¿Como aplicar seguridad en el comercio electrónico?

Los sitios de comercio electrónico son un blanco constante para los ciberdelincuentes que buscan aprovecharse de vulnerabilidades existentes. Es por ello, que una startup, mediana o gran empresa que tiene un canal de comercio electrónico deberá de invertir en establecer controles de seguridad informática que reduzcan el riesgo de fuga de información o de manipulación de las transacciones electrónicas.

• Definir una estrategia de seguridad informática o ciberseguridad
• Definir una política y objetivos de ciberseguridad
• Definir responsabilidades:
  • En toda la organización
  • En caso de fraude, definir cuales son las responsabilidades de tu proveedor de pago (Visanet, MC Procesos, Alignet, Unibanca, etc)
• Entender la solución de pago ofertada por tu proveedor y el flujo transaccional
• Identificar todos los activos digitales del comercio electrónico como aplicación Web, base de datos, webservices, solución de pago entre otros)
• Identificar los potenciales riesgos y aplicar por lo menos los siguientes controles:
  • Aplicar cifrado TLS v1.0 o superior en todo el proceso de compra.
  • Pruebas de seguridad en la modalidad de ethical hacking trimestral o anual.
    • Revisar la existencia de vulnerabilidades categorízadas en el OWASP TOP 10 2017
  • Revisión de código seguridad en todo cambio del comercio electrónico.
  • Revisar el proceso del ciclo de vida del software por lo menos una vez al año.
  • Definir tu proceso de gestión de incidentes de seguridad, cuando ocurra un incidente deberás saber quien y como se responderá para contener e investigar el incidente.
  • Definir y probar tu estrategia de respaldo. De manera frecuente respaldar tu información en repositorios seguros.
  • Adquirir un seguro en caso de fraude informático, si es necesario.

Finalmente, Si una organización ya tiene implementado su canal de comercio electrónico deberá de realizar un análisis de brechas más exhaustivo según las mejores practicas para asegurar una solución de comercio electrónico publicado por PCI SSC, reconocida como un estándar de seguridad para aplicaciones de comercio electrónico. Para evaluar la madurez de la seguridad de la aplicación podemos usar el estándar ISO 15504.

Reflexión del incidente de RENIEC y la continuidad de negocio en el sector público peruano

Esta semana muchos usuarios empezaron a reportar fallas en los servicios digitales de RENIEC (Registro Nacional de Identificación y Estado Civil) desde el lunes 9 de Abril 2018 y se han ido restableciendo progresivamente luego de dos días. Inclusive al momento de publicar este artículo no se han recuperado totalmente. Este incidente me hace reflexionar sobre la situación de la gestión de la continuidad de negocio en el sector público peruano.

Primero, muchos funcionarios públicos en nuestro país aún carecen de un enfoque de riesgos, por consiguiente, consideran cualquier inversión de recuperación o contingencia como un gasto y no se asigna presupuesto a la implementación de continuidad de negocio.

Segundo, las estrategias de continuidad no son lo suficientemente adecuadas a los tiempos objetivos de recuperación (RTO) definidos para la organización de acuerdo al daño de imagen de la institución pública.

Tercero, no se hacen revisiones y pruebas razonables sobre la efectividad de los controles y estrategias de continuidad de negocio ante escenarios de interrupción de energía, interrupción de comunicaciones, falla de hardware, ciberataques (denegación de servicio, propagación de ransomware o intrusión de un ciberdelincuente), pandemias entre otros.

Cuarto, control interno no realiza procedimientos de control sobre el sistema de gestión de continuidad de negocio de la institución pública.

Finalmente, considero que debemos fortalecer la cultura de riesgos en nuestras instituciones públicas desde los gerentes públicos hasta los colaboradores más operativos aumentando sus competencias ante una realidad cada vez más digital. Por ello, las instituciones educativas deben forman funcionarios públicos deben incorporar temas como gestión de riesgos, seguridad de la información, ciberseguridad y continuidad de negocio.

La gestión de riesgos en la toma de decisiones

A lo largo de la historia los resultados de toma de decisiones políticas y empresariales afrontan consecuencias positivas o negativas. Algunos ejemplos son: 

• La decisión de PPK de indultar a Alberto Fujimori a solo días de salvarse de la vacancia presidencial en el Perú. Esta decisión política que ha generado hasta ahora consecuencias negativas en su gobierno como la perdida de apoyo de un sector de electores, imagen de un presidente secuestrado y no conseguir el apoyo del fujimorismo para continuar con sus reformas.
• La decisión de Kodak de no apostar oportunamente en la fotografía digital por tener más del 50% de su estructura de ingresos en la fotografía analógica a pesar de tener la tecnología y el material humano necesario.
•  La decisión de SouthWest Airlines de asumir mayor riesgo para aprovechar una oportunidad de negocio sobre un servicio de bajo costo y diferenciado sobre sus competidores. Las variables de valor en las que se enfoco SouthWest fueron: un bajo precio, mayor cantidad de salidas, mejor servicio, vuelos más rápidos, eliminación de tipos de pasajero y disminución de alimentos.

