAPITULO I.- OBJETO Y DEFINICIONES
Artículo 2.- Se entiende por:
Telecomunicaciones: Toda transmisión, emisión o recepción de signos, señales, escritos,
imágenes, voz, sonidos o informaciones de cualquier naturaleza por línea física,
conductora eléctrica, radioelectricidad, medios ópticos y otros sistemas electromagnéticos;
Servicio de Radiotelefonía Móvil: Es un servicio de radiocomunicación entre estaciones
fijas y móviles o entre móviles por medio del cual se proporciona la capacidad completa
para la comunicación de voz entre suscriptores así como su interconexión con los usuarios
de la red pública de telefonía básica y otras redes públicas de telecomunicaciones
autorizadas;
59
CAPITULO VIII.- RADIOCOMUNICACIÓN
Sección III
Servicio móvil de radiocomunicación
Artículo 119.- Los concesionarios de Redes Públicas de Radiocomunicación para prestar servicio
público móvil, que estén en posibilidad de proporcionar el servicio final mediante cargos
específicos, están obligados a:
I. Establecer, construir, y explotar la red para permitir la conducción de señales entre equipos
terminales de radiocomunicación de los suscriptores, así como en su caso, su
interconexión con las redes de telecomunicación que autorice la Secretaría; y
II. Suministrar, conectar y mantener el equipo terminal de radiocomunicación a solicitud del
suscriptor.
Artículo 120.- La disponibilidad y contratación de capacidad de interconexión y conmutación de las
empresas concesionarias del servicio público telefónico, deberán ofrecerse a las empresas
concesionarias de radiotelefonía móvil, bajo las mismas condiciones de costo y tiempo, cantidad y
tipo de troncales, bloques para numeración telefónica, enrutamientos, entre otros.
5.1.7
Ley Federal de Protección al Consumidor
El objeto de esta ley es promover y proteger los derechos y cultura del consumidor y procurar la
equidad, certeza y seguridad jurídica en las relaciones entre proveedores y consumidores.
El artículo 76 Bis de esta ley aplica para las relaciones entre proveedores y consumidores en las
transacciones efectuadas a través del uso de medios electrónicos, ópticos o de cualquier otra
tecnología. En la celebración de dichas transacciones se debe cumplir con lo siguiente:
El proveedor utilizará la información proporcionada por el consumidor en forma
confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la
transacción, salvo autorización expresa del propio consumidor o por requerimiento de
autoridad competente;
El proveedor utilizará alguno de los elementos técnicos disponibles para brindar seguridad
y confidencialidad a la información proporcionada por el consumidor e informará a este,
previamente a la celebración de la transacción, de las características generales de dichos
elementos;
60
El proveedor deberá proporcionar al consumidor, antes de celebrar la transacción, su
domicilio físico, números telefónicos y demás medios a los que pueda acudir el propio
consumidor para presentarle sus reclamaciones o solicitarle aclaraciones;
El proveedor evitará las prácticas comerciales engañosas respecto de las características
de los productos, por lo que deberá cumplir con las disposiciones relativas a la información
y publicidad de los bienes y servicios que ofrezca, señaladas en esta ley y demás
disposiciones que se deriven de ella;
El consumidor tendrá derecho a conocer toda la información sobre los términos,
condiciones, costos, cargos adicionales, en su caso, formas de pago de los bienes y
servicios ofrecidos por el proveedor;
El proveedor respetará la decisión del consumidor en cuanto a la cantidad y calidad de los
productos que desea recibir, así como la de no recibir avisos comerciales, y
5.1.8
Ley Federal del Derecho de Autor
De acuerdo al artículo 11 de la Ley Federal del Derecho de Autor, “Los Derechos de Autor son el
reconocimiento del Estado en favor del creador de obras literarias y/o artísticas. El autor es la
persona física que crea una obra Literaria o Artística.”27
Art. 6.- Fijación es la incorporación de letras, números, signos, sonidos, imágenes y demás
elementos en que se haya expresado la obra, o de las representaciones digitales de aquellos, que
en cualquier forma o soporte material, incluyendo los electrónicos, permita su percepción,
reproducción u otra forma de comunicación.
Art. 27.- Los titulares de los derechos patrimoniales podrán autorizar o prohibir:
I. La reproducción, publicación, edición o fijación material de una obra en copias o
ejemplares, efectuada por cualquier medio ya sea impreso, fonográfico, gráfico, plástico,
audiovisual, electrónico u otro similar.
II. La comunicación pública de su obra a través de cualquiera de las siguientes maneras:
La representación y ejecución pública en el caso de las obras literarias y artísticas;
La exhibición pública por cualquier medio o procedimiento, en el caso de obras
.literarias y artísticas, y;
El acceso público por medio de la telecomunicación;
III. La transmisión pública o radiodifusión de sus obras, en cualquier modalidad, incluyendo la
transmisión de las obras por:
Cable;
27
http://axp16.iie.org.mx/promocio/patentes/paginas/derinf2.htm
61
Fibra óptica;
Microondas;
Vía satélite;
Cualquier otro medio análogo.
IV. La distribución de la obra, incluyendo la venta u otras formas de transmisión de la
propiedad de los soportes materiales que la contengan, así como cualquier forma de
transmisión de uso o explotación. Cuando la distribución se lleva a cabo mediante venta,
este derecho de oposición se entenderá agotado efectuada la primera venta, salvo en el
caso expresamente contemplado en el artículo 104 de esta Ley;
V. La importación al territorio nacional de copias de la obra hechas sin su autorización;
VI. La divulgación de obras derivadas, en cualquiera de sus modalidades, tales como la
traducción, adaptación, paráfrasis, arreglos y transformaciones, y;
CAPÍTULO IV.- DE LOS PROGRAMAS DE COMPUTACIÓN Y LAS BASES DE DATOS
Art. 101.- Se entiende por programa de computación la expresión original en cualquier forma,
lenguaje o código, de un conjunto de instrucciones que, con una secuencia, estructura y
organización determinada, tiene como propósito que una computadora o dispositivo realice una
tarea o función específica.
Art. 102.- Los programas de computación se protegen en los mismos términos que las obras
literarias. Dicha protección se extiende tanto a los programas operativos como a los programas
aplicativos, ya sea en forma de código objeto. Se exceptúan aquellos programas de cómputo que
tengan por objeto causar efectos nocivos a otros programas o equipos.
Art. 107.- Las bases de datos o de otros materiales legibles por medio de máquinas o en otra
forma, que por razones de selección y disposición de su contenido constituyan creaciones
intelectuales, quedarán protegidas como compilaciones. Dicha protección se extenderá a los datos
y materiales en sí mismos.
5.1.9
Ley de la Propiedad Industrial
Artículo 82.- Se considera secreto industrial a toda información de aplicación industrial o comercial
que guarde una persona física o moral con carácter confidencial, que le signifique obtener o
mantener una ventaja competitiva o económica frente a terceros en la realización de actividades
económicas y respecto de la cual haya adoptado los medios o sistemas suficientes para preservar
su confidencialidad y el acceso restringido a la misma.
62
Artículo 83.- La información a que se refiere el artículo anterior, deberá constar en documentos,
medios electrónicos o magnéticos, discos ópticos, microfilmes, películas u otros instrumentos
similares.
5.2 Regulación en México
5.2.1
CONDUSEF
El titular de una cuenta deberá autorizar aquellas otras cuentas que pueden recibir recursos desde
la suya, por lo que a partir de que entren en vigor las modificaciones, el banco le entregará,
además de su contrato de apertura, uno adicional donde designará de manera personal las
cuentas receptoras, así como los montos máximos. Para implementar lo anterior, los contratos
deben establecer de manera clara y precisa qué operaciones y servicios proporcionará la
institución vía electrónica, los procedimientos de identificación del usuario y su responsabilidad por
usarlos así como la del banco.
Una medida más, prohíbe a los intermediarios financieros para que sus empleados, funcionarios o
terceras personas soliciten a los clientes sus contraseñas o claves de acceso electrónico. Las
instituciones también deberán verificar de manera periódica que en la red no haya herramientas o
procedimientos que permitan obtenerlas. Por ejemplo, una manera común de defraudar es subir a
la red páginas web muy parecidas a las de instituciones bancarias. Usted topa con alguna de ellas
cuando en lugar de teclear directamente la dirección electrónica del banco utiliza un buscador o si
contesta mensajes de correo electrónico en los que supuestamente el banco le solicita actualizar
sus datos. Usted creyendo que estas son páginas auténticas, proporciona sus datos que son
captados por los delincuentes. Uno, como usuario, no se entera de que estaba en un sitio falso
porque aparece la leyenda “intentar de nuevo” y ahora sí, la página falsa lo envía a la web genuina
del banco. Tiempo después se encontrará con la amarga sorpresa de retiros que nunca hizo, lo
que se conoce como “ordeña” de cuentas. Otra disposición es que se faculta a las entidades
financieras a emplear, bajo su responsabilidad, medidas de prevención como la suspensión en la
prestación de los servicios cuando sospeche o presuma que la clave de acceso no es utilizada por
el cliente.
Las nuevas reglas, obligan a los bancos a mantener mecanismos de control para detectar y
prevenir eventos que se aparten de los parámetros habituales, por lo que tendrán que contar con
bitácoras para el registro de los accesos a medios electrónicos tanto de los usuarios como de las
personas autorizadas expresamente por la institución, que deberán incluir hora, fecha, número de
cuenta, origen y destino de los ingresos al banco vía electrónica. Además, las instituciones
63
deberán comunicar a los usuarios los riesgos inherentes a la utilización de medios electrónicos y
recomendaciones para prevenir operaciones irregulares.
5.2.1.1 Estrictos procedimientos de encriptación
También utilizarán medidas de seguridad para la información transmitida, procesada o almacenada
a través de medios electrónicos como cifrar mensajes, mecanismos para evitar que terceros no
autorizados accedan o hagan mal uso de la información transmitida, así como utilizar
procedimientos de generación y entrega de contraseñas o claves de acceso que aseguren que
sólo el usuario podrá activarlos.
Estos cambios obligan a las entidades financieras a contar con áreas de soporte técnico y
operacional integradas por personal calificado que atenderá y dará seguimiento a los problemas
que tengan los usuarios de la banca electrónica, además de procurar la operación continua de la
infraestructura informática y dar solución rápida, definitiva y provisional para restaurar el servicio en
caso de incidentes.
5.2.2
CNBV (Comisión Nacional Bancaria de Valores)
CAPITULO X. DEL USO DE MEDIOS ELECTRÓNICOS
Sección Primera
Disposiciones generales
Artículo 306.- Las Instituciones podrán pactar la celebración de sus operaciones y la prestación de
servicios con el público, mediante el uso de Medios Electrónicos, siempre que en los contratos
respectivos establezcan de manera clara y precisa, las bases para determinar:
I. Las operaciones y servicios que podrán proporcionarse a través de Medios Electrónicos.
II. Los mecanismos o procedimientos de identificación y autenticación del Usuario, así como
las responsabilidades correspondientes al uso de los Medios Electrónicos, tanto para las
Instituciones como para los Usuarios.
III. Los medios por los que se haga constar la creación, transmisión, modificación o extinción
de derechos y obligaciones inherentes a las operaciones y servicios de que se trate,
incluyendo los métodos de Identificación y Autenticación.
64
Artículo 307.- Las Instituciones sólo podrán permitir a sus clientes la utilización de Medios
Electrónicos, cuando cuenten con el consentimiento expreso de éstos, otorgado mediante firma
autógrafa, previo al uso que por primera ocasión hagan de dichos medios. Una vez que un cliente
ha otorgado su consentimiento para el uso de Medios electrónicos mediante firma autógrafa, podrá
solicitar y autorizar el uso de servicios o medios de pago bancarios adicionales utilizando un Medio
Electrónico, mediante dos factores de autenticación, de acuerdo a lo que haya dispuesto la
Institución y pactado con el cliente. Se exceptúan de lo anterior los servicios de Pagos de bajo
Valor en los cuales, el procedimiento de afiliación y activación podrá contemplar otros medios de
autenticación para la aceptación del servicio siempre que garanticen que el cliente es quien lo
solicita.
Sección Segunda
De la Confidencialidad e integridad de la información transmitida, almacenada o procesada a
través de Medios Electrónicos
Artículo 308.- Las Instituciones, en la utilización de Medios Electrónicos para celebrar operaciones
con el público y proporcionar servicios, deberán ajustarse a lo siguiente:
I. Implementar mecanismos para proteger la información transmitida y almacenada por medio
de la infraestructura de cómputo y telecomunicaciones, sea pública o privada, tendientes a
evitar que terceros no autorizados puedan acceder o hacer mal uso de la información de
sus clientes.
II. Proteger la información a que se refiere el artículo 117 de la LIC, así como la información de
identificación y autenticación de clientes, cifrando los mensajes o el medio de
comunicación, desde el dispositivo de acceso al Medio Electrónico hasta la recepción para
su ejecución por parte de la Institución. Las Instituciones deberán ser responsables de la
administración de los componentes utilizados para el cifrado, en particular de las llaves
criptográficas. En los casos de transmisión de información vía telefónica (Banca Telefónica,
Servicios Voz a voz y equipos de audio respuesta), en los que no sea posible realizar el
cifrado, deberán implementarse mientras tanto, controles compensatorios que protejan en
el mismo sentido la información mencionada.
III. Establecer mecanismos para evitar que, una vez identificado y/o autenticado el cliente en
un Medio Electrónico, la sesión pueda ser utilizada en nombre del cliente por alguien no
autorizado, considerando, entre otros aspectos:
a) Dar por terminada la sesión cuando exista inactividad por parte del Usuario, por un lapso
que determine la Institución, de acuerdo al servicio de que se trate y en función de los
65
riesgos inherentes al mismo. En ningún caso el periodo de inactividad en una Sesión
podrá exceder de los veinte minutos.
b) Evitar el acceso en forma simultánea, mediante la utilización de un mismo Identificador
de Usuario, a más de una sesión en el Medio Electrónico de que se trate, informando al
usuario cuando su Identificador de Usuario está siendo utilizado en otra sesión.
c) En caso de que se identifique en el curso de una operación cambios relevantes en los
parámetros de comunicación del Medio Electrónico, tales como identificación del
dispositivo, rango de direcciones, ubicación geográfica, entre otros, se deberá dar por
terminada la comunicación y requerir de nuevo el acceso al usuario, informando el
motivo de esta situación al Usuario.
d) En el evento de que se ofrezcan servicios de afiliados o de terceros mediante enlaces
electrónicos en el Medio Electrónico de que se trate, se deberá comunicar al Usuario
que al momento de ingresar a dichos servicios, se cerrará la Sesión establecida con la
Institución y se ingresará a otra cuya seguridad no depende, ni es responsabilidad de
esa Institución, siempre y cuando ésta última sea quien controle el enlace electrónico
mencionado.
IV. La Institución deberá establecer mecanismos de comunicación que informen al cliente de
manera inmediata, el resultado o estado de la transacción solicitada, sea o no procesada
en forma exitosa.
V. La institución deberá mantener, en la infraestructura de cómputo y telecomunicaciones de
Medios Electrónicos, dispositivos y medios automatizados de detección y prevención de
eventos que puedan afectar la confidencialidad, integridad y disponibilidad de la
información de sus clientes.
Artículo 309.- El acceso a las bases de datos y archivos de las Instituciones, correspondientes a
las operaciones bancarias y servicios proporcionados a través de Medios Electrónicos
exclusivamente estará permitido a las personas expresamente autorizadas por la Institución. Al
otorgarse los accesos de referencia, deberá dejarse constancia de dicha circunstancia y señalarse
los propósitos y el periodo al que se limitan los accesos. La obtención de información a que se
refiere el párrafo anterior, sin contar con la autorización correspondiente, o bien, el uso indebido de
dicha información, será sancionada en términos de lo previsto en la Ley, inclusive tratándose de
terceros contratados al amparo de lo establecido en el Artículo 46 Bis de dicho ordenamiento legal.
Artículo 310.- Las Instituciones que pongan al alcance de los Usuarios, en sus instalaciones o en
áreas de acceso al público, equipos electrónicos o de telecomunicaciones, que permitan llevar a
cabo consultas, Operaciones Monetarias y cualquier otro tipo de transacción bancaria, deberán
adoptar medidas que procuren impedir la instalación en tales equipos, de dispositivos que puedan
66
interferir con el manejo de la información de los Usuarios, así como que dicha información sea
leída, copiada, modificada o extraída por terceros. Lo anterior, atendiendo al servicio de que se
trate y en función de los riesgos inherentes al mismo.
Sección Tercera
De los mecanismos de identificación y autenticación de usuarios de Medios Electrónicos
Artículo 311.- Las Instituciones, en el manejo de información de autenticación del cliente, deberán
observar lo siguiente:
I.
Almacenar, transmitir y procesar en todo momento en forma Cifrada las Contraseñas,
Números de Identificación Personal, Respuestas Secretas y cualquier otro factor de
autenticación que constituya información estática.
II. Procedimientos que aseguren la integridad y confidencialidad de algoritmos y llaves de
cifrado.
III. Procedimientos que proporcionen seguridad en el manejo de dispositivos de autenticación
en su custodia, distribución, asignación y reposición.
IV. Las Instituciones tendrán prohibido solicitar a los Usuarios, a través de sus funcionarios,
empleados o
terceros,
cualquier información relacionada
con los Factores de
Autenticación, así como contar con procedimientos o mecanismos que les permitan
conocer los valores de cualquier información de autenticación.
V. Establecer mecanismos para el proceso de generación y/o entrega de Contraseñas y otros
elementos de autenticación del usuario, que aseguren que sólo el Usuario los conozca y
pueda activarlos.
VI. Establecer esquemas de bloqueo automático de Contraseñas y otros
Factores de
Autenticación, cuando menos, para los casos siguientes:
a. Cuando se intente ingresar a los Medios Electrónicos,
utilizando Factores de
Autenticación incorrectos. En ningún caso los intentos de acceso fallidos podrán
exceder de cinco ocasiones consecutivas sin que se genere el bloqueo automático.
b. Cuando el Usuario se abstenga de realizar movimientos por depósitos o retiros o
acceder a su cuenta, a través de Medios Electrónicos, por un periodo que determine
cada Institución en sus políticas de operación, de acuerdo con el servicio de que se
trate y en función de los riesgos inherentes al mismo.
VII. Prever procedimientos para la generación, entrega, almacenamiento y restablecimiento de
los Factores de Autenticación que aseguren que el Usuario correspondiente sea quien los
reciba, active, conozca o restablezca, de acuerdo a lo que el Medio Electrónico de que se
trate permita. Las Instituciones podrán hacer uso de preguntas secretas para restablecer
67
los Factores de Autenticación, siempre que las respuestas respectivas sean almacenadas
en forma Cifrada.
