ASRock presenta sus nuevos monitores Phantom Gaming de 180 Hz para juegos y creación de contenidos

¿Cuál es la mejor forma de emplear el retiro de la AFP?

Las nuevas características de Amazon Bedrock que hacen que sea más fácil y rápido que nunca crear aplicaciones de IA generativa de forma segura

Roku y Caixun amplían su presencia en América Latina al introducir modelos de TV Roku en Perú

Llega a Perú el vivo V30 SE: dispositivo de alto rendimiento que combina diseño y funcionalidad

Del lente a leyenda: Vive el lanzamiento de la nueva Serie Xiaomi 14 con ópticas Leica y descubre lo que esta línea premium de smartphones trae a Latinoamérica

El Auto Show de China Presenta Nuevo Sistema Automotriz ¿Qué son los vehículos de nueva energía (VNE) y los vehículos inteligentes conectados?

Fortinet informa cómo las organizaciones están utilizando la nube y otros descubrimientos de su reporte de Seguridad en la nube de 2024

Cirion facilita conexiones ininterrumpidas para que los clientes accedan a los servicios de Google

Día de la Tierra: la sostenibilidad es la pieza clave del negocio de Intel a través de su producción, sus productos y su personal

Servicios Digitales ¿Cuáles son los principales rubros que invierten en la digitalización de sus procesos?

Disipando los mitos que impiden que su empresa adopte la IA generativa

En el Día de la Tierra, Xiaomi se une a la iniciativa “HAZla por tu playa” para trabajar por el cuidado de nuestros mares

Coney Park inaugura el parque de diversiones más grande de la zona sur del país en Cusco

Pueblo Libre: historia, cultura y modernidad para vivir

El HONOR Magic6 Pro llega al Perú con las tecnologías de protección ocular más revolucionarias del mercado de smartphones

Auto Show de Beijing: Chery propone un plan de colaboración innovador para la "Nueva Era"

Anuncian segunda edición de la Feria de Soluciones Tecnológicas 2024: IA será el tema central

Cinco consejos para prolongar la vida útil de tu smartphone

Salesforce dialoga con Gabriela Ramos en una nueva edición del ciclo Trailblazers Latinoamericanos

Infinix aterrizó en Perú: conoce los nuevos Note 40 Pro, Hot 40 Pro y Hot 40i

Las estafas más comunes que utilizan a Booking

¿Qué novedades llegan a Perú con las cámaras del HONOR Magic6 Pro este 25 de abril?

Xiaomi y Leica: Así comenzó la alianza entre los dos gigantes de la industria

Xiaomi Fan Festival: fans vivieron una experiencia inolvidable junto a sus influencers favoritos

Estudio de IBM: la sostenibilidad continúa siendo un imperativo empresarial en Latinoamérica, pero los enfoques actuales se quedan cortos

Amazon Web Services reúne a clientes, socios de negocios y expertos en nube para compartir las tendencias del sector en el AWS Cloud Experience de Lima

Motorola anuncia una nueva generación de la familia edge con un diseño impactante y su cámara más sorprendente, potenciada por moto AI

Revive la celebración del Xiaomi Fan Festival 2024

Estas son las claves para atraer la confianza de los inversores extranjeros al país

Estafas habituales relacionadas a préstamos personales y cómo evitarlas

Cuidado con la estafa con criptomonedas que circula por WhatsApp

2024-ICAC
  • Entrevistas
  • En Lima hay una incidencia alta de robo de identidad en la banca electrónica

En Lima hay una incidencia alta de robo de identidad en la banca electrónica


Luis Ampuero Flores
Experto en redes y seguridad electrónica

¿Cuáles son los delitos más frecuentes en la banca electrónica?
En los últimos años el delito más frecuente es el robo de identidad. Suplantar a una persona para hacer uso de todos sus datos. En Lima hay una incidencia alta de robo de identidad. Los bancos pierden millones de dólares al año y no hay ningún banco que se haya salvado de esto. Le roban a través del cajero o por Internet.