Los procesos de gestión de riesgo basado en la ISO/IEC 31000:2009 abarcan:

• Establecer el contexto: Se necesita comprender el ambiente externo e interno en los que se establece la organización para determinar el alcance, responsabilidades, los criterios de riesgo y factores relevantes. En el contexto externo tenemos aspectos como el político, legal, económico y social que afectan a la organización de manera positiva o negativa. El contexto interno abarca la cultura, procesos, estructura organizacional, sistemas de información y personas. 
• Identificar el riesgo: De acuerdo al contexto establecido, podemos identificar las fuentes de riesgos como amenazas y oportunidades que afrontará la organización en el contexto externo o interno.
• Análisis de riesgo: Implica valorizar el riesgo mediante un método cualitativo o cuantitativo. 
• Evaluación de riesgo: Permite priorizar los riesgos de acuerdo a los criterios de riesgo seleccionado.
• Tratamiento del riesgo: Se selecciona las opciones de tratamiento como: evitar, aumentar, eliminar, modificar, transferir o mantener el riesgo. Cada opción de tratamiento conllevara realizar una serie de actividades que se generarán el plan de tratamiento de riesgo. Cabe resaltar que la opción de aumentar el riesgo se genera cuando se requiere asumir mayor riesgo al apetito de riesgo por una oportunidad de negocio en océanos rojos o azules.
• Comunicación del riesgo: A lo largo de todos los procesos de riesgo se deberá comunicar y consultar a los interesados pertinentes.
• Monitoreo y revisión del riesgo: A lo largo de todos los procesos de riesgo se deberá de revisar el estado del riesgo.

El proceso de toma de decisiones según el modelo racional abarca: 

• Entender el problema
• Identificar al decisor
• Identificar los objetivos de decisión
• Determinar las alternativas de solución
• Selección de alternativas tomando en consideración: los riesgos y beneficios

A continuación desarrollaremos un caso como ejemplo:

4 razones para considerar la billetera electronica como herramienta de marketing para retails en el Perú

La billetera electrónica o móvil, denominada BIM, en el Perú fue lanzada en Febrero del 2016 por ASBANC y consta de 3 fases:

• Fase 1: El primer trimestre del 2016 se implementa el servicio de envío de dinero electrónico entre billeteras y el intercambio de dinero físico a electrónico en los cajeros corresponsales de diversas entidades financieras emisoras de dinero electrónico.
• Fase 2: El tercer trimestre del 2016 las cuentas BIM serán interoperables con las cuentas bancarias y se podrán realizar pagos a comercios como bodegas y otros minoristas.
• Fase 3: El primer trimestre del 2017 las billeteras móviles se integraran con el transporte público, aplicaciones B2B y envíos de dinero internacional.

Actualmente, Según Pagos Digitales Peruanos S.A. existen 130,000 billeteras móviles abiertas y se estima que para el año 2021 se cuenten con 5 millones de billeteras móviles abiertas y se realicen operaciones en 2.5 millones de billeteras.

Este nuevo medio pago genera nuevas oportunidades a las empresas locales, especialmente, a las que necesitan tener presencia en medios tradicionales y online como los retails y buscan ser omnicanales para dar a los consumidores, principalmente, Millenials, diversas alternativas que satisfagan la experiencia de compra.

A continuación enumeramos las principales razones por las cuales un retail debería adoptar la billetera móvil e integrarla a su plan de marketing móvil.

1. Las billeteras móviles ya no son solo medios de pago: A nivel mundial las billeteras móviles han pasado de ser herramientas de pago a plataformas de marketing que atraen a consumidores por la cantidad de ofertas, servicio de geolocalización para ubicar productos, cupones de descuento y programas de fidelización que el minorista puede ofrecer a través de la billetera. (Forrester, 2015)
2. Omnicanalidad de los retails: A medida que aumente el uso de la billetera electrónica en el Perú los retails tendrán que implementar soluciones para cubrir este nuevo medio de pago electrónico que incluya valor a los consumidores para diferenciarse del medio tradicional de pago físico o con tarjeta como evitar colas, autoservicio, ubicación de ofertas y/o mejores precios.
3. Posicionamiento de marca: Los consumidores utilizan su tiempo solo en pocos apps móviles por ello, se espera que la billetera móvil sea una de esas apps especializadas en retail que posicione el producto en la mente del consumidor de acuerdo a la oferta que haga el comercio. (Forrester, 2015)
4. Integración con CRM: Si el consumidor realiza compras con el dinero electrónico el comercio retail obtendrá mayor trazabilidad del consumidor capturando patrones de búsqueda y compra para que se puedan hacer posteriormente ofertas especializadas de acuerdo a la categoría del consumidor.

