Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Modelos de Ciberseguridad en FinTech Universidad Politécnica de Madrid Escuela Técnica Superior de Ingenieros Informáticos Grado en Matemáticas e Informática Trabajo Fin de Grado Modelos de Ciberseguridad en FinTech Autor: Enrique Santatecla Marijuán Tutora: Ziba Habibi Lashkari Madrid, junio de 2022 Modelos de Ciberseguridad en FinTech Este Trabajo Fin de Grado se ha depositado en la ETSI Informáticos de la Universidad Politécnica de Madrid para su defensa. Trabajo Fin de Grado Grado en Matemáticas e Informática Título: Modelos de Ciberseguridad en FinTech Junio, 2022 Autor: Enrique Santatecla Marijuán Tutor: Ziba Habibi Lashkari Departamento de Ingeniería de la Organización, Administración de Empresas y Estadística. ETSI Informáticos Universidad Politécnica de Madrid I Modelos de Ciberseguridad en FinTech Resumen El presente trabajo expone una investigación exhaustiva del ecosistema de FinTech, desde el punto de vista de ciberseguridad. En primer lugar se realiza un breve análisis del ecosistema de FinTech y las diferentes entidades que lo conforman, así como las relaciones entre dichas entidades. A continuación se exponen las diversas ciberamenazas y vulnerabilidades existentes, se clasifican y se explican los diferentes tipos de orquestadores de ciberataques. Una vez realizado el análisis de las diversas ciberamenazas y vulnerabilidades, se procede a explicar en detalle los diversos mecanismos de ciberseguridad que conforman los modelos, empezando por el modelado de amenazas, siguiendo con los mecanismos de autenticación y control de acceso, y las políticas de resiliencia y mitigación. Dentro de cada mecanismo se explican los diferentes métodos o sistemas más utilizados, y se analizan brevemente sus capacidades y niveles de seguridad, relacionándolo en todo momento con el contexto de tecnologías financieras. Después, se procede a exponer los diferentes modelos de ciberseguridad más utilizados en FinTech a día de hoy, y se definen ciertas características y funcionalidades que todo buen modelo de ciberseguridad debería tener. Dentro de cada modelo se exponen las diversas funcionalidades que implementan, realizándose una explicación de todas y cada una de las funcionalidades. Tras la exposición de los modelos disponibles, se realiza una comparativa de los distintos modelos utilizando una media ponderada simple, comparando el avance de los modelos viendo el número de funcionalidades que implementan después de asignar un peso a cada funcionalidad. A continuación se realiza otra comparativa de los modelos, pero esta vez teniendo en cuenta no solo las funcionalidades sino además las sub-funciones dentro de cada una de ellas. Finalmente, se escogen los dos modelos considerados más avanzados después de realizar la comparativa, y en las conclusiones se propone una posible continuación y mejora del presente trabajo. Por último se realiza un breve análisis del impacto en varios ámbitos, incluyendo una relación con los objetivos de desarrollo sostenible. II Modelos de Ciberseguridad en FinTech Abstract The following paper shows an exhaustive investigation of the FinTech ecosystem from the cyber-security point of view. Firstly, a brief analysis of the FinTech ecosystem is conducted, exposing the several entities that form it as well as the relationships amongst them. After that, the paper explains and classifies the most important cyber-threats and vulnerabilities which are present in the ecosystem. Also, the different cyber-attack orchestrators are explained. After the cyber-threat and vulnerabilities analysis, the paper takes a look into the different cyber-security mechanisms, starting with threat modeling, followed by authentication and access control systems, and finally mitigation and resilience policies. For each mechanism, several different methods and systems are explained and their capabilities and security levels are analyzed, relating them with the context of FinTech when possible. After that, the most important cyber-security frameworks used in FinTech are explained. A generic cyber-security framework is also explained including the main characteristics and functionalities it should implement. For each model the functionalities they implement are shown and explained. After explaining all the available models, a comparison between them is done using a weighted average. The sophistication of each model is determined by the amount of functionalities they implement, after assigning a weight to each functionality. After that a more in depth comparison is done but this time not only functionalities are taken into account, but also sub-functionalities for each functionality. Finally, two models are chosen as the most advanced ones after the comparison, and a future work proposal is made that could improve the current paper. Lastly, a brief impact analysis is explained, including the impact related to the 2030 sustainable development goals. III Modelos de Ciberseguridad en FinTech Tabla de contenido Resumen II Abstract III Tabla de contenido IV 1 Introducción y objetivos 1 1.1 Visión general del ecosistema de tecnologías financieras 1 1.2 Visión general de las políticas de ciberseguridad dentro de FinTech 3 2 Amenazas y vulnerabilidades en FinTech. Mecanismos de ciberseguridad y privacidad 5 2.1 Ciberamenazas, vulnerabilidades y orquestadores 5 2.1.1 Tipologías de ciberamenazas generales 5 2.1.2 Tipos de Ciberatacantes 7 Según su intencionalidad y preparación 7 Según su metodología 8 2.1.2 Tipos de vulnerabilidades genéricas 8 2.2 Modelado de amenazas y mitigación de vulnerabilidades 9 2.2.1 Modelado de amenazas 9 2.2.2 Mitigación de vulnerabilidades 11 2.3 Sistemas de autenticación 12 2.3.1 Autenticación basada en contraseñas 12 2.3.1.1 Contraseña textual 13 2.3.1.2 Contraseña gráfica 13 Reconocimiento 13 Método basado en recreación pura 14 Método basado en recreación con pistas 14 Método basado en mapas 15 2.3.2: Autenticación multifactor 16 2.3.3: Autenticación biométrica 17 2.3.4: Certificado digital 19 2.3.5 Autenticación basada en Tokens y OTPs: 19 2.4 Mecanismos de control de acceso 20 2.4.1: Control de acceso discrecional (DAC) 21 2.4.2: Control de acceso basado en roles (RBAC) 21 2.4.3: Control de acceso obligatorio (MAC) 22 2.5 Política de ciberseguridad y prevención de Fintech 22 IV Modelos de Ciberseguridad en FinTech Establecimiento y uso de un sistema firewall 22 Establecimiento y uso de un sistema antivirus 23 Eliminación de software innecesario 23 Aplicación de actualizaciones y parches 23 2.6 Políticas de resiliencia 23 3 Modelos de ciberseguridad. Comparativa y selección 24 3.1 Análisis de modelos 24 3.1.1 NIST CSF (NIST Cybersecurity Framework) 24 3.1.2 FFIEC DFS (Federal Financial Institutions Examination Council’s Digital Financial Services) 26 3.1.3 CPMI-IOSCO’s Cyber Guidance 27 3.1.4 ECB-CROE 28 3.1.5 FSSCC Cybersecurity Profile 29 3.1.6 CIS 20 Controls 29 3.1.7 Comparación entre los modelos 30 3.1.8 Selección de modelo más avanzado 31 Cálculo de media ponderada para funciones generales 33 Cálculo de media ponderada para funciones en detalle 35 4 Conclusiones y resultados 38 5 Análisis del impacto 40 6 Bibliografía 42 Capítulo 1 42 Capítulo 2 42 Capítulo 3 46 V Modelos de Ciberseguridad en FinTech 1. Introducción y objetivos El presente trabajo se centra en realizar un análisis exhaustivo de los distintos sistemas, técnicas y metodologías de ciberseguridad y privacidad utilizadas en el contexto de FinTech, desde aplicaciones financieras hasta grandes compañías, pasando por empresas emergentes. Los objetivos principales son: ● Realizar un análisis del contexto actual del sector de tecnologías financieras, enfocando la mira en el punto de vista de ciberseguridad y privacidad. ● Analizar las distintas vulnerabilidades y amenazas que sufren las plataformas y compañías de FinTech, así como los mecanismos que se utilizan para mitigar dichas amenazas. ● Analizar cada uno de los mecanismos, dentro delos ámbitos de autenticación, control de acceso, políticas de prevención y resiliencia. ● Realizar una comparativa de los modelos de ciberseguridad disponibles actualmente para FinTech ● Encontrar y exponer vulnerabilidades y carencias dentro de los diversos modelos de ciberseguridad. ● Determinar cuál o cuáles son los modelos más completos y avanzados. ● Proponer mejoras para dicho modelo, en el caso de tener este carencias. 1.1 Visión general del ecosistema de tecnologías financieras El término FinTech (Financial Technology) hace referencia a un gran espectro de operaciones llevadas a cabo por empresas y organizaciones. Dicho espectro de operaciones consiste principalmente en mejoras en la utilización de aplicaciones informáticas e innovaciones tecnológicas para la prestación de servicios financieros y oferta de productos de dicho sector [1], [2]. La utilización de nuevas tecnologías de la información dentro del sector financiero está contemplando un gran crecimiento en los últimos años gracias a una gran inversión de recursos económicos dentro de muchas áreas, como redes telefónicas, big data, sistemas de redes móviles, computación en la nube, etc [2]. El ecosistema de FinTech lo componen cinco elementos principales: ● Las startups o empresas emergentes de FinTech Se trata de compañías emergentes que, citando el artículo [1], están diseñadas para ser una amenaza con el objetivo de retar, y eventualmente dominar los servicios financieros tradicionales gracias a su agilidad, ofreciendo servicios a segmentos que no sean servidos, u ofreciendo un servicio más rápido y/o mejor. Estas compañías suponen los pilares del ecosistema, y son las que más contribuyen a la innovación de este sector. ● Reguladores financieros: 1 Modelos de Ciberseguridad en FinTech El término hace referencia a entidades gubernamentales que crean las diversas políticas económicas y promueven planes de crecimiento para las compañías financieras. Sus principales funciones son la concesión de