VIII. Proveer lo necesario para evitar la lectura, por un tercero no autorizado, de la información
del Factor de Autenticación en el momento de ser proporcionada por el usuario durante el
acceso al Medio Electrónico.
Artículo 312.- Las Instituciones, en el uso de Contraseñas y Números de Identificación Personal
como Factor de Autenticación, deberán observar lo siguiente:
I. Realizar las acciones necesarias para que los Usuarios no utilicen en su caso, como
Contraseñas y Números de Identificación Personal:
a. El Identificador de Usuario.
b. El nombre de la Institución.
c. Más de dos caracteres idénticos en forma consecutiva.
d. Más de dos consecutivos numéricos o alfabéticos.
II. La longitud de las Contraseñas deberá ser de al menos ocho caracteres. Su composición
deberá incluir caracteres alfabéticos y numéricos siempre y cuando el medio electrónico lo
permita.
III. En el caso de que la Institución defina las Contraseñas o Números de Identificación
Personal iníciales del servicio, se deberá forzar al cliente la modificación de la misma la
primera vez que se utilice, validando que sea diferente.
IV. La Institución debe proveer al usuario la funcionalidad que le permita cambiar sus
Contraseñas o Números de Identificación Personal cuando él así lo requiera.
Artículo 313.- Las Instituciones deben proveer a los clientes mecanismos que permitan a éstos a
su vez, autenticarlas como contraparte válida para recibir instrucciones de operación e información
del cliente:
Artículo 314.- En el caso de utilizar mecanismos voz a voz mediante Centros de Atención
Telefónica o por medio de Ejecutivos de cuenta para la afiliación, activación, modificación de
condiciones y suspensión de los servicios proporcionados a través de medios Electrónicos, las
Instituciones deberán contemplar lo siguiente:
I. Deberá procurarse el uso de mecanismos de autenticación automatizados, mediante
enlaces a dispositivos de respuesta automática (IVR) utilizando los mismos mecanismos
de autenticación utilizados para los medios electrónicos.
II. En el caso del uso de cuestionarios para la autenticación del cliente, la Institución deberá
evitar que los operadores telefónicos puedan aplicarlos de forma discrecional.
68
III. La información solicitada al cliente en dichos cuestionarios debe incluir datos que no se
encuentren disponibles en comunicaciones impresas o en Estados de Cuenta.
IV. Ventas informáticas, evitando que el operador pueda consultar anticipadamente los datos
de autenticación de clientes.
V. La Infraestructura tecnológica del Centro de Atención Telefónica debe mantener controles
de seguridad lógica que protejan en todo momento la confidencialidad e integridad de la
información proporcionada por los clientes.
VI. Los procesos de afiliación, activación, modificación de condiciones y suspensión de
servicios realizados en el Centro de Atención Telefónica, deberán generar registros,
bitácoras y huellas de auditoría que deben ser revisadas en forma periódica. En caso de
detectarse algún evento inusual, deberá reportarse al Comité de Auditoría conforme se
establece en último párrafo del artículo 327.
Sección Cuarta
De las condiciones de operación de transacciones realizadas por Medios Electrónicos
Artículo 315.- Las Instituciones, para otorgar acceso al uso de un Medio Electrónico a sus
Usuarios, deberán solicitar y validar, al menos:
I. El Identificador de Usuario
II. Información de autenticación del usuario.
Artículo 316.- Para la realización de operaciones bancarias con clientes a través de Medios
electrónicos, las Instituciones deberán observar lo siguiente:
I. Para realizar Operaciones Monetarias, Instrucciones de modificaciones de límites de
operación o modificación de datos sensibles del cliente, se deberá solicitar un segundo
factor de autenticación, distinto al usado para acceder al servicio.
II. En el caso de conjuntos de instrucciones enviadas para su operación a través de Medios
electrónicos, los mecanismos mencionados deben asegurar que cada una de ellas ha sido
autorizada en los mismos términos por lo que pueden utilizarse mecanismos de integridad
de información tales como firmas digitales.
III. Se deberá Registrar previamente las cuentas destino, mismas que deberán
quedar
habilitadas después de un periodo determinado por la propia Institución, de acuerdo al
servicio de que se trate y en función de los riesgos inherentes al mismo. Las Instituciones
deberán informar al cliente el plazo máximo en que quedarán habilitadas dichas cuentas.
Para el registro de las cuentas destino, las Instituciones deberán solicitar al Usuario que se
69
autentique nuevamente con el segundo factor de Autenticación, en los términos de la
fracción anterior.
IV. Validar, con base en la información disponible para la Institución, la estructura del número
de la cuenta destino o del contrato, sea que se trate de cuentas para depósito, pago de
servicios, clave bancaria estandarizada, tarjetas de crédito u otros medios de pago.
V. Permitir a los Usuarios establecer límites de monto para cada cuenta destino para
Operaciones Monetarias.
Sección Quinta
Del monitoreo y control y de la continuidad de los servicios
Artículo 318.- Las Instituciones deberán mantener mecanismos de control para la detección y
prevención de eventos que se aparten de los parámetros de uso habitual. Para tal efecto, las
Instituciones podrán solicitar a los Usuarios la información que estimen necesaria para definir los
parámetros de referencia.
Artículo 319.- Las Instituciones podrán aplicar, bajo su responsabilidad, medidas de prevención,
tales como la suspensión de la prestación de los servicios o, en su caso, de la transacción que se
pretenda realizar, de conformidad con lo pactado en el contrato respectivo, en el evento de que
tales Instituciones cuenten con elementos que hagan presumir que el Identificador de Usuario y su
Información de Autenticación están siendo utilizadas por alguien distinto al Usuario autorizado.
Artículo 320.- Las Instituciones deberán comunicar a los Usuarios los riesgos inherentes a la
utilización de los Medios Electrónicos y las recomendaciones para prevenir la realización de
operaciones irregulares o ilegales, mediante campañas de difusión de recomendaciones de
seguridad para la realización de operaciones a través de estos medios.
Artículo 321.- Las Instituciones deberán acordar con sus clientes los mecanismos y medios para
notificarles, a la brevedad posible, sobre:
I. El registro de cuentas a que se refiere el Artículo 316, fracción III de las presentes
Disposiciones
II. Los cambios o modificaciones a los límites de monto para Operaciones Monetarias con
terceros, definidos por el Usuario en términos de lo establecido en el Artículo 316, fracción
V de las presentes disposiciones
70
Artículo 322.- En el caso de operaciones de alta o baja del servicio, pagos, reportes de robo y
extravío y solicitud de aclaraciones, la Institución deberá proporcionar comprobantes con la
información que en cada caso permita al usuario dar seguimiento a su trámite.
Artículo 323.- Las Instituciones deberán contar con bitácoras en las que se registre, cuando
menos, la información siguiente:
I. Los accesos a los Medios Electrónicos y la actividad realizada tanto por los Usuarios como
por las personas y/o terceros que sean expresamente autorizadas por la Institución en
función de las actividades que realicen
II. La fecha, hora (hh:mm:ss), número de cuenta origen y destino y
demás información que
permita identificar el mayor número de elementos involucrados en los accesos a los Medios
Electrónicos
III. Tratándose de servicios y operaciones a través de la red electrónica mundial denominada
Internet, adicionalmente, los datos de las consultas y operaciones incluyendo, en su caso,
las direcciones de los protocolos de Internet o similares
IV. Datos de identificación de los dispositivos utilizados por el usuario para realizar la
operación
Artículo 324.- Las Instituciones deberán proveer mecanismos para que sus clientes reporten el
posible robo o extravío de los dispositivos de acceso y autenticación a los servicios prestados a
través de medios electrónicos, que permitan al usuario impedir el mal uso de los mismos, Así
mismo, deberán establecer políticas que definan la cobertura que tendrán las operaciones
realizadas hasta el momento de dicho reporte
Artículo 325.- La Institución deberá contemplar mecanismos para la atención y tratamiento de las
operaciones no reconocidas por los clientes realizadas a través de medios electrónicos.
Artículo 326.- Las Instituciones deberán realizar evaluaciones anuales de seguridad para los
diversos Medios Electrónicos, por parte de un tercero independiente con experiencia y capacidad
técnica suficiente, y procesos para monitorear, identificar y reducir los riesgos detectados.
Artículo 327.- Las Instituciones deberán contar con áreas de soporte técnico y operacional
integradas por personal capacitado que se encargará de atender y dar seguimiento a las
incidencias que tengan los Usuarios y a eventos de seguridad relacionados con los Medios
Electrónicos, así como de procurar la operación continua de la infraestructura informática y de dar
pronta solución definitiva o provisional, para restaurar el servicio, en caso de presentarse algún
incidente.
71
5.3 Legislación Internacional
5.3.1
SEPA (Single Euro Payments Area)
Definición.- Una zona en la que consumidores, empresas y otros agentes económicos podrán
realizar y recibir pagos en euros, dentro y fuera de las fronteras nacionales, en las mismas
condiciones básicas y con los mismos derechos y obligaciones, independientemente del lugar en
que se encuentren.
Objetivo.- Contribuir a la integración europea mediante un mercado de pequeños pagos en la zona
del euro competitivo e innovador, que pueda aportar un mejor nivel de servicios, productos más
eficientes y alternativas más baratas para efectuar los pagos.
Participantes y componentes
En 2002 se creó el Consejo Europeo de Pagos (EPC). Participan 65 entidades bancarias
europeas, incluyendo 3 asociaciones del sector crediticio y la Asociación Bancaria del Euro
(Euro Banking Association, EBA).
La moneda única, un único conjunto de instrumentos de pago: transferencias, adeudos por
domiciliaciones bancarias (adeudos directos) y pagos con tarjeta.
Infraestructuras de procesamiento de pagos en euros eficientes, estándares técnicos
comunes, prácticas comerciales comunes, un marco legal armonizado:
o EPC define los marcos y procedimientos aplicables a las cámaras de compensación
(ACH), redes de tarjetas y otros procesadores.
o Uso del estándar Unifi (UNIversal Financial Indstry) norma ISO20022 para tratamiento
de mensajes.
o Pan-European Automated Clearing House(s) (PEACH). Conectividad a lo largo de
Europa para cada banco.
o Uso de Códigos estándares IBAN (Internacional Bank Account Number) y BIC (Bank
Identifier Code).
Entidad de Dinero Electrónico en Europa
Para fomentar el desarrollo armónico de las actividades de las entidades de crédito en toda la
Comunidad, particularmente en lo que se refiere a la emisión de dinero electrónico, algunas
entidades limitan su actividad principalmente a la emisión de dinero electrónico; para evitar un
falseamiento de la competencia entre emisores de dinero electrónico, incluso en lo que se refiere a
la aplicación de medidas de política monetaria, conviene que estas entidades sean sometidas a
72
disposiciones específicas apropiadas habida cuenta de sus características especiales. La figura 15
describe la Entidad de crédito, proporcionando un enfoque de sus elementos.
Entidad de Crédito
Tradicional
Entidad de Dinero Electrónico
Empresa cuya actividad consiste en recibir del
público depósitos u otros fondos reembolsables y
en conceder créditos por cuenta propia
Empresa o cualquier otra persona jurídica distinta a una
entidad de crédito tradicional que emite medios de pago
en forma de dinero electrónico. Capital inicial mayor a un
millón de euros. Sus fondos propios no podrán reducirse
por debajo de dicho importe
Fig. 15 Entidad de crédito
5.3.2
Condiciones en Normatividad Europea
Generales
1. Las entidades de dinero electrónico están sujetas a supervisión cautelar que está
justificada y es conveniente por el hecho de que la emisión de dinero electrónico no
constituye por sí misma, dado su carácter específico de substitutivo electrónico de las
monedas y los billetes de banco, una actividad de recepción de depósitos, si los fondos
recibidos se cambian de inmediato por dinero electrónico.
2. La recepción de fondos del público a cambio de dinero electrónico, que se plasma en un
saldo acreedor con la institución emisora y disponible en una cuenta, constituye la
recepción de depósitos o de otros fondos reembolsables.
3. Es necesario que el dinero electrónico pueda reembolsarse para dar confianza al portador;
la posibilidad de obtener el reembolso no supone, en sí misma, que los fondos recibidos a
cambio de dinero electrónico se consideren como depósitos u otros fondos reembolsables.
4. La emisión de dinero electrónico puede afectar a la estabilidad del sistema financiero y al
buen funcionamiento de los sistemas de pagos. Debe existir una estrecha cooperación
para evaluar la integridad de los sistemas de dinero electrónico.
5. Las entidades de Dinero Electrónico no deberán tener participaciones en otras empresas
salvo en el caso de que estas últimas ejerzan funciones operativas u otras funciones
suplementarios en relación con el dinero electrónico emitido o distribuido por la entidad de
que se trate.
73
5.4 Controles
El riesgo se puede definir como la probabilidad de que una amenaza aproveche una vulnerabilidad,
o la ausencia de controles, para impactar al objeto de la información en cualquiera de sus tres
características: integridad, confiabilidad o disponibilidad.
Ahora bien, no es posible eliminar por completo los riesgos en seguridad, pero si los controles
funcionan correctamente, la amenaza será contenida o mitigada. En este sentido, un control se
refiere a la solución específica para cada vulnerabilidad, ya sea que se trate de un marco de
trabajo (como COSO, ITIL o Cobit), proceso, aplicación o tecnología, que ayude a las
organizaciones a alcanzar sus objetivos y estrategias de negocio, evitando o minimizando los
impactos. Los controles pueden ser preventivos, correctivos o de protección.
En general, los servicios de seguridad para intercambios de datos entre clientes y entidades
bancarias, los agrupamos en seis:
I.
Confidencialidad.
Garantizar que solamente las entidades autorizadas puedan acceder a la información
transmitida o almacenada.
Preservar la confidencialidad utilizando la criptografía.
o
Fijar algoritmo de cifrado
o
Establecimiento de clave de cifrado derivada
Confidencialidad de datos de usuario
Confidencialidad de información de señalización
Confidencialidad de la identidad de usuario
II. Integridad de los datos.
Prevenir y/o detectar cambios no autorizados al contenido de un mensaje durante la
transmisión.
Garantizar que los datos recibidos sean exactamente los enviados por el emisor, y que no
hayan sido corrompidos intencionalmente (o por error) durante su tránsito en la red.
Implementar la función matemática "hash" de un solo sentido. Esta función produce en
realidad una firma o una huella digital del mensaje (una secuencia de bits de longitud fija),
la cual puede ser verificada para comprobar la integridad. Una variante de la huella digital
se conoce como firma ciega, que es un procedimiento especial para firmar mensajes, sin
revelar su contenido.
o
Fijar algoritmo de integridad
74
o
Establecimiento de clave de integridad derivada
Integridad de datos y autenticación del origen de elementos de señalización
III. Identificación y de los participantes
Identificar usuarios, elementos y sistemas de red. Se refiere a la forma en que se presenta
un participante del proceso de comunicación. Generalmente se asocia un número de
cliente, un número de cuenta, el nombre de alguna entidad, etc.
Iniciar un control del acceso a los recursos de la red, y asociar privilegios con una identidad
dada.
Identificación por identidad temporal. Este mecanismo permite la identificación de un
usuario en la conexión de acceso de radio mediante la identidad de suscriptor móvil
temporal
Identificación por identidad permanente. Este mecanismo permite la identificación del
usuario en el canal de radio mediante la identidad permanente del usuario obtenida
directamente de la base de datos.
Actualización de ubicación. El usuario es quien se identifique a si mismo utilizando, en el
cual el servicio pediría al usuario que se identificara por su nip.
IV. Autenticación de los participantes (usuarios, elementos y sistemas de red).
Acreditación de la identidad, verificar que tanto el usuario como el servicio, es realmente
quien dice ser.
Utilización de contraseña segura.
V. Control de Acceso.
Asegurarse de que únicamente participantes autorizados, cuyas identidades hayan sido
correctamente autenticadas, pueden acceder a los recursos protegidos.
Definir perfiles de usuarios, permisos de acceso en dispositivos o servicios, etc.
VI. No Repudiación.
Asegurar la no repudiación de los usuarios y los elementos de red. Se refiere a que una
determinada persona, niegue haber realizado previamente alguna operación (compra,
acceso o intrusión) que sí realizó. Este es un concepto legal definido en las legislaciones
de muchos países. La repudiación se puede prevenir de diferentes formas, entre las cuales
se encuentran:
o Generación de evidencias a través de bitácoras de acceso y operaciones para
posteriores verificaciones,
o Utilización de firma electrónica de documentos o mensajes,
75
o Intervención de terceras entidades como testigos,
o Estampillas de tiempo
o Numeración secuencial de transacciones.
5.5 Mejores Practicas
Las exigencias cada día son mayores para los responsables de la seguridad informática de las
compañías; ya no basta con mantener una estrategia reactiva de protección, los tiempos
demandan pro actividad y alineación con el negocio. Cumplir con todo ello es difícil, sin embargo,
los encargados de seguridad tienen a su disposición para enfrentar dichas demandas a unas
eficaces aliadas, las mejores prácticas. Cuáles de ellas implementar dependerá de las necesidades
de cada organización.
5.5.1
Definición COBIT
Control OBjectives for Information and Related Technology; (Objetivos de Control para Tecnología
de Información y Tecnologías relacionadas). COBIT se ha convertido en el integrador de las
mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a
comprender y administrar los riesgos y beneficios asociados con TI.
El marco de trabajo de COBIT está compuesto de los siguientes componentes esenciales,
denominados dominios; los cuales están organizados en los 34 procesos de TI, brindando así una
visión completa de cómo controlar, administrar y medir cada proceso:
I. Planear y Organizar
II. Adquirir e Implementar
III. Entregar y Dar Soporte
IV. Monitorear y Evaluar
5.5.2
Definición ISO17799
ISO 17799 es una compilación de recomendaciones para las prácticas exitosas de seguridad que
toda organización puede aplicar independientemente de su tamaño o sector. La norma
técnicamente fue redactada intencionalmente para que fuera flexible y nunca indujo a las personas
que la cumplían para que prefirieran una solución de seguridad específica. Las recomendaciones
de la norma técnica ISO 17799 son neutrales en cuanto a la tecnología y no ayudan a evaluar y
entender las medidas de seguridad existentes.
76
5.5.3
Mejores prácticas para Pago y Banca Móvil
Las mejores prácticas recomendadas actualmente bajo el marco de referencia de COBIT e
ISO17799, en función de un manejo más integral, estratégico y proactivo de la seguridad en el
servicio de Pago y Banca Móvil son:
1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnología a implementar
y las políticas a seguir para la protección de una empresa, resulta fundamental analizar
cuáles son los objetivos del negocio, sus procesos prioritarios, los activos más importantes,
los datos más críticos; porque sólo así se asegurará de forma robusta aquello que
realmente es importante para el funcionamiento de la compañía. Si se quieren colocar
controles sin conocer qué se va a proteger, cuáles son los procesos, las áreas, los
sistemas relevantes; se corre el riesgo de perder el rumbo. Por lo tanto, conviene tomarse
el tiempo necesario para analizar todos estos puntos y también para identificar las
regulaciones que afectan al negocio, el cumplimiento normativo, disposiciones locales e
internacionales y el marco interno de políticas y procedimientos de la empresa. Asimismo,
resulta importante en este análisis averiguar cuál es el grado de riesgo tolerable por los
accionistas, es decir qué nivel de exposición están dispuestos a asumir y cuál es el monto
que pueden arriesgar frente a una gran contingencia. Por último, viene bien hacer una
clasificación de la información para evaluar cuál es la más crítica, con el fin de dotarla de
los mayores controles. Ya con toda esta información se pueden establecer los objetivos del
área de protección y las acciones a seguir, pero basados en los requerimientos y metas de
la organización.