¿Cuáles son las modalidades de robo?
Primero preguntémonos en qué consiste robar la identidad de alguien. ¿Quién soy yo para el banco? Para el banco soy Luis Ampuero Flores y tengo el DNI tal, vivo en tal dirección y tengo tales tarjetas. Manejo un password o varios dependiendo de si tengo más tarjetas. Eso soy para el banco. ¿Qué necesito para ser yo electrónicamente? Tener mi nombre, el número de mi tarjeta y mi password. ¿Cómo lo consiguen? De varias maneras. Una es a través de las propias instituciones bancarias. Siempre hay una persona que es descuidada con la información o que tiene un resentimiento con la empresa porque lo han castigado o la van a despedir. También hay gente deshonesta que puede entrar a una institución financiera. Lo curioso es que no sólo pasa uno de estos casos sino todos de manera simultanea.

Y por Internet ¿Qué modalidades de fraude son frecuentes?
Existe una modalidad que es poner una página web falsa del banco. El cliente pone su password y listo ya le robaron su identidad. Luego la página le dice que su password es incorrecto y que vuelva a escribirlo. Hecho esto lo redirecciona a la página verdadera del banco para que no se de cuenta que le han robado su identidad. Desde ese momento para el banco él es usted. A eso le están llamando phishing. También existe otra modalidad llamada pharming En esta ocasión en vez de estar poniendo páginas falsas se van a los servidores DNS y allí le cambian la dirección del banco por minutos, hasta que el banco se de cuenta. Entonces, todos los clientes entran a una página que parece la del banco pero que no lo es.

A la hora de burlar el servidor DNS están burlando un servidor seguro. ¿Es posible eso?
Si y los servidores seguros no son tan seguros como nos imaginamos. Existen herramientas de software para hackearlos. Allí la solución sería utilizar servidores de dominio de un nivel mayor. De la más alta jerarquía. Eso tiene un costo, pero es más seguro. En el Perú la mayoría de los bancos utilizan servidores de dominio de bajo nivel.

¿Por qué los responsables de la seguridad de la banca electrónica mantienen sus servidores DNS en bajo nivel? Si no es seguro.
Es un tema de alternativas. Usted confía que la empresa que le da el servidor de dominio está haciendo su trabajo. La estadística mundial demuestra que eso no es verdad. Que así como usted tiene fallas en su sitio, ellos también las tienen en su servidor de dominio.

¿Pero la seguridad en la banca electrónica sólo pasa por trabajar con servidores DNS de más alto nivel?
No. El tema de seguridad pasa por entender que este no es un problema tecnológico. Es un problema de lógica delictiva que con los años cambia de plataforma tecnológica. Por eso no se soluciona nada comprando sólo productos tecnológicos. Eso no es comprender el problema. Usted no puede sólo proteger con criptografía, porque los delincuentes en vez de romperla van a sobornar al funcionario que tiene la clave. Tampoco con tecnología biométrica, porque los delincuentes van a buscar la manera de sacarle la vuelta. Todo eso tiene un límite.

¿Entonces plantea que la seguridad debe ser entendida como un sistema y no como un conjunto de productos?
Sí. Yo me he negado a salir por televisión hablando de productos, por quieren que lleve uno de estos que lo resuelva todo. El gadget como dicen los gringos. La gente quieren puro gadget. Eso es peligroso porque es llevarlos a pensar que tienen seguridad cuando no la tienen. La seguridad no son productos, es un sistema, que se dividen en procesos los cuales hay que supervisarlo todos los días.

¿Quiénes son los que comprometen más la seguridad de un sistema?
Los que no son informáticos. Hay funcionarios que tienen información que no deberían tener. Ese es un problema. Otro tema es que la gente vive soñando con el gadget de moda. Últimamente mis clientes me hablan de sistemas biométricos. Todas estas cosas funcionan si las sabes usar y las utilizas en el contexto adecuado. Pero si eso lo trasladas a los principales aeropuertos de Estados Unidos, tal como sucedió tras el atentado del once de septiembre, no funciona. El sistema completo es más que sólo poner criptografía, biometría, oleografía, lo que usted quiera. Todos tienen una tasa de error y pueden dar falso positivo o falso negativo.