licencias de servicios financieros, de exenciones fiscales y de requisitos de capital para empresas emergentes de FinTech [2]. ● Clientes financieros: Incluyen individuos y organizaciones los cuales son consumidores de cualquier tipo de servicio financiero. Cuentas de ahorro, inversiones, préstamos, hipotecas, etc. También incluye servicios de equidad proporcionados por el gobierno [2]. ● Instituciones financieras tradicionales: Como su propio nombre indica, hace referencia a instituciones como bancos, compañías de seguros, el mercado de acciones, y las figuras de empresario o socio capitalista. En los últimos años se ha estilado la colaboración de estas instituciones con empresas emergentes de Fintech para poder mejorar su forma de trabajar mediante la adopción de innovaciones y tecnologías aportadas por estas últimas [2]. ● Desarrolladores tecnológicos: Constituyen la parte más técnica del ecosistema. Desarrollan plataformas digitales para Big Data, Criptomonedas, Análisis de datos, Servicios financieros digitales, etc. [2]. Estas plataformas son utilizadas por las empresas emergentes de FinTech para ofrecer sus servicios e innovar. Fig 1.1 2 Modelos de Ciberseguridad en FinTech La gran expansión del uso de FinTech en muchos sectores ha provocado el surgimiento de numerosos retos en la implementación de estas tecnologías, debido a la compleja naturaleza de las mismas. Actualmente, la mayoría de las entidades financieras modernas aplican técnicas informáticas para la gestión de los servicios financieros que ofrecen, por lo que es de gran importancia que las amenazas de ciberseguridad sean resueltas. Es por esto que existen numerosas técnicas y modelos de ciberseguridad que se aplican actualmente para mantener las operaciones financieras lo más seguras posible [4]. 1.2 Visión general de las políticas de ciberseguridad dentro de FinTech Según la investigación realizada en [5], los requisitos principales para preparar una política de ciberseguridad es conocer detalles como: recursos, usuarios, objetivos de negocio, potenciales amenazas, planes de recuperación, planes de continuidad de negocio, y programas de concienciación de seguridad. En el contexto de FinTech, la política de ciberseguridad debe ir de la mano con los objetivos empresariales de la compañía, para que la continuidad del negocio no se vea afectada ni siquiera durante un incidente. Una visión general de las políticas de ciberseguridad en FinTech es la siguiente: Fig 1.2 Durante el desarrollo de este trabajo, se estudiarán los modelos de ciberseguridad más importantes que se utilizan actualmente en FinTech para lidiar con las posibles amenazas, y se estudiarán sus fortalezas y debilidades, así como carencias. Un modelo de ciberseguridad está constituido por una serie de pautas, prácticas y técnicas las cuales tienen el objetivo de establecer una política de ciberseguridad que lidie con las posibles ciberamenazas existentes en el entorno en el que opera una organización. 3 Modelos de Ciberseguridad en FinTech Antes de entrar en detalle con las técnicas de ciberseguridad y privacidad, es importante entender las diferentes tipologías de amenazas a las que se enfrentan las aplicaciones de tecnologías financieras, así como explicar las diversas políticas generales de ciberseguridad que se están utilizando o se podrían utilizar en el futuro en el ecosistema FinTech. 4 Modelos de Ciberseguridad en FinTech 2. Amenazas y vulnerabilidades en FinTech. Mecanismos de ciberseguridad y privacidad El ecosistema FinTech es propenso a ser víctima de un gran abanico de amenazas potenciales. A continuación se explican las amenazas y vulnerabilidades generales. Más adelante en el capítulo, se exponen algunos de los diversos sistemas utilizados actualmente en las políticas de ciberseguridad de FinTech, los cuales son los componentes de los modelos de ciberseguridad que se estudiarán más adelante. 2.1 Ciberamenazas, vulnerabilidades y orquestadores 2.1.1 Tipologías de ciberamenazas generales Existen diversas tipologías de ciberamenazas las cuales pueden afectar a los diversos sistemas utilizados en fintech. Estas amenazas se pueden clasificar en los siguientes tipos: ● Malware: Proveniente del inglés “malicious software,” hace referencia a cualquier tipo de software intrusivo el cual ha sido desarrollado por cibercriminales con el objetivo de dañar equipos u obtener información de forma ilícita [1]. Existen varios tipos de malwares que serán explicados a continuación. ○ Adware: Software malicioso que muestra publicidad de forma invasiva en la pantalla de un dispositivo. Puede aparecer de dos formas: mediante la instalación por parte del usuario de un programa (usualmente programas gratuitos) que contienen un adware, o mediante la instalación de un adware en un dispositivo por parte de un atacante el cual aprovecha vulnerabilidades en la seguridad de un dispositivo [2]. El objetivo final del adware es el beneficio económico mediante terceros de diversas formas (pay-per-click, pay-per-view o pay-per-install). Los Adware también pueden analizar el historial de búsqueda del usuario para vender esta información a terceros con el objetivo de mostrarle publicidad personalizada [2]. ○ Ransomware: Tipología de software malicioso el cual hace inaccesible información o archivos contenidos en el dispositivo o red de dispositivos de un usuario mediante métodos de encriptación con el objetivo de solicitar una compensación económica a cambio de la clave para desencriptar dicha información. ○ Scareware: Software malicioso cuyo objetivo es manipular al usuario para hacer click en determinadas páginas y potencialmente comprar o descargar más software malicioso [3]. 5 Modelos de Ciberseguridad en FinTech ○ Spyware: Programa el cual tiene el objetivo de recopilar y obtener de forma ilícita y discreta información sensible contenida en el equipo en el que se encuentra, con el objetivo de venderla a terceros [12]. ○ Virus troyano: Software malicioso que se hace pasar porprograma legítimo. Pueden tener muchos objetivos, pero el más común es el robo de datos personales o secuestro de equipos informáticos [4]. ○ Virus genérico: Software el cual se replica a sí mismo cambiando otros programas e insertando en ellos su propio código [12]. ○ Gusano: Programa ilícito el cual no requiere un programa hospedador. Se replica a sí mismo y se expande a otros sistemas informáticos a partir del primer equipo infectado [12]. ○ Riskware: Hace referencia a programas legítimos potencialmente peligrosos debido a incompatibilidad de software, vulnerabilidad de seguridad o violaciones legales. No están diseñados con el objetivo de ser maliciosos, pero algunas de sus funciones pueden ser explotadas para dichos fines por ciberdelincuentes para obtener información de forma ilícita, causar interrupciones o directamente secuestrar equipos o redes de equipos [5]. ● Vulnerabilidad zero-day: Hace referencia a una vulnerabilidad de seguridad informática la cual todavía no es conocida por la comunidad de seguridad y que aún no tiene un parche que la solucione. La principal amenaza reside en que, hasta que se lanza dicho parche correctivo y los usuarios lo instalan en sus equipos, los atacantes tienen vía libre para explotar la vulnerabilidad y sacar provecho del fallo de seguridad [6]. ● Data breach: Hace referencia a la intrusión en un sistema con el objetivo de recopilar de forma ilegítima información sensible o confidencial [12]. ● Denegación de servicio (DoS): Es un ataque premeditado lanzado contra un sistema informático, un servidor o una red con el objetivo de interrumpir su funcionamiento y hacer que los servicios no estén disponibles [12]. ● Denegación distribuida de servicio (DDoS): Se trata de un ataque de tipo DoS pero en este caso, el que realiza el ataque es un grupo de máquinas en vez de un único ordenador, como es el caso de un ataque DoS [7]. ● Phishing: Citando a [8], el phishing se refiere al envío de correos electrónicos que tienen la apariencia de proceder de fuentes de confianza (como bancos, compañías de energía etc.) pero que en realidad pretenden manipular al receptor para robar información confidencial. Por eso siempre es recomendable acceder a las páginas web escribiendo la dirección directamente en el navegador. ● Ataques de fuerza bruta: Estos ataques están orientados a la obtención ilícita de contraseñas de autenticación de usuarios . Se trata de probar diferentes opciones de 6 Modelos de Ciberseguridad en FinTech forma usualmente automatizada utilizando un equipo informático y un software especializado hasta dar con la contraseña correcta. Pueden ser de dos tipos [9]: ○ Ataques de diccionario: Tipo de ataque en el que el atacante prueba sistemáticamente todas las palabras de un diccionario (puede estar formado por palabras de texto, números, símbolos, etc.). Este tipo de ataque también se puede utilizar para desencriptar la clave necesaria para desencriptar un archivo encriptado. Estos ataques siguen funcionando a día de hoy porque tanto usuarios como negocios siguen utilizando contraseñas compuestas por palabras ordinarias. Aún así, puede ser efectivo también en sistemas con contraseñas más fuertes, aunque puede llegar a tardar mucho tiempo en dar resultados. Este sistema de ataque no es viable con contraseñas aleatorias con un gran número de caracteres, ya que es virtualmente imposible que un diccionario pueda predecir todas las combinaciones [9]. ○ Ataque de adivinación: En este caso, el atacante prueba contraseñas posibles personalizadas para el usuario objetivo. Este tipo de ataques es fácilmente evitable teniendo contraseñas no relacionables con el usuario (no utilizar fechas, nombres, etc). Sin embargo, sigue dando resultados a día de hoy debido a la falta de complejidad en las contraseñas utilizadas por el público general [9]. 