2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qué es lo prioritario
dentro del negocio, conviene hacer un análisis de riesgos y vulnerabilidades para
establecer de forma clara cuáles son las amenazas a los activos críticos de la
organización. Sólo que en este análisis no se debe olvidar considerar tanto infraestructura
como procesos y personal. En el mapa de riesgos debe ubicarse, por ejemplo, qué
personas no tienen los conocimientos suficientes como para operar los sistemas sin
comprometerlos o quiénes son negligentes o descuidados. Para identificar esto, una
alternativa es evaluar al personal respecto a cómo maneja el intercambio de información o
sus contraseñas. La manera común es aplicar pruebas y ver cómo ejecutan los
procedimientos, pero hay otras opciones para llegar realmente al fondo de su cultura de
protección, una de éstas es: decirles que compartir los passwords no es tan riesgoso y ver
cuál es su reacción. Se debe analizar qué tan relevante es en las actividades diarias de los
empleados el tema de seguridad. Incluir en las pruebas a los candidatos a ingresar a la
77
empresa alguna prueba para conocer su nivel de cultura de protección. Todo esto, con la
idea de generar un modelo visual del mapa de riesgos de la empresa, en donde se
considere todo lo crítico y no sólo las cuestiones de infraestructura. Pero eso no es todo,
para redondear esta mejor práctica conviene, además, no olvidarse de cuantificar los
riesgos y exponer a los directores cuál sería la pérdida potencial de los activos frente a las
posibles amenazas. Algo que además de poner en alerta a la alta dirección sobre los
peligros y su impacto, ayudará a justificar la inversión solicitada para la estrategia de
protección.
4 Diseñar un plan o programa estratégico de seguridad de la información. Tomando
como punto de partida el análisis de riesgos, hay que elaborar un plan, con sus debidas
metodologías y prácticas, pero alineado con el de la compañía, para que todo lo hecho por
el área de seguridad vaya en sentido de las iniciativas del negocio. Esto porque en
ocasiones se pone foco en aspectos que realmente no le agrega valor a la organización.
En algunas empresas sucede que el área de seguridad gasta mucho en la parte perimetral
y luego resulta que en realidad eso no le aporta tanto a la firma. Por eso es conveniente
buscar esta alineación con el negocio, así como también lo es fijar al plan de protección un
ciclo de vida y basarlo en estándares. Establecer objetivos con plazos bien definidos,
dentro de dicho plan. Hay metas que se pueden fijar a tres meses, otras a seis meses y las
de largo plazo a máximo dos años, pero no más, porque ya no sería viable.
5 Definir e implementar políticas y lineamientos de seguridad. Una práctica muy
importante es establecer reglas y lineamientos para el manejo seguro de la información, los
sistemas y los procedimientos de la empresa. Dichas políticas deben transmitirse e
implementarse a través de estructuras jerárquicas y no sólo colocarlas en un repositorio de
datos, sin darles el contexto debido. Pero ojo, las políticas que se establezcan deben ser
flexibles, cuando así convenga, para no entorpecer el funcionamiento de la organización ni
afectar el trabajo de los usuarios internos. Cada lineamiento debe establecer las
consecuencias de no seguirlo y frente a cualquier desacato se debe aplicar la sanción
correspondiente, porque de lo contrario las políticas se vuelven libros muertos, que nadie
respeta. Claro que en todo esto se debe incluir no sólo a los empleados internos, sino
también a todos aquellos terceros con quienes la empresa intercambia información o
procesos. La cadena de seguridad no empieza ni termina dentro de la organización, viene
desde los proveedores y abarca a los clientes. Por lo tanto, hay que considerarlos e
incluirlos en las políticas para el manejo seguro de la información y los procesos del
negocio.
78
6 Capacitar para asegurar. Una de las mejores prácticas es educar y capacitar a los
miembros de la organización respecto a las amenazas y a la conveniencia de acatar las
políticas de protección para no abrir vulnerabilidades. Sin embargo, esto no se logra
organizando campañitas generales de concientización, es necesario ir mucho más allá.
Entre quienes se identificó (en el análisis previo de la situación general de la organización)
que son personal de riesgo, por su falta de cultura de seguridad o su negligencia, es
necesario iniciar una labor de concientización. En cuanto a aquellos que tienen acceso a
información crítica para el negocio, lo más adecuado es brindarles la capacitación
necesaria respecto a cómo manejarla. En este sentido, lo correcto es empezar con las
áreas y personas de mayor riesgo, debido a la información que manejan, y tener un énfasis
constante en ellas. Después hay que irse a la concientización a nivel compañía, porque de
una u otra forma todos tienen acceso a datos, aunque lo conveniente es avanzar por
grupos o áreas e incorporar el tema de seguridad en los cursos de inducción, para incluir a
los nuevos empleados. Además, hay que considerar que las pláticas y cursos no son la
única forma de transmitir las políticas ni de educar a los empleados. Se pueden enviar
mensajes en protectores de pantalla, a través de la intranet, etcétera.
7 Conformar un equipo y un comité de seguridad. Formalizar la función del oficial de
seguridad es una práctica muy recomendable hoy en día. Pero hay que considerar que
este personaje requiere un equipo de trabajo, conformado por especialistas en la materia y
con conocimientos en diferentes campos de la misma. Idealmente, este equipo debe ser
independiente del departamento de informática, porque si esta función se integra dentro del
área de sistemas, probablemente se caerá en el dilema de operar o asegurar. En cuanto a
la cuestión de a quién le reporta el área de seguridad, lo ideal es que sea a la dirección
general, porque el director de sistemas está demasiado absorto en los temas operativos
como para darle el peso necesario a las cuestiones de protección. Además, si hay
oportunidad, también es una buena práctica crear un comité de seguridad, en el que se
incluya a miembros de las diferentes áreas de la organización y a representantes de la alta
dirección, para entre todos delinear qué es lo más importante a cubrir y ejecutar en esta
materia.
8 Desarrollar aplicaciones seguras desde su origen. El software que las compañías
diseñen, ya sea externa o internamente, debe contemplar cuestiones de seguridad, para
que desde el origen cuente con la mayor protección posible frente a amenazas. Esto que
pareciera tan básico es algo que todavía se está descuidando. Los programas y las
aplicaciones de desarrollo en casa (e incluso los comerciales) se diseñan sin considerar
los factores requeridos para su protección, lo cual se convierte en una de las principales
79
causas-raíz de los incidentes. Una manera de enfrentar este problema es establecer una
mayor colaboración entre quienes se encargan de desarrollar las aplicaciones y el personal
encargado de la seguridad informática. En Estados Unidos ya es más frecuente que el
personal de desarrollo de software se reúna con el de seguridad para establecer en
conjunto los lineamientos que en esta materia deben cumplir las aplicaciones y ejecutar las
pruebas correspondientes en la infraestructura. De manera que en México convendría
empezar a dotar de más peso a este trabajo conjunto e incluso transformarlo en un
estándar tanto para las empresas de software comercial como para aquellas que hacen
desarrollos en casa.
9 Mantener bajo control al outsourcing. Todas las actividades desarrolladas en
outsourcing deben bajarse a niveles de servicio para medirlos, ya sea de forma cuantitativa
o cualitativa (la opinión de los usuarios respecto a esto), porque muchas empresas están
utilizando este esquema, pero sin aplicar los controles adecuados. La periodicidad de estas
evaluaciones dependerá del tipo de servicio involucrado. La atención a los incidentes debe
medirse frente a cada uno de estos, pero otras cuestiones pueden calificarse cada mes,
cada 60 días o mínimo cada seis meses.
10 Medir el nivel de seguridad en la compañía. Para conocer el avance de la estrategia de
protección, y ver si los objetivos se están cumpliendo, es necesario medir su progreso, a
través de métricas, con las que se evalúe tecnología, procesos y personas. Las alternativas
para esto son muchas y muy variadas. Se puede evaluar el proceso de administración de
incidentes, las vulnerabilidades, el control de versiones y el grado de conciencia del
personal. También es posible recurrir a mediciones del número de deficiencias
identificadas en informe de la última auditoría, el número de políticas que no se cumplen,
los usuarios capacitados o la cifra de alertas procesadas. Los resultados de todo esto
deben comunicarse a la alta dirección, porque sus miembros necesitan saber cómo
evoluciona la seguridad de la información. Pero hay que plasmar los avances de forma
sencilla. Lo más conveniente es llegar con una presentación corta y decir: en aplicaciones
críticas estamos así; en operaciones de esta forma, o bien se pueden utilizar semáforos,
para mostrar el avance de la estrategia y el estado de los activos. Lo más recomendable es
que el encargado de seguridad reporte cada mes a la alta dirección, el avance de su
estrategia, porque además el seguimiento debe ser continúo. Algo que ayuda a esto es el
monitoreo, para tener una fotografía de la infraestructura, tanto en configuraciones, como
en aplicaciones y equipos.
80
11 Definir y probar un Plan de Recuperación en Caso de Desastres (DRP). Ya está más
que perneada entre las compañías la conveniencia de establecer estrategias de
continuidad para el negocio. Y aunque la mayoría de las organizaciones no dispone de un
sitio alternativo, si cuentan con los respaldos suficientes para recuperar su información.
Sin embargo, ya sea que se opte por implementar un DRP completo y en forma o haya que
respaldar sólo algunos componentes, incluso en el mismo edificio, conviene considerar
ciertos factores para no toparse después con sorpresas. Unos de estos aspectos son:
validar que los sistemas de contingencia funcionan adecuadamente y están actualizados,
así como comprobar que los procesos y la información se pueden recuperar. Además es
necesario hacer una análisis de impacto al negocio, para ver si realmente se está
respaldando y recuperando lo verdaderamente importante y si se han contemplado todos
los escenarios posibles, porque en muchos casos esto se omite. Lo que se hace es algo
más técnico y sustentado sólo en el sentido común, se evalúan servidores o aplicativos y
se procede a protegerlos, pero el 90% de las compañías no realiza un verdadero análisis
de impacto al negocio para ver qué debe contemplar su DRP o su plan de continuidad.
Algo que tampoco se debe pasar por alto en todo esto es alcanzar los niveles de servicio
esperados por la dirección en los sistemas y procesos recuperados, así como tener bien
establecido el tiempo tolerable por la directiva para tener fuera un sistema o proceso. Por
supuesto, no es necesario implementar a pie juntillas todas estas prácticas, porque las
recetas no existen en esto, cada empresas deberá utilizar las que le sean más funcionales
e incluso otras.
81
CAPÍTULO VI MODELO DE SEGURIDAD PARA
PAGO & BANCA MÓVIL (P & B MÓVIL)
En este capítulo se presenta el modelo de seguridad propuesto para el sistema de Pago y Banca
Móvil, el mismo abarca todos los ámbitos de operación del sistema, desde las políticas que se
deben seguir hasta la infraestructura de TI que se debe implementar para así brindar un servicio de
calidad y conforme a los estándares establecidos para este tipo de servicios.
6.1
Modelo propuesto
El modelo de seguridad propuesto para el sistema de Pago y Banca Móvil se basa en los rubros
mostrados en la Figura 16.
•Conocimiento del entorno y alcance
del proyecto
•Identificación y valoración
•Medidas del riesgo
•Impacto
•Medidas de protección
F
• Políticas
• Tecnología
• Procedimientos
Análisis de
Riesgos
Mecanismos de
Seguridad
Monitoreo
Concientizacion
•Todo personal involucrado
en el sistema
•Difusión masiva de
información
•Compromiso corporativo
• Monitoreo operativo
• Monitoreo logístico
Fig. 16 Modelo de Seguridad Pago y Banca (P&B) Móvil
82
6.2
Análisis de riesgos
Objetivo: que se pretende, es llevar a cabo un análisis y gestión de riesgos que haga posible la
selección de las medidas necesarias para salvaguardar el servicio de Pago y Banca Móvil.
Según el estándar ISO 27001:2005, el marco general, parte de la fase de planificación y diseño,
dentro de la cual, y para esta propuesta de la seguridad en Pago y Banca Móvil, se realizarán las
siguientes tareas:
Conocimiento del entorno y alcance del proyecto
Identificación y valoración de activos
Identificación y valoración de las amenazas
Identificación de las medidas de seguridad existentes
Identificación y valoración de vulnerabilidades
Determinar medidas del riesgo
Determinar el impacto
Identificación las medidas de protección
Conocimiento del entorno y alcance del proyecto
En el estándar, se exige como punto de partida para establecer un modelo de seguridad, que la
empresa: defina el alcance de dicho modelo en términos de las características del negocio, la
organización, su ubicación, activos y tecnología.
Identificación y valoración de activos
Personal: propio y externo, función, perfil, formación
Hardware: Mainframe, Servidores, PC, portátiles
Software: S.O., aplicaciones comerciales y propias, herramientas de desarrollo y otros
Equipos de comunicaciones: routers, módems, firewall, IDS
Equipos y sistemas de back-up: discos, cintas, robot, cartuchos
Información: bases de datos, ficheros
Documentación: procedimientos operativos, manuales de los sistemas, planes de
contingencia
Confianza de los clientes
Imagen de la organización
83
Criterios para la valorización de activos
El valor representa la importancia del activo en la organización
No tiene por qué ser únicamente económico (p.e. Imagen de la empresa)
El valor ha de tener en cuenta toda: su adquisición, desarrollo, mantenimiento, sustitución,
credibilidad.
Identificar y valorar los activos críticos
Identificación y valoración de las amenazas
Desastres naturales (Tormentas, rayos, terremotos, inundaciones)
Estructurales
(Incendios,
inundaciones,
humedad,
cortes
de
electricidad,
agua,
comunicaciones)
Hardware (Falla total o parcial de Servidores, Estaciones PC, portátiles)
Software (Errores en los SO, BD, software base, Web servers, aplicaciones, elementos de
seguridad)
Red LAN y WAN (red interna, sistemas de seguridad de las comunicaciones, redes
públicas ajenas)
Copias de seguridad (Fallas en elementos de copias, fallas en soportes cintas, discos,
robot)
Información (Bases de datos, ficheros, manuales, procedimientos, planes de contingencia)
Personal (Errores y ataques de personal interno, externo, funciones, perfiles, formación)
Riesgos contra el patrimonio (Robo, pérdida no intencionada de activos)
Otros riesgos (Terrorismo, confianza de los clientes, imagen de empresa, seguros,
outsourcing)
Valoración de las amenazas
Establecer la importancia de la amenaza
Para cada amenaza hay que identificar:
o El origen (qué o quién)
o El blanco (elementos que pueden ser afectados)
En una fase posterior del análisis se identificará:
o La probabilidad de ocurrencia
o El impacto y consecuencias de su ocurrencia
Clasificación de su importancia en tres o cinco niveles
o Alta, Media, Baja
o Muy alta, Alta, Media, Baja, Muy baja
84
Identificación de las medidas de seguridad existentes
Identificar las medidas de seguridad existentes
Conocer su grado de efectividad
Identificar a los activos que aplican
Clasificación de las medidas existentes:
o Medidas organizativas:
o Medidas de seguridad física:
o Medidas de seguridad lógica (tecnológicas)
o Medidas legales
Medidas organizativas:
o Política de seguridad
o Procedimientos, recomendaciones y normas
o Formación y concienciación
Seguridad física:
o Acceso a edificios y salas de SI (Vigilancia.)
o Sistemas anti-intrusión (puertas blindadas, arcos detectores, control de accesos por
llave, tarjeta.)
o Sistemas anti-incendio y anti-inundación
o Sistemas de alimentación eléctrica (general, baterías, generadores.)
o Aire acondicionado
o Suministro de agua para refrigeración
Seguridad lógica
o Integridad de los sistemas
o Confidencialidad: cifrado en transmisión o almacenamiento.
o Disponibilidad: redundancia.
o Identificación y autenticación de usuarios: estándar o fuerte.
o Auditorías: habilitación de logs y pistas
Cumplimiento con la legislación:
o Identificación de la legislación aplicable
Identificación y valorización de las vulnerabilidades
Han de identificarse las vulnerabilidades generales para la organización
Han de identificarse las vulnerabilidades específicas para cada activo o grupo de activos
inventariados, especialmente los identificados como críticos
Clasificar por categorías utilizando las mismas que las amenazas (01 a 10 categorías)
Ha de evaluarse la importancia de la vulnerabilidad identificando si existe o no medida de
protección frente a la misma, así como su eficacia
85
Conviene ampliar el estudio con pruebas:
o Test de intrusión interno y externo
Valoración de vulnerabilidades
Criterios de valoración en tres o cinco niveles
o Alta, Media, Baja
o Muy alta, Alta, Media, Baja, Muy baja
Tabla de vulnerabilidades
o Código:
o Descripción:
o Activo(s) a los que afecta
o Impacto:
o Valoración:
o Recomendaciones
Determinar medidas del riesgo
Es la probabilidad de que una amenaza ocurra
Es la facilidad con que un ataque se implementa (Amenaza x Vulnerabilidad)
Un riesgo resulta de la existencia de una amenaza explotando una vulnerabilidad
Una amenaza sin vulnerabilidad no presenta riesgo, y una vulnerabilidad sin amenaza
tampoco
Si la combinación de amenaza y vulnerabilidad no produce impacto, tampoco han de
implantarse las medidas de protección necesarias
Un riesgo puede estar compuesto por varias amenazas
Existen tres medidas del riesgo a considerar:
o Inherente: medido sin tener en cuenta el efecto de las medidas de protección existentes
o Actual: medido teniendo en cuenta las medidas de protección existentes
o Residual: medido teniendo en cuenta las medidas de protección existentes,
recomendadas y planificadas
Determinar el impacto
El impacto representa la consecuencia de la realización de un riesgo (parcial o total) en un
sistema determinado o en la organización
Es la medida de las pérdidas estimadas (económicas, de rendimiento, de imagen, etc.)
Las medidas de protección no ha de ser más cara que el impacto
La valoración del impacto sirven para seleccionar las medidas de protección, teniendo en
cuenta los objetivos de seguridad y restricciones existentes
86
Pueden utilizarse diferentes métricas, cualitativas o cuantitativas
Identificación de medidas de protección
Debe establecerse una lista de medidas de protección lo más amplia posible.