En conclusión, se espera que el siguiente año (2017) se inicien los primeros esfuerzos por integrar la billetera electrónica al retail no solo como un nuevo medio de pago, sino como un canal que agregue valor y se diferencia del medio tradicional y mejore o consolide el customer journey.

Referencias:

Forrester. (2015). The Future Of Mobile Wallets Lies Beyond Payments. Obtenido de Forrester: https://s3.amazonaws.com/vibes-marketing/Website/Reports_$folder$/Forrester+-+The+Future+of+Mobile+Wallets+Report.pdf

Pagos Digitales Peruanos. (2016). Obtenido de http://pagosdigitalesperuanos.pe/

Cybersecurity Bank & Government 2016 - La investigacion forense digital como herramienta para la lucha contra el fraude y corrupción

La corrupción y el fraude generan perdidas que superan el 5% del PBI del Perú. Las organizaciones públicas o privadas deben implementar controles para contrarrestar los riesgos de corrupción y fraude del personal interno o externo, proveedores e incluso clientes. Ante esta realidad se hace importante la colecta, adquisición, preservación y análisis de la evidencia digital para la ejecución de investigaciones forenses reactivas y preventivas que incluyan datos volátiles y no volátiles preservando una adecuada cadena de custodia. Les dejo mi presentación en el Cybersecurity Bank & Government Perú 2016.

La investigacion forense digital como herramienta para la lucha contra el fraude y corrupción from Raúl Díaz

Una perspectiva de ciberseguridad sobre el escándalo "Panama Papers"

Los papeles de Panamá o “Panama Papers” es considerado como la mayor investigación periodística realizada principalmente por los medios asociados al Consorcio Internacional de Periodismo de Investigación (ICIJ por sus siglas en inglés) sobre el negocio de las offshore o empresas en paraísos fiscales (lugares que gozan de inmunidad tributaria).

Esta noticia había sido siempre una sospecha, sin embargo, hace unos días se ratifica de manera contundente ante el hackeo a la firma Mossack Fonseca con sede en Panamá y que tiene representación en el Perú.  Esta hackeo genero la filtración de 11 millones de documentos que suman un total de 2.6 TB de datos. Estos documentos involucran a políticos, empresarios y artistas de todo el mundo y el Perú no es ajeno, básicamente los comprometidos en este escándalo buscan la evasión tributaria y camuflar su verdadero patrimonio principalmente que genera perdidas millonarias en los países de origen.

El problema de ciberseguridad que tuvo la firma Mossack Fonseca es por contar con una versión vulnerable del plugin “Revolution Slider” de su pagina hecha en WordPress y por otro componte de Drupal. Al ser explotado este plugin puedes tener acceso al archivo de configuración del WordPress llamado “wp-config.php”, en este archivo reside las credenciales de base de datos y del correo asociado.

Desde el punto de vista periodístico y de la noticia es un hecho que permite hacer frente a la lucha contra la corrupción y al fraude, sin embargo, desde el punto de vista legal, especialmente en el Perú, es complicado que puedas correlacionar esta evidencia con los casos de LavaJato, aportes a políticos y compañas. Desde el punto de vista, técnico es muy rico en investigación digital y se podría corroborar que es información integra y fehaciente. Sin embargo, existe un termino común en las investigaciones llamado “cadena de custodia” que consiste en describir como la evidencia digital ha sido gestionada. Si se rompe la cadena de custodia porque se manipulo la evidencia por una persona no autorizada o se extrajo de manera indebida el abogado defensor puede sugerir la eliminación de esa evidencia digital. Ej. “Los petroaudios”

En conclusión, la adecuada gestión de la evidencia digital, el soporte legal adecuado y la implementación de controles internos nos permitirán tener una posición clara ante la lucha contra la corrupción.

Fuente: 

• http://utero.pe/2016/04/05/breve-explicacion-de-que-carajos-pasa-con-los-panama-papers-en-la-politica-peruana-y-cuan-grave-es/
• https://www.wordfence.com/blog/2016/04/panama-papers-wordpress-email-connection/
• https://actualidad.rt.com/actualidad/204269-secreto-hackear-papeles-panama-fonseca
• http://www.theregister.co.uk/2016/04/05/email_server_hack_led_to_mossack_fonseca_leak/

El computo forense como herramienta en la lucha contra la corrupción en el Perú

Hoy en día la corrupción en el Perú es uno de los más grandes problemas en discusión, los expertos afirman que aleja la inversión privada e impacta negativamente nuestra economía. El gran desafío es como implementar un sistema anticorrupción.

En este articulo mostraremos como podemos utilizar el computo forense para la lucha contra la corrupción en entidades publicas. Partiremos definiendo al computo forense como la ciencia que colecta, examina, analiza y documenta la evidencia digital para tomar decisión sobre un evento según la NIST SP800-86. Este evento puede ser un asesinato, robo, fraude, hackeo entre otros delitos. Hoy en día esta ciencia se utiliza a nivel mundial en entidades privadas y publicas para descubrir la causa raíz de incidentes, principalmente, post mortem.