2.1.2 Tipos de Ciberatacantes Los orquestadores de ciberataques se pueden dividir en los siguientes tipos, que se describirán brevemente a continuación: Según su intencionalidad y preparación ● Hacktivistas: Usuarios que realizan ataques con fines políticos o religiosos. Actúan en grupos y colaboran para lanzar ataques coordinados [12]. ● Cibercriminales: Usuarios profesionales que realizan actividades ilícitas y maliciosas en sistemas digitales o redes para extraer información confidencial con fines económicos [12]. ● Personas internas a la organización: Estos atacantes tienen permiso de acceso, lectura, escritura y transferencia de información privada de una institución financiera. Estos usuarios aprovechan los privilegios para cometer actos ilegales [12]. ● Organismos nacionales: Usuarios financiados o pertenecientes a una entidad gubernamental. Profesionales sofisticados cuyos objetivos dependen de las órdenes que reciban de la entidad que los financia [12]. ● Ciber-terroristas: Atacantes cuyo objetivo es provocar errores críticos en las infraestructuras del objetivo. Citando a [10], El ciberterrorismo es una forma de 7 Modelos de Ciberseguridad en FinTech terrorismo en la que los grupos agresores emplean medios digitales para atacar ordenadores, telecomunicaciones e información privada con el objetivo de intimidar o coaccionar a un Gobierno o población. Sus fines pueden ser políticos, sociales o religiosos. Es una amenaza en auge desde finales de los años noventa que crece conforme las sociedades aumentan su dependencia tecnológica. Cualquier fallo, intrusión o ataque en los sistemas informáticos puede causar daños irreparables en infraestructuras básicas de la comunidad, y los terroristas aprovechan esta vulnerabilidad como elemento de presión. Según su metodología ● Atacante pasivo: Puede obtener información transmitida entre cliente y servidor, pero no puede interactuar ni con el cliente ni con el servidor [11]. ● Atacante activo: Este atacante tiene todo el control del canal de comunicación. Además de poder extraer información de los mensajes, el atacante puede modificar, añadir o borrar mensajes en la comunicación entre cliente y servidor [11]. 2.1.2 Tipos de vulnerabilidades genéricas Las tecnologías utilizadas en FinTech también suponen una ventana de vulnerabilidades que pueden ser explotadas por atacantes. Según el artículo [12], estas vulnerabilidades se pueden clasificar como: ● Blanqueo de capital. La mayoría de instituciones financieras pueden ser explotadas para el blanqueo de capital económico, el cual consiste, citando a la Interpol en ocultar o encubrir el origen de beneficios obtenidos ilícitamente, de forma que parezcan provenir de fuentes legítimas [13]. ● Verificación telefónica sin OTP. La verificación con OTP (One Time Password), o contraseña de un solo uso, es un mecanismo de autenticación muy útil que se explicará en profundidad en el capítulo 4. Esta vulnerabilidad hace referencia a la evitación de este proceso [12]. ● Ransomware: Tipo de malware ya explicado en este mismo capítulo [12]. ● Filtrado de información. Hace referencia a la revelación de información sensible a personal no autorizado de forma intencionada o no intencionada [12]. ● Sistemas operativos y aplicaciones carentes de seguridad robusta. Los ciberatacantes se encuentran siempre en busca de oportunidades de aprovechar carencias o vulnerabilidades en la seguridad de los sistemas y aplicaciones. Una brecha de seguridad puede tener efectos muy negativos para cualquier tipo de negocio financiero, y provocar enormes pérdidas económicas e inestabilidad [12]. 8 Modelos de Ciberseguridad en FinTech ● Inyección de malware para robar credenciales. Vulnerabilidad que afecta especialmente a los dispositivos móviles, ya que es muy común su utilización por el público general para realizar operaciones bancarias en plataformas digitales. Los atacantes buscan la manera de introducir software malicioso para obtener credenciales de los usuarios en estas plataformas [12]. ● Auto-guardado de credenciales de inicio de sesión. Son muchos los usuarios que optan por guardar automáticamente sus credenciales de iniciode sesión en buscadores. Estas credenciales pueden ser fácilmente robadas por ciberatacantes, por lo cual es recomendable no guardar las credenciales de plataformas digitales de mucha importancia, especialmente plataformas bancarias o de inversiones [12]. ● Falta de educación en el contexto de ciberseguridad. La falta de conocimiento general en el ámbito de la ciberseguridad es una vulnerabilidad, ya que los usuarios comunes no creen estar en riesgo y tampoco saben cómo reaccionar ante situaciones de vulnerabilidad [12]. ● Incumplimiento de la política de organización. Todas las instituciones financieras tienen su propia política con el objetivo de que se cumplan las reglas y recomendaciones de protección frente a delitos financieros [12]. 2.2 Modelado de amenazas y mitigación de vulnerabilidades 2.2.1 Modelado de amenazas El concepto de modelado de amenazas, citando a [14], es una forma de planificar y optimizar las operaciones de seguridad de la red. Los equipos de seguridad establecen sus objetivos, identifican vulnerabilidades y esbozan planes de defensa para prevenir y remediar las amenazas de ciberseguridad. El modelado de amenazas identifica los tipos de amenazas y agentes que pueden penetrar y causar daños en una plataforma digital o sistema. Se adopta la perspectiva de los intrusos para comprender el daño que pueden sufrir los activos. El modelado de amenazas es realizado por empresas y organizaciones mediante análisis de las arquitecturas del software, el contexto empresarial, y más factores. El objetivo es tener un entendimiento completo de los aspectos más relevantes de su sistema para hallar vulnerabilidades. El modelado de amenazas en fintech sigue una aproximación estructural para identificar, clasificar y analizar ciberamenazas. El objetivo principal es identificar de forma precisa las posibles amenazas que pueden aprovechar vulnerabilidades en la institución de fintech en cuestión, resultando en enormes pérdidas económicas. Para alcanzar este objetivo, el modelado de amenazas trata de reducir las vulnerabilidades y su impacto en la institución de fintech. Puede llevarse a cabo de dos maneras globales: 9 Modelos de Ciberseguridad en FinTech ● Aproximación Proactiva: También llamada defensiva, trata de defender a las instituciones de fintec contra ciberataques. Se basa en un modelo predictivo cuyo objetivo es evitar que ocurran los ataques y alertar con anterioridad para proteger y asegurar los recursos e información. No es posible predecir todas las ciberamenazas en tiempo real. ● Aproximación Reactiva: Su objetivo es proteger frente a adversarial attacks mediante acciones preventivas. Incluye hackeo ético y pruebas de penetración. A continuación se exponen componentes del modelado de amenazas que se utilizan para mejorar las operaciones de seguridad y eficacia [14], y cómo se pueden aplicar estos componentes en el ámbito FinTech: ● Diseño Seguro: Este componente debe comenzar a aplicarse desde el principio del desarrollo de una aplicación o sistema para prevenir e identificar vulnerabilidades. Se debe realizar un análisis del código y pruebas de seguridad durante todas las etapas del desarrollo. Estos errores se pueden buscar mediante el análisis directo del código o de forma dinámica al ejecutar la aplicación. Una vez terminado el desarrollo, antes del lanzamiento, se deben realizar pruebas de implementación para comprobar el nivel de seguridad obtenido [14]. Desde el punto de vista de aplicaciones FinTech, este paso es de vital importancia para asegurar que las aplicaciones financieras desarrolladas y lanzadas al mercado tengan las mínimas vulnerabilidades posibles, ya que una penetración de un intruso en una aplicación que maneje información financiera sensible puede tener graves consecuencias. ● Inteligencia de amenazas: Este componente hace referencia a conocer los distintos tipos de vulnerabilidades y amenazas existentes, y tener dicha información constantemente actualizada para estar preparados ante nuevos tipos de ataques [14]. Es de vital importancia que las compañías proveedoras de aplicaciones FinTech estén siempre al corriente de los tipos de ciberamenazas existentes y los que van surgiendo día a día para actualizar la seguridad de sus plataformas y aplicaciones. ● Identificación de activos: El componente hace referencia a la constante monitorización y documentación de todos los activos de software y hardware del sistema de la compañía. Según [14], si no existe un seguimiento y documentación, pueden haber fallos técnicos no identificados. En las compañías de FinTech, tanto emergentes como grandes financieras, es de vital importancia mantener una monitorización constante, ya que pueden existir equipos de terceros que accedan a las redes de la compañía sin consentimiento. ● Capacidades de mitigación: Grado de capacidad de un equipo de ciberseguridad para hacer frente a ciberataques a medida que surgen. En una compañía FinTech, se debe conocer las capacidades de la empresa (tanto si es grande como pequeña) para hacer frente a ciberataques de tipo malware, data breach, DDoS, etc. y de esta forma poder actuar en consecuencia. Por ejemplo, si una pequeña startup de FinTech, sin departamento de seguridad, recibe un ataque profesional que extrae su información 10 Modelos de Ciberseguridad en FinTech sensible, deben ser conscientes de que no pueden hacer frente a este ataque por sí mismos, y deben recurrir a subcontratar una empresa especializada en resolver este tipo de ciberataques [14]. ● Evaluación de riesgos: Una vez una aplicación se considera segura, las compañías evalúan el riesgo general de sus componentes informáticos (equipos, redes de sistemas, servidores, etc.) [14]. ● Mapeo y modelado: Consiste en creación de flujos de trabajo visuales así como planes de operaciones de seguridad [14]. Se proponen enfoques desde múltiples ángulos y requiere una planificación detallada de todos los tipos de amenazas a las que la compañía puede estar expuesta. En la práctica, la correcta implementación de este elemento agilizará y fomentará las sinergias entre los elementos anteriores, propiciando una detección, mitigación, análisis y resolución más eficaz de las amenazas. La aplicación del modelado de amenazas puede tener muchas ventajas para las compañías de FinTech, tanto pequeñas como grandes empresas, así como proveedores de tecnología: ● Se detectan vulnerabilidades y problemas en las primeras etapas del desarrollo de un software, y se detectan fallos que no son detectables en los métodos tradicionales de testing así como en las revisiones de código [14]. ● Se evalúan nuevas formas de ataque, incluso prediciendo posibles amenazas zero-day [14]. ● Mejor identificación de requisitos de seguridad, así como reparación de problemas antes de lanzamiento del software, lo que evita tener que volver a desarrollarlo [14]. ● Comprender mediante el modelado, las motivaciones, habilidades y capacidades de los potenciales ciberatacantes, lo cual ayuda a una preparación de una defensa más efectiva ante posibles ataques [14]. 