Se identificarán las medidas existentes, evaluando su mejora si fuese necesaria
Seleccionar un conjunto de medidas equilibrado
Ha de abarcar todas las áreas:
o Organización, procedimientos, documentación
o Medidas físicas y lógicas
o Hardware, Software, Comunicaciones
o Personal
Pueden ser medidas que:
o Eviten o transfieran el riesgo
o Reduzcan la amenaza
o Reduzcan la vulnerabilidad
o Reduzcan el impacto
6.3
Mecanismos de seguridad
A continuación se habla de los mecanismos de seguridad que se deben tomar en cuenta dentro del
proceso informático del pago de servicios por celular, el cual es parte del modelo de seguridad que
se propone mediante el desarrollo de este trabajo, y que se divide en políticas y procedimientos.
6.3.1
I.
Políticas
Política de autenticación de usuarios
Definir una autentificación de usuarios aceptable, todos los usuarios del sistema deben de
autentificarse mediante una contraseña segura para utilizar el sistema, así mismo para poder
realizar transacciones deben de ingresar su NIP.
Objetivo: Brindar un acceso seguro a los usuarios del sistema y evitar posibles problemas por robo
de contraseñas o mal uso de las sesiones.
Alcance
1. Todos los usuarios del sistema de Pago y Banca Móvil
87
2. Todo el personal administrativo del sistema.
Razón o Justificación
Control de acceso
Diferenciación de usuarios
Identificación de transacciones
Implicaciones
Solicitar que el usuario ingrese una contraseña de seguridad para poder autenticarse en el
dispositivo;
Configurar funciones tales como vencimiento, longitud y fortaleza de la contraseña, y
cantidad de intentos de ingreso permitidos;
Solicitar y definir contraseñas y frases de acceso corporativas que resulten aceptables
para los dispositivos móviles de su organización.
Beneficios
Seguridad e integridad de la información
Seguridad en la aplicación
Protección en contra de mal uso
Consecuencias de NO seguir la política
Vulnerabilidad en el acceso a la aplicación
Mal uso de la aplicación
No existe forma de controlar las transacciones del sistema
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
Publicación en la red LAN
Publicación en las oficinas
II.
Política de protección de dispositivos móviles
Se deben de definir e implementar medidas para proteger los dispositivos móviles en caso de uso
no autorizado por terceras personas y/o equipos externos.
Objetivo: Evitar el mal uso de los dispositivos móviles y proteger la integridad de la información así
como de los dispositivos.
88
Alcance
1. Todos los usuarios del sistema de Pago y Banca Móvil
2. Todo el personal administrativo del sistema.
Razón o Justificación
Protección de los dispositivos móviles
Evitar robo de información
Bloqueo de operaciones maliciosas
Implicaciones
Limitar las conexiones permitidas en los dispositivos móviles;
Usar cifrado de datos en tránsito entre el remitente y el destinatario de los datos
inalámbricos;
Cifrar los medios extraíbles usados en los dispositivos móviles;
Cifrar los datos almacenados en los dispositivos móviles.
Beneficios
Seguridad e integridad de la información
Seguridad en la aplicación
Mejor control del sistema
Prevención de operaciones fraudulentas
Protección en contra de mal uso
Consecuencias de NO seguir la política
Vulnerabilidad en la aplicación
Ejecución de operaciones fraudulentas
Daño en los dispositivos móviles
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
Publicación en la red LAN
Publicación en las oficinas
89
III.
Política de cifrado
Toda información considerada como confidencial por parte de las instituciones bancarias, debe ser
cifrada por medio de un poderoso algoritmo para así evitar que sea robada y el sistema pueda ser
alterado de alguna manera.
Objetivo: Establecer un algoritmo eficiente que nos brinde seguridad para proteger la información
de y que sea eficiente para tener velocidad adecuada en el procesamiento de información.
Alcance
1. La estructura organizacional de todas las entidades involucradas en el Pago y Banca Móvil,
2. Las instalaciones que ocupan aplicaciones del sistema de Pago y Banca Móvil
3. Los equipos de TI definidos en los procesos de Pago y Banca Móvil y los componentes
tecnológicos bajo su administración
4. Bases de datos que almacenan la información bancaria
5. Servicios que compartan información confidencial
Razón o Justificación
Proteger la confidencialidad e integridad de la información
Incrementar el nivel de protección sobre los activos de información
Implicaciones
Evaluar los distintos algoritmos y elegir el que se acomode a las necesidades.
Requerir un estándar específico de grado de cifrado.
Definir el método de cifrado permitido para los datos del dispositivo móvil.
Beneficios
Garantizar la seguridad de la información y del sistema
Mantener la buena operación del sistema
Consecuencias de NO seguir la política
Comprometer activos de información a un riesgo no aceptado
Vulnerabilidad en el flujo de la aplicación
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
90
IV.
Política de prevención de ataques
Establecer medidas preventivas para preservar la seguridad y la correcta operación del sistema e
incluso bloquear los ataques si es posible.
Objetivo: Tomar las medidas pertinentes para evitar los ataques externos e internos.
Alcance
1. La estructura organizacional de todas las entidades involucradas en el Pago y Banca Móvil,
2. Las instalaciones que ocupan aplicaciones del sistema de Pago y Banca Móvil
3. Los equipos de TI definidos en los procesos de Pago y Banca Móvil y los componentes
tecnológicos bajo su administración
4. Bases de datos que almacenan la información bancaria
5. Servicios que compartan información confidencial
Razón o Justificación
Evitar los ataques de código malicioso
Incrementar el nivel de protección sobre los activos de información
Implicaciones
Evitar que el dispositivo móvil descargue aplicaciones de terceros a través de la red
inalámbrica;
Especificar si las aplicaciones del dispositivo móvil, incluidas las aplicaciones de terceros,
pueden iniciar tipos específicos de conexiones.
Beneficios
Evitar ataques maliciosos
Proteger la información
Brindar un servicio confiable
Consecuencias de NO seguir la política
Robo de información
Fallas en el sistema
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
Publicación en la red LAN
91
Publicación en las oficinas
V.
Política de Seguridad del Sistema de Pago y Banca Móvil
Todas las entidades participantes en el sistema de Pago y Banca Móvil deben brindar servicios de
información que cubran las necesidades de los usuarios protegiendo los activos de información de
las amenazas internas y externas que de manera accidental o deliberada comprometa su
seguridad.
Objetivo: Establecer el proceso óptimo para la gestión de la seguridad de los activos de
información contenidos en la infraestructura tecnológica
administrada por cada entidad que
compone el sistema de Pago y Banca Móvil que permitan identificar requerimientos de seguridad.
Alcance
1. La estructura organizacional de todas las entidades involucradas en el Pago y Banca Móvil,
2. Las instalaciones que ocupan aplicaciones del sistema de Pago y Banca Móvil
3. Los equipos de TI definidos en los procesos de Pago y Banca Móvil y los componentes
tecnológicos bajo su administración
4. La identificación de activos y de dueños de los activos.
5. La identificación de riesgos de seguridad sobre los activos de los procesos de Pago y
Banca Móvil.
6. Las auditorías internas y externas al sistema.
7. Las revisiones que realice las distintas direcciones.
8. El aseguramiento de la aplicación de mejoras al sistema.
9. La documentación del sistema
Razón o Justificación La implantación de esta política es importante para mantener y demostrar
la gestión del Sistema asegurando que:
Se encuentran definidas las políticas dentro de los sistemas
Los procedimientos se encuentran implantados
Se generan registros de la operación del sistema
Implicaciones
Todas las actividades en materia de seguridad de la información se llevarán a cabo por
medio de un Sistema de Gestión de Seguridad de la Información (SGSI) que cumpla los
requisitos establecidos en la Norma ISO/IEC 27001:2005.
92
La definición de requerimientos de seguridad en la celebración de contratos de bienes y
servicios informáticos a cargo de cada una de las entidades que componen el sistema de
Pago y Banca Móvil
Beneficios
Identificar mediante el análisis de riesgo, el valor de los activos de información
Entender las vulnerabilidades y amenazas que los pueden exponer a un riesgo
Establecer un plan de tratamiento de riesgos en función a su importancia
Contar con un sistema de gestión que permita administrar los riesgos identificados a un
nivel aceptable
Consecuencias de NO seguir la política
No contar con la valoración de los activos de información
No existe forma de medir el nivel de riesgo en los servicios de TI y como se mitigan
No contar con la prioridad de las acciones en función del riesgo detectado
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
Publicación en la red LAN
Publicación en las oficinas
VI.
Política de seguridad de la información
Los activos de información y la infraestructura tecnológica de las entidades que conforman el
sistema de Pago y Banca Móvil, contarán con controles de seguridad que mitiguen los riesgos e
impactos de las amenazas internas y externas.
Objetivo: Contar con los controles de seguridad en informática en los servicios de TI que
proporcionen la información objetiva y confiable acerca de la gestión de los incidentes de seguridad
que se presenten.
Alcance
1. Los Activos de información definidos en los procesos de las entidades de Pago y Banca
Móvil de Informática y los componentes tecnológicos bajo su administración
2. La identificación de activos y de dueños de los activos.
3. La identificación de riesgos de seguridad sobre los activos.
93
Razón o Justificación
Establecer controles que mitiguen los riesgos
Incrementar el nivel de protección sobre los activos de información en función de su
clasificación
Implicaciones
Adquirir o desarrollar las herramientas y/o procedimientos adecuados
Coordinar la implantación de herramientas y/o procedimientos adecuados
Revisar periódicamente el cumplimiento de los controles implantados
Beneficios
Contar con mediciones objetivas y útiles de la entidades que conforman el sistema de Pago
y Banca Móvil en los servicios de TI y de sus componentes
Consecuencias de NO seguir la política
Comprometer activos de información a un riesgo no aceptado
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
VII.
Política de capacidad del personal
Cada entidad del sistema de Pago y Banca Móvil, se asegurará que todo el personal que tiene
asignadas responsabilidades definidas en el sistema, tenga el conocimiento necesario para realizar
las tareas requeridas de acuerdo a su rol.
Objetivo: Establecer un programa de concientización sobre políticas y procedimientos
relacionados con sus funciones en materia de seguridad de la información.
Alcance
1. La estructura organizacional de cada entidad del sistema de Pago y Banca Móvil
2. Los activos de información definidos en los procesos del sistema de Pago y Banca Móvil y
los componentes tecnológicos bajo su administración
3. La identificación de activos y de dueños de los activos.
4. La identificación de riesgos de seguridad sobre los activos del sistema de Pago y Banca
Móvil.
94
Razón o Justificación
Crear conciencia de la importancia de la seguridad de la información
Dar a conocer las expectativas del tratamiento de la información dentro del sistema
Implicaciones
Determinar las capacidades necesarias para el personal que desarrolla actividades del
sistema y con base en estas necesidades proporcionaremos la capacitación o en su caso
realizaremos otras acciones para contar con personal competente.
Evaluar
la
efectividad
de
las
acciones
tomadas,
mantendremos
registros
del
entrenamiento, capacitación, habilidades, experiencia y calificaciones del personal
involucrado en el sistema
Contratos del personal con cláusulas de privacidad
Políticas de seguridad informadas al personal al momento de su contratación
Proceso documentado de terminación o cambio de rol, incluyendo cancelación de accesos
físicos, correos electrónicos y eliminación de accesos a sistemas
Beneficios
El personal estará mayormente involucrado en el cumplimiento de los objetivos de
seguridad
Contar con el personal capacitado para el mejor desempeño de sus funciones
Consecuencias de NO seguir la política
Levantar no conformidades al sistema
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
VIII. Política para la seguridad física de las instalaciones
Todas las instalaciones o lugares que cuenten con equipos que tiene relación con el sistema de
Pago y Banca Móvil deben apegarse a los controles de acceso y utilización de los mismos para
que exista una correcta operación disminuyendo riesgos a la seguridad de la información.
Objetivo: Definir los controles y medidas de seguridad para el control de acceso a los recursos que
participan en los procesos de Pago y Banca Móvil.
95
Alcance
1. En cada una de las instalaciones que cuenten con recursos informáticos que participan en
el proceso del sistema de Pago y Banca Móvil.
2. La estructura organizacional de cada una de las entidades participantes.
Razón o Justificación
Establecer las responsabilidades en la gestión de seguridad de la información dentro del
sistema
Procurar y salvaguardar la información del sistema
Implicaciones
Establecer el proceso de gestión de seguridad de la información
Conducir auditorías internas
Procedimiento de control de acceso a terceros
Identificaciones con fotografía para el personal autorizado
Procedimiento para el control de extravíos de tarjetas de acceso
Control de acceso biométrico y tarjetas de proximidad
Video vigilancia 24 x 7 x 365
Sistemas de detección de incendios
Sistemas de detección de fluidos
Sistemas de detección de humedad y temperatura
Fuentes de energía ininterrumpida redundante para todos los equipos
Redundancia en generadores de energía
Inventario documentado y actualizado de todo el equipo
Seguros (incendios, temblores, etc.)
Beneficios
Mantener la correcta operación del proceso de gestión de seguridad de la información de
acuerdo a lo establecido
Mantener la seguridad de la información manejada por el sistema
Evitar daños o perdidas de equipos
Tener un respaldo en caso de algún siniestro
Consecuencias de NO seguir la política
Levantar no conformidades al sistema de seguridad por incumplimiento
Posibles daños a los equipos
96
Robo de información confidencialidad
Pérdidas económicas
Fallas en el sistema
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
IX.
Política administración de los sistemas
Se debe de asegurar que el sistema permita que las políticas, los objetivos, los procesos de
seguridad de la información, los procedimientos y los controles de seguridad sean adecuados,
establecidos y documentados, operados, auditados, revisados, mantenidos y mejorados para
proteger los activos de información y la infraestructura tecnológica de acuerdo a su clasificación.
Objetivo: Establecer un programa de revisión del cumplimiento de las políticas y controles de
seguridad definidos en el sistema.
Alcance
1. Las auditorías internas y externas.
2. Las revisiones que se realicen.
Razón o Justificación
Medir el desempeño del sistema
Eliminar causas raíz de no conformidades
Implicaciones
Asegurar que la documentación contenga registros, incluida su trazabilidad con resultados
reproducibles.
Asegurar que los procedimientos de seguridad de la información apoyen los requerimientos
de las mejores prácticas.
Adquirir o desarrollar las herramientas y/o procedimientos adecuadas
El responsable de la Subgerencia de Redes y Telecomunicaciones coordinará la
implantación de herramientas y/o procedimientos adecuados
Implantarlas en el área de monitoreo
Cuidar la vigencia y el soporte de las herramientas y/o procedimientos
Niveles de servicio establecidos
Equipamiento y servicios dedicados
97
Procedimientos documentados para revisión y almacenamiento de bitácoras de
equipamiento y aplicaciones
Sistemas de monitoreo y alertas para disponibilidad de equipos y servicios aplicativos
Procedimientos para la información de alertas e información acerca de nuevos riesgos y
vulnerabilidades en seguridad
Procedimientos de control de cambios en sistemas y aplicaciones con esquemas de
rollback
Sistemas de desarrollo y preproducción para realización de pruebas sobre cambios
realizados
Beneficios
Contar con mediciones objetivas y útiles de la seguridad de la información en los servicios
de TI y de sus componentes
Eliminar errores humanos
Tener un control adecuado de los sistemas
Capacidad para poder retornar a un estado anterior del sistema (de ser necesario).
Dar el adecuado soporte al sistema
Solución eficiente de errores
Consecuencias de NO seguir la política
No contar con mediciones objetivas y útiles de la seguridad de la información en los
servicios de TI y de sus componentes
Soportar la medición del monitoreo en las tareas humanas
Errores de operación
Pérdida de tiempo en el rastreo de operaciones
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
X.
Política de seguridad en la plataforma
Todas las plataformas que se estén utilizando en los equipos que interactúan con el sistema deben
cumplir completamente con las normas establecidas para brindar una correcta operación.
98
Objetivo: Establecer un estándar de operatividad y seguridad de las plataformas para tener un
funcionamiento adecuado y homogéneo del sistema.
Alcance
1. La estructura organizacional de cada entidad del sistema de Pago y Banca Móvil
2. Los activos de información definidos en los procesos del sistema de Pago y Banca Móvil y
los componentes Tecnológicos bajo su administración
3. La identificación de activos y de dueños de los activos.
4. La identificación de riesgos de seguridad sobre los activos del sistema de Pago y Banca
Móvil.
Razón o Justificación
Estandarizar las medidas de seguridad en las diferentes plataformas que se utilizan
Evitar incompatibilidades en los recursos
Presentar soluciones que funcionen en todas las plataformas
Implicaciones
Estándares de seguridad para todo el equipo documentado
Configuración de seguridad default cambiada en sistemas de producción
Políticas de manejo de cuentas únicas documentadas
Cuentas y passwords por default deshabilitados o cambiados en los equipos
Revisión periódica de cuentas para evitar cuentas desconocidas o deshabilitadas
Cambio de passwords obligatorio después de determinado tiempo
Políticas de generación de passwords
Mecanismo de bloqueo de cuentas por varios intentos erróneos
Actualización de Inventario de Software y Hardware
Utilización de antivirus en servidores
Bloqueo o eliminación de servicios no utilizados en servidores
Procedimientos documentados de aplicación de parches o actualizaciones incluyendo
pruebas antes de ser implementados en equipo productivo
Procedimiento de actualización de sistema operativo, antivirus y parches de seguridad para
equipos en DMZ fuera de la red local por su importancia
Procedimientos y controles de mantenimiento de equipo
Beneficios
Todas las plataformas que operan en el sistema de Pago y Banca Móvil podrán interactuar
entre ellas
99
Habrá un alto nivel de seguridad entre las plataformas
Consecuencias de NO seguir la política
Errores de compatibilidad
Posible infección de virus
Riesgo en la seguridad de la información
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
XI.
Política de seguridad en las redes
Todas las redes que comunican algún componente del sistema de Pago y Banca Móvil deben
apegarse a los más rigurosos estándares de seguridad para poder brindar una operación
transparente y segura.
Objetivo: Establecer estándares de seguridad para las redes y los equipos que se conectan a
estas así como también el control de los accesos.
Alcance
1. Todas las redes que operan en el sistema de Pago y Banca Móvil
2. Los equipos de computo que estén conectados a las redes de Pago y Banca Móvil
Razón o Justificación
Tener un buen control de las redes y comunicaciones en el sistema de Pago y Banca Móvil
Apegarse a las buenas prácticas establecidas para prestación de servicios de banca
Implicaciones
Configuración de equipos de red acorde a las mejores prácticas de la industria
Documentación de configuración de equipos de red
Firewalls para proteger acceso y limitar tráfico en base a servicios (Puertos e IPs)
Comunicaciones al exterior encriptados por medio de VPN, SSL-128
Servidores Web localizados en DMZ separada por firewalls.
