Resumen charla técnica febrero ISACA-CV

La charla impartida el jueves por Fernando Fons estuvo muy interesante y además, la ronda de preguntas fue una de las más animadas que yo recuerde.

El ponente empezó nombrando los distintos tipos de ataques que se dan hoy en día: spam, scam, phishing, troyanos, man in the middle, man in the browser,etc. Hoy en día, el tipo de ataque más frecuente es el phishing, que como medio para el engaño utiliza el envío de correo no solicitado o spam. En la actualidad, de todas las técnicas que se utilizan para intentar averiguar datos de los clientes, un 60% son mediante phishing y un 40% mediante troyanos, se estima que para el año que viene los porcentajes tenderán a igualarse.

Hoy en día el phishing no consigue, al menos en el caso de Bancaja, que los clientes de esta entidad sean defraudados, durante el año pasado se introdujo la autenticación mediante tercer factor, esto es, aparte de solicitar nombre de usuario mas clave de paso, se requiere, sólo en determinadas operaciones (como trasferencias monetarias) el uso de un token temporal que se envía al móvil del usuario y permite que la operación se haga de forma segura.

Pese a todo, este tipo de ataques son un grave problema, para reflejarlo basta con decir un dato, el 98'2% de los correos electrónicos recibidos por los servidores de correo de Bancaja son spam, esta es una cifra enorme y da una idea de la cantidad de recursos económicos que se dedican para intentar solucionar estos problemas, no hay que olvidar que estamos hablando de un banco y por tanto, su negocio no es el de la seguridad informática, esto, junto con el hecho de que los atacantes van siempre por delante hace que en muchas ocasiones se externalice este servicio.

Este tipo de entidades ven con buenos ojos la llegada de marcos regulatorios que puedan facilitar la colaboración entre entidades y unifiquen criterios, por eso, se espera a la salida de una fecha definitiva que les obligue a implantar la LISI (Ley Impulso a la Sociedad de la Información) y así se mejore la situación como pasó con la LOPD en cuanto al tratamiento de datos personales.

Seguro que me dejo muchas cosas pero esto sólo pretende ser un resumen, el mes que viene, probablemente el día 13,  seguiremos con otra charla técnica que anunciaré con antelación y que esperemos sea igual de interesante.