2.2.2 Mitigación de vulnerabilidades Para mitigar las vulnerabilidades, las instituciones de FinTech tienen una política diseñada para implementar regulaciones genéricas para evitar ser víctimas de las vulnerabilidades. Algunas de las principales vulnerabilidades, de acuerdo con la investigación de [12], son: ● Instrucción de los usuarios en temas de informática. Consiste en educar al usuario para que sea conocedor de las distintas ciberamenazas ya descritas previamente [12]. ● Interacción en redes sociales. Los usuarios deben ser conscientes del peligro que supone revelar información profesional en las redes sociales [12]. 11 Modelos de Ciberseguridad en FinTech ● Revisión de antecedentes. Las compañías de FinTech deben ser cuidadosas a la hora de contratar nuevos empleados, o relacionarse con nuevos socios de negocios, y realizar investigaciones de antecedentes criminales, laborales o educativos para saber si es conveniente entablaruna relación con dichas personas [12]. ● Complejidad de métodos de autenticación de usuarios [12]. ● Utilización de dispositivos de almacenamiento extraíbles. Los empleados de instituciones financieras deben ser cuidadosos a la hora de utilizar discos duros extraíbles en el entorno laboral, ya que pueden contener malware y pueden poner en peligro la integridad de los sistemas de la institución [12]. ● Links en correos electrónicos. Los empleados deben conocer los peligros del phishing y abrir correos electrónicos externos. Muchas empresas ofrecen cursos cortos a sus empleados en los que se explica claramente cuándo es seguro y cuándo no abrir un link recibido en un email [12]. ● Registro de acceso a ficheros. La comprobación de registros de accesos a ficheros con información sensible es una forma de mitigar vulnerabilidades para las compañías de FinTech [12]. 2.3 Sistemas de autenticación El proceso de validar la identidad de un usuario se denomina autenticación de usuario. Para realizar una autenticación, el sistema pide al usuario información adicional, que puede ser de varios tipos, para que dicho usuario pueda demostrar que se trata de él. La forma más tradicional de autenticación de usuarios en aplicaciones de FinTech y en aplicaciones en general es la contraseña basada en texto. No obstante, a día de hoy se está empezando a extender el uso de mecanismo de autenticación más sofisticados, variados y seguros que veremos a continuación [15]. 2.3.1 Autenticación basada en contraseñas Las contraseñas son el método de autenticación más común. Su complejidad puede variar enormemente según el tipo de contraseña. Las contraseñas a día de hoy no solo se quedan en texto, sino que han surgido nuevas tendencias de contraseñas gráficas que son más fáciles de recordar para los usuarios, además de aumentar la dificultad de que sean robadas por un cibercriminal. Estas contraseñas gráficas han surgido de numerosos estudios que han demostrado que los humanos tienen mejores capacidades de memoria cuando se trata de imágenes en contraposición a cadenas de texto [17]. Los principales motivos por los que han surgido nuevos tipos de contraseñas es que normalmente las aplicaciones digitales financieras contienen mucha información sensible, por lo que los usuarios tienden a utilizar contraseñas distintas y complejas para cada aplicación. El 12 Modelos de Ciberseguridad en FinTech problema radica en que recordar muchas contraseñas en muchas ocasiones no es factible, y puede ocasionar confusiones en los usuarios o forzarlos a escribir dichas contraseñas en algún lugar específico, lo cual supone una vulnerabilidad en sí mismo [15,16]. En general, la seguridad de una contraseña se puede medir Antes de continuar se definen algunos conceptos: ● Password space: Hace referencia al conjunto total de contraseñas que se pueden crear a partir de un alfabeto, o cantidad de caracteres para una longitud máxima dada. [15] ● Ataques de diccionario: Tipo de ataque en el que el atacante utiliza un diccionario de texto común o contraseñas gráficas. En cuanto al diccionario de texto, se crea una colección de palabras comunes utilizadas en contraseñas, mientras que en el diccionario de contraseñas gráficas, se crea una colección de puntos de selección más populares de una imágen. Una vez creado el diccionario, se prueban distintas palabras de este hasta dar con la contraseña correcta. [16] ● Ataque de adivinación: En este caso, el atacante prueba contraseñas posibles basadas en el usuario objetivo. Este tipo de ataques es fácilmente evitable utilizando contraseñas que no se puedan relacionar de ninguna manera con el usuario (no utilizar fechas, nombres, utilizar aleatoriedad, etc). [15] ● Shoulder-surfing: Consiste en, como dice la expresión anglosajona, “mirar por encima del hombro” para obtener de forma ilícita la contraseña de un usuario. [17] Como se verá en el análisis que sigue, cualquier tipo de contraseña puede tener una seguridad mayor o menor dependiendo de su complejidad individual. Sin embargo, de acuerdo con [17] las contraseñas gráficas por lo general son más fáciles de recordar y manejar para la población general, ya que su memorabilidad es superior a las textuales. 2.3.1.1 Contraseña textual Las contraseñas textuales tradicionales se basan en una secuencia de caracteres que pueden incluir números, letras, símbolos y caracteres especiales. A medida que se aumentan los tipos de elementos textuales de la contraseña aumenta la complejidad de esta, y por ende, la dificultad de ser obtenida de forma ilícita por un cibercriminal [17]. Es por esto que la complejidad de una contraseña es directamente proporcional a su seguridad. Si un usuario va a optar por utilizar este tipo de método de autenticación es importante que sepa cómo crear una contraseña lo suficientemente segura, teniendo en cuenta también que debe ser capaz de recordarla o almacenarla en algún lugar seguro [17]. Las combinaciones de contraseñas textuales se tratan concretamente de permutaciones con repetición, ya que tenemos N posibilidades para el primer carácter de la contraseña, N posibilidades para el segundo, y así sucesivamente. La cantidad de contraseñas que tiene que procesar un ordenador atacante es (siendo este número el password space), siendo N el número de símbolos que componen la contraseña y k, la longitud de la misma [44]. 13 Modelos de Ciberseguridad en FinTech 2.3.1.2 Contraseña gráfica Las contraseñas gráficas se pueden dividir en diversas tipologías: ● Reconocimiento Las contraseñas gráficas de este tipo se basan en un proceso de selección de imágenes. Un ejemplo es la aplicación de PassFaces [18], la cual consiste en solicitar al usuario que reconozca una serie de rostros humanos durante el proceso de autenticar su identidad [17]. De acuerdo con [45], este sistema y otros similares alcanzan un password space de , siendo N la cantidad de imágenes del repositorio y k la!!( − )! cantidad de imágenes que escogemos, ya que se trataría de combinaciones sin repetición. Otro ejemplo es el sistema story, el cual solicita al usuario que reconozca una serie de imágenes de un set dado por el sistema y las coloque en un orden específico [19]. Dado que ahora existe un orden, se trata de permutaciones sin repetición [44]. El password space de este sistema y otros similares es , donde N vuelve a ser la cantidad de!( − )! imágenes del repositorio y k la cantidad de imágenes que escogemos en la secuencia correcta. ● Método basado en recreación pura Esta metodología de autenticación solicita al usuario que realice un dibujo como método de autenticación, sin que el sistema le dé ninguna indicación ni pista a la hora de autenticarse [17]. El ejemplo más utilizado de este tipo de contraseñas es el método DAS, el cual solicita al usuario que realice su dibujo de autenticación en una cuadrícula. Estos sistemas son muy resistentes a ataques de diccionario, ya que para una aplicación simular un input de ratón humano es más complicado que simular un input de teclado [45]. Otro ejemplo típico de este tipo de contraseñas es el denominado Pass-Go, el cual consiste en que el usuario seleccione intersecciones en una cuadrícula. A partir de esta metodología surgió el conocido método de patrones para el desbloqueo de dispositivos móviles [17]. De acuerdo con [45], estos sistemas por lo general tienen un password space de .!( − )! ● Método basado en recreación con pistas Este tipo de contraseña gráfica solicita a los usuarios que seleccionen una secuencia de puntos en una imágen como su contraseña propia de autenticación. 