Monitoreo de firewall 7x24
Sistemas de detección y prevención (IDS/IPS) para monitoreo de red Continuo
100
Beneficios
La red brindara un servicio seguro y de calidad
El sistema operará adecuadamente
Consecuencias de NO seguir la política
Fallas en la operación del sistema
Fallas en la red
Vulnerabilidades en la seguridad de la información
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
XII.
Política de comunicación
Los componentes del sistema de Pago y Banca Móvil contarán con un plan de comunicación
permanente que permita crear conciencia en el personal de la importancia de cumplir los objetivos
de seguridad y la política de seguridad de la información, así como sus responsabilidades en el
sistema y en su mejoramiento.
Objetivo Dar a conocer los objetivos de seguridad y las iniciativas de seguridad de la información
de manera que todos los integrantes del sistema obtengan el entendimiento del programa de
seguridad vigente.
Alcance
1. La estructura organizacional de las entidades del sistema de Pago y Banca Móvil,
2. Las instalaciones que ocupan las entidades del sistema de Pago y Banca Móvil
3. Los equipos de información definidos en los procesos del sistema y los componentes
tecnológicos bajo su administración
4. La identificación de activos y de dueños de los activos.
5. La identificación de riesgos de seguridad sobre los activos del sistema de Informática.
Razón o Justificación
Evitar obtener resultados no satisfactorios en la operación del sistema
Eliminar en lo posible el error humano
101
Implicaciones
Asegurar que todo el personal sea consciente de la relevancia e importancia de las
actividades de la seguridad de la información y como cada uno de ellos y todos en conjunto
contribuyen a lograr los objetivos del sistema.
Beneficios
Asegurar la generación oportuna y apropiada de la información del sistema a los
involucrados
Contar con una adecuada recolección, distribución de la información del sistema.
Consecuencias de NO seguir la política
Desconocimiento de las iniciativas de seguridad en las que debe participar
El retraso en la ejecución de las tareas encomendadas por la pérdida de la oportunidad de
la información
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
XIII. Política de recursos
El sistema de banca y pago móvil deberá contar con los recursos suficientes para establecer,
implantar, operar, monitorear, revisar, mantener y mejorar el sistema.
Objetivo: Asignar los recursos humanos y materiales necesarios para cubrir los requerimientos de
seguridad de la información en los servicios de TI que proporcione la adecuada protección a los
activos de información dentro del sistema.
Alcance
1. La estructura organizacional de las entidades del sistema de Pago y Banca Móvil
2. Los Activos de información definidos en los procesos del sistema de Pago y Banca Móvil y
los componentes Tecnológicos bajo su administración
Razón o Justificación
Reducir la probabilidad de que un riesgo se materialice
Mejorar el nivel de protección en los activos de información del sistema
Contar con el presupuesto necesario para las iniciativas de seguridad
102
Implicaciones
Planear la correcta asignación de recursos humanos en los proyectos de seguridad de la
información con base en los resultados del análisis de riesgos.
Planear la adquisición de las mecanismos de control adecuados
Beneficios
Contar con mejores elementos de control y útiles para la gestión de la seguridad de la
información en los servicios de TI y de sus componentes
Optimizar las evaluaciones del sistema en su conjunto
Consecuencias de NO seguir la política
No contar con mediciones objetivas y útiles de la seguridad de la Información en los
servicios de TI y de sus componentes
Provocar no conformidades en el sistema
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
XIV. Política de la infraestructura tecnológica
Es necesario establecer todos los requerimientos en cuanto a los activos de la infraestructura
tecnológica, se refiera, ya que esto es parte fundamental para garantizar el proceso óptimo de la
gestión de la seguridad del sistema de Pago y Banca Móvil.
Objetivo: Establecer el proceso óptimo para la gestión de la seguridad de los activos de
información contenidos en la infraestructura tecnológica administrada por cada entidad que
compone el sistema de Pago y Banca Móvil que permitan identificar requerimientos de seguridad.
Alcance
1. La estructura organizacional de todas las entidades involucradas en el Pago y Banca Móvil,
2. Las instalaciones que ocupan aplicaciones del sistema de Pago y Banca Móvil
3. Los equipos de TI definidos en los procesos de Pago y Banca Móvil y los componentes
tecnológicos bajo su administración
4. La identificación de activos y de dueños de los activos.
5. La identificación de riesgos de seguridad sobre los activos de los procesos de Pago y
Banca Móvil.
6. Las auditorías internas y externas al sistema.
103
7. Las revisiones que realice las distintas direcciones.
8. El aseguramiento de la aplicación de mejoras al sistema.
9. La documentación del sistema
Razón o Justificación La implantación de esta política es importante para mantener y demostrar
la gestión del Sistema asegurando que:
Se encuentran definidas las políticas dentro de los sistemas
Los procedimientos se encuentran implantados
Se generan registros de la operación del sistema
Implicaciones
Todas las actividades en materia de seguridad de la información se llevarán a cabo por
medio de un Sistema de Gestión de Seguridad de la Información (SGSI) que cumpla los
requisitos establecidos en la Norma ISO/IEC 27001:2005.
La definición de requerimientos de seguridad en la celebración de contratos de bienes y
servicios informáticos a cargo de cada una de las entidades que componen el sistema de
Pago y Banca Móvil
Beneficios
Identificar mediante el análisis de riesgo, el valor de los activos de información
Entender las vulnerabilidades y amenazas que los pueden exponer a un riesgo
Establecer un plan de tratamiento de riesgos en función a su importancia
Contar con un sistema de gestión que permita administrar los riesgos identificados a un
nivel aceptable
Consecuencias de NO seguir la política
No contar con la valoración de los activos de información
No existe forma de medir el nivel de riesgo en los servicios de TI y como se mitigan
No contar con la prioridad de las acciones en función del riesgo detectado
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
Publicación en la red LAN
Publicación en las oficinas
104
XV.
Política de riesgos
Se deberá contar con una metodología de análisis de riesgo con el fin de identificar, analizar,
revisar y evaluar los riesgos y las opciones para su tratamiento y los riesgos residuales.
Objetivo Minimizar las probabilidades y consecuencias de sucesos que comprometan a los activos
de información del sistema.
Alcance
1. Los recursos de TI definidos en los procesos del sistema de Pago y Banca Móvil.
2. La identificación de activos y de dueños de los activos.
3. La identificación de riesgos de seguridad sobre los activos del sistema de Pago y Banca
Móvil.
4. Las auditorías internas y externas al sistema.
5. Las revisiones que se realicen.
6. El aseguramiento de la aplicación de mejoras al sistema.
Razón o Justificación
Obtener un plan de atención de los riesgos
Implicaciones
Identificar las amenazas sobre los activos de información
Determinar los riesgos y controles que los mitiguen
Establecer los criterios para la aceptación de riesgos y aceptabilidad del nivel de riesgos y
los actualizaremos cuando las evaluaciones o las revisiones de riesgos concluyan que es
necesario.
Alinear, establecer, mantener y mejorar el sistema con el contexto de administración de
riesgos estratégicos.
Seleccionar los objetivos de control y los controles para el tratamiento de riesgos.
Formular, implantar y revisar el plan de tratamiento de riesgos que identifique las acciones
de la dirección apropiada, los recursos, las responsabilidades y las prioridades para
gestionar los riesgos de seguridad de la información.
Beneficios
Contar con mediciones objetivas de los riesgos de seguridad en los servicios de TI y de sus
componentes
105
Canalizar los esfuerzos de protección con base en los riesgos identificados
Consecuencias de NO seguir la política
Obviar riesgos que no sean identificados
No enfocar las acciones de protección de los activos de acuerdo con su nivel de riesgo
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
XVI. Política de revisiones de la dirección en las entidades participantes
Realizaremos evaluaciones del sistema que incluya oportunidades para mejorar y las necesidades
de cambios para el mismo, en sus políticas de seguridad y objetivos, para la toma de decisiones en
materia de seguridad de información.
Objetivo: Dar a conocer el estado que guarda el sistema, su problemática y alternativas de
solución con la intención de revisar y aprobar las acciones de mejora a poner en marcha.
Alcance
1. Las auditorías internas y externas al sistema.
2. El aseguramiento de la aplicación de mejoras al sistema.
Razón o Justificación
Obtener resultados del sistema
Retroalimentar a la dirección de la entidad competente
Implicaciones
Realizar un informe del estado que guarda el sistema
Identificar la problemática que aqueja al sistema
Plantear alternativas de solución
Beneficios
Contar con evaluaciones objetivas y útiles de la seguridad en los servicios de TI y de sus
componentes
Mejorar el desempeño del sistema
106
Consecuencias de NO seguir la política
Permitir el crecimiento de la problemática detectada
Generar un impacto negativo en el desempeño del sistema
Forma de notificación a los usuarios en caso de modificación de la política
Correo Electrónico
XVII. Solicitud de Acciones Correctivas y Preventivas, planes de contingencia.
En caso de detectar algún problema crítico derivado del seguimiento y medición de la etapa y/o
productos, se deberá aplicar el plan de contingencia para solucionar el percance.
Objetivo: Establecer documentalmente las acciones correctivas y preventivas a implementar,
eliminando oportunamente causas de no conformidad que pudieran afectar la operación del
proceso del sistema en materia de seguridad de la información.
Alcance
1. Las auditorías internas y externas al sistema.
2. El aseguramiento de la aplicación de mejoras al sistema.
Razón o Justificación
Determinar las causas de las no conformidades.
Solucionar las situaciones críticas de manera transparente
Implicaciones
Revisar las no conformidades.
BCP (Business Continuity Plan) documentado
Utilización de equipos de alta disponibilidad
Redundancia en Tablas activas y tablas de cierre de información
Enlaces redundantes en todos los casos
Beneficios
Asegurar que las no conformidades no vuelvan a ocurrir y registrar los resultados de las
acciones tomadas.
Consecuencias de NO seguir la política
No eliminar la causa raíz de una no conformidad.
107
Forma de notificación a los usuarios en caso de modificación de la política:
Correo Electrónico
6.3.2
Procedimientos
A continuación se muestran los procedimientos que deben seguirse para el óptimo funcionamiento
del sistema de Pago y Banca Móvil cada uno es de vital importancia y debe cumplirse fielmente
Los procedimientos establecidos se dividen de la siguiente forma:
I.
Activación de teléfono celular como medio de pago
Para activar el teléfono celular como medio de pago se deben de cumplir los siguientes procesos
sin excepción alguna.
Identificación del cliente (presencial) Toda activación/desactivación, notificación,
cancelación, reclama u otra actividad pertinente al pago a través de móviles la debe de
realizar SOLO el usuario en cuestión, directamente en la sucursal correspondiente a la
cuenta ligada al teléfono
Contrato El contrato debe cumplir con todas las disposiciones legales en materia de pagos
electrónicos, debe ser confidencial y claro en cada uno de sus puntos y especificaciones
para que no exista disconformidad futura.
Los controles para la activación del teléfono celular como medio de pago que debe implantar la
Banca para ofrecer el servicio de Banca Móvil son:
Contratación del servicio
o Establecer las operaciones que se podrán realizar a través del servicio de Banca móvil
o Especificar la forma de activar y cancelar el servicio
o Definir las responsabilidades para los clientes y para la Institución
Mecanismos de seguridad para que la información transmitida, procesada y almacenada a
través del medio sólo pueda ser accedida por los clientes o personas autorizadas por la
Institución.
Políticas y procedimientos que aseguren el nivel de calidad del servicio y la seguridad e
integridad de la información, con mayor énfasis en caso de contratar a proveedores.
Para el proceso de activación del servicio se deberá realizar una autenticación de clientes
adecuada:
o Script formalizado para autenticar a clientes, para el cual se necesiten más de 3 fuentes
de información para los datos del cliente
108
o Evidencia del alta del servicio
II.
Seguridad teléfono
Una vez dado del alta el servicio de Pago móvil el sistema debe brindar las medidas de seguridad
presentadas para garantizar una transparencia en las transacciones y que estas solo puedan ser
llevadas a cabo por el titular de a cuenta bancaria ligada al teléfono.
Contraseñas “enmascarados”
Las contraseñas utilizadas para poder realizar
transacciones deben estar debidamente enmascaradas para evitar un posible robo o mala
utilización del mismo, el sistema debe brindar un alto grado de protección a estas
contraseñas.
Evitar almacenamiento de contraseñas en teléfonos El usuario titular del teléfono debe
tener cuidado de NO grabar su NIP en el teléfono para evitar mal uso del sistema.
Transmisión de datos “críticos” cifrados Todos los datos críticos de las transacciones
deben estar cifrados y cuidadosamente resguardados.
Los controles para la seguridad del teléfono que debe implantar el sistema para ofrecer el servicio
de Banca Móvil son:
Mecanismos para la generación y entrega de contraseña o clave de acceso que aseguren
que sólo el usuario pueda activarlas
Composición de contraseña:
o Longitud de 5 caracteres
o No permitir más de dos consecutivos numéricos o alfabéticos
o No permitir más de dos caracteres idénticos
o No permitir el identificar de usuario
o Histórico de contraseñas, en caso de que el cliente de
Enmascaramiento de la contraseña digitada por el cliente en el celular al realizar cualquier
operación
Procedimientos para el restablecimiento de contraseñas, que aseguren que el cliente es
quien la restablece, en caso de que un cliente la olvide.
Almacenamiento de contraseñas de cifradas
Mecanismos de autorización y confirmación de operaciones
III.
Operación
Estas especificaciones se refieren las limitaciones que debe establecer el sistema para evitar mal
uso y disminuir así riesgos de fraudes y operaciones maliciosas.
109
Límites de pago por transacción y por día Debe existir un límite de transacciones por
día y también estas transacciones no deben exceder cierta cantidad límite para evitar
problemas.
Notificaciones al cliente (confirmación de operaciones) Cada operación, ya sea exitosa
errónea debe ser notificada en tiempo y forma adecuados al usuario titular de la cuenta,
estas notificaciones deben de ser hechas por distintos medios para asegurar su eficiencia.
Notificaciones vía estado de cuenta del producto asociado (TC o débito) Todas las
operaciones y transacciones hechas deben aparecer registradas en los estado s de cuenta
del cliente, como si fueran una operación con terminal punto de venta normal, y brindando
así un respaldo al usuario.
Los controles para la operación que debe implantar el sistema para ofrecer el servicio de Banca
Móvil son:
Políticas de operación de límites de monto y transacciones del servicio, que incluyan la
forma en que se administrarán
Bitácoras de auditoría donde se registre las operaciones realizadas por los usuarios
Políticas y procedimientos para el proceso de gestión de reclamaciones
Acceso a Bases de datos sólo a personal autorizado.
Mecanismos de seguridad para la transmisión de información a través de la infraestructura
de la operadora telefónica, a fin de evitar que terceros no autorizados puedan acceder o
hacer mal uso de la información transmitida.
Contar con un área de soporte técnico y operacional que atenderá incidencias que tengan
los usuarios en el servicio con su celular
Contar con un plan de contingencias que asegure la capacidad y garantice la continuidad
de los sistemas
IV.
Auditoría
Para poder llevar un control adecuado del sistema se debe de llevar un registro adecuado de todas
las operaciones hechas en el sistema para que en futuras auditorías se considere toda la
información pertinente para solucionar los posibles problemas.
Bitácoras de transacciones Debe de existir una bitácora (log) que registre todas las
operaciones efectuadas por el sistema, estas operaciones deben estar debidamente
acotadas para dar pista de quien y cuando se realizaron así como también los montos de
cada una de ellas.
Revisión a participantes (FIMPE, carriers) Se debe llevar un control adecuado de todos
los equipos participantes del sistema en las diferentes entidades del sistema (FIMPE,
110
bancos, procesadores y demás). Este control debe registrar todas las operaciones
realizadas por la entidad así como un debido registro de los activos, cuentas de usuario,
personal que labora en dichos sistemas etc.
Los controles para la auditoría que debe implantar el sistema para ofrecer el servicio de Banca
Móvil son:
Aplicaciones y procesos debidamente documentados, así como los registros de sus
cambios
Controles de seguridad que protejan la confidencialidad de la información y de acceso para
garantizar la integridad de los sistemas de la información generada, procesada,
almacenada y transmitida.
Mecanismos de respaldo y procedimientos de recuperación de la información
Registros de auditoría que contengan la información de las actividades realizadas por los
usuarios
Pruebas de vulnerabilidades
Realizar auditorías con el fin de verificar que los sistemas cuenten con mecanismos para
preservar la integridad, confidencialidad y disponibilidad de la información, que eviten su
alteración y cumplan los objetivos para los cuales fueron diseñados.
Actualmente las reglas están descritas en la Circular Única de Bancos
o Control Interno
o Administración Integral de Riesgos
o Uso de Medios Electrónicos
Emitiremos nuevas reglas para definir las características bajo las cuales puede operar este
servicio como un medio de pago específico, mismas que diferenciarán el pago móvil de la
banca móvil.
A la banca móvil se entiende como servicios bancarios, en dispositivos móviles. Similares a
la banca por Internet. Deben cumplir con el capítulo X.
o Contrato
o 2º factor de autenticación
o Límites
o Notificación a clientes
Contratos
o Confidencialidad
o Supervisión CNBV
o Niveles de Servicio
Conexión Banco-FIMPE
o Medios seguros de comunicaciones
111
Cifrado de información
Control de acceso a la plataforma de administración de clientes/teléfonos
o
Administración de Usuarios
Gestión de usuarios de la plataforma tecnológica
o
Pruebas de vulnerabilidades
Políticas de Seguridad Institucionales
o
Manejo de la información del cliente y del Banco
o
Confidencialidad de la información del cliente (Datos generales, tarjetas y NIP)
Planes de continuidad del negocio
o
Procedimientos de contingencia en caso de desastres
Auditorías a la plataforma tecnológica
V.
Procesos de cancelación y reporte por pérdida o robo
En caso de pérdida o robo del equipo es importante que se tomen las medidas correspondientes
para evitar operaciones no deseadas.
El usuario es el responsable total de notificar el suceso, una vez realizada la notificación al
banco el sistema da de baja inmediatamente el teléfono en cuestión
VI.
Controversias y repudio de operaciones
En caso de operaciones dudosas se debe de dar un seguimiento adecuado a cada una de las
operaciones dudosas
Responsabilidad del banco emisor de la TC o débito El banco es el responsable total
de las operaciones bancarias, es decir el sistema no realiza un cobro u operación en la
cuenta del cliente, cada operación debe ser avalado por el banco correspondiente y el
mismo debe de responder en caso de operaciones no deseadas.
VII.
Seguro contra fraudes
Como la entidad bancaria es la responsable directa de los cobros y transacciones en la cuenta
debe contar con un seguro en contra de fraudes u operaciones que perjudican al usuario y al
banco mismo.
El banco es el responsable del los fraudes relacionados con el pago por celular a
partir de un monto mínimo El banco es el único responsable en los fraudes realizados
por el celular ya debido a que el mismo es el que autoriza o no una operación que fue
enviada por otra entidad.