¿Qué es lo primero que se tiene que hacer para tratar de evitar fraudes electrónicos?
Lo primero que uno tiene que hacer es ver qué cosa tiene que asegurar. Aquellas empresas que dicen que quieren todo al más alto nivel de seguridad se equivocaron de plano. Lo primero que tiene que aprender es qué áreas necesitan seguridad. En nuestro caso qué datos. No son todos los datos, sino unos datos específicos. Tenemos que cuidar quienes tienen acceso a esa información crítica. El único sitio en donde he visto que se clasifica la información es en la Cancillería. Ellos tienen un sistema muy antiguo que le llaman decretar. Cada comunicación tiene determinado el nivel y la clasificación de la información. De esa manera está compartimentada. Eso se debe hacer en las empresas.

¿Eso implica crear un sistema?
Así es. Eso es lo que tienen que entender. No es lo que usted compra. Ya sea un firewall o dos. El firewall es como el vigilante de la puerta. No lo va a dejar entrar por la puerta, pero usted se puede meter por la ventana o por un túnel subterráneo. Como las redes son tan grandes hoy en día siempre es posible encontrar otros accesos.

¿Cómo evitar fraude con participación de los empleados de la propia empresa?
Para evitar el fraude introduzca el elemento de colusión en seguridad y el índice de riesgo bajara muchísimo, porque la mayoría de gente es esencialmente honesta. Lo que pasa es que la tentación es tan grande que a veces cae. Pero digamos usted tiene que decirle a otro vamos a robar y esa es la barrera por la que la colusión es un excelente elemento de control social. La información sensible, la divide en dos claves. La súper sensible en tres claves. Aquellos que quieran aprovecharse tendrán que coludirse. Entonces los honestos permanecerán honestos y los ladrones si no pueden por aquí pues irán por allá. Eso es mejor que comprarse lo último en tecnología. Ojo, no digo que la tecnología no sirva. Yo soy un hombre de tecnología, he trabajado diseñando CPU para IBM en Nueva York. Me encanta la tecnología, pero la tecnología no es una solución en sí.

¿Qué otros sistemas existen para la detección de intrusos en una red?
Hay sistemas para la detección de intrusos que funcionan relativamente bien. Uno de estos utiliza una cosa llamada perfilamento. Hago un perfil del usuario que con el tiempo construye un perfil, pero cuando sale de esos parámetros lo rechaza y comunico que hay posibilidad de un fraude. Pero eso puede generar algunos abusos. Otra opción son estas empresas especializadas en criptografía y seguridad que se encarga de monitorear permanentemente las redes. El tipo instala software y manda una vez al mes un reporte. Una auditoria de seguridad. La empresa le paga mensual y la otra empresa le audita todos los días. Eso resuelve un 80% de los problemas. Porque mira el conjunto total.

¿Cómo pueden los ladrones alcanzar este grado de sofisticación?
Nuestro país no tiene la fortuna de tener empresas que produzcan tecnología como Estados Unidos, Francia, etcétera. La gente que hace routers, que han trabajado en redes en el mundo son millones. Son gente que comenzó a rotar y de repente algunos se quedaron sin trabajo o se molestaron con su empresa y tienen un conocimiento que puede ser peligroso para la seguridad. Esa gente sabe cuáles son las vulnerabilidades de la tecnología. Ellos pueden vender esa información y decirle a alguien como burlar la seguridad. Por ejemplo la gente que hace cajeros automáticos. Siempre en seguridad el punto más débil es la persona. Antes los instrumentos para cometer fraude eran sólo cosa de crackers ahora ya no. Ahora son mafias internacionales que normalmente vienen de Inglaterra y entran a Panamá y luego van bajando hasta Perú.

Perfil Profesional
Luis Ampuero Flores estudió en la Facultad Ingeniería eléctrica y electrónica de la Universidad de Columbia. Ha trabajado en la fabricación de CPUS en IBM y en la instalación de redes para los principales bancos de Nueva York. Es experto en informática y redes. Actualmente se desempeña como catedrático de la Universidad Católica en los niveles de pre grado y post grado.