14 Modelos de Ciberseguridad en FinTech El sistema PassPoints consiste en que el usuario recuerde una secuencia de cinco puntos como su contraseña [20]. Persuasive Cued Click-Points (PCCP) es otro sistema que consiste en que el usuario seleccione un punto determinado en cada una de las imágenes de una secuencia. Para mejorar la seguridad de este tipo de contraseñas, se comenzaron a desarrollar metodologías híbridas,en las que el usuario debía dibujar ciertos patrones en una cuadrícula y además seleccionar ciertos puntos en imágenes [20]. El sistema híbrido TMGMap, propuesto por Meng y Liu, proponía un innovador sistema que introducía un mapa en el cual los usuarios dibujaban su contraseña. Este método fue creado para teléfonos móviles inteligentes en los cuales el usuario insertaba este dibujo mediante la pantalla táctil. Otro sistema híbrido similar es CPMap, en el cual el usuario debe seleccionar un lugar en un mapa mundial y, tras eso, un punto o dibujo en una imágen asociada con el lugar seleccionado en el mapa previamente [21]. ● Método basado en mapas Las contraseñas gráficas basadas en mapas comenzaron a surgir a partir de las contraseñas gráficas basadas en recreación con pistas. Una de las primeras ideas surgió en [22]. Pero el primer sistema fue creado por [23], el cual se basa en presentar a los usuarios con una imágen de un mapa de los Estados Unidos, y se les solicitaba que seleccionaran un punto de destino como su contraseña, pudiendo utilizar las funciones de zoom que se utilizan en plataformas como google maps. A partir de esta idea, surgieron numerosas variantes de contraseñas gráficas basadas en mapas, las cuales de forma general tienen un password space de [45].!( − )! ○ Sistema NAVI: Este sistema de autenticación requiere que el usuario introduzca como contraseña una ruta en un mapa predeterminado [24]. ○ Sistema PassMap: En esta metodología la contraseña consiste en una secuencia de dos puntos seleccionados en un mapamundi. Un estudio realizado demostró que este tipo de contraseñas son muy sencillas de recordar [25]. ○ Sistema GeoPass: Este método se basa en una autenticación realizada en un mapa digital, en la cual el usuario selecciona un lugar concreto como su contraseña. En un estudio realizado, se demostró que el 97% de los usuarios eran capaces de recordar su contraseña pasados 8-9 días [26]. ○ Sistema GeoPassNotes: 15 Modelos de Ciberseguridad en FinTech Basado en GeoPass, este sistema añade otro paso a la autenticación, solicitando a los usuarios que seleccionen una nota asociada a la localización escogida en el paso anterior [17]. ○ Sistema Routemap: Esta alternativa, denominada Routemap, consiste en que el usuario escoja una zona de un mapa del mundo, y dentro de esa imágen de fondo dibujen una ruta que actúe como su contraseña. El usuario también puede decidir si quiere que esta imágen de fondo sea con visión satelital o sin ella [17]. En cuanto a la ruta creada por los usuarios, únicamente puede estar formada por líneas rectas, para mejorar la usabilidad. Para mejorar la memorabilidad, es conveniente que los usuarios utilicen rutas conocidas como sus contraseñas, aunque esto último puede ser un arma de doble filo ya que un posible ciberatacante puede descartar un gran número de posibles combinaciones basándose en esta información [17]. De acuerdo con [17], este sistema tiene un password space de al menos .!( − )! 2.3.2: Autenticación multifactor Citando a [27], una autenticación multifactor se puede definir de la siguiente manera: La confianza de la autenticación aumenta exponencialmente cuando más factores se ven envueltos en el proceso de verificación. Cuando una infraestructura de seguridad hace uso de dos o más categorías de mecanismos de autenticación para aumentar la seguridad, hablamos de Autenticación Fuerte o Autenticación Multifactor. Es importante anotar que cuando hablamos de implementación multifactor, hablamos de implementar más de uno de los siguientes factores relacionados con las metodologías de autenticación: ● Factor de conocimiento. Hace referencia a algo que el usuario sabe o conoce. Por ejemplo, una contraseña, un nombre de usuario, etc [27]. ● Factor inherente. Hace referencia a algo que el usuario tiene. Por ejemplo, una tarjeta de crédito o una tarjeta inteligente. [27] Este factor ha existido durante bastante tiempo, y se ha utilizado en conjunto con el factor de conocimiento. La combinación de tarjeta de crédito (factor inherente) y pin secreto (factor de conocimiento), es utilizada en el ámbito de las transacciones económicas por prácticamente toda la población del primer mundo. Otra combinación muy utilizada más reciente, especialmente en el ámbito digital de FinTech (plataformas bancarias digitales, plataformas de inversión, etc.), es la combinación de contraseña (factor de conocimiento), con un token. Citando a (William Mougayar, the business blockchain), un token es una unidad de valor que una organización crea para gobernar su modelo de negocio y dar más poder a sus usuarios para interactuar con sus productos, al tiempo que facilita la distribución y reparto de beneficios entre todos sus accionistas [27]. 16 Modelos de Ciberseguridad en FinTech ● Factor de posesión. Algo que el usuario es. Generalmente hace referencia a la autenticación biométrica, la cual permite que una característica física única de un usuario sea analizada por un sistema automatizado que verifique su identidad o realice una identificación [28]. Existen muchas técnicas de autenticación biométrica, las cuales incluyen, pero no están limitados a reconocimiento de huella dactilar, reconocimiento facial, reconocimiento por voz, reconocimiento de caligrafía, geometría de mano y dedos, escáner de retina, escáner de iris. Este factor biométrico es usualmente utilizado en conjunto con los factores de conocimiento y el inherente, como tercer factor de autenticación [27]. ● Factor social. Este en concreto ha comenzado a considerarse recientemente. Se podría explicar como alguien a quien el usuario conoce o alguien que reconoce al usuario. En el ámbito digital, este factor social consiste en la verificación de la identidad del usuario mediante una llamada telefónica, mensaje de texto o email. Una implementación de este sistema es mediante un sistema de usuarios garantizadores. El mecanismo de autenticación se aplica en un grupo de usuario donde uno de ellos tiene, por así decirlo, los derechos o el estatus de autenticar a los demás en caso de emergencia, en caso de que uno de los otros usuarios no pueda utilizar su autenticador por algún motivo [27]. Una autenticación multifactor real debe tomar más de uno de estos factores mencionados. Por ejemplo, requerir al usuario responder una pregunta de seguridad tras introducir sus credenciales no se puede considerar autenticación multifactor, ya que tanto los credenciales como la pregunta de seguridad entrarían dentro del factor de conocimiento. Añadir una contraseña gráfica de reconocimiento a un sistema de contraseña tradicional textual tampoco contaría como un sistema de autenticación multifactor, ya que, de nuevo, ambos mecanismos son factores de conocimiento del usuario [28]. La forma más usual de utilizar esta combinación es mediante la autenticación SCPAP (Smart-Card-based Password Authentication Protocol). También es aplicable a tokens, y no solo a tarjetas inteligentes [30]. Un sistema como este es capaz de resistir a atacantes que posean la contraseña y no la tarjeta inteligente, o atacantes que posean la tarjeta inteligente y no conozcan la contraseña [31]. En [31], se propone un sistema de autenticación de 3 factores satisface todos los requerimientos de seguridad de un mecanismo de autenticación de tres factores, y además tiene propiedades que mejoran su usabilidad y seguridad. La propuesta de [31] sería una sólida opción de combinación de factores de autenticación, siendo los factores conocimiento, inherente y de posesión (datos biométricos aplicando un extractor borroso) para un sistema de una empresa FinTech, en el cual se trata información muy sensible. El hecho de que se aplique un extractor borroso a la hora de obtener un secreto a partir de datos biométricos hacen que este sistema sea resistente a un atacante que posea tanto la contraseña, como la tarjeta inteligente y además los datos biométricos, ya que estos últimos se obtienen a partir de un extractor borroso. Esto lo convierte en una opciónmucho más segura que 17 Modelos de Ciberseguridad en FinTech el resto de sistemas de autenticación multifactor de tres factores, los cuales serían capaces de resistir a un atacante que sea poseedor de dos de los tres factores, pero no a un atacante que sea poseedor de los tres. Este sistema se expone en detalle en [31]. 2.3.3: Autenticación biométrica Las tipologías más utilizadas son las siguientes: ● Reconocimiento de huella dactilar: Consiste en la validación de la identidad de un usuario mediante la comparación de la huella dactilar que se introduce como input durante el proceso de verificación, y la huella dactilar que se encuentra en el sistema que se introdujo en el momento de realizar el protocolo de registro [27] [32]. De acuerdo con [32], este mecanismo de autenticación no se considera lo suficientemente seguro en el contexto de utilización de aplicaciones de finanzas por el público en general, ya que los sensores de los dispositivos móviles no son lo suficientemente sofisticados. ● Reconocimiento facial: El reconocimiento facial funciona capturando una imágen como input de una cámara. Esta captura se realiza de forma bidimensional o tridimensional, dependiendo de las características del dispositivo. En este proceso de autenticación, se compara la información relevante del input con una foto o vídeo contenida en la base de datos del servidor de autenticación [33], [27]. De acuerdo con [33], este mecanismo de autenticación es una opción bastante sólida gracias al uso de inteligencia artificial, además de ser de fácil acceso. ● Reconocimiento por voz: El reconocimiento por voz consiste en analizar grabaciones de voz dividiéndolas en segmentos de frecuencias y utilizar la información de estas frecuencias para realizar la autenticación. Se analizan dos tipo de características de la voz [32]: ○ Fisiológicas: Como el tono, la entonación y el volúmen ○ Comportamiento: Inflexiones en la voz originadas por acentos, dialectos o idiosincrasia. De acuerdo con [32], la