112
El banco abonará de inmediato a las cuenta de débito En caso de realizarse
operaciones con tarjetas de débito las transacciones monetarias deben realizarse
inmediatamente.
El banco deberá realizar las investigaciones Toda investigación referente a fraudes o
mal uso del sistema debe de llevarla a cabo el banco en cuestión, aunque se puede apoyar
en las distintas entidades participantes dentro del sistema de pago móvil.
6.3.3
I.
Tecnología
Infraestructura
A continuación se presentarán los esquemas de seguridad y de operación propuestos para pagos
vía celular y/o banca móvil. Cabe mencionar que los esquemas planteados pretenden ser tomados
como un estándar para la operación de estas transacciones.
II.
Redes
Debido a que las redes de comunicación son la parte medular del funcionamiento del servicio se
necesita tener redes bien definidas que sean confiables y nos brinden la seguridad adecuada para
el tipo de operaciones que se van a manejar.
Las tecnologías que se plantean utilizar son las siguientes:
Tecnologías inalámbricas GPRS, CDMA 1X, EvDO, Wi-Fi. Para que la transmisión de
datos sea eficiente y sobre todo segura, se utilizan estas tecnologías de punta. Estas
tecnologías nos brindan alta conectividad, seguridad en la información, respuesta en
tiempos cortos. Además son las tecnologías que se utilizan en las redes de comunicación
de las telefonías celulares en México. Si nos apegamos a estas tecnologías podemos
estandarizar el modelo.
Hardware de alta capacidad y redundancia Para evitar que la red o el sistema se caiga o
deje de operar se debe de utilizar el hardware adecuado que soporte un número
considerable de transacciones simultaneas así como una rápida respuesta a peticiones. Es
importante también que el hardware utilizado en las conexiones nos brinde alta
redundancia para que la red no deje de operar en ningún momento y las fallas de
conectividad sean las mínimas posibles.
Equipo de redes. Seguridad con doble clúster de firewalls La conectividad con FIMPE
debe de brindarnos la mayor seguridad posible para poder brindar un servicio de calidad a
los usuarios. Por este motivo se debe de implementar un doble clúster de firewalls para
113
poder ingresar y comunicarnos con zona desmilitarizada de FIMPE. De esta manera
nuestras transacciones peticiones y demás comunicaciones con la red de FIMPE serán
seguras para la red interna de FIMPE.
Servidores dedicados Para información referente al usuario FIMPE debe contar con
servidores dedicados, con esto garantiza la integridad de los datos y al tener disponible
está información se puede realizar cualquier aclaración de manera adecuada. Además se
le da el seguimiento correcto a las transacciones y operaciones que efectúa un usuario.
Monitoreo de operaciones FIMPE debe contar, en sus servidores dedicados, con un
sistema de monitoreo para analizar y tener un control sobre las transacciones que se
efectúan, registrando las mismas y darles el seguimiento correspondiente. Con esto se
puede detectar cualquier posible inconformidad o problema que el usuario pueda tener,
además de contar con históricos de las transacciones de los usuarios.
Enlaces dedicados con procesadores (PROSA, E-GLOBAL) Adicionalmente FIMPE
debe contar enlaces dedicados con los servidores de las instituciones que prestan el
servicio de switch a los bancos. Esto con la finalidad de tener mejor rendimiento seguridad
y velocidad simétrica ideal para comunicarse con el procesador (switch) y poder generar
transacciones; cabe mencionar que se necesita un ancho de banda exclusiva.
Accesos VPN o https a los bancos Finalmente los procesadores deben contar con
accesos VPN a los bancos para así mantener la seguridad requerida para las
transacciones entre las cuentas del usuario, al estar conectados mediante estos medios se
garantiza la integridad y confiabilidad de la información intercambiada.
En la figura 17 se muestra el esquema de conectividad entre las entidades que componen el
sistema de Pago y Banca Móvil:
Fig. 17 Modelo de Seguridad Pago y Banca Móvil
114
III.
Disponibilidad del servicio
Una de los aspectos fundamentales en la prestación de cualquier servicio es el de la disponibilidad
del mismo, es muy importante que el servicio de pagos móviles nos brinde un servicio completo en
el momento en que nosotros lo deseemos, para esto se debe de enfatizar el control y la
administración de las operaciones. Para poder brindar un servicio de calidad se debe contar con lo
siguiente:
Monitoreo 24x7 automatizado y manual de toda la infraestructura y servicios aplicativos +
control de alarmas
Soporte 24x7 de toda la infraestructura y helpdesk
Herramientas de seguimiento de incidencias
Procesos de soporte para Sistemas de Información
Niveles de servicio de soporte
Matrices de escalamiento de conflictos
Política de respaldo en operación con cortes rotativos y definitivos: diario, semanal,
mensual
Redes de ancho de banda amplio, redundancia de vías de acceso
Redundancia de fuentes de poder multinivel de los sitios.
Hardware con redundancia multinivel en unidades de IO, procesadores, fuentes de poder,
discos, etc.
Redundancia a nivel aplicativo. Ejemplo: tablas activas y tablas de cierre de bases de
datos
IV.
Telefonía celular
Mediante el modelo
se pueden comunicar los usuarios, comercios, bancos y operadoras
telefónicas, utilizando los dos principales estándares de telefonía móvil basados en GSM (Global
System for Mobile communication) y CDMA (Code Division Multiple Access). Que a su vez utilizan
los siguientes:
USSD (Unstructured Supplementary Service Data) para permitir que el usuario se
comunique desde su celular ingresando una cadena de caracteres (*123*800*1#)
GPRS (General Packet Radio Services) mediante el cual el usuario podrá realizar
operaciones con una aplicación instalada en el teléfono
WAP (Wireless Application Protocol) usando el navegador de Internet de su teléfono
SMS (Short Message Service) para la confirmación al usuario y al comercio de las
operaciones realizadas.
115
V.
Especificaciones
Para poder brindar un servicio eficiente y confiable se deben cumplir las siguientes
especificaciones:
Acceso a la aplicación a través de una interface Web por un túnel (VPN) o con un canal
seguro (https).
Autenticación del usuario mediante user y password.
Permisos de usuarios creados mediante roles y perfiles.
Registro de las transacciones efectuadas por los usuarios.
En la BD no se guarda el NIP del usuario ya que solo se almacena su PVV.
El alta de usuarios y comercios solo pueden ser realizada por los bancos, previa la
aplicación de los procedimientos de autenticación de cada Institución (Call Center, IVR,
Internet, Ventanilla etc.).
Integración disponible a través de Web Services.
Solo se permiten transacciones provenientes de titulares y comercios registrados en la
plataforma.
Se permite la configuración de parámetros de riesgos establecidos por los bancos (máximo
número de recargas y compras, monto máximo por transacción).
El envío de información para la conciliación y facturación a los bancos se realiza vía
Connect Direct a través de los procesadores (PROSA, EGlobal).
Ambientes independientes para producción, preproducción y desarrollo aplicativo.
Los operadores del sistema no tienen acceso a la información de los bancos.
Realizar compras con tarjetas de débito o crédito de una forma más segura
Utilización de NIP5 para dar acceso al servicio.
Cambio obligatorio de NIP en su primera transacción.
Autorización de todas las transacciones a través del NIP
Confirmación de compras realizadas a través de mensajes SMS.
No se proporcionan datos sensibles al momento de la realización de la transacción. (Datos
personales, número de tarjeta)
Toda transacción financiera es autorizada por el Banco usando los medios existentes de
tarjeta de débito y crédito.
No se tiene que entregar la tarjeta a nadie
VI.
Flujo ideal
A continuación en la figura 18 se presenta el flujo idea propuesto de la operación del servicio
116
Fig. 18 Flujo Ideal Propuesto
1. El Usuario inicia la operación con el número Celular a recargar, importe y NIP.
2. Se autentica al usuario como usuario del sistema
3. El sistema solicita al procesador la transacción ( de recarga ), como un medio de pago
4. El procesador envía la solicitud al banco, este autoriza la transacción
5. El banco regresa a el procesador la transacción autorizada (recarga )
6. El procesador, envía la instrucción de recarga a la telefonía
7. El procesador envía al sistema la autorización de la recarga
8. El sistema comunica el resultado de la operación al usuario a través de mensajes USSD y SMS
Participantes en el proceso operativo
FIMPE
Algunas funciones que realiza el FIMPE son:
Dirige el desarrollo conforme a los requerimientos de las Instituciones financieras y controla
la implantación del sistema, así como hacerse de los servicios de proveedores externos
necesarios para la puesta en marcha de la misma
Define, acuerda y diseña los circuitos comunes para la operación
Es el responsable de operar el sistema ya sea directamente o a través del proveedor de
procesamiento seleccionado por el FIMPE.
Pone a disposición de los participantes la infraestructura de equipos informáticos, software
básico, bases de datos, explotación y técnica de sistemas para el funcionamiento del
software.
Realiza el procesamiento de las operaciones.
Realiza la conexión con los Procesadores de medios de pago para la gestión de las
operaciones de Medios de Pago asociadas a las transacciones.
Proporciona los servicios inherentes a los procesos de incorporación de Usuarios y de
comercios procedentes de las entidades financieras asociadas
117
Gestiona la comunicación de todas las Operaciones entre el sistema y los procesadores
de medios de pago, y los operadores celulares.
Presta los servicios de atención de último nivel, que atienden las gestiones no resueltas por
los centros de atención a Usuarios de los operadores celulares y entidades financieras.
Facilita los medios y conexiones necesarios para realizar los test de pruebas y aceptación
del sistema.
Tiene la Licencia el uso de la propiedad intelectual e industrial, así como del software.
Establece las medidas necesarias para que el Software disponga de los elementos que
aseguren la integridad, seguridad y confidencialidad de la información asociada a la
operación de los pagos.
Presta el servicio de mantenimiento preventivo y correctivo del software, y la atención a
resolución de incidencias y problemas 7x24
BANCO
Algunas de las funciones que realiza el banco dentro del proceso son:
Opera la parte correspondiente de las transacciones incluidas en el proyecto, en particular
la autorización de las operaciones de medios de pago y la liquidación a comercios.
Comercializa el producto entre sus clientes
Establece los circuitos necesarios para la contratación, atención y resolución de incidencias
derivados de la operativa del sistema para sus USUARIOS.
Establece
las
medidas
necesarias
para
garantizar
la
integridad,
seguridad
y
confidencialidad de la información en su ámbito de responsabilidad.
Facilita los medios y conexiones necesarios para realizar los test de pruebas y aceptación
del proyecto.
Son los receptores del sistema conforme a los requerimientos solicitados y dirigen la
realización de las tareas para la puesta en marcha del sistema, de cara al usuario y del
comercio
TELEFONÍAS
Las funciones que realizan las compañías de telefonía celular son:
Pone a disposición de los participantes y de sus USUARIOS la infraestructura de telefonía
celular necesaria para la operación del sistema, incluyendo la adaptación de todos los
elementos necesarios de la red celular.
Opera y administra los sistemas de comunicaciones de la red celular.
118
Verifica
que los dispositivos celulares sean compatibles con los estándares de
comunicación USSD, SMS para que puedan operar con el sistema.
Promueve con sus USUARIOS y los proveedores de teléfonos celulares que participen en
la operativa del sistema la aceptación de las obligaciones correspondientes.
Establece
las
medidas
necesarias
para
garantizar
la
integridad,
seguridad
y
confidencialidad de la información que utiliza la red del operador celular.
Facilita los medios y conexiones necesarios para realizar los test de pruebas y aceptación
de del sistema.
Participa en la realización de las tareas para la puesta en marcha del sistema
PROCESADORES
Pone a disposición de las entidades financieras la infraestructura de conexión para el
procesamiento de las operaciones.
Realiza las funciones mantenimiento preventivo, correctivo y monitoreo de la operativa,
Enlaces, transacciones.
Realiza el encaminamiento de las operaciones a BANCOMER.
Gestiona las operaciones de los medios de pago asociados a los dispositivos celulares en
las transacciones, así como los procesos de compensación y liquidación que fueran
necesarios.
Gestiona la comunicación de todas las operaciones entre el procesador de operaciones y
las entidades financieras.
Establece
las
medidas
necesarias
para
garantizar
la
integridad,
seguridad
y
confidencialidad de la información en su ámbito de responsabilidad.
Facilita los medios y conexiones necesarios para realizar los test de pruebas y aceptación
del proyecto.
Participa en la realización de las tareas para la puesta en marcha del sistema.
Características del NIP (password)
Existe un NIP diferente para cada medio de pago asociado al USUARIO
El NIP es numérico y tiene una longitud de 5.
La autenticación del NIP para los USUARIOS se encuentra en el Sistema, así como el
proceso de cambio de NIP.
Emisión inicial del NIP de USUARIO: La emisión del NIP inicial asociado al Medio de Pago
se produce en el proceso de alta del medio de pago asociado al USUARIO.
El Sistema enviará un SMS al teléfono del USUARIO donde se le comunica el NIP Inicial
(nativo).
El sistema obliga al usuario a cambiar el NIP como primera operación
119
EL NIP no es almacenado en el teléfono al realizar una transacción
PH–CIFRADO Y PVV.
Conjunto de procesos relacionados con;
Generación de NIP, PVV
Gestión de encriptación y des encriptación
Almacenamiento de PVV en el Sistema
El Sistema utiliza como método de verificación del NIP el PVV (Pin Verificación Value).
El PVV se genera por medio de los siguientes datos:
PAN (número de la tarjeta del cliente)
PIN (número aleatorio de 5 posiciones)
PVKI (1 dígito comprendido entre 1 y 6 que define la clave de cifrado)
Dos claves del algoritmo DES.
En el Sistema se dispone de una tabla de Criptogramas por Instituciones donde están
definidos los valores referentes a las claves de cifrado
Se genera un PVV distinto para cada tarjeta de servicio adherido al sistema
En el sistema nunca se almacena el NIP sino su PVV.
Para la verificación del NIP recibido se procede a obtener el PVV correspondiente al NIP
tecleado con los datos referentes al cliente y a las claves propias de la institución mediante
el algoritmo de cifrado.
El dato obtenido se compara con el PVV guardado en el sistema. De este modo, si ambos
números coinciden, se concluye que el NIP empleado por cliente es el correcto y se
procede a la operativa solicitada. En caso contrario, se concluye el dialogo establecido con
el celular con los mensajes de errores oportunos.
Manejo de NIP’s
El NIP de se ocupa para realizar las siguientes funciones por parte del usuario
o Compras ( tiempo aire o comercios)
o Consultas de movimientos
o Cambios de NIP
En caso de tres intentos fallidos de NIP ser bloquea este y debe ser remitido de nuevo para
reactivar el servicio
Cada vez que se remite un NIP, se emite uno distinto a los anteriores y deben ser
cambiado por el cliente antes de poder usar el servicio
Especificaciones para el site de FIMPE
Acceso físico restringido de preferencia un control biométrico
120
Seguridad de acceso por red multinivel
Política global: todo cerrado / algo permitido
Toda comunicación es por un enlace dedicado o una red virtual encriptada
Separación completa de ambientes
Seguridad lógica a nivel de partición, sistema operativo, base de datos, aplicación
Perfiles / rotación de PWDs
6.4
Monitoreo
Se relaciona con el cumplimiento por la organización de las políticas y procedimientos de
seguridad establecidos en la organización como una “Línea base” de seguridad para reducir el
riesgo a niveles aceptables para el o los programas de seguridad de la información.
Como una medida de control del cumplimiento del modelo presentado se debe de realizar
monitoreo a toda la operación del mismo. El monitoreo se divide en dos partes:
Monitoreo de la correcta operación del sistema
Monitoreo del cumplimiento de las políticas y normas mencionadas en este capítulo
El monitoreo de la operación del sistema se debe de realizar de manera continua y a todas horas
(24/7), de esta manera se garantiza una correcta operación del sistema, en caso de que exista
alguna incidencia se podrá tomar la acción pertinente para
minimizar los riesgos que esta
incidencia represente. Se debe de revisar que las normas y procedimientos establecidos se
cumplan al pie de la letra mediante auditorías internas las cuales se llevaran a cabo en un periodo
no mayor a seis meses de diferencia entre cada una de ellas, el motivo de las auditorías es
encontrar posibles inconformidades a las políticas y canalizarlas lo antes posible para mantener el
orden de acuerdo a las mejores prácticas. También es importante realizar auditorías externas las
cuales brindan un punto de vista diferente y mejoran la operación. Estas auditorías las llevara a
cabo la CNBV.
6.5
Concientización
La característica principal del proceso de concientización es la difusión del Modelo de Seguridad
por diferentes medios de comunicación al interior de la empresa, partiendo de un conocimiento
básico de Seguridad Informática hasta lograr la adopción y asimilación de componentes del modelo
de seguridad (políticas, tecnología y procedimientos).
Para la puesta en práctica de la concientización se debe de seguir puntualmente lo siguiente:
121
Todos los empleados implicados directa o indirectamente en cualquiera de los procesos
involucrados con Pago y Banca Móvil (P & B móvil), deben recibir un entrenamiento
apropiado y actualizaciones periódicas sobre la importancia de la seguridad en las
políticas, tecnología y procedimientos de la organización, esto incluye:
o
Requerimientos de seguridad
o
Responsabilidades legales.
o
Controles del negocio.
o
Entrenamiento en el uso correcto de las facilidades de procesamiento de
información (procedimiento de inicio de sesión, uso de paquetes de software).
Para los nuevos empleados esto debe ocurrir antes de que se les otorgue acceso a la
información o a los servicios.
Los diferentes mecanismos disponibles para elevar la conciencia de la seguridad incluyen:
o
Políticas y procedimientos escritos de seguridad.
o
Declaraciones de no revelación firmadas por el empleado.
o
Uso de diferentes medios para difundir las medidas de seguridad (boletines, de
noticia de la compañía, página web, videos, etc.).
o
Cumplimiento visible con las reglas de seguridad.
o
Incidentes simulados de seguridad para mejorar los procedimientos de seguridad.
o
Recompensar a los empleados que reporten casos sospechoso
122
CAPÍTULO VII CASO PRÁCTICO - DINERO MÓVIL
Este último capítulo constituye el Caso Practico, donde se propone el modelo de Pago y Banca
(P&B) Móvil generado, como un marco de referencia que pueda ser tomado por la empresa
generadora del servicio de Dinero Móvil, con la finalidad de validar la seguridad de su servicio, y
propiamente verificar la efectividad del modelo.
Cabe mencionar que se presenta el modelo a esta empresa como propuesta de seguridad,
generado con fines de Titulación y exclusivamente escolares para los interesados, no se involucra
información que altere su integridad en ningún sentido, de tal modo únicamente se busca que tal
empresa nos externe sus opiniones generadas por la presentación del mismo, para tal caso se
brinda un total agradecimiento a la empresa, por el apoyo y las atenciones servidas para la
aplicación del mismo.
7.1
Infraestructura
El caso práctico únicamente se enfoca en función de la necesidad del negocio, con lo se toman los
elementos primordiales propuestos por el modelo de Pago y Banca (P&B) Móvil en materia de
tecnología y políticas más afines al servicio de Dinero Móvil.
La infraestructura propuesta para el servicio de Pago y Banca (P&B Móvil) se establece en la
Figura 19.
Fig. 19 Infraestructura propuesta
123
Considerando el esquema establecido, de los elementos involucrados, se describe la funcionalidad
e importancia de tales en relación a la seguridad física y lógica:
Tecnologías inalámbricas GPRS, CDMA 1X, EvDO, WiFi
Mediante el modelo se pueden comunicar los usuarios, comercios, bancos y operadoras
telefónicas, utilizando los dos principales estándares de telefonía móvil basados en GSM
(Global System for Mobile communication) y CDMA (Code Division Multiple Access). Que a
su vez utilizan los siguientes tipos de comunicación:
o
USSD (Unstructured Supplementary Service Data) para permitir que el usuario se
comunique desde su celular ingresando una cadena de caracteres (*123*800*1#)
o
GPRS (General Packet Radio Services) mediante el cual el usuario podrá realizar
operaciones con una aplicación instalada en el teléfono
o
WAP (Wireless Application Protocol) usando el navegador de Internet de su
teléfono
o
SMS (Short Message Service) para la confirmación al usuario y al comercio de las
operaciones realizadas.
Para que la transmisión de datos sea eficiente y sobre todo segura, se utilizan estas
tecnologías de punta. Estas tecnologías nos brindan alta conectividad, seguridad en la
información, respuesta en tiempos cortos. Además son las tecnologías que se utilizan en
las redes de comunicación de las telefonías celulares en México. Si nos apegamos a estas
tecnologías podemos estandarizar el modelo.
Hardware de alta capacidad y redundancia
Para evitar que la red o el sistema se caiga o deje de operar se debe de utilizar el
hardware adecuado que soporte un número considerable de transacciones simultaneas así
como una rápida respuesta a peticiones. Es importante también que el hardware utilizado
en las conexiones nos brinde alta redundancia para que la red no deje de operar en ningún
momento y las fallas de conectividad sean las mínimas posibles.
Seguridad con doble clúster de firewalls
La conectividad con FIMPE debe establecer la mayor disponibilidad en la información
seguridad posible para poder brindar un servicio de calidad a los usuarios. Por este motivo
se debe de implementar un doble clúster de firewalls para poder ingresar y comunicarnos
con zona desmilitarizada de FIMPE. De esta manera nuestras transacciones peticiones y
demás comunicaciones con la red de FIMPE serán seguras para la red interna de FIMPE.
Servidores dedicados
Para información referente al usuario FIMPE debe contar con servidores dedicados, con
esto garantiza la integridad de los datos y al tener disponible está información se puede
realizar cualquier
aclaración de manera adecuada. Además se le da el seguimiento
correcto a las transacciones y operaciones que efectúa un usuario.
124
Monitoreo de operaciones
FIMPE debe contar, en sus servidores dedicados, con un sistema de monitoreo para
analizar y tener un control sobre las transacciones que se efectúan, registrando las mismas
y darles el seguimiento correspondiente. Con esto se puede detectar cualquier posible
inconformidad o problema que el usuario pueda tener, además de contar con históricos de
las transacciones de los usuarios.
Enlaces dedicados con procesadores (PROSA, E-GLOBAL)
Adicionalmente FIMPE debe contar enlaces dedicados con los servidores de las
instituciones que prestan el servicio de switch a los bancos. Esto con la finalidad de tener
mejor rendimiento
seguridad y velocidad simétrica ideal para comunicarse con el
procesador (switch) y poder generar transacciones; cabe mencionar que se necesita un
ancho de banda exclusiva.
Accesos VPN o https a los bancos
Finalmente los procesadores deben contar con accesos VPN a los bancos para así
mantener la seguridad requerida para las transacciones entre las cuentas del usuario, al
estar conectados mediante estos medios se garantiza la integridad y confiabilidad de la
información intercambiada.
Bases de Datos
Las columnas que contengan datos sensibles en la base de datos del "servidor" deben ser
encriptadas. La solución es bastante más compleja que una aproximación puramente
tecnológica basada en primitivas de cifrado: en Oracle DBMS_OBFUSCATION_TOOLKIT
o DBMS_CRYPTO, en SQL Server con algunas de las soluciones (no nativas) que se
ofrecen (o incorporadas con SQL Server 2005), en DB2 (ENCRYPT, DECRYPT_BIN,
DECRYPT_CHAR, y GETHINT o mediante exits contra ICSF), o en MySQL (funciones
como AES_ENCRYPT, DES_ENCRYPT o ENCODE). Pero no olvidemos que siempre que
hay cifrado, hay gestión de claves, que es por donde vienen en realidad los problemas de
seguridad.
7.1.1 Flujo Operativo
Se propone el flujo ideal operacional de la transacción mediante el siguiente esquema de la figura
20.
125
Fig. 20 Flujo ideal operacional de la transacción
7.2
Políticas
Política de Seguridad Física en el Site
Se deben considerar las siguientes especificaciones para tener un ambiente físico controlado:
Procedimiento de control de accesos:
a) Credencial.- Es un instrumento obligatorio, mediante el cual todo trabajador que ingrese
a las instalaciones, es identificado; a cada trabajador se le hará entrega de una
identificación con fotografía.
126
b) Documentos.- Todos los funcionarios o personas que deseen ingresar a las
instalaciones deben presentar la siguiente documentación de acuerdo con el tipo de pase y
relación contractual/comercial con la empresa:
o
Outsourcing: son todas aquellas personas que poseen o tienen vigente un Contrato
y/o Orden de Servicios, por un período determinado, para este caso los pases que
puede solicitar son:
Temporal: pase asociado a una Orden de Servicio con duración igual o inferior
al plazo de la Orden de Servicio.
Visita Técnica: pase asociado a un Contrato u Orden de Servicio, pero con
duración máxima de 3 días.
o
Visita: son todas aquellas personas que no poseen ni tienen ningún vínculo
comercial con la empresa, para este caso el único tipo de pase que puede solicitar
tiene una extensión de 1 día, según decisión del Supervisor Autorizador.
c) Control de acceso biométrico y tarjetas de proximidad
d) Video vigilancia 24 x 7 x 365
Procedimiento para el control de extravíos de tarjetas y/o documentos de acceso
o
Reportar inmediatamente la credencial o documento extraviado
o
Dar de baja la credencial o documento, y notificar a control de accesos
o
Imposibilitar el acceso con tal elemento y realizar la detención sobre la persona que
incurra en tratar de acceder con esta.
Sistemas de detección de incendios
Sistemas de detección de fluidos
Sistemas de detección de humedad y temperatura
Fuentes de energía ininterrumpida redundante para todos los equipos
Redundancia en generadores de energía
Inventario documentado y actualizado de todo el equipo, así como cartas de aceptación de
tal.
Contratación de Seguros contra siniestros naturales.
Política de Seguridad de Contratación del Personal
Contratos del personal con cláusulas de privacidad
Informar al personal al momento de su contratación sobre las políticas de seguridad
Proceso documentado de terminación o cambio de rol, incluyendo cancelación de accesos
físicos, correos electrónicos y eliminación de accesos a sistemas
Política de Seguridad de Medios
Procedimiento documentado para respaldos:
127
o
Establecer respaldos periódicamente, al menos cada 10 días.
o
Espacio destinado para almacenamiento de respaldos en un servidor local.
Política de Seguridad en la plataforma
Estándares de seguridad para todo el equipo documentado
Configuración de seguridad default cambiada en sistemas de producción
Políticas de manejo de cuentas únicas documentadas
Cuentas y passwords por default deshabilitados o cambiados en los equipos
Revisión periódica de cuentas para evitar cuentas desconocidas o deshabilitadas
Cambio de passwords obligatorio después de determinado tiempo
Políticas de generación de passwords
Mecanismo de bloqueo de cuentas por varios intentos erróneos
Actualización de Inventario de Software y Hardware
Utilización de antivirus en servidores
Bloqueo o eliminación de servicios no utilizados en servidores
Procedimientos documentados de aplicación de parches o actualizaciones incluyendo
pruebas antes de ser implementados en equipo productivo
Procedimiento de actualización de sistema operativo, antivirus y parches de seguridad para
equipos en DMZ fuera de la red local por su importancia
Procedimientos y controles de mantenimiento de equipo
Política de Seguridad de la red
Configuración de equipos de red acorde a las mejores prácticas de la industria
Documentación de configuración de equipos de red
Firewalls para proteger acceso y limitar tráfico en base a servicios (Puertos e IPs)
Comunicaciones al exterior encriptadas por medio de VPN, SSL-128
Servidores Web localizados en DMZ separada por firewalls.
Monitoreo de firewall 7x24
Sistemas de detección y prevención (IDS/IPS) para monitoreo de red continuo
Tomar las siguientes medidas de seguridad para el Site:
o
Acceso físico restringido
o
Seguridad de acceso por red multinivel
o
Política global: todo cerrado / algo permitido
o
Toda comunicación es por un enlace dedicado o una red virtual que está encriptada
o
Separación completa de ambientes
o
Seguridad lógica a nivel de partición, sistema operativo, base de datos, aplicación
o
Perfiles / rotación de PWDs
128
o
Hackeo ético sin previo aviso
o
Contrato de confidencialidad.
Monitoreo
Sistemas de monitoreo y alertas para disponibilidad de equipos y servicios aplicativos
Procedimientos documentados para revisión y almacenamiento de bitácoras de
equipamiento y aplicaciones
Procedimientos para la información de alertas e información acerca de nuevos riesgos y
vulnerabilidades en seguridad
Contingencias
BCP (Business Continuity Plan) documentado
Utilización de equipos de alta disponibilidad
Redundancia en Tablas activas y tablas de cierre de información
Enlaces redundantes en todos los casos
Compliance regulatorio y legal
Cumplimiento de metas anuales en base a definiciones y requerimientos del SAT
Política de Seguridad de Bases de Datos
Los puntos esenciales que deben abordarse sobre la seguridad en la Base de Datos, serían los
que se muestran en la figura 21.
Procedimiento de control de Base de Datos:
Cada vez que se deba reiniciar el servidor un operador debe estar frente a la consola y
escribir la clave que encripta la BD.
En caso de pérdida de la clave que encripta la base de datos, se pierde acceso a los datos;
por lo que el administrador de BD debe salvaguardar y llevar un control adecuado de
usuarios y contraseñas.
No es posible efectuar búsquedas sobre campos con datos encriptados.
Establecer el principio del mínimo privilegio.
Establecer perfiles o roles según las necesidades operativa s del usuario.
129
Fig. 21 Seguridad en BD
Especificaciones del servicio
Para poder brindar un servicio eficiente y confiable se deben cumplir las siguientes
especificaciones:
Acceso a la aplicación a través de una interface Web por un túnel (VPN) o con un canal
seguro (https).
Autenticación del usuario mediante user y password.
Permisos de usuarios creados mediante roles y perfiles.
Registro de las transacciones efectuadas por los usuarios.
En la BD no se guarda el NIP del usuario ya que solo se almacena su PVV.
El alta de usuarios y comercios solo pueden ser realizada por los bancos, previa la
aplicación de los procedimientos de autenticación de cada Institución (Call Center, IVR,
Internet, Ventanilla etc.).
Integración disponible a través de Web Services.
Solo se permiten transacciones provenientes de titulares y comercios registrados en la
plataforma.
Se permite la configuración de parámetros de riesgos establecidos por los bancos
(máximo número de recargas y compras, monto máximo por transacción).
130
El envío de información para la conciliación y facturación a los bancos se realiza vía
Connect Direct a través de los procesadores (PROSA, EGlobal).
Ambientes independientes para producción, preproducción y desarrollo aplicativo.
Los operadores del sistema no tienen acceso a la información de los bancos.
Realizar compras con tarjetas de débito o crédito de una forma más segura
Utilización de NIP5 para dar acceso al servicio.
Cambio obligatorio de NIP en su primera transacción.
Autorización de todas las transacciones a través del NIP
Confirmación de compras realizadas a través de mensajes SMS.
No se proporcionan datos sensibles al momento de la realización de la transacción. (Datos
personales, número de tarjeta)
Toda transacción financiera es autorizada por el Banco usando los medios existentes de
tarjeta de débito y crédito.
No se tiene que entregar la tarjeta a nadie
Recomendaciones de uso del servicio
Nunca guarde información confidencial en el celular. No es recomendable almacenar en el
teléfono contraseñas, cuentas bancarias o números de PIN, ya que esto significaría un
foco rojo.
Solicitar al banco un medio inmediato de desactivación. Es conveniente tener conocimiento
del proceso a seguir en caso de extravío o robo del celular, para poder cancelar o
desactivar el mismo ya sea mediante una llamada telefónica o utilizando el portal de
Internet de la institución bancaria.
No proporcione información confidencial a nadie. No dar a amigos o extraños el número de
cuentas bancarias, contraseñas o PIN.
Establezca límites de pago mensual. Al utilizar es bueno establecer un límite adecuado
para pagos móviles mensuales, evitando con esto los sobregiros. Aunque se tiene
establecido que las compras por este sistema están restringidas a un máximo de entre los
300 y 500 pesos por transacción.
131
CONCLUSIONES
Implementar un modelo de seguridad en una organización no es una tarea sencilla y menos
cuando hay cambios en el modo de operar de la misma. Existen condiciones que son necesarias y
que deben de seguirse para el buen funcionamiento de los sistemas de pago móvil dentro de las
instituciones que quisieran utilizar nuestro modelo de seguridad, ya que se exige a los usuarios que
se apeguen a las normas y lineamientos establecidos dentro del Modelo P & B Móvil, el desacato a
las mismas podría ocasionar dificultades y errores en el funcionamiento de los procesos de los
cuales se compone un sistema de pago de servicios de cualquier institución.
El modelo de P & B Móvil al ser implementado realizo cambios notables en el manejo de la
seguridad, ya que esta fue atendida como prioridad fundamental y proporciono beneficios
significativos en los procesos que intervienen en el pago de servicios dentro de la institución
bancaria. Así mismo con esta prueba se determino que el modelo de seguridad P & B Móvil si es
factible de aplicarse a cualquier tipo de institución que desee automatizar la manera en que se
reciben los pagos de sus servicios y facilitar el manejo de dinero a sus clientes.
Durante el proceso de implementación existieron causas que pudieran haber sido motivo de un
fracaso en el funcionamiento del modelo P & B Móvil, como la falta de madurez de las empresas en
cuanto a las normativas de la misma, la intolerancia e inflexibilidad a la mejora de los procesos y la
falta de concientización a los usuarios, que sería lo más importante ya que los usuarios son los que
intervienen directamente en proporcionar el servicio a los clientes.
Por lo cual la medida que se propuso en ese aspecto hacia futuras implementaciones del modelo
es la de ajustar las normas de seguridad a las dimensiones de manera que puedan ser digeridas
por la institución así como explicar, capacitar y monitorizar al personal que trabaje directamente
con el servicio de pago vía banca móvil y así dar un buen servicio, obviamente derivado de un
procedimiento guiado por el modelo P & B Móvil.
Otro aspecto importante a considerar es el de utilizar las herramientas tecnológicas que sean
necesarias para la implementación y el buen funcionamiento de los procesos del servicio de pago
de servicios mediante la banca móvil. Igualmente se sugiere fomentar una cultura de tolerancia,
integridad, solidaridad y participación para obtener mejores resultados en las prácticas que se
requieran para futuras instancias
132
BIBLIOGRAFÍA
AUTENTICACIÓN http://www.als-es.com/home.php?location=recursos/articulos/seguridad-enbases-de-datos#origen-exp2 Agosto 2008
CAJEROS VIRTUALES (TPV) http://www.eumed.net/cursecon/ecoinet/seguridad/TPVv.htm Julio
2008
COMPRENSIÓN DE LAS REDES
http://www.sonyericsson.com/cws/companyandpress/aboutus/networktechnology?cc=cl&lc=es
Septiembre 2008
CONCEPTOS DE TI RELACIONADOS CON PAGO MÓVIL http://es.wikipedia.org Octubre 2008
ESTADÍSTICAS RELACIONADAS CON PAGO MÓVIL
Banco de México http://www.banxico.org.mx/ Julio 2008
Comisión Nacional Bancaria y de Valores http://www.cnbv.gob.mx/ Agosto 2008
EVOLUCIÓN DE LA TELEFONÍA MÓVIL http://www.eveliux.com/mx/la-evolucion-de-la-telefoniamovil.php Octubre 2008
FIMPE (Estadísticas y datos relacionados con pago móvil en México) http://www.fimpe.org
Junio 2008
GCASH http://www.g-cash.com.ph/sectionpagearticle.aspx?secid=27&id=52 Noviembre 2008
GENERACION DE LA TELEFONIA MÓVIL
http://www.cabinas.net/monografias/tecnologia/generaciones_de_la_telefonia_celular.asp
Septiembre 2008
INFORMACIÓN SOBRE SERVICIOS CELULARES EN MÉXICO
http://www.angelfire.com/ult/celulares/tecnologia/tecnologias.htm Agosto 2008
LEGISLACIÓN RELACIONADA CON PAGO MÓVIL http://www.leydeinternet.com/?page_id=29
http://axp16.iie.org.mx/promocio/patentes/paginas/derinf2.htm Noviembre 2008
MOBIPAY http://www.mobipay.es/secciones/empresa/que-es-mobipay.html Julio 2008
NIPEER (Pago móvil) http://www.nipper.com.mx Agosto 2008
PAGOS ELECTRÓNICOS EN MÉXICO Reporte “Usuarios de Internet en México 2007 y Uso de
Nuevas Tecnologías”, AMIPCI
PROCESO DE ACREDITACIÓN Y CONTROL DE ACCESO
http://www.mdo.cl/webcontrol/ese/soporte/pases.pdf Septiembre 2008
PROSA
https://www.prosa.com.mx/http://ips280a.prosa.com.mx/portal/visitas/infoCorp/PerfilCorporativo.htm
Octubre 2008
TECNOLOGÍAS DE ACCESO CELULAR
http://www.yucatan.com.mx/especiales/celular/tecnologiascelulares.asp Agosto 2008
133
TELEFONÍA CELULAR (PARTE 1) http://www.eveliux.com/mx/el-abc-de-la-telefonia-celular-parte1.php Julio 2008
TELEFONÍA CELULAR DIGITAL
ingenierias.uanl.mx/11/pdf/11_Guadalupe_Medina_et_al_Telefonia.pdf
134
GLOSARIO
AMPS
(Advanced Mobile Phone System) Servicio analógico de telefonía móvil usado en EEUU,
America Latina, Nueva Zelanda, Australia y en zonas de Rusia y Asia-Pacífico.
Analógico Forma de procesamiento de la voz que la convierte en señal de radio, utilizando en el
sistema ETACS o TACS. El sistema analógico está sujeto a interferencias, cortes de la
comunicación e interceptaciones.
Ancho de banda Gama de frecuencias disponibles para las señales. Se mide en Hertzios.
ARP
Address Resolution Protocol (protocolo de resolución de direcciones) para la resolución
de direcciones en informática
Autenticacion Es el proceso de verificacion con el cual se asegura que el movil es compatible con
la red inalambrica para el cual esta diseñado. Este proceso esta relacionado intimamente
con el ESN de los equipos, ya que para cada ESN hay un codigo de autenticacion que es
el que se introduce en el movil para posteriormente poderlo activar. Este proceso es
utilizado frecuentemente para prevencion de fraudes.
Bluetooth Tecnología de comunicación inalámbrica que permite la conexión entre diferentes
equipos en un corto alcance (max 10 mts) vía rádio sin necesidad de estar unidos
físicamente.
BPS
(Bits per second) Número de bits transmitidos en un segundo, medida usada para
determinar la velocidad en la transmisión de datos.
Buffers Es un espacio de memoria, en el que se almacenan datos para evitar que el programa o
recurso que los requiere, ya sea hardware o software, se quede en algún momento sin
datos.
Canal
Via o medio por medio de la cual una señal electrica, electromagnetica u optica se dirige
de un punto a otro.
Carrier Es la compañía que se encarga de prestar el servicio de telefonía móvil.
CDMA
(Code División Multiple Access) Técnica digital de acceso múltiple por división de
códigos, usado en las comunicaciones móviles según el estándar US (IS 95) en el
intervalo de frecuencias entre los 800 y los 1.900 MHz.
CDPD
(Cellular Digital Packet Data) Servicio de datos celulares.
Cibernética Es el estudio de las analogías entre los sistemas de control y comunicación de los
seres vivos y los de las máquinas; y en particular, el de las aplicaciones de los
mecanismos de regulación biológica a la tecnología.
Cifrar
Transcribir en guarismos, letras o símbolos, de acuerdo con una clave, un mensaje cuyo
contenido se quiere ocultar.
Clúster Son los conjuntos o conglomerados de computadoras construidos mediante la utilización
de componentes de hardware comunes y que se comportan como si fuesen una única
135
computadora. Hoy en día juegan un papel importante en la solución de problemas de las
ciencias, las ingenierías y del comercio moderno.
CMR
(Cellular Mobile Radio) Radio móvil celular.
COBIT
Control OBjectives for Information and related Technology - Objetivos de Control para
tecnología de la información y relacionada.
CODEC (COmpressor/DECompressor) Chip integrado en todos los terminales GSM que permite
la velocidad y eficiencia en la transmisión de voz. El algoritmo incluido en el chip
aprovecha al máximo la información intercambiada.
COFETEL Comisión Federal de Telecomunicaciones
Conmutar Cambiar una cosa por otra. Cambiar el destino de una señal o corriente eléctrica.
COSO
Committee of Sponsoring Organizations of the Treadway Commission
CRB
Controlador de radio bases
DCS
(Digital Cellular System) Sistema Digital de transmisión y recepción propuesto por el
Reino Unido al Grupo Especial de Móviles (GSM) y aceptado para operar en la banda de
1800 MHz
DES
(Data Encryption Standard) es un algoritmo de cifrado, es decir, un método para cifrar
información, escogido en los Estados Unidos en 1976.
DMA
Direct memory access
DMZ
(Demilitarized Zone). En seguridad informática, una zona desmilitarizada o red perimetral
es una red local que se ubica entre la red interna de una organización y una red externa,
generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red
interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la
DMZ sólo se permitan a la red externa, los equipos (hosts) en la DMZ no pueden
conectar con la red interna.
Downlink enlace de bajada
Eavesdropping termino inglés que traducido al español significa escuchar secretamente, se ha
utilizado tradicionalmente en ámbitos relacionados con la seguridad, como escuchas
telefónicas.
e-banking Se llama e-banking, banca online o home banking a los servicios bancarios a los que se
puede acceder a través de una computadora personal con conexión a la red de internet.
EFR
(Enhanced Full Rate) Codificación de la voz que permite mejorar su calidad, haciendo un
mayor uso de la bateria del terminal. Debe estar disponible en el terminal.
EGLOBAL Comercio Electronico Global
EMS
(Enhanced Messaging Services) Nuevo estándar de mensajería que permite la descarga
y el envío/recepción de mensajes de texto acompañados de melodías, imágenes y
animaciones. Esta promovido por los fabricantes Alcatel, Motorola, SonyEricsson y
Siemens.
136
E-TACS (Extended Total Access Comunications System) Sistema de telefonía celular analógica a
900 MHz, con un aumento en el número de canales que originalmente se utilizaban en el
TACs a 450 MHz. En España Moviline.
ETSI
(European Telecomunications Standars Institute) Organismo responsable de la
normalización de las telecomunicaciones en Europa.
EvDO
De las siglas inglesas Evolution-Data Optimized o Evolution-Data Only, abreviado a
menudo EV, es un estándar de telecomunicaciones para la transmisión inalámbrica de
datos a través de redes de telefonía celular evolucionadas desde IS-95 (cdmaOne).
FDMA
(Frequency Division Multiple Access) Tecnología de accesso múltiple por división de
frecuencias para el interfaz aire, usada en los sistemas analógicos.
FIMPE
Fideicomiso para Extender a la Sociedad los Beneficios del Acceso a la Infraestructura de
Medios de Pago Electrónicos FIMPE. Es un organismo de carácter privado sin fines de
lucro constituido por instituciones bancarias y no bancarias con el fin de promover y
extender los beneficios del acceso a la red de medios de pago electrónicos a empresas
pequeñas y medianas así como fomentar la cultura del uso de dichos medios de pago
tanto entre los establecimientos como entre los consumidores.
Firewall Elemento utilizado en redes de computadoras para controlar las comunicaciones,
permitiéndolas o prohibiéndolas.
FPLMTS (Future Public Land Mobile Telecomunications System) Sistema de comunicaciones
móviles de tercera generación, actualmente denominado IMT-2000.
Gateway es un dispositivo que permite interconectar redes con protocolos y arquitecturas
diferentes a todos los niveles de comunicación. Su propósito es traducir la información del
protocolo utilizado en una red al protocolo usado en la red de destino.
GPRS
(General Packet Radio Service) Servicio general de paquetes vía radio es una extensión
del GSM para la transmisión de datos no conmutada (o por paquetes). Permite
velocidades de transferencia de 56 a 114 kbps.
GSM
(Groupe Special Mobile) El Sistema Global para las Comunicaciones Móviles es un
sistema estándar para la comunicación mediante teléfonos móviles que incorporan
tecnología digital. Por ser digital cualquier cliente de GSM puede conectarse a través de
su teléfono con su ordenador y puede hacer, enviar y recibir mensajes por e-mail, faxes,
navegar por Internet, acceso seguro a la red informática de una compañía (LAN/Intranet),
así como utilizar otras funciones digitales de transmisión de datos, incluyendo el Servicio
de Mensajes Cortos (SMS) o mensajes de texto.
Handoff o Handover Se denomina Handover (también Handoff) al sistema utilizado en
comunicaciones móviles celulares con el objetivo de transferir el servicio de una estación
base a otra cuando la calidad del enlace es insuficiente. Este mecanismo garantiza la
realización del servicio cuando un móvil se traslada a lo largo de su zona de cobertura.
137
Help desk es un conjunto de servicios, que de manera integral bien sea a través de uno o varios
medios de contacto, ofrece la posibilidad de gestionar y solucionar todas las posibles
incidencias, junto con la atención de requerimientos relacionados con las TICS, es decir,
las Tecnologías de Información y Comunicaciones.
HSCSD (High Speed Circuit Switched Data) Sistema de transmisión de datos a alta velocidad
mediante circuitos conmutados, que permite velocidades de transmisión de datos de
hasta 57,6 Kbit/s. Únicamente se activa si lo permite la red.
HTTPS Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de
hipertexto), más conocido por sus siglas HTTPS, es un protocolo de red basado en el
protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir, es
la versión segura de HTTP.
ICCID
(Integrated Circuit Card Identification) Es el numero serial de la SIM CARD, generalmente
tiene 19 0 20 digitos.
IDS
(Intrusion Detection System) El sistema de detección de intrusos, es un programa usado
para detectar accesos no autorizados a un computador o a una red. Estos accesos
pueden ser ataques hackers, o de Script Kiddies que usan herramientas automáticas.
I-MODE i-mode es un servicio Internet móvil, lanzado por NTT DoCoMo el 22 de febrero de 1999,
utiliza la conmutación de paquetes para trasladar los datos desde su red W-CDMA (Wide
band-Code Division Multiple Access) a los usuarios, a una velocidad de descarga de 9,6
kbit por segundo.
ISDN-B (Integrated Services Digital Network-Broadband) Red Digital de Servicios Integrados de
Banda Ancha ( RDSI-BA)
ISO
(International Organization for Standardization) Organización Internacional para la
Estandarización.
ITIL
La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente
abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de
trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de
tecnologías de la información (TI).
ITINERANCIA (Del inglés Roaming) Es la forma de definir la conexión de una línea GSM de un
país con los operadores de otros países que tambien tienen el sistema GSM, sin
necesidad de cambiar el número de teléfono.
ITU
La Unión Internacional de Telecomunicaciones (ITU) es el organismo especializado de
las Naciones Unidas encargado de regular las telecomunicaciones, a nivel internacional,
entre las distintas administraciones y empresas operadoras.
IVR
(Interactive Voice Response), Esta Respuesta de Voz Interactiva. También se utiliza el
término VRU (Voice Response Unit).
IVR
(Interactive Voice Response). Respuesta de Voz Interactiva cZonsiste en un sistema
telefónico que es capaz de recibir una llamada e interactuar con el humano a través de
138
grabaciones de voz. Es un sistema de respuesta interactiva, orientado a entregar y/o
capturar información automatizada a través del teléfono permitiendo el acceso a los
servicios de información y operaciones autorizadas, las 24 horas del día.
Log
Un log es un registro oficial de eventos durante un periodo de tiempo en particular. Para
los profesionales en seguridad informática es usado para registrar datos o información
sobre quién, qué, cuándo, dónde y por qué un evento ocurre para un dispositivo en
particular o aplicación.
MMS
Servicio de Mensajería Multimedia, que combina imágenes, sonido y texto en un mismo
mensaje. Al igual que los mensajes SMS, se puede enviar a cualquier teléfono móvil con
capacidad para leer/enviar MMS. Si el teléfono del destinatario no tiene esta
funcionalidad, recibe un mensaje de texto con un enlace para ver el mensaje multimedia
en Internet.
MTSO
El conmutador se llama Oficina de Conmutación de Telefonía Móvil.
NETLOCK Bloqueo del terminal efectuado por una operadora que invalida el uso de SIM de otras
operadoras.
NFC
Near Field Communication (NFC) es un protocolo basado en una interfaz inalámbrica. La
comunicación se realiza entre dos entidades (peer-to-peer). El protocolo establece
conexión wireless entre las aplicaciones de la red y los dispositivos electrónicos.
NIP
Numero de Identificación Personal
NIST
National Institute of Standards and Technology.
NMT
(Nordisk MobilTelefoni o Nordiska MobilTelefoni-gruppen, Telefonía Móvil Nórdica en
español) es un sistema de telefonía móvil definido por las autoridades de
telecomunicaciones escandinavas.
Outsourcing es el proceso en el cual una firma identifica una porción de su proceso de negocio
que podría ser desempeñada más eficientemente y/o más efectivamente por otra
corporación, la cual es contratada para desarrollar esa porción de negocio. Esto libera a
la primera organización para enfocarse en la parte o función central de su negocio.
PAN
número de la tarjeta del cliente
PCN
(Personal Communications Network) Sistema de telefonía móvil digital a 1800 MHz. Es
ideal para entornos urbanos, ya que proporciona muy buena cobertura en zonas
subterráneas y edificios.
PDA
Personal Digital Assistant (Asistente Digital Personal), es un computador de mano
originalmente diseñado como agenda electrónica (calendario, lista de contactos, bloc de
notas y recordatorios) con un sistema de reconocimiento de escritura.
PDC
Primary Domain Controller
PHS
Personal Handyphon System, Sistema telefónico usado en un principio en Japón por la
compañía NTT DoCoMo con la fianalidad de tener un estándar enfoncado más a la
transferencia de datos que el resto de los estandares 2G.
139
PIM
(Personal Information Management) Sistema avanzado de gestión del organizador del
teléfono móvil. Permite programar el calendario y sincronizarlo con Pc y PDA.
PIN
(Personal Identiffication Number) Código personal de 4 números que nos permite limitar el
acceso a nuestra tarjeta SIM. Totalmente personalizable, e incluso se puede suprimir.
PMR
(Professional Mobile Radio) Radio móvil profesional, antes llamada Private Mobile Radio.
PUK
(Personal Unlock Key) Código de 4 números asociado a la SIM que permite
desbloquearla el acceso. Se facilita con la propia SIM y no se puede variar.
PVV
Pin Verificación Value.
PWD
print working directory, cuya traducción sería imprimir directorio de trabajo.
Roaming Es la forma de definir la conexión de una línea GSM de un país con los operadores de
otros países que tambien tienen el sistema GSM, sin necesidad de cambiar el número de
teléfono.
Router
Ruteador o encaminador es un dispositivo de hardware para interconexión de red de
ordenadores que opera en la capa tres (nivel de red). Este dispositivo permite asegurar el
enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de
datos.
SAR
(Specific Absorption Rate) Nivel de exposición a radiación de un terminal, y expresa la
medida del calor absorbido por los tejidos humanos. El SAR se expresa en la unidad de
medida W/Kg.
SIM
(Subscriber Identifycation Module) Tarjeta usada en GSM que contiene los datos de
identificación del usuario de un teléfono móvil, como su número de teléfono.
SMS
(Short Message Service) El servicio de mensajes cortos es un servicio disponible en los
teléfonos móviles que permite el envío de mensajes cortos, llamados mensajes de texto,
entre teléfonos móviles, teléfonos fijos y otros dispositivos de mano.
Sniffer
Es un programa para monitorizar y analizar el tráfico en una red de computadoras,
detectando los cuellos de botella y problemas que existan. También puede ser utilizado
para "captar", lícitamente o no, los datos que son transmitidos en la red.
Spam
Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente
de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de
alguna o varias maneras al receptor.
Spoofing En términos de seguridad de redes hace referencia al uso de técnicas de suplantación
de identidad generalmente con usos maliciosos o de investigación.
STAND-BY Posición en la que un teléfono móvil se encuentra conectado y en espera de recibir
llamadas, siempre que esté en cobertura
Switch
Es un dispositivo analogico de logica de interconexión de redes de computadoras que
opera en la capa 2 (nivel de enlace de datos) del modelo OSI (Open Systems
Interconnection).
SYNCML Protocolo de sincronización de datos a distancia.
140
TACS
Total Access Communication System
TDMA
El Acceso múltiple por división de tiempo (Time Division Multiple Access o TDMA, del
inglés) es una técnica de multiplexación que distribuye las unidades de información en
ranuras ("slots") alternas de tiempo, proveyendo acceso múltiple a un reducido número
de frecuencias.
TI
Tecnología de la información es un conjunto de servicios, redes, software y dispositivos
que tienen como fin la mejora de la calidad de vida de las personas dentro de un entorno,
y que se integran a un sistema de información interconectado y complementario.
TPV
Es el acrónimo de Terminal punto de venta (en inglés "POS terminal" o "Point of sale
terminal"). Hace referencia al dispositivo y tecnologías que ayudan en la tareas de gestión
de un establecimiento comercial de venta al público.
Trunking Los Sistemas Radio Trunking son sistemas de radiocomunicaciones móviles para
aplicaciones privadas, formando grupos y subgrupos de usuarios
UMTS
(Universal Mobile Telecommunications System) Estándar que se empleará en la llamada
tercera generación de telefonía móvil, que permitirá disponer de banda ancha en telefonía
móvil y transmitir un volumen de datos importante por la red. Con la tercera generación
serán posible las videoconferencias, descargar videos, el intercambio de postales
electrónicas, paseos 'virtuales' por casas en venta, etc... todo desde el móvil.
Uplink
enlace de subida
UPT
(Universal Personal Telecommunications) Iniciativa internacional de comunicaciones
personales de tercera generación.
USSD
Se asocia con el tiempo real o mensajería instantánea del tipo de servicios de telefonía.
No hay capacidad de almacenamiento y retransmisión que es típico de los SMS. El
tiempo de respuesta es más rápido que para los SMS.
VPN
La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnología
de red que permite una extensión de la red local sobre una red pública o no controlada,
como por ejemplo Internet.
WAP
(Wireless Application Protocol) El protocolo de aplicaciones inalámbricas es un estándar
abierto internacional para aplicaciones que utilizan las comunicaciones inalámbricas.
WARC
(World Administrative Radio Conference) Conferencia mundial para la asignación de
frecuencias en el espectro radioeléctrico.
Web Services Un servicio web (en inglés Web service) es un conjunto de protocolos y estándares
que sirven para intercambiar datos entre aplicaciones. Distintas aplicaciones de software
desarrolladas en lenguajes de programación diferentes, y ejecutadas sobre cualquier
plataforma, pueden utilizar los servicios web para intercambiar datos en redes de
ordenadores como Internet.
WIFI
Tecnología que permite comunicar portátiles, PC, computadores de mano y diversos
artilugios electrónicos de forma inalámbrica, y tiene varias aplicaciones. En las empresas,
141
por ejemplo, sirve para que los empleados que entran y salen constantemente
„enganchen‟ fácilmente sus portátiles a la red corporativa, y así puedan utilizar la
conexión a Internet, entrar a la base de datos, consultar la Intranet o enviar documentos a
las impresoras, tal como si estuvieran conectados mediante un cable.
WIMAX Estándar creado por 67 empresas de tecnología, que permite que una zona de hasta 50
kilómetros reciba una señal de radio para acceso a Internet de banda ancha. WiMax,
además, tiene una capacidad de transmisión de datos de hasta 70 megabits por segundo
(Mbps), que es enorme.
WLAN
(Wireless Local Area Network) Es un sistema de comunicación de datos inalámbrico
flexible, utilizado como alternativa a las redes LAN cableadas o como extensión de éstas.
Utiliza tecnología de radiofrecuencia que permite mayor movilidad a los usuarios al
minimizar las conexiones cableadas.
WML
(Wireless Mark-up Language) Lenguaje de programación web simplificado que permite la
lectura a través de terminales con navegador WAP.
WTLS
Protocolo de encriptación y autentificación del servidor para móviles WAP.
142