seguridad de este mecanismo es insuficiente, debido a la gran cantidad de formas de falsear la información biométrica de este tipo. ● Reconocimiento de iris: Este sofisticado método de autenticación procesa imágenes del iris del usuario y lo compara con los datos biométricos contenidos en la base de datos. Para realizar esta comparación, se codifica cada imágen de retina como una cadena de 2048 bits o 256 bytes. A continuación se realiza una comparación bit por bit, y se calcula la distancia de Hamming entre el input y la información de la base de datos. La distancia de Hamming en este caso entre dos códigos de iris se define como la cantidad de XORs entre bits individuales. En el caso de que el iris del usuario a identificar sea el 18 Modelos de Ciberseguridad en FinTech mismo que el contenido en la base de datos, esta distancia de Hamming se aproxima a cero [34]. Este tipo de reconocimiento cuenta con la mayor seguridad dentro de los sistemas biométricos [34], ya que por la complejidad de la textura del iris es virtualmente imposible que dos humanos tengan un iris idéntico. Sin embargo, hay factores externos como la iluminación del ambiente que pueden favorecer los errores de autenticación. ● Reconocimiento de retina: Similar al anterior, este sofisticado método de autenticación procesa imágenes de la retina del usuario y lo compara con los datos biométricos contenidos en la base de datos. La imágen de la retina se procesa como una cadena de 96 bytes los cuales se comparan para determinar si el input corresponde o no con la información de la base de datos. Sin embargo, ha habido menos investigación de este método de autenticación en contraposición al anterior [34]. Otras opciones menos utilizadas son los análisis de estructura de la mano, análisis grafológicos o análisis mecanográfico. 2.3.4: Certificado digital Este mecanismo de autenticación utiliza un certificado digital para identificar a un usuario, sistema o dispositivo. Se suele utilizar en combinación con el método de autenticación por contraseñas. La principal diferencia entre este tipo de mecanismo de autenticación y el resto, es que este puede ser utilizado no sólo por usuarios, sino además por dispositivos y sistemas [34]. Gracias a la popularidad de este mecanismo de autenticación, la mayoría de organismos que ofrecen certificados digitales cuentan con herramientas en la nube que facilitan la labor de las compañías para crear certificados y otorgarlos a sus empleados, renovar certificados, o revocar dichos certificados [34]. De acuerdo con [35], hay 4 tipos de certificados: ● Certificados firmados por uno mismo. Estos se emplean cuando no es necesario que ninguna entidad o autoridad de certificados asegure la autenticidad del certificado. Son muy sencillos de crear, pero obviamente no tienen prácticamente ninguna validez desde el punto de vista de seguridad. ● Certificados firmados. Son los que se utilizan y verifican a uno, y solo un usuario. Deben ser firmados por una autoridad de certificados. Es por esto que se puede validar su identidad y su seguridad es alta. ● Certificados de autoridad de certificados. Son los que utilizan las autoridades de certificados. Los firman ellos mismos, y se utilizan para certificar otros certificados.. 19 Modelos de Ciberseguridad en FinTech ● Certificados no firmados. No están validados por ninguna autoridad y tampoco están firmados por el propio usuario. Están en desuso, ya que su nivel de seguridad y utilidad es nulo. 2.3.5 Autenticación basada en Tokens y OTPs: Se entiende por token de autenticación un dispositivo de confianza que, en este contexto de FinTech, se utiliza para realizar la autenticación del usuario en cualquier tipo de plataforma o aplicación de fintech. Citando a [36] , se puede entender como una llave electrónica que permite a un usuario autenticarse y verificar su identidad mediante el guardado de algún tipo de información personal. Todos los tokens de autenticación contienen información creada por el servidor que se utiliza para validar la identidad de un usuario particular. Para conseguir el usuario un token, debe registrar dicho token con su cuenta. Una vez se realiza este proceso, se considera que el token es un dispositivo de confianza. El protocolo de autenticación tendrá éxito si el usuario puede demostrar al servidor que él es el usuario legítimo gracias al token de seguridad. Los tokens pueden ser hardware (tarjetas inteligentes, dispositivos USB, etc.) o software [37]. El concepto OTP (One Time Password) o contraseña de un solo uso, hace referencia al uso de un token en conjunto con el tradicional sistema de usuario-contraseña. Se trataría de un mecanismo de autenticación de dos factores. Esta contraseña de un solo uso es válida para un único inicio de sesión. El hecho de que la contraseña cambie cada vez que el usuario inicie sesión, supone una mejora sustancial de la seguridad en comparación a una contraseña estable. Las OTPs no son susceptibles a ciberataques en los cuales un intruso consigue grabar el input de esta contraseña, ya que una vez utilizada la primera vez por el usuario lícito, dejará de ser válida [39]. También desde el punto de vista de seguridad, el hecho de que las contraseñas sean generadas por un sistema informático implica que se puede utilizar aleatoriedad en la generación de estas contraseñas, de forma que es prácticamente imposible predecir nuevas OTPs a partir de antiguas. Existen numerosos algoritmos de generación de OTPs. Algunos ejemplos de las metodologías utilizadas por los sistemas de autenticación a partir de OTPs son: ● Generación sincronizada temporalmente entre el servidor y el cliente. ● Generación de una OTP basada en la anterior, utilizando un algoritmo matemático. ● OTPs de pregunta de seguridad. El usuario deberá responder a una pregunta de seguridad. Un ejemplo es que el sistema muestra un número aleatorio al usuario, y el usuario debe introducir dicho número en el token, el cual genera una contraseña de un solo uso aplicandoun algoritmo matemático determinado a dicho número. Este proceso funciona porque el servidor de autenticación utilizará ese mismo algoritmo matemático. Si las contraseñas coinciden, la verificación tendrá éxito [39]. 20 Modelos de Ciberseguridad en FinTech 2.4 Mecanismos de control de acceso El concepto de control de acceso, como su propio nombre indica, dentro del ámbito de la ciberseguridad hace referencia a la gestión de acceso que tiene un usuario a los diversos recursos del sistema una vez se ha autenticado y validado su identidad (Capítulo 4 para concepto de autenticación), y por tanto, le ha sido otorgado acceso al sistema. La principal utilidad del control de acceso es identificar a un usuario, y autorizar a dicho usuario para que acceda a un recurso o información específica según la tarea requerida. Estos controles se utilizan para proteger información y recursos de accesos no autorizados, y también para asegurar que los usuarios acceden a estos recursos utilizando métodos seguros y previamente aprobados por la compañía [38]. Los controles de acceso pueden ser físicos (una cerradura en una sala de documentos es un control de acceso), o digitales, que es en los cuales se centrará el análisis. Además de lo mencionado, sirve para definir relaciones entre diferentes entidades [39]. Según su función, se pueden clasificar en tres categorías genéricas ● Controles de acceso preventivos: Como su nombre indica, previenen los accesos no autorizados. Por ejemplo, que un recurso digital de un sistema de una compañía FinTech tenga el acceso restringido mediante un software que cierre el recurso [39]. ● Controles de acceso detectivos: Su función es identificar accesos no deseados o no autorizados. Estos registros entran en juego cuando la actividad ya ha ocurrido. Por ejemplo, mantener un registro de acceso a los recursos digitales [39]. ● Controles de acceso correctivos: Este tipo de controles modifican el sistema para que vuelva a un estado normal después de que haya ocurrido actividad no deseada [39]. De acuerdo con la investigación de [38], existen 3 tipologías de sistemas de control de acceso, según la forma de gestionar los permisos: 2.4.1: Control de acceso discrecional (DAC) Se trata de un tipo de control que asigna derechos de acceso basándose en reglas especificadas por el usuario, que es quien determina quién puede acceder a sus recursos. Utiliza listas de control de acceso y tablas de competencias, las cuales contienen filas con sujeto y columnas con objeto. Dependiendo de la información de dichas tablas, se otorga acceso o no al usuario [38]. Los controles son discrecionales, ya que un sujeto con una autorización de acceso es capaz de transmitir de forma directa o indirecta dicho tipo de acceso a cualquier otro sujeto. Cuando se habla de sujeto, se hace referencia a una entidad que realiza actividades que provocan un flujo de información entre objetos. Normalmente se trata de usuarios, pero también pueden ser dispositivos o procesos. Cuando se habla de objetos, se hace referencia a entidades que contienen o reciben información [40]. En algunos sistemas todos los objetos se tratan como ficheros, y por tanto el control de acceso discrecional se lleva a cabo asociando la información de acceso con cada uno de estos ficheros. 21 Modelos de Ciberseguridad en FinTech Para acceder a cualquier objeto del sistema, el sujeto debe tener derechos de acceso, y el mecanismo de comprobación de seguridad para cada objeto es el mismo que se utilizaría para un fichero estándar. Citando un ejemplo de [40], escribir en un terminal implica mover información al fichero asociado con dicho terminal. La información de control de acceso asociada con este fichero determina qué sujetos están autorizados para escribir en dicho terminal [38]. 2.4.2: Control de acceso basado en roles (RBAC) Se utiliza cuando se quieren otorgar permisos basándose en un rol, y no en unas credenciales de usuario individuales. Es utilizado por compañías para aplicar el principio del privilegio mínimo, dando a los individuos únicamente el acceso que necesitan para desarrollar sus tareas, y ningún acceso a nada más [38]. Los mecanismos RBAC tienen políticas neutrales. Dependiendo de la implementación, se puede aplicar una política del mínimo privilegio, u otras [41]. Dentro de este mecanismo, a parte de sujetos, objetos y roles, consideraremos la entidad de operaciones, las cuales están relacionadas con los usuarios y los roles. Estos tres elementos se asocian siguiendo el siguiente esquema visual [41]: Las dobles implicaciones en el esquema representan una relación de muchos a muchos. Un rol puede tener numerosos usuarios asociados, al igual que un usuario puede contar con numerosos roles. En una empresa financiera, por ejemplo, los roles pueden ser asesores, consultores, prestamista, etc. Las operaciones asociadas a roles dentro de un sistema van acompañadas de reglas o restricciones creadas por la compañía en cuestión [41]. 2.4.3: Control de acceso obligatorio (MAC) Se trata del mecanismo de control de acceso más estricto de todos. Normalmente utilizado por el gobierno [38]. Funciona de manera jerárquica, de forma que el acceso a los recursos e información del sistema están controlados directamente por un administrador, y por la configuración establecida por dicho administrador. Solo este usuario con el poder puede cambiar el control de acceso a los recursos. Este mecanismo utiliza etiquetas de seguridad las cuales son asignadas a los recursos del sistema. Estas etiquetas identifican la clasificación del recurso o información (alto, medio, bajo; alto secreto, confidencial, clasificado, etc.), y categoría (departamento, proyecto, tarea). Cada sujeto y objeto tienen asignada una clasificación y categoría, de forma que el sistema otorga el 22 Modelos de Ciberseguridad en FinTech acceso automáticamente al sujeto en el caso de que su clasificación y categoría coincidan con las del recurso al que se está tratando de acceder, y lo deniega en caso contrario [38]. Se realiza una distinción entre sujetos, los cuales pueden ser de confianza o lo contrario. Se puede asegurar que los sujetos de confianza no comprometerán la seguridad. El resto de sujetos no son de confianza [42]. 2.5 Política de ciberseguridad y prevención de Fintech La política de ciberseguridad en FinTech hace referencia a los principios de seguridad de reguladores, elaboradores de políticas, comités de supervisión y proveedores de servicios. Según [43], estas políticas se basan en promover ciber-higiene, educar a usuarios, y limitar los incidentes en el ámbito de la ciberseguridad. A continuación veremos en más detalle algunas de las distintas políticas aplicadas en el ecosistema FinTech. ● Establecimiento y uso de un sistema firewall Sistema diseñado para proteger al sistema ante accesos no autorizados. Filtran y controlan el tráfico en la red [43]. ● Establecimiento y uso de un sistema antivirus Un antivirus es un software que escanea todas las aplicaciones, archivos y dispositivos con el objetivo de identificar actividad nociva o maliciosa. No ofrece protección ante vulnerabilidades desconocidas, o zero-day [43]. ● Eliminación de software innecesario El software innecesario puede ser instalado de forma intencionada o no intencionada. Es una buena práctica eliminarlo para liberar espacio y evitar actividades maliciosas que pueden ser llevadas a cabo por software malicioso [43]. ● Aplicación de actualizaciones y parches La instalación de parches y actualizaciones pueden corregir vulnerabilidades en los sistemas [43]. 2.6 Políticas de resiliencia De acuerdo con [43], una buena política de resiliencia en el ámbito de la ciberseguridad ayuda a resistir, recuperarse y adaptarse a cambios ocasionados por una crisis cibernética. Se trata de una serie de pautas que sigue una organización para prepararse en el caso de tener que hacer frente a un ataque y continuar con sus funciones en dichas condiciones. Los principios básicos de una política de ciber-resilienciaincluyen regulaciones y pautas simples, comunes entre organizaciones, basadas en principios y basadas en riesgos [43]. Las principales características de una política de resiliencia dentro de una institución de FinTech son: 23 Modelos de Ciberseguridad en FinTech ● Higiene cibernética: Hace referencia a la gestión y eliminación de errores de software y vulnerabilidades que suponen un riesgo para la institución en el caso de ser aprovechados por atacantes. Actualizaciones regulares y la instalación de parches son las medidas más básicas necesarias para deshacerse de estos errores y vulnerabilidades [43]. ● Amenazas ocultas: Este punto hace referencia al análisis de los sistemas de la organización con el objetivo de encontrar amenazas escondidas que pueden permanecer durante largos periodos de tiempo sin ser detectadas. La existencia de estas amenazas implica que las instituciones pueden ser víctimas de una falsa sensación de seguridad [43]. ● Impacto en el negocio. Debido a que los ciberataques causan impactos en los sistemas de la información, los más severos pueden causar graves daños que impacten las operaciones de la compañía y por tanto el negocio. Por este motivo, una política de ciber-resiliencia debe prever estos incidentes, y designar unas pautas de actuación ante un evento de este tipo. 24 Modelos de Ciberseguridad en FinTech 3. Modelos de ciberseguridad. Comparativa y selección Un modelo de ciberseguridad se compone de una serie de pautas, estándares y prácticas para administrar riesgos y amenazas en el ámbito de la ciberseguridad. Un modelo de ciberseguridad debe ofrecer una aproximación replicable, flexible y económica para prevenir ciberamenazas y mejorar la resiliencia de la organización [1]. Según [1], un modelo de ciberseguridad debe cumplir los siguientes requisitos para ser considerado adecuado: ● Determinar el ámbito de la tecnología de la información: Se deben considerar todos los recursos y fuentes de información que se procesan en la institución financiera a la hora de diseñar el modelo [1]. ● Determinar el valor de la información y recursos: Se tienen que contabilizar todos los recursos. Los recursos pueden ser tangibles o intangibles. La institución financiera debe preparar una lista con todos los recursos que constituyen el valor total de los recursos de la compañía [1]. ● Definir el nivel de amenaza en el ámbito de ciberseguridad. El modelo de ciberseguridad debe identificar todas las amenazas potenciales a las que se enfrentan las instituciones financieras y priorizar las más importantes. Incluye mecanismos para defenderse de las amenazas y aprender de los errores de cara al futuro [1]. ● Selección de personal y amenazas internas: Es importante que la institución no solo esté preparada para enfrentarse a amenazas externas, sino además a posibles empleados u otras personas internas de la compañía que quieran llevar a cabo actividades maliciosas o ilícitas [1]. ● Conciencia de ciberseguridad y entrenamiento: El último requisito es que un modelo de ciberseguridad debe preparar a los empleados de la organización para enfrentarse a las posibles ciberamenazas [1]. 3.1 Análisis de modelos A continuación se analizan los modelos estándar disponibles actualmente: 3.1.1 NIST CSF (NIST Cybersecurity Framework) Este primer modelo se utiliza principalmente por compañías del sector privado en Estados Unidos. Cuenta con una columna de categorías y otra de subcategorías. Proporciona 5 funciones principales [1]. ● Identificación: 25 Modelos de Ciberseguridad en FinTech Esta función identifica los posibles riesgos a los sistemas, recursos software y hardware, vulnerabilidades, datos y capacidades. También identifica estrategias de control de riesgos, estrategias de administración de cadenas de suministros y el entorno empresarial [1]. ● Protección: El objetivo es limitar el impacto de un ciberataque o incidente. ○ Implementa mecanismos de autenticación de usuario, y controles de acceso, para controlar el acceso tanto físico como digital a los recursos [1]. ○ Se realiza también formación de empleados para que sean conocedores de los riesgos y estén más preparados para hacer frente a un ciberataque [1]. ○ Se establece protección de información siguiendo la política de riesgos de la compañía para proteger la confidencialidad, integridad y disponibilidad de la información [1]. ○ Se implementan procesos de protección de la información y procedimientos para mantener y administrar recursos [1]. ○ Se protegen recursos de la organización mediante actividades de mantenimiento [1]. ● Detección: Esta función se encarga de reconocer un evento relacionado con la ciberseguridad. Se realizan las siguientes actividades: ○ Se asegura que las anomalías y eventos de seguridad se detecten a tiempo, y se analizan los posibles impactos para tomar las medidas adecuadas [1]. ○ Se monitorean los eventos de seguridad así como los sistemas de información para detectar actividades maliciosas [1]. ○ Se establecen pruebas y procesos para detectar eventos con precisión [1]. ● Respuesta: Esta función se encarga de actuar tras la detección de un evento de ciberseguridad: Incluye las siguientes acciones: ○ Se realiza una planificación de la respuesta, incluyendo los procedimientos a seguir durante y después de un incidente [1]. ○ Se analizan los procedimientos planeados para apoyar las actividades de recuperación. También se determina el impacto del incidente [1]. ○ Se realizan actividades de mitigación para prevenir la expansión del incidente [1]. ○ Se planean mejoras después de analizar las posibles carencias en los procedimientos planeados [1]. ● Recuperación: Esta función identifica acciones para contar con un plan de resiliencia y restaurar los procesos y recursos tras un evento de ciberseguridad. Se realizan las siguientes actividades: ○ Se planean procedimientos de recuperación para restaurar los sistemas y recursos afectados por un incidente [1]. ○ Se coordinan comunicaciones internas y externas durante y después del incidente para asegurar la correcta recuperación [1]. 26 Modelos de Ciberseguridad en FinTech ○ Se planean mejoras después de analizar las posibles carencias en los procedimientos planeados [1]. 3.1.2 FFIEC DFS (Federal Financial Institutions Examination Council’s Digital Financial Services) Este modelo se utiliza por instituciones financieras para identificar riesgos y determinar su preparación en el contexto de ciberseguridad. Estas identificaciones se pueden realizar repetidas veces a lo largo del tiempo para realizar comparativas. Se realiza en dos fases [1]: ● Perfil de riesgo inherente: Esta función se encarga de identificar actividades, servicios y productos dentro de las siguientes categorías: ○ Tecnología y tipos de conexión: Algunas tecnologías, servicios y productos pueden tener riesgos inherentes dependiendo de su complejidad y naturaleza. Esta categoría incluye a proveedores de internet y conexiones ajenas a la compañía [1]. ○ Canales de entrega: Esta categoría se encarga de comprobar si los productos y servicios son entregados mediante canales online y móviles. Los diversos canales de entrega poseen riesgos inherentes dependiendo de los productos y servicios [1]. ○ Productos en línea y servicios de tecnología: Se incluyen servicios de pago, como tarjetas de crédito y débito, transferencias bancarias, cámaras de compensación automatizadas, etc. También se considera si la institución proporciona servicios de tecnología a otras organizaciones [1]. ○ Características organizativas: En esta categoría se tienen en cuenta características organizativas como fusiones o adquisiciones, el número de empleados y contratas de ciberseguridad, el número de usuarios con accesos privilegiados, cambios en el personal de seguridad, cambios en el entorno IT, localizaciones de operaciones y centros de datos [1]. ○ Amenazas externas: La cantidad, sofisticación y tipo de ciberamenazas impactan directamente el riesgo inherente de la organización [1]. ●Madurez en ciberseguridad: Después de determinar el perfil de riesgo inherente de la institución, el modelo calcula la madurez teniendo en cuenta los siguientes parámetros: ○ Administración y supervisión del riesgo: Hace referencia a la supervisión de los directivos y el plan de desarrollo e implementación de la gestión para preparar políticas de ciberseguridad. También establece responsabilidades y un programa de ciberseguridad efectivo para la compañía [1]. ○ Inteligencia de amenazas y colaboración: Hace referencia a la adquisición y análisis de información para identificar, analizar y predecir ciberamenazas. También incluye procesos para la correcta comprensión de ciberamenazas y compartir la información con entidades internas y externas [1]. 27 Modelos de Ciberseguridad en FinTech ○ Controles de ciberseguridad: Hace referencia a los procesos y prácticas utilizadas para proteger recursos e información mediante el fortalecimiento de la seguridad de la organización, como mecanismos de autenticación o de control de acceso [1]. ○ Administración de dependencias externas: Implica establecer y mantener un programa de observación y administración de dependencias externas que tienen acceso a los recursos de la organización [1]. ○ Administración de incidentes y resiliencia: La administración de incidentes hace referencia a la identificación y análisis de incidentes. La resiliencia cibernética evalúa la preparación de la organización frente a futuros ataques [1]. 3.1.3 CPMI-IOSCO’s Cyber Guidance Se trata de una guía destinada a FMIs (Financial Market Infrastructures), las cuales son los componentes principales del sistema financiero, proporcionando servicios críticos para el correcto funcionamiento de los mercados financieros. Sin embargo, se puede extrapolar a cualquier organización del ecosistema FinTech. Esta guía se basa en principios de ciberseguridad para identificar la naturaleza dinámica de ciber amenazas. Se realiza un énfasis en que la ciberseguridad es más que tecnología de la información. El modelo sugiere que una organización necesita contar con un modelo basado en principios y un modelo de ciberseguridad de tecnología de la información para proteger a las instituciones frente a ciberataques [1]. Cuenta con los siguientes componentes: ● Gobernanza: Hace referencia a los preparativos que una FMI tiene que realizar para establecer, implementar y monitorizar su enfoque de gestión de riesgos de ciberseguridad. Una buena gobernanza de ciberseguridad debe tener como base un modelo de resiliencia claro y sencillo de comprender cuya prioridad es la seguridad y eficiencia de las operaciones de la FMI en cuestión, y que a la vez apoye sus objetivos financieros [2]. ● Identificación y clasificación: Esta función identifica los posibles riesgos a los sistemas, recursos software y hardware, vulnerabilidades, datos y capacidades. También identifica estrategias de control de riesgos y clasifica los distintos elementos que componen una FMI [2]. ● Protección: Esta función detalla cómo una FMI debe implementar controles de seguridad y diseñar procesos y sistemas que aseguren la confidencialidad, integridad y disponibilidad de los activos y servicios de la FMI. Estas medidas deben ser proporcionales al contexto de ciberseguridad y amenazas, y ser consistentes con la tolerancia de riesgos. Este componente se puede dividir en las siguientes categorías [2]: ○ Protección de procesos y activos ○ Gestión de riesgos derivados de interconexiones con otras entidades 28 Modelos de Ciberseguridad en FinTech ○ Amenazas internas ○ Entrenamiento y formación de recursos humanos ● Detección: Hace referencia a los pasos y medidas que se deben seguir para que una FMI pueda reconocer e identificar signos de un potencial incidente de ciberseguridad, o detectar una brecha de seguridad [2]. ● Respuesta y recuperación: Este componente constituye una guía de cómo una FMI debe responder y recuperarse tras un ciberataque. Tras un incidente, la FMI debe estar diseñada para retomar las operaciones críticas de forma rápida y segura, con información precisa para mitigar los potenciales riesgos o fallos para poder cumplir dichas obligaciones. Es esencial que haya un plan de continuidad. Este campo se divide en [2]: ○ Respuesta a incidentes, reanudación y recuperación. ○ Diseño de elementos: El diseño de los sistemas y los procesos y los controles para funciones y operaciones críticas deben estar preparadas para responder a incidentes en la medida de lo posible. ○ Gestión de interconexiones. ● Testing: Hace referencia a la importancia de que todos los componentes del modelo de ciberseguridad deben ser rigurosamente probados y evaluados para determinar su efectividad antes de ser implementados en la FMI, y de forma regular a lo largo del tiempo. Esta metodología de testing debe basarse en un programa comprensivo de realización de pruebas [2]. ● Evaluación de la situación: Este componente es una guía de cómo una FMI debe establecer un proceso de inteligencia de ciberamenazas, un proceso de análisis y otro de intercambio de información. El término de evaluación de la situación en este contexto hace referencia a la comprensión por parte de la organización del entorno de amenazas dentro del ecosistema en el que opera, y las implicaciones y riesgos de operar en dicho ecosistema, y la adecuación de los políticas de mitigación de riesgos [2]. ● Aprendizaje y evolución: Un buen modelo de ciberseguridad debe evolucionar debido al constante cambio del entorno. Para seguir el ritmo de la rápida evolución de las ciberamenazas, un FMI debe implementar un modelo de resiliencia adaptativo y dinámico, que esté en constante evolución. Esto permite a la FMI identificar y administrar amenazas de ciberseguridad y vulnerabilidades [2]. 3.1.4 ECB-CROE No se trata de un modelo per se, sino que es más bien un documento puente entre los requerimientos establecidos en CPMI-IOSCO y NIST. Su objetivo principal es ser una 29 Modelos de Ciberseguridad en FinTech herramienta de supervisión. Actúa como una herramienta de evaluación que proporciona supervisión a las organizaciones respecto a su situación de ciberseguridad [1]. 3.1.5 FSSCC Cybersecurity Profile Modelo basado en NIST CSF y CPMI-IOSCO. El modelo tiene las mismas columnas de categorías y subcategorías de NIST y además añade una de declaraciones de diagnóstico. Este perfil de ciberseguridad cuenta con las siguientes funciones [3]: ● gobernanza: Similar a CPMI-IOSCO [3]. ● Identificación: Similar a NIST [3]. ● Protección: Similar a NIST [3]. ● Detección: Similar a NIST [3]. ● Respuesta y recuperación: Similar a NIST [3]. ● Gestión de dependencias: Se gestionan los impactos y riesgos que pueden derivar de que existan relaciones de dependencia con otras organizaciones, lo cual puede implicar un flujo de información o un acceso de terceros a los sistemas propios de la institución [3]. 3.1.6 CIS 20 Controls Siguiendo las recomendaciones de CPMI-IOSCO de que una organización necesita un modelo basado en principios y un modelo de ciberseguridad de tecnologías de información, se ha establecido CIS 20 como un ejemplo de modelo de ciberseguridad de tecnologías de información. Este modelo IT sigue un enfoque de abajo hacia arriba. Presenta 20 controles y guías de ciberseguridad que cubren la mayoría de necesidades de ciberseguridad de la mayoría de instituciones financieras [1]. Estos 20 controles se pueden englobar en las siguientes funciones [4]: ● Identificación de inventario y recursos hardware y software, así como de vulnerabilidades de los sistemas [4]. ● Protección de recursos y activos, incluyendo seguridad de software, protecciones frente a malwares, limitación y control de accesos privilegiados y accesos remotos, y configuración segura de los recursos hardware y software. También incluye protecciones de email, buscadores y protección de datos [4]. ● Detección de posibles amenazas [4]. ● Monitorización [4]. ● Aprendizaje: programas de conocimiento y concienciación